2016年4月4日做业

第十六章、变动管理

1、变动管理的原则是首先？

首先创建项目基准、变动流程和变动控制委员会（也叫变动管理委员会）。包括如下内容：

基准管理。

创建变动控制流程。

明确组织分工。

完总体现变动的影响。

妥善保存变动产生的相关文档，确保其完整、及时、准确、清晰，适当的时候能够引进配置管理工具。

2、国内较多的配置工具备哪些？（3个）

Rational clearcase、visual SourceSafe、concurrent versions system。

3、CCB是决策机构仍是做业机构？

决策机构。

4、项目经理在变动中的做用是什么？

响应变动提出者的要求，评估变动对项目的影响及应对方案，将要求由技术要求转化为资源需求，供受权人决策；并据评审结果实施即调整项目基准，确保项目基准反映项目实施状况。

5、变动的工做程序？（记）

1)      提出与接受变动申请

2)      对变动的初审

3)      变动方案认证

4)      项目变动控制委员会审查

5)      发出变动通知并开始实施

6)      变动实施的监控

7)      变动效果的评估

6、变动初审的目的是什么？（记）

1)      对变动提出方施加影响，确认变动的必要性，确保变动是有价值的。

2)      格式校验，完整性校验，确保评估所需信息准备充分。

3)      在干系人间就提出供评估的变动信息达成共识。

4)      变动初审的常见方式为变动申请文档的审核流转。

7、变动效果的评估从哪几个方面进行？

1)      首要的评估依据，是项目基准。

2)      还需结合变动的初衷来看，变动所要达到的是否已达成。

3)      评估变动方案中的技术论证、经济论证内容与实施过程的差距并推动解决。

4)      判断发生变动后的项目是否已归入正常轨道。

8、针对变动，什么时候可使用分批处理、分优先级的方式，以提升效率？

在项目总体压力较大的状况下，更需强调变动的提出、处理应当规范化，可使用分批处理、分优先级等方式提升效率。

9、项目规模小、与其它项目关联度小时，变动的提出与处理过程更应简便高效，需注意哪三点？

1)      对变动产生的因素施加影响。防止没必要要的变动，减小无谓的评估，提升必要变动的经过效率。

2)      对变动的确认应当正式化。

3)      变动的操做过程应当规范化。

10、对进度变动的控制，应包括哪些主题？（记）

1)      判断项目进度的当前状态

2)      对形成进度变动的因素施加影响

3)      查明进度是否已经变动

4)      在实际变动出现时对其进行管理

11、对成本变动的控制，包括哪些主题？

1)      对形成成本基准变动的因素施加影响。

2)      确保变动请求得到赞成

3)      当变动发生时，管理这些实际的变动

4)      保证潜在的费用超支不超过受权的项目阶段资金和整体资金。

5)      监督费用绩效，找出与成本基准的误差

6)      准确记录全部与成本基准的误差

7)      防止错误的、不恰当的或未批准的变动被归入费用或资源使用报告中

8)      就审定的变动，通知利害关系者

9)      采起措施，将预期的费用超支控制在可接受的范围内

12、请简述变动管理与配置管理的区别？

若是把项目总体的交付物视做项目的配置项，配置管理可视为对项目完整性管理的一套系统，当用于项目基准调整时，变动管理可视为其一部分。

亦可视变动管理与配置管理为相关联的两套机制，变动管理由项目交付或基准配置调整时，由配置管理系统调用；变动管理最终应将对项目的调整结果反馈给配置管理系统，以确保项目执行与对项目的帐目相一致。

第十七章、安全管理

1、信息安全三元组是什么？

保密性、完整性、可用性。

2、数据的保密性通常经过哪些来实现？

网络安全协议

网络认证服务

数据加密服务

3、确保数据完整性的技术包括哪些？

消息源的不可抵赖

防火墙系统

通讯安全

***检测系统

4、确保可用性的技术包括哪些？

磁盘和系统的容错及备份

可接受的登陆及进程性能

可靠的功能性的安全进程和机制

5、在ISO/IEC27001中，信息安全管理的内容被归纳为哪11个方面？

1)      信息安全方针与策略

2)      组织信息安全

3)      资产管理

4)      人力资源安全

5)      物理和环境安全

6)      通讯和操做安全

7)      访问控制

8)      信息系统的获取、开发和保持

9)      信息安全事件管理

10)   业务持续性管理

11)   符合性

6、什么是业务持续性管理？

应防止业务活动的中断，保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。应实施业务持续性管理过程以减小对组织的影响，并经过预防和恢复控制措施的结合将信息资产的损失恢复到可接受的程度。

