答:首先建立项目基准、变更流程和变更控制委员会(也叫变更管理委员会)。
答:国内使用较多的配置工具有Rational ClearCase、Visual SourceSafe、Concurrent Versions System。
答:CCB是决策机构不是作业机构。
答:相应变更提出者的要求,评估变更对项目的影响以及应对方案,将要求由技术要求转换为资源需求,供授权人决策;并根据评审结果实施即调整项目基准,确保项目基准反映项目实施情况。
答:(1)提出与接受变更申请;(2)对变更的初审;(3)变更方案的论证;(4)项目变更控制委员会审查;(5)发出变更通知并开始实施;(6)变更实施的监控;(7)变更效果的评估。
答:(1)对变更提出方施加影响,确认变更的必要性,确保变更是有价值的。
(2)格式校验,完整性校验,确保评估所需信息准备充分。
(3)在干系人间就提出供评估的变更信息达成共识。
(4)变更初审的常见方式为变更申请文档的审核流转。
答:(1)首要的评估依据,是项目基准。
(2)还需结合变更的初衷来看,变更所要达到的目的是否已达成。
(3)评估变更方案中的技术论证、经济论证内容与实施过程的差距并推进解决。
答:在项目整体压力较大情况下,更需强调变更的提出、处理应当规范化、可以使用分批处理、分优先级等方式提高效率。
答:(1)对变更产生因素施加影响。防止不必要的变更,减少无谓的评估,提高必要的变更的通过效率。
(2)对变更的确认应当正式化。
(3)变更的操作过程应当规范化。
答:(1)判断项目进度的当前状态;(2)对造成进度变更的因素施加影响;
(3)查明进度是否已经改变;(4)在实际变更出现时对其进行管理。
答:(1)对造成成本基准变更的因素施加影响;
(2)确保变更请求获得同意;
(3)当变更发生时,管理这些实际的变更;
(4)保证潜在的费用超支不超过授权的项目阶段资金和总体资金。
(5)监督费用绩效,找出与成本基准的偏差;
(6)准确记录所有与成本基准的偏差;
(7)防止错误的、不恰当的或未批准的变更被纳入费用或资源使用报告中;
(8)就审定的变更,通知利害关系者;
(9)采取措施,将预期的费用超支控制在可接受的范围内。
答:(1)当用于项目基准调整时,变更管理可视为配置管理的一部分;
(2)变更管理与配置管理是互相关联的两套机制
(3)变更管理是对项目交付或基准调整的管理
(4)配置管理是对项目交付和基准的储存管理
答:保密性、完整性、可用性。
答:(1)网络安全协议;(2)网络认证服务;(3)数据加密服务。
答:(1)消息源的不可抵赖;(2)防火墙系统;(3)通信安全;(4)入侵检测系统。
答:(1)磁盘和系统的容错及备份;(2)可接受的登录及进程性能;(3)可靠的功能性的安全进行和机制。
答:(1)信息安全缝针与策略;(2)组织信息安全;(3)资产管理;(4)人力资源安全;(5)物理和环境安全;(6)通信和操作安全;(7)访问控制;(8)信息系统的获取开发和保持;(9)信息安全事件管理;(10)业务持续性管理;(11)符合性。
答:(1)防止业务中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们及时恢复;
(2)降低系统失效或灾难导致的信息资产的损失至可接受的程度;
(3)识别和减少风险的控制措施,限制还有害事件的影响以及确保业务过程需要的信息能够随时得到。
答:(1)最小授权原则;(2)防暴露;(3)信息加密;(4)物理保密。
答:影响完整性的主要因素有设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击和计算机病毒等。
答:协议、纠错编码方式、密码校验和方法、数字签名、公证
答:可用性。
答:(1)配备安全管理人员;(2)建立安全职能部门;(3)成立安全领导小组;
(4)主要负责人出任领导;(5)建立信息安全保密管理部门。
答:风险管理包含风险管理要求和策略、风险分析与评估、风险控制、基于风险的决策、风险评估的管理;
业务持续性管理类包含备份与恢复、安全事件处理、应急处理。
答:物理安全、运行安全、数据安全。
答:(1)紧急供电,配备抗电压不足的基本设备、改进设备或更强的设备,如基本UPS、改进的UPS、多级UPS和应急电源(发电机组)等;
(2)稳压供电,采用线路稳压器,防止电压波动对计算机系统的影响;
(3)电源保护,设置电源保护装置,如金属氧化物可变电阻、二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等,防止/减少电源发生故障;
(4)不间断供电,采用不间断供电电源,防止电压波动、电器干扰和断电等对计算机系统的不良影响。
答:(1)指定机房负责人,未经允许的人员均不得进入机房;
(2)获准进入机房的来访人员,其活动范围应受到限制,并有接待人员陪同;
(3)机房钥匙由专人管理,不允许私自复制机房钥匙或服务器开启钥匙;
(4)没有管理人员的许可,不允许任何物品介质出入机房;
(5)机房内应严禁吸烟及带入火种和水源;
(6)妥善保管机房出入登记记录;
答:(1)对需要防止电磁泄漏的计算机设备应配备电磁干扰设备,在被保护的计算机设备工作时电磁干扰设备不准关机,必要时可以采用屏蔽机房;
(2)对于屏蔽机房应随时关闭屏蔽门,不得在屏蔽墙上打钉钻孔,不得在波导管意外未经过滤器对屏蔽机房内外连接任何线缆;
(3)应经常测试屏蔽机房的泄露情况并进行必要的维护。
答:对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人会员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理,允许一人多岗。但业务应用操作人员不能有其它关键岗位人员兼任。
答:安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作。
答:系统级安全、资源访问安全、功能性安全、数据域安全。
答:系统级安全是指通过对现行系统安全技术的分析,制定系统级安全策略,策略包括敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、回话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等,系统级安全是应用系统的第一道防护大门。
答:资源访问安全是程序资源访问进行安全控制,在客户端上,为用户仅提供与其权限先关的界面、菜单和操作按钮,在服务器端则对URL程序资源和业务服务类方法的调用进行访问控制。
答:功能性安全是指对程序流程内的限制,如用户在操作业务记录时,是否需要审核等。
答:数据域安全包括两个层次,其一是行级数据域安全,即用户可以访问哪些业务数据,一般以用户所在单位为条件进行过滤;其二是字段级数据域安全,即用户可以访问业务记录的哪些字段。
答:(1)应用系统的访问控制检查。包括物理和逻辑的访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户的权限分配是否遵循“最小特权”原则。
(2)应用系统的日志检查。包括数据库日子,系统访问日志,系统处理日志,错误日志及异常日志。
(3)应用系统的可用性检查。包括系统中断时间,系统正常服务时间和系统恢复时间等。
(4)应用系统能力检查。包括系统资源消耗情况、系统交易速度和系统吞吐量等。
(5)应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。
(6)应用系统的维护检查。维护性问题是否是规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等。
(7)应用系统的配置检查。检查应用系统的配置是否合理和适当,各配置组件是否发挥其应有的功能。
(8)恶意代码的检查。是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。
答:绝密、机密和秘密。
答:可靠性要求最高的C级,可靠性要求最低的C级,还有介于A和C之间的B级。
本文出自 “学海无涯” 博客,谢绝转载!