20151026變動管理、信息系統安全和風險管理

1、變動管理
1、變動的工做程序（8條）；

• 提出與接受變動申請；

• 對變動的初審；

• 變動方案論證；

• 項目變動控制委員會審查；

• 發出變動通知並開始實施；

• 變動實施的監控；

• 變動效果的評估；

• 判斷髮生變動後的項目是否已歸入正常軌道

• 
  

2、變動初審的4條內容；

• 對變動提出方施加影響，確認變動的必要性，確保變動是有價值的；

• 格式校驗，完整性校驗，確保評估所需信息準備充分；

• 在干係人間就提出評估的變動信息達成共識；

• 變動初審的常見方式爲變動申請文檔的審覈流轉。

• 
  

3、對進度變動控制，包括哪些主題（4條）。

• 判斷項目進度的當前狀態；

• 對形成進度變動的因素施加影響；

• 查明進度是否已經改變；

• 在實際變動出現時對其進行管理。

  
  

2、信息系統安全管理

1、哪些技術來實現信息的保密性；

• 網絡安全協議；

• 網絡認證服務；

• 數據加密服務

2、哪些技術來實現信息的完整性；

• 消息源的不可抵賴；

• 防火牆系統；

• 通訊安全；

• ***檢測系統

3、哪些技術來實現信息的可用性；

• 磁盤和系統的容錯及備份；

• 可接受的登陸及進程性能；

• 可靠的功能性的安全進程和機制

4、可靠性的定義，及度量方法。

可靠性是指系統在規定的時間和給定的條件下，無端障完成規定功能的機率，一般用平均間隔時間（MTBF）來度量.

5、應用系統經常使用保密技術有哪些（4條）？

• 最小受權原則；

• 防暴露；

• 信息加密；

• 物理加密

6、保障應用系統完整性的方法有哪些（5條）？

• 協議；

• 糾錯編碼方法；

• 密碼校驗和方法；

• 數字簽名；

• 公證

7、機房供配電分爲哪8種；

• 分開供電；

• 緊急供電；

• 備用供電；

• 穩壓供電；

• 電源保護；

• 不間斷供電；

• 電器噪聲防禦；

• 忽然事件防禦

  8、緊急供電、穩壓供電的內容；

緊急供電：配置抗電壓不足的基本設備、改進設備或更強設備，如基本UPS、改進的UPS、多級UPS和應急電源（發電機組）等。

穩壓供電：採用線路穩壓器，防止電壓波動對計算機系統的影響。

9、應用系統運行中，涉及4個層次的安全，這4個層次的安全，按粒度從粗到細進行排列；

• 系統級安全；

• 資源訪問安全；

• 功能性安全；

• 數據域安全；

10、哪些屬於系統級安全；

• 敏感系統的隔離；

• 訪問IP地址段的限制；

• 登陸時間段的限制；

• 會話時間的限制；

• 鏈接數的限制；

• 特定時間段內登陸的限制以及遠程訪問控制

11、哪些屬於資源訪問安全；

• 在客戶端上，爲用戶提供和其權限相關的用戶界面，僅出現和其權限相符的菜單和操做按鈕；

• 在服務端則對URL程序資源和業務服務類的調用進行訪問控制。

12、哪些屬於功能性安全；

用戶在操做業務記錄是，是否須要審覈，上傳福建不能超過制定大小等。這些安全限制已經不是入口級的限制，而是程序流程內的限制，在必定程度上影響程序流程的運行。

13、數據域安全包括哪2個層次；

• 行級數據域安全；

• 字段級數據域安全

14、應用系統的訪問控制檢查包括哪些；

包括物理和邏輯的訪問控制，是否按照規定的策略和程序進行訪問權限的增長、變動和取消，用戶權限的分配是否遵循「最小特權」原則；

15、應用系統的日誌檢查包括哪些；

• 數據庫日誌

• 系統訪問日誌；

• 系統處理日誌；

• 錯誤日誌及異常日誌

16、應用系統的可用性檢查包括哪些；

• 系統的中斷時間；

• 系統正常服務時間；

• 系統恢復時間等

17、應用系統的維護檢查包括哪些；

• 維護性問題是否在規定的時間內解決，是否正確地解決問題，

• 解決問題是否有效等

18、安全等級分爲哪2種；各分爲哪幾級；

安全等級分爲保密等級和可靠性等級兩種。

保密等級分爲絕密、機密和祕密

可靠等級分爲A.B.C 三級

3、風險管理
1、風險管理的過程包括哪六步；

• 風險管理計劃；

• 風險識別；

• 定性風險分析；

• 定量風險分析；

• 應對計劃編輯；

• 風險監控

2、風險事故，與風險因素的區別；

風險事故是形成損失的直接或外在的緣由，是損失的媒介物，即風險只有經過風險事故的發生才能致使損失；

就某一事件來講，若是它是形成損失的直接緣由，那麼它就是風險事故；而在其餘條件下，若是它是形成損失的間接緣由，它便成爲風險因素。

3、風險識別的方法有哪些（5點）；

• 德爾菲技術；

• 頭腦風暴法；

• SWOT分析法；

• 檢查表；

• 圖解技術

4、定性風險分析的方法有哪些；

• 風險機率與影響評估；

• 機率與影像矩陣；

• 風險分類；

• 風險緊迫性評估

5、定性風險分析中，根據機率和影響矩陣，高風險的措施是什麼；低風險的措施是什麼；

高風險採起充電措施，並採起積極的應對策略；

低風險的，只需將之放入待觀察風險清單或分配應急儲備額外，不須要採起任何其餘當即直接管理措施。

6、定量風險分析的方法有哪些（4點）；

• 指望貨幣值（EMV）;

• 計算分析因子；

• 計劃評審技術（PERT）

• 蒙特卡羅分析

7、消極風險的應對策略有哪3個，並各舉一例說明；

• 規避，指改變項目計劃，以排除風險或條件，或者保護項目目標，使其不受影響，或對受到威脅的一些目標放鬆要求。如延長進度或者減小範圍。

• 轉移，指設法將風險的後果連同應對的責任轉移到其餘方身上。

• 減輕，指設法把不利的風險時間的機率和後果下降到一個可接受的臨界值。如設計時在子系統中設置冗餘組建由可能減輕原有組件故障所形成的影響。

8、積極風險的應對策略有哪3個，並各舉一例說明；

• 開拓，經過確保機會確定實現而消除與特定積極風險相關的不肯定性。直接開拓措施包括爲項目分配更多的有能力的資源，以便縮短完成時間或實現超過最初預期的高質量。

• 分享，指將風險的責任分配給最能爲項目的利潤獲取機會的第三方，包括創建風險分享合做關係，或專門爲機會管理目的造成團隊、特殊目的項目公司或合做合資企業；

• 提升，指經過提升積極風險的機率或其積極影響，識別並最大程度發揮這些積極風險的驅動因素，致力於改變機會的「大小」。

9、同時適用於消極風險與積極的策略是什麼，並舉例。

風險監控

10、風險審計的定義

  風險審計在於檢查並記錄風險應對策略處理已識別風險及其更遠的效力以及風險管理過程的效力。