一、变更管理
1、变更管理的原则是首先?
变更管理的原则是首先建立项目基准、变更流程和变更控制委员会
2、国内较多的配置工具有哪些?(3个)
Rational Clearcase,Visual Source 和Concurrent Versions System
3、CCB是决策机构还是作业机构?
CCB是配置控制委员会,是决策机构不是作业机构
4、项目经理在变更中的作用是什么?
响应变更提出者的要求,评估变更对项目的影响及应对方案,将要求由技术要求转化为资源需求,供授权人决策;并据评审结果实施即调整项目基准,确保项目基准反映项目实施情况
5、变更的工作程序?(记)
1.提出与接受变更申请
2.对变更的初审
3.变更方案论证
4.项目变更控制委员会审查
5.发出变更通知并开始实施
6.变更实施的监控
7.变更效果的评估
8.判断发生变更后的项目是否已纳入正常轨道
6、变更初审的目的是什么?(记)
1.对变更提出方施加影响,确认变更的必要性,确保变更是有价值的
2.格式校验,完整性效验,确保评估所需信息准备充分
3.在干系人间就提出供评估的变更信息达成共识。
4.变更初审的常见方式为变更申请文档的审核流转
7、变更效果的评估从哪几个方面进行?
1.首要的评估依据是项目基准
2.还需结合变更的初衷来看,变更所要达到的目的是否已达成。
3.评估变更方案中的技术论证、经济论证内容与实施过程的差距并推进解决
8、针对变更,何时可以使用分批处理、分优先级的方式,以提高效率?
在项目整体压力较大的情况下啊,更需强调变更的提出、处理应当规范化,可以使用分批处理、分优先级等方式提高效率,如同繁忙的交通道口,如果红绿灯变化频。繁,其结果不是灵活高效,而是整体通过能力的降低
9、项目规模小、与其它项目关联度小时,高精尖更应简便高效,需注意哪三点?
项目规模小、与其他项目的关联度小时,变更的提出与处理过程可在操作上力求简便、高效,但仍应注意以下几点。
1.对变更产生的因素施加影响。放置不必要的变更,减少无谓的评估,提高必要变更的通过效率。
2.对变更的确认应当正式化
3.变更的操作过程应当规范化
10、对进度变更的控制,应包括哪些主题?(记)
1.判断项目进度的当前状态
2.对造成进度变更的因素施加影响
3.查明进度是否已经变更。
4.在实际变更出现时对其进行管理
11、对成本变更的控制,包括哪些主题?
1.对造成成本基准变更的因素施加影响
2.确保变更请求获得同意
3.档变更发生时,管理这些实际的变更
4.保证潜在的费用超支不超过授权的项目阶段资金和总体资金
5.监督费用绩效,找出与成本基准的偏差
6.准确记录所有与成本基准的偏差
12、请简述变更管理与配置管理的区别?
变更管理与配置管理为相关联的两套机制,变更管理由项目交付或基准配置调整时,由配置管理系统调用;变更管理最终应将对项目的调整结果反馈给配置管理系统。
二、安全管理
1、信息安全三元组是什么?
保密性,完整性,可用性
2、数据的保密性一般通过哪些来实现?
网路安全协议,网络认证服务,数据加密服务
3、确保数据完整性的技术包括哪些?
消息源的不可抵赖,防火墙系统,通信安全,入侵检测系统
4、确保可用性的技术包括哪些?
磁盘和系统的容错及备份,可接受的登录及进程性能,可靠的功能性的安全进程和机制
5、在ISO/IEC27001中,信息安全管理的内容被概括为哪11个方面?
1.信息安全方针与策略
2.组织信息安全
3.资产管理
4.人力资源安全
5.物理和环境安全
6.通信和操作安全
7.访问控制
8.信息系统的获取、开发和保持
9.信息安全事件管理
10.业务持续性管理
11.符合性
6、什么是业务持续性管理?、
保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保他们的及时回复。应实施业务持续性管理过程以减少对组织的影响,并通过预防和回复控制措施的结合将信息资产的损失回复到可接受的程度
7、应用系统常用的保密技术有哪些?
1.最小授权原则 2.防暴露 3.信息加密 4.物理保密
8、影响信息完整性的主要因素有哪些?
