變動管理、信息系統安全管理及項目風險管理做業

1、變動管理

一、變動的工做程序；

(1)提出與接受變動申請

(2)對變動的初審

(3)變動方案論證

(4)項目變動控制委員會審查

(5)發出變動通知並開始實施

(6)變動實施的監控

(7)變動效果的評估

(8)判斷髮生變動後的項目是否已歸入正常軌道。

二、變動初審的4條內容；

(1)對變動提出方施加影響，確認變動的必要性，確保變動是有價值的。

(2)格式校驗、完整性校驗，確保評估信息準備充分

(3)在干係人就提出供評估的變動信息達成一致

(4)變動初審的常見方式爲變動申請文檔的審覈流轉。

三、對進度變動控制，包括哪些主題。

(1)判斷項目進度的當前狀態

(2)對形成進度變動的因素施加影響

(3)查明進度是否已經改變

(4)在實際變動出現時對其進行管理

2、安全管理

一、哪些技術來實現信息的保密性；

(1)網絡安全協議

(2)網絡認證服務

(3)數據加密服務

二、哪些技術來實現信息的完整性；

(1)消息源的不可抵賴

(2)防火牆系統

(3)通訊安全

(4)***檢測系統

三、哪些技術來實現信息的可用性；

(1)磁盤和系統的容錯及備份。

(2)可接受的登陸及進程性能。

(3)可靠的功能性的安全進程和機制。

四、可靠性的定義，及度量方法。

可靠性是指系統在規定的時間和給定的條件下，無端障完成規定功能的機率，一般用平均故障間隔時間MTBF來度量。

五、應用系統經常使用保密技術有哪些？

(1)最小受權原則

(2)防暴露

(3)信息加密 

(4)物理保密

六、保障應用系統完整性的方法有哪些？

(1)協議

(2)糾錯編碼方法

(3)密碼校驗方法；

(4)數字簽名

(5)公證

七、機房供配電分爲哪8種；

(1)分開供電

(2)緊急供電

(3)備用供電

(4)穩壓供電

(5)電源保護

(6)不間斷供電

(7)電器噪聲防禦

(8)忽然事件防禦

八、緊急供電、穩壓供電的內容；

緊急供電：配置抗電壓不足的基本設備、改進設備或更強設備，如基本UPS、改進的UPS、多級UPS和應急電源（發電機組）等。

穩壓供電；採用線路穩壓器，防止電壓波動對計算機系統的影響。

九、應用系統運行中，涉及4個層次的安全，這4個層次的安全，按粒度從粗到細進行排列；

應用系統運行中涉及的安全和保密層次包括系統安全、資源訪問安全、功能性安全和數據域安全。這4個層次的安全，按粒度從粗到細的排序是：系統級安全、資源訪問安全、功能性安全。數據域安全。

十、哪些屬於系統級安全；

敏感系統的隔離、訪問IP地址段的限制，登陸時間段的限制，會話時間的限制、鏈接數的限制、特定時間段內登陸次數的限制以及遠程訪問控制等，

十一、哪些屬於資源訪問安全；

對程序資源的訪問進行安全控制，在客戶端上，爲用戶提供和其權限相關的用戶界面，僅出現和其權限相符的菜單和操做按鈕；在服務器端則對URL程序資源和業務服務類方法的調用進行訪問控制。

十二、哪些屬於功能性安全；

功能性安全會對程序流程產生影響，如用戶在操做業務記錄時，是否須要審覈，上傳附件不能超過指定大小等。

1三、數據域安全包括哪2個層次；

 

