2016年4月4日做業

第十六章、變動管理

1、變動管理的原則是首先？

首先創建項目基準、變動流程和變動控制委員會（也叫變動管理委員會）。包括如下內容：

基準管理。

創建變動控制流程。

明確組織分工。

完總體現變動的影響。

妥善保存變動產生的相關文檔，確保其完整、及時、準確、清晰，適當的時候能夠引進配置管理工具。

2、國內較多的配置工具備哪些？（3個）

Rational clearcase、visual SourceSafe、concurrent versions system。

3、CCB是決策機構仍是做業機構？

決策機構。

4、項目經理在變動中的做用是什麼？

響應變動提出者的要求，評估變動對項目的影響及應對方案，將要求由技術要求轉化爲資源需求，供受權人決策；並據評審結果實施即調整項目基準，確保項目基準反映項目實施狀況。

5、變動的工做程序？（記）

1)      提出與接受變動申請

2)      對變動的初審

3)      變動方案認證

4)      項目變動控制委員會審查

5)      發出變動通知並開始實施

6)      變動實施的監控

7)      變動效果的評估

6、變動初審的目的是什麼？（記）

1)      對變動提出方施加影響，確認變動的必要性，確保變動是有價值的。

2)      格式校驗，完整性校驗，確保評估所需信息準備充分。

3)      在干係人間就提出供評估的變動信息達成共識。

4)      變動初審的常見方式爲變動申請文檔的審覈流轉。

7、變動效果的評估從哪幾個方面進行？

1)      首要的評估依據，是項目基準。

2)      還需結合變動的初衷來看，變動所要達到的是否已達成。

3)      評估變動方案中的技術論證、經濟論證內容與實施過程的差距並推動解決。

4)      判斷髮生變動後的項目是否已歸入正常軌道。

8、針對變動，什麼時候可使用分批處理、分優先級的方式，以提升效率？

在項目總體壓力較大的狀況下，更需強調變動的提出、處理應當規範化，可使用分批處理、分優先級等方式提升效率。

9、項目規模小、與其它項目關聯度小時，變動的提出與處理過程更應簡便高效，需注意哪三點？

1)      對變動產生的因素施加影響。防止沒必要要的變動，減小無謂的評估，提升必要變動的經過效率。

2)      對變動的確認應當正式化。

3)      變動的操做過程應當規範化。

10、對進度變動的控制，應包括哪些主題？（記）

1)      判斷項目進度的當前狀態

2)      對形成進度變動的因素施加影響

3)      查明進度是否已經變動

4)      在實際變動出現時對其進行管理

11、對成本變動的控制，包括哪些主題？

1)      對形成成本基準變動的因素施加影響。

2)      確保變動請求得到贊成

3)      當變動發生時，管理這些實際的變動

4)      保證潛在的費用超支不超過受權的項目階段資金和整體資金。

5)      監督費用績效，找出與成本基準的誤差

6)      準確記錄全部與成本基準的誤差

7)      防止錯誤的、不恰當的或未批准的變動被歸入費用或資源使用報告中

8)      就審定的變動，通知利害關係者

9)      採起措施，將預期的費用超支控制在可接受的範圍內

12、請簡述變動管理與配置管理的區別？

若是把項目總體的交付物視做項目的配置項，配置管理可視爲對項目完整性管理的一套系統，當用於項目基準調整時，變動管理可視爲其一部分。

亦可視變動管理與配置管理爲相關聯的兩套機制，變動管理由項目交付或基準配置調整時，由配置管理系統調用；變動管理最終應將對項目的調整結果反饋給配置管理系統，以確保項目執行與對項目的帳目相一致。

第十七章、安全管理

1、信息安全三元組是什麼？

保密性、完整性、可用性。

2、數據的保密性通常經過哪些來實現？

網絡安全協議

網絡認證服務

數據加密服務

3、確保數據完整性的技術包括哪些？

消息源的不可抵賴

防火牆系統

通訊安全

***檢測系統

4、確保可用性的技術包括哪些？

磁盤和系統的容錯及備份

可接受的登陸及進程性能

可靠的功能性的安全進程和機制

5、在ISO/IEC27001中，信息安全管理的內容被歸納爲哪11個方面？

1)      信息安全方針與策略

2)      組織信息安全

3)      資產管理

4)      人力資源安全

5)      物理和環境安全

6)      通訊和操做安全

7)      訪問控制

8)      信息系統的獲取、開發和保持

9)      信息安全事件管理

10)   業務持續性管理

11)   符合性

6、什麼是業務持續性管理？

應防止業務活動的中斷，保護關鍵業務流程不會受到重大的信息系統失效或災難的影響並確保它們的及時恢復。應實施業務持續性管理過程以減小對組織的影響，並經過預防和恢復控制措施的結合將信息資產的損失恢復到可接受的程度。

7、應用系統經常使用的保密技術有哪些？

最小受權原則

防暴露

信息加密

物理保密

8、影響信息完整性的主要因素有哪些？

設備故障、誤碼（傳輸、處理和存儲過程當中產生的誤碼，定時的穩定度和精度下降形成的誤碼，各類干擾源形成的誤碼）、人爲***和計算機病毒等。

9、保障應用系統完整性的主要方法有哪些？

協議

糾錯編碼方法

密碼校驗和方法

數字簽名

公證

10、哪一個性質通常用系統正常使用時間和整個工做時間之比來度量？

可用性

11、在安全管理體系中，不一樣安全等級的安全管理機構應按哪一種順序逐步創建本身的信息安全組織機構管理體系？

1)      配備安全管理人員

2)      創建安全職能部門

3)      成立安全領導小組

4)      主要負責人出任領導

5)      創建信息安全保密管理部門

12、在信息系統安全管理要素一覽表中，「風險管理」類，包括哪些族？「業務持續性管理」類包括哪些族？

1)      風險管理要求和策略

2)      風險分析和評估

3)      風險控制

4)      基於風險的決策

5)      風險評估的管理

 

