 信息系统工程监理资质管理的必要性、意义:在信息系统工程建设中实施监理可以为工程建设提供更合理、专业、全面的保证。其意义：①可以帮助业主单位更合理的保证工程的质量、进度、投资，交合理、客观的处理好它们之间的关系，②可以合理地协调业主单位和建设单位之间的关系，③可以有助于第三方的专业化服务功能。
 信息系统工程监理内容：“四控、三管、一协调”。四控：质量控制、进度控制、投资控制、变更控制；“三管”：合同管理、信息管理、安全管理。“一协调”：协调有关单位及人员间的关系。
 信息系统工程监理资质管理办法：①管理体系：包括资质评审和审批、年检、升级、降级、取消及其他相关内容；②工作流程：包括资质评审和资质审批，其资质评审又包括：评审申请、评审的受理和资料审查、对申请单位进行现场审查，出具评审报告。其资质审批又包括：审批申请、审批。
 信息系统工程监管等级条件:无论信息系统工程监理的甲级资质、乙级资质还是丙级资质，其认证和评定和审批资质条件都是由综合条件，业绩、监理能力、人才实力等四个方面的水平来审核的。
 监理人员资质管理：①管理部门：监理工程师资格的管理工作由工信部资质管理办公室来具体组织实施②评定条件：具有大学本科学历、二年以上从事信息系统工程设计、实施、监理工作经历，或者具有大专学历，四年以上从事信息系统工程设计、实施、监理工作经历；经过监理工程师资格考试合格；监理工程师资格考试，是参加人事部信息系统监理师考试④资格管理：获得信息系统工程监理工程师资格后，还有登变更、重新登记、注销、批评撤销和吊销等资格的日常管理。
 ITIL（IT infrastructure library,IT基础设施库）：于20世纪80年代后期开发，已经成为IT服务管理在世界范围内事实上的标准。其专注于IT运营领域。其中也是IT服务管理的最佳实践。
 IT服务管理（ITservice management,ITSM）：是一套通过服务级别协议（SLA）来保证IT服务质量的协同流程，它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。而ITSMF组织则认为，是一种以流程为导向，以客户为中心的方法，它通过融合IT服务与组织业务，提高组织在IT服务提供和服务支持方面的能力及其水平。
 IT服务管理的核心思想：是IT组织，不管它是企业内部的还是外部的，都是IT服务提供者，其主要工作就是提供低成本、高质量的IT服务。
 实现ITSM（IT服务管理）的根本目标：①以客户为中心提供IT服务②提供高质量、低成本的服务③提供服务是可准确计价的。
 IT服务管理的基本原理：简单概括为“二次转换”，第一次是“梳理”既是将各种技术管理工作进行“梳理”，从而形成典型的流程，这就实现第一次转换，第二次是“打包”，就是将这些流程按需要“打包”成的特定IT服务，提供给用户，这就是实现第二次转换。
 IT服务管理的范围：ITSM（IT服务管理）适用于IT管理而不是企业的业务管理，它是区分与ERP（Enterprise resource planning,企业资源计划）、CRM（Customer relationship management,客户关系管理）、SCM（Supply chain management,供应链管理），因为前者是面向IT管理，而后者是面向业务管理的。其ITSM（IT服务管理）不是通用的IT规划方法，其重点烛IT的运营和管理，而不是IT的战略规划。其中IT规划是关注IT的战略问题， 而ITSM则是确保IT战略得到有效执行的战术性和运营性活动。其主要任务是管理客户和用户的IT需求。
 IT服务管理的价值：①商业价值：确保IT流程支撑业务流程，整体上提高了业务运营的质量；通过事故管理流程，变更管理流程和服务台等提供了更可靠的业务支持；客户对IT有更合理的期望，并更加清楚为达到期望他们所需要的付出；提高了客户和业务人员的生产率；提供更加及时有效的业务持续性服务；客户和IT服务提供者之间建立更加融洽的工作关系，提高了客户满意度。②财务价值：降低了实施变更的成本；当软件或硬件不再使用时，可以及时取消对其的维护合同；量体裁衣的能力，即根据实际需要提供适当的能力，如磁盘容量；恰当的服务持续性费用。③ 内部价值和创新价值：IT服务提供方更为清楚地理解客户的需求，确保了服务有效支撑业务流程；更多地了解当前提供的IT服务的有关信息；改进IT支持，使业务部门能够更加灵活地使用IT；提高了服务的灵活性和可适应性；提高了预知未来发展趋势的能力，从而能够更加迅速地采用新的服务需求和进行相应的市场开发。⑤员工利益：IT人员更加清楚了解对他们的期望，并有合适的流程和相应的培训以确保能够实现这些期望；提高IT人员的生产率；提高了IT人员的士气和工作满意度；使IT部门的价值得到更好的体现，从而提高了员工的工作积极性。
 信息系统审计：IS audit，目前还没有通用的定义，但是美国信息系统审计的权威专家将它定义为收集并评估证据以决定一个计算机系统是否有效地保护资产，维护数据完整，完成组织目标，同时最经济的使用资源。
 信息系统审计的目的：是评估并提供反馈、保证及建议。其关注部分分为可用性、保密性、完整性。
 信息系统审计的理论基础：①传统审计理论②信息系统管理理论③行为科学理论④计算机科学
 信息系统审计的基本业务：①系统开发审计，包括开发过程的审计、开发方法的审计，为IT规划指导委员会及变革控制委员提供咨询服务。②主要数据中心，网络、通信设施的结构审计，包括财务系统和非财务系统的应用审计③支持其他审计人员的工作，为财务审计人员与经营审计人员提供技术支持和培训同。④为组织提供增值服务，为管理信息系统人员提供技术，控制与安全指导，推动风险自评估程序的执行。⑤软件及硬件供应商及外包服务商提供的方案、产品及服务质量是否与合同相符审计⑥灾难恢复和业务持续计划审计⑦对系统运营效能、投资回报率及应用开发测试审计⑧系统的安全审计⑨网站的信誉审计⑩全面控制审计
 信息系统审计的主要组成：①信息系统的管理、规划与组织②信息系统技术基础设施与操作实务③资产的保护④灾难恢复与业务持续计划⑤应用系统开发⑥业务流程与风险管理
 信息系统审计的依据：①一般公认信息系统审计准则②信息系统的控制目标③其他法律及规定
基于风险的审计方法：①编制组织使用的信息系统清单并对其进行分类②决定哪些系统影响关键功能和资产③评估哪些风险影响这些系统及对商业运作的冲击④在上述评估的基础上对系统分级，决定审计优先值、资源、进度和频率