數據域安全包括兩個層次，其一是行級數據域安全。其二是字段級數據域安全

1四、應用系統的訪問控制檢查包括哪些；

包括物理和邏輯訪問控制，是否按照規定的策略和程序進行訪問權限的增長、變動和取消，用戶權限的分配是否遵循「最小特權」原則。

1五、應用系統的日誌檢查包括哪些；

包括數據庫日誌、系統訪問日誌、系統處理日誌、錯誤日誌及異常日誌。

1六、應用系統的可用性檢查包括哪些；

包括系統中斷時間，系統正常服務時間和系統恢復時間等

1七、應用系統的維護檢查包括哪些；

維護性問題是否在規定的時間內解決，是否正確地解決問題，解決問題的過程是否有效。

1八、安全等級分爲哪2種；各分爲哪幾級；

安全等級可分爲保密等級和可靠性等級兩種

保密等級按有關規定劃分爲絕密、機密和祕密。

可靠性等級可分爲三級，對可靠性要求最高的爲A級，系統運行所要求的最低限度可靠性爲C級，介於中間的爲B級。

3、風險管理

一、風險管理的過程包括哪六步；

(1)風險管理規劃

(2)風險識別

(3)定性風險分析

(4)定量風險分析

(5)應對計劃編制

(6)風險監控

二、風險事故，與風險因素的區別；

就某一事件來講，若是它是形成損失的直接緣由，那麼它就是風險事故；

在其餘條件下，若是它是形成損失的間接緣由，它便成爲風險因素。

三、風險識別的方法有哪些；

(1)德爾菲技術

(2)頭腦風暴法

(3)SWOT分析法

(4)檢查表

(5)圖解術

四、風險定性分析的方法有哪些；

(1)風險機率與影響評估

(2)機率和影響矩陣

(3)風險分類

(4)風險緊迫性評估

五、風險定性分析中，根據機率和影響矩陣，高風險的措施是什麼；低風險的措施是什麼；

高風險，深灰色表明高風險，須要採起重點措施，並採起積極的應對策略，

低風險，中度灰色，只需將之放入待觀察風險清單或分配應急儲備額外，不需採起任何其餘當即直接管理措施。

六、風險定量分析的方法有哪些；

(1)指望貨幣值

(2)計算分析因子

(3)計劃評審技術

(4)蒙特卡羅分析

七、消極風險的應對策略有哪3個，並各舉一例說明；

使用迴避是（規避）、轉嫁、減輕這三種策略可能對項目應對目標存在消極影響的風險或威脅。

規避風險是指改變項目計劃，以排除風險或條件，或者保護項目目標，使其不受影響，或對受到威脅的一些目標放鬆要求。

規避風險的另外一個重要的策略是排除風險的起源，即利用分隔將風險源隔離於項目進行的路徑以外。

轉移風險是指設法將風險的後果連同應對的責任轉移到他方身上，轉移工具豐富多樣，包括但不限於利用保險、履約保證書、擔保書和保證書。出售或外包將本身不擅長的或本身開展風險較大的一部分業務委託他人幫助開展，集中力量在本身的核心業務上，從而有效地轉移了風險。

減輕是指設法把不利的風險事件的機率或後果下降到一個可接受的臨界值。例如，採用不太複雜的工藝，實施更多的測試，或者選用比較穩定的可靠的賣方均可減輕風險。

八、積極風險的應對策略有哪3個，並各舉一例說明；

使用開拓、分享和提升這三種策略可能對項目目標存在積極影響的風險。

開拓，若是組織但願確保機會得以實現，可就具備積極影響的風險採起該策略。該項策略的目的在於經過確保機會確定實現而消除與特定積極風險相關肯定性的。

分享，分享積極風險是指將風險的責任分配給最能爲項目的利益獲取機會的第三方。

提升，經過促進或加強機會的成因，積極強化其觸發條件，提升機會發生的機率，也可着重影響驅動因素以提升項目機會

九、同時適用於消極風險與積極的策略是什麼，並舉例。

同時適用於消極風險與積極的策略是接受。

該策略可分爲主動和被動方式，最多見的主動接受風險的方式就是創建應急儲備，應對已知或潛在的未知威脅機會。被動地接受風險則不要求採起任何行動，將其留給項目團隊，待風險發生時視狀況進行處理。

十、風險審計的定義

風險審計在於檢查並記錄風險應對策略處理已識別風險及其根源的效力以及風險管理過程的效力。