1)      備份與恢復

2)      安全事件處理

3)      應急處理

13、GB/T20271-2006中，信息系統安全技術體系是如何描述的？（只答一級標題）

物理安全

運行安全

數據安全

 

14、對於電源，什麼叫緊急供電？穩壓供電？電源保護？不間斷供電？

緊急供電：配置抗電壓不足的基本設備、改進設備或更強設備中，如基本UPS、改進的UPS、多級UPS和應急電源（發電機組）等。

穩壓供電：採用線路穩壓器，防止電壓波動對計算機系統的影響。

電源保護：設置電源保護裝置，防止/減小電源發生故障。

不間斷供電：採用不間斷供電電源，防止電壓波動、電器干擾和斷電等對計算機系統的不良影響。

15、人員進出機房和操做權限範圍控制包括哪些？

應明確機房安全管理責任人，機房出入應有指定人員負責，未經容許的人員不許進入機房；獲准進入機房的來訪人員，其活動範圍應受限制，並有接待人員陪同；機房鑰匙由專人管理，未經批准，不許任何人私自複製機房鑰匙或服務器開機鑰匙；沒有指定管理人員的明確准許，任何記錄介質、文件資料及各類被保護品均不許帶出機房，與工做無關的物品不許帶入機房；機房內嚴禁吸菸及帶入火種和水源。

16、針對電磁兼容，計算機設備防泄露包括哪些內容？

對須要防止電磁泄露的計算機設備應配備電磁干擾設備，在被保護的計算機設備工做時電磁干擾設備不許關機，必要時能夠採用屏蔽機房。屏蔽機房應隨時關閉屏蔽門；不得在屏蔽牆上打釘鑽孔，不得在波導管之外或不通過過濾器對屏蔽機房內外鏈接任何線纜；應常常測試屏蔽機房的泄露狀況並進行必要的維護。

17、對哪些關鍵崗位人員進行統一管理，容許一人多崗，但業務應用操做人員不能由其它關鍵崗位人員兼任？

對安全管理員、系統管理員、數據庫管理員、網絡管理員、重要業務開發人員、系統維護人員和重要業務應用操做人員等信息系統關鍵崗位人員進行統一管理；容許一人多崗，但業務應用操做人員不能由其餘關鍵崗位人員兼任。關鍵崗位人員應按期接受安全培訓，增強安全意識和風險防範意識。

18、業務開發人員和系統維護人員不能兼任或擔任哪些崗位？

業務開發人員和系統維護人員不能兼任或擔負安全管理員、系統管理員、數據庫管理員、網絡管理員和重要業務應用操做人員等崗位或工做；必要時關鍵崗位人員應採起按期輪崗制度。

19、應用系統運行中涉及四個層次的安全，按粒度從粗到細的排序是什麼？（記）

系統級安全、資源訪問安全、功能性安全和數據域安全。

20、哪些是系統級安全？

敏感系統的隔離、訪問IP地址段的限制、登陸時間段的限制、會話時間的限制、鏈接數的限制、特定時間段內登陸次數的限制以及遠程訪問控制等。

22、什麼是資源訪問安全？

對程序資源的訪問進行安全控制，在客戶端上，爲用戶提供和其權限相關的用戶界面，僅出現和其權限相符的菜單和操做按鈕；在服務端則對URL程序源和業務服務類方法的調用進行訪問控制。

23、什麼是功能性安全？

功能性安全會對程序流程產生影響，如用戶在操做業務記錄時，是否須要審覈，上傳附件不能超過指定大小等。這些安全限制已經不是入口級的限制，而是程序流程內的限制，在必定程序上影響程序流程的運行。

24、什麼是數據域安全？

數據域安全包括兩個層次，其一是行級數據域安全，即用戶能夠訪問哪些業務記錄，通常以用戶所在單位爲條件進行過濾；其二是字段級數據域安全，即用戶能夠訪問業務記錄的哪些字段。不一樣的應用系統數據域安全的需求存在很大的差異，業務相關性比較高。

25、系統運行安全檢查和記錄的範圍有哪些？（並敘述每一個的內容）

1)      應用系統的訪問控制檢查。包括物理和邏輯訪問控制，是否按照規定的策略和程序進行訪問權限的增長、變動和取消，用戶權限的分配是否遵循「最小特權」原則。

2)      應用系統可用性檢查。包括數據庫日誌、系統訪問日誌、系統處理日誌、錯誤日誌及異常日誌。

3)      應用系統可用性檢查。包括系統中斷時間、系統正常服務時間和系統恢復時間等。

4)      應用系統的安全操做檢查。用戶對應用系統的使用是否按照信息安全的相關策略和程序進行訪問和使用。

5)      應用系統維護檢查。檢查應用系統的配置是否合理和適當，各配置組件是否發揮其應有的功能。

6)      惡意代碼的檢查。是否存在惡意代碼，如病毒、***、隱蔽通道致使應用系統數據的丟失、損壞、非法修改、信息泄露等。

26、保密等級按有關規定劃分爲：絕密、機密和？

絕密、機密和祕密。

27、可靠性等級分爲哪三級？

可靠性等級可分爲A、B、C三級，其中A級要求最高，C級最低。