一、变更管理
1、变更的工作程序;
1.提出与接收变更申请。
2.对变更的初审。
3.变更方案论证。
4.CCB审查。
5.发出变更通知并开始实施。
6.变更实施的监控。
7.变更效果的评估。
8.判断发生变更后的项目是否已进入正常轨道。
2、变更初审的4条内容;
1.对变更提出方施加影响,确认变更的必要性,确保变更是有价值的。
2.格式效验,完整性校验,确保评估所需的信息准备充分。
3.在干新人间就提出供评估的变更信息达成共识。
4.变更初审的常见方式为变更申请文档的审核流转。
3、对进度变更控制,包括哪些主题。
1.确定项目当前进度状态。
2.对造成变更的因素施加影响。
3.查明进度是否已经改变。
4.变更发生时管理实际的变更。
二、安全管理
1、哪些技术来实现信息的保密性;
网络安全协议,网络认证服务,数据加密服务。
2、哪些技术来实现信息的完整性;
消息源的不可抵赖,防火墙系统,通信安全,入侵检测系统。
3、哪些技术来实现信息的可用性;
磁盘和系统的容错及备份,可接受的登录及进程性能,可靠的功能性的安全进程和机制。
4、可靠性的定义,及度量方法。
系统在规定的时间和给定的条件下,无故障完成规定功能的概率。通常用平均故障时间间隔来度量。
5、应用系统常用保密技术有哪些?
最小授权原则,防暴露,信息加密,物理保密。
6、保障应用系统完整性的方法有哪些?
协议,纠错编码方法,密码校验和方法,数字签名,公正。
7、机房供配电分为哪8种;
分开供电,紧急供电,备用供电,稳压供电,电源保护,不间断供电,电器噪声防护,突发事件防护
8、紧急供电、稳压供电的内容;
紧急供电:UPS,改进UPS,多级UPS和应急电源。
稳压供电:采用线路稳压器,防止电压波动对计算机的影响。
9、应用系统运行中,涉及4个层次的安全,这4个层次的安全,按粒度从粗到细进行排列;
系统级,资源访问,功能性,数据域。
10、哪些属于系统级安全;
敏感系统隔离,IP访问限制,登录时间段限制,会话时间限制,连接数限制。
11、哪些属于资源访问安全;
客户端仅出现权限相符的菜单和操作按钮,服务端对URL程序资源和业务服务方法的调用进行访问控制
12、哪些属于功能性安全;
用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小。
13、数据域安全包括哪2个层次;
行级,字段级。
14、应用系统的访问控制检查包括哪些;
物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加,变更和取消,用户权限的分配是否遵循”最小特权“原则。
15、应用系统的日志检查包括哪些;
数据库日志,系统访问日志,系统处理日志,错误日志,异常日志。16、应用系统的可用性检查包括哪些;
17、应用系统的维护检查包括哪些;
维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等。
18、安全等级分为哪2种;各分为哪几级;
保密等级:绝密,机密,秘密。
可靠等级:A,B,C
三、风险管理
1、风险管理的过程包括哪六步;
风险管理规划,风险识别,定性风险分析,定量风险分析,应对风险计划,风险监控。
2、风险事故,与风险因素的区别;
风险事故是造成损失的直接或者外在原因,是损失的媒介物,风险只有通过风险事故的发生才能导致损失。就一件事件来说,如果他是造成损失的直接原因,那么他就是风险事故,而在其他条件下,如果他是造成损失的间接原因,它便成为风险因素。
3、风险识别的方法有哪些;
德尔菲技术,头脑风暴法,SWOT分析法,检查表,图解技术。
4、风险定性分析的方法有哪些;
风险概率与影响评估,概率与影响矩阵,风险分类,风险紧迫性评估。
5、风险定性分析中,根据概率和影响矩阵,高风险的措施是什么;低风险的措施是什么;
高风险:采取重点措施,采取积极的应对策略。
低风险:放入待观察风险清单或分配应急储备额外,不需采取其他立即管理措施。
6、风险定量分析的方法有哪些;
蒙特卡洛分析,期望货币值,计算分析因子,计划评审技术。
7、消极风险的应对策略有哪3个,并各举一例说明;
规避:延长进度或减少范围。
转移:保险,履约保证书,担保书和保证书。
减轻:采用不太复杂的工艺,实施更多测试,或选中稳定可靠的卖方。
8、积极风险的应对策略有哪3个,并各举一例说明;
开拓:为项目分配更多有能力的资源,以便缩短完成时间或超过最初预期的高质量。
分享:建立风险分享合作关系,或专门为机会管理目的的形成团队,特殊目的项目公司或者合作合资企业。
提高:通过促进或增强机会的成因,积极强化其触发条件,调高机会发生概率,也可这种针对影响驱动因素以提高项目机会。
9、同时适用于消极风险与积极的策略是什么,并举例。
接受。
主动:建立应急储备,应对已知或潜在未知威胁或机会。
被动:不要求采取任何行动,将其留给项目团队,待发生时视情况进行处理。
10、风险审计的定义
检查并记录风险应对策略处理已识别风险及其根源的效力以及风险管理过程的效力。