变理管理、信息系统安全管理与项目风险管理要点梳理
一、变更管理
1、变更的工作程序;
答:8条:(1)提出与接受变更申请;(2)对变更的初审;(3)变更方案论证;(4)项目变更控制委员会审查;(5)发出变更通知并开始实施;(6)变更实施的监控;(7)变更效果的评估;(8)判断发生变更后的项目是否已纳入正常轨道。
2、变更初审的4条内容;
答:(1)确认变更的必要性;(2)格式与完整性较验,确保评估所需的信息充分;(3)与干系统人就提出评估的变更信息达成共识;(4)变更申请文档的审核流转。
3、对进度变更控制,包括哪些主题。
答:4个主题:(1)判断项目进度的当前状态。(2)对造成进度变更的因素施加影响。(3)查明进度是否已经改变。(4)在实际变更出现时对进度进行管理。
二、安全管理
1、哪些技术来实现信息的保密性;
答:网络安全协议、网络认证服务、数据加密服务。
2、哪些技术来实现信息的完整性;
答:消息源的不可抵赖、防火墙系统、通信安全、入侵检测系统。
3、哪些技术来实现信息的可用性;
答:磁盘和系统的容错及备份、可接受的登录及进程性能、可靠的功能性的安全进程和机制。
4、可靠性的定义,及度量方法。
答:可靠性是指系统在规定的时间和给定和条件下,无故障完成规定功能的概率。度量通常用平均故障间隔时间(Mean Time Between Failure,MTBF)来进行。
5、应用系统常用保密技术有哪些?
答:4种技术:(1)最小授权原则;(2)防暴露;(3)信息加密;(4)物理保密。
6、保障应用系统完整性的方法有哪些?
答:5种方法:协议、纠错编码方法、密码校验和方法、数字签名、公证。
7、机房供配电分为哪8种;
答:(1)分开供电,(2)紧急供电,(3)备用供电,(4)稳压供电,(5)电源保护,(6)不间断供电,(7)电器噪声防护,(8)突然事件防护。
8、紧急供电、稳压供电的内容;
答:紧急供电:配置搞电压不足的基本设备、改进高备或更强设备,如基本、改进的、多级的UPS和应急电源(发电机组)等。
稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响。
9、应用系统运行中,涉及4个层次的安全,这4个层次的安全,按粒度从粗到细进行排列;
答:按粒度从粗到细的排序是:系统级安全、资源访问安全、功能性安全、数据安全。
10、哪些属于系统级安全;
答:敏感系统间隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的所限制、特定时间段内登录次数年的限制以及远程访问控制等。
11、哪些属于资源访问安全;
答:在客户端上:为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行访问控制。
12、哪些属于功能性安全;
答:用户操作业务记录时,是否需要审核,上传附件不能超过指定大小等。
13、数据域安全包括哪2个层次;
答:行级数据域安全(可访问哪些);字段级字据域安全(可访问的字段是哪些)。
14、应用系统的访问控制检查包括哪些;
答:物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,是否遵循“最小特权“原则。
15、应用系统的日志检查包括哪些;
答:包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
16、应用系统的可用性检查包括哪些;
答:包括系统中断时间、系统正常服务时间和系统恢复时间等。
17、应用系统的维护检查包括哪些;
答:维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否失效等。
18、安全等级分为哪2种;各分为哪几级;
答:分为保密等级和可靠性等级两种,保密等级分为:绝密、机密、秘密。可靠性分为:最高A级,最低C级,介于中间为B级。
三、风险管理
1、风险管理的过程包括哪六步;
答:风险管理规划、风险识别、定性风险分析、定量风险分析、应对计划编制、风险监控。
2、风险事故,与风险因素的区别;
答:风险事帮是直接原因,风险因素是造成损失的间接原因。
3、风险识别的方法有哪些;
答:(1)尔菲技术(匿名、多次重复、避免主观影响,力求尽量客观)、(2)头脑风暴法(集思广益)、(3)SWOT分析方法(内在,外部)、(4)检查表、(5)图解技术。
4、风险定性分析的方法有哪些;
答:风险概率与影响评估,概率和影响矩阵。
5、风险定性分析中,根据概率和影响矩阵,高风险的措施是什么;低风险的措施是什么;
答:高风险深灰色区域,采取重点措施,并用积对应对的策略;低风险中度灰色区域,放入待观察清单或分配应急储备额外,不需要采取其他立即的管理措施。
6、风险定量分析的方法有哪些;
答:(1)期望货币值EMV,(2)计算分析因子,(3)计划评审技术PERT,(4)蒙特卡罗建模分析。
7、消极风险的应对策略有哪3个,并各举一例说明;
答:规避,如延长进度或减少范围:
转移,如买保险、担保书、风险共担
减轻,采用不太复杂工艺、实施更多的测试、或者选用更稳定可靠的卖方。或设计时在子系统中设置冗余组件有可能减轻原有组件故障所造成的影响。
8、积极风险的应对策略有哪3个,并各举一例说明;
答:开拓,为项目分配更多的有能力的资源,以提升进度与提高质量。
分享,建立分享合作关系,将风险分担给最能给项目利益获取机会的第三方。
提高,扣高积极风险的概率与影响,识别并最大程度发近积极风险的驱动因素,提高机会发生的成因与触发与发生概率。
9、同时适用于消极风险与积极的策略是什么,并举例。
答:接受,主动或被动,主动接受风险方式即建立应急储备,已知的未知,做好准备,被动刚不采取任何行动,待出现时再解决。
10、风险审计的定义
答:风险审计在于检查并记录风险应对策略处理已识别风险及其根源的效力以及风险管理过程的效力。