有设备故障、误码,存储过程中善生的误码,稳定度和精度降低造成的误码,各种干扰造成的误码和人为攻击,计算机病毒等等
9、保障应用系统完整性的主要方法有哪些?
1.协议 2.纠错编码方法 3.数码校验和方法 4.数字签名 5.公证
10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量?
可用性一般用系统正常使用时间和整个工作时间之比来度量
11、在安全管理体系中,不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系?
1.配备安全管理人员 2.建立安全职能部门 3.成立安全领导小组 4.主要负责人出任领导 5.建立信息安全保密管理部门
12、在信息系统安全管理要素一览表中,“风险管理”类,包括哪些族?“业务持续性管理”类包括哪些族?
风险管理包括,风险管理要求和策略,风险分析和评估,风险控制,基于风险的决策,风险评估的管理
业务持续性管理包括,备份与恢复,安全事件处理,业务持续性管理
13、GB/T20271-2006中,信息系统安全技术体系是如何描述的?(只答一级标题)
1.物理安全 2.运行安全 3.数据安全
14、对于电源,什么叫紧急供电?稳压供电?电源保护?不间断供电?
1.紧急供电是指配置抗电压不足的基本设备、改进设备或更强设备,如基本UPS、改进的UPS、多级UPS和应急电源等
2.稳压供电是指采用线路稳压器,放置电压波动对计算机系统的影响。
3.电源保护是指设置电源保护装置,如金属氧化物可变电阻、二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等,放置/减少电源放生故障
4.不间断供电是指,采用不间断供电电源,放置电压波动、电器干扰和断电等对计算机系统的不良影响
15、人员进出机房和操作权限范围控制包括哪些?
应明确机房安全管理的负责人,机房出入应由制定人员负责,未经允许的人员不准进入机房;获准进入机房的来方人员,活动范围受限制,机房钥匙有专管,没有管理人员明确准许不准进入机房,机房禁止一切烟火及水源。一般禁止携带个人计算机等电子设备进入机房。
16、针对电磁兼容,计算机设备防泄露包括哪些内容?
对需要放置电磁泄漏的计算机设备要配备电磁干扰设备,在被保护的计算机设备工作时电磁干扰设备不准关机,必要时可以采用屏蔽机房。
17、对哪些关键岗位人员进行统一管理,允许一人多岗,但业务应用操作人员不能由其它关键岗位人员兼任?
对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理。
18、业务开发人员和系统维护人员不能兼任或担任哪些岗位?
业务应用操作人员不能由其他关键岗位人员兼任;关键岗位人员应定期接受安全培训,加强安全意识和风险防范意识。
19、应用系统运行中涉及四个层次的安全,按粒度从粗到细的排序是什么?(记)
1.系统级安全 2.资源访问安全 3.功能性安全 4.数据域安全
20、哪些是系统级安全?
访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。
22、什么是资源访问安全?
对程序资源访问进行控制,在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL程序次元和业务服务类方法的调用进行访问控制
23、什么是功能性安全?
功能性安全会对程序流程产生影响,对用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制,而是程序流程内的限制,在一定程度上影响程序流程的运行
24、什么是数据域安全?
数据域安全包括两个层次,其一是行级数据域安全,级别用户可以访问那些业务记录,一般以用户所在单位为条件进行过滤;其二是字段级数据域安全,即用户可以访问业务记录的哪些字段。
25、系统运行安全检查和记录的范围有哪些?(并叙述每个的内容)
1.应用系统的访问控制检查――包括物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则
2.应用系统的日志检查――包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
3.应用系统可用性检查――包括系统中断时间、系统正常服务时间和系统恢复时间等。
4.应用系统能力检查――包括系统资源消耗情况、系统交易速度和系统吞吐量等
5.应用系统的安全操作检查――用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用
6.应用系统维护检查――维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等
7.应用系统的配置检查――检查应用系统的配置是否合理和适当,个配置组件是否发挥其应有的功能
8.恶意代码的检查――是否存在恶意代码,如病毒,木马、隐蔽性通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等
26、保密等级按关规定划分为:绝密、机密和?
绝密 机密 和秘密
27、可靠性等级分为哪三级?
可靠性等级分为三级最高A级最低C级中间B级