7、应用系统经常使用的保密技术有哪些？

最小受权原则

防暴露

信息加密

物理保密

8、影响信息完整性的主要因素有哪些？

设备故障、误码（传输、处理和存储过程当中产生的误码，定时的稳定度和精度下降形成的误码，各类干扰源形成的误码）、人为***和计算机病毒等。

9、保障应用系统完整性的主要方法有哪些？

协议

纠错编码方法

密码校验和方法

数字签名

公证

10、哪一个性质通常用系统正常使用时间和整个工做时间之比来度量？

可用性

11、在安全管理体系中，不一样安全等级的安全管理机构应按哪一种顺序逐步创建本身的信息安全组织机构管理体系？

1)      配备安全管理人员

2)      创建安全职能部门

3)      成立安全领导小组

4)      主要负责人出任领导

5)      创建信息安全保密管理部门

12、在信息系统安全管理要素一览表中，“风险管理”类，包括哪些族？“业务持续性管理”类包括哪些族？

1)      风险管理要求和策略

2)      风险分析和评估

3)      风险控制

4)      基于风险的决策

5)      风险评估的管理

 

1)      备份与恢复

2)      安全事件处理

3)      应急处理

13、GB/T20271-2006中，信息系统安全技术体系是如何描述的？（只答一级标题）

物理安全

运行安全

数据安全

 

14、对于电源，什么叫紧急供电？稳压供电？电源保护？不间断供电？

紧急供电：配置抗电压不足的基本设备、改进设备或更强设备中，如基本UPS、改进的UPS、多级UPS和应急电源（发电机组）等。

稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响。

电源保护：设置电源保护装置，防止/减小电源发生故障。

不间断供电：采用不间断供电电源，防止电压波动、电器干扰和断电等对计算机系统的不良影响。

15、人员进出机房和操做权限范围控制包括哪些？

应明确机房安全管理责任人，机房出入应有指定人员负责，未经容许的人员不许进入机房；获准进入机房的来访人员，其活动范围应受限制，并有接待人员陪同；机房钥匙由专人管理，未经批准，不许任何人私自复制机房钥匙或服务器开机钥匙；没有指定管理人员的明确准许，任何记录介质、文件资料及各类被保护品均不许带出机房，与工做无关的物品不许带入机房；机房内严禁吸烟及带入火种和水源。

16、针对电磁兼容，计算机设备防泄露包括哪些内容？

对须要防止电磁泄露的计算机设备应配备电磁干扰设备，在被保护的计算机设备工做时电磁干扰设备不许关机，必要时能够采用屏蔽机房。屏蔽机房应随时关闭屏蔽门；不得在屏蔽墙上打钉钻孔，不得在波导管之外或不通过过滤器对屏蔽机房内外链接任何线缆；应常常测试屏蔽机房的泄露状况并进行必要的维护。

17、对哪些关键岗位人员进行统一管理，容许一人多岗，但业务应用操做人员不能由其它关键岗位人员兼任？

对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操做人员等信息系统关键岗位人员进行统一管理；容许一人多岗，但业务应用操做人员不能由其余关键岗位人员兼任。关键岗位人员应按期接受安全培训，增强安全意识和风险防范意识。

18、业务开发人员和系统维护人员不能兼任或担任哪些岗位？

业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操做人员等岗位或工做；必要时关键岗位人员应采起按期轮岗制度。

19、应用系统运行中涉及四个层次的安全，按粒度从粗到细的排序是什么？（记）

系统级安全、资源访问安全、功能性安全和数据域安全。

20、哪些是系统级安全？

敏感系统的隔离、访问IP地址段的限制、登陆时间段的限制、会话时间的限制、链接数的限制、特定时间段内登陆次数的限制以及远程访问控制等。

22、什么是资源访问安全？

对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操做按钮；在服务端则对URL程序源和业务服务类方法的调用进行访问控制。

23、什么是功能性安全？

功能性安全会对程序流程产生影响，如用户在操做业务记录时，是否须要审核，上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序流程内的限制，在必定程序上影响程序流程的运行。

24、什么是数据域安全？

数据域安全包括两个层次，其一是行级数据域安全，即用户能够访问哪些业务记录，通常以用户所在单位为条件进行过滤；其二是字段级数据域安全，即用户能够访问业务记录的哪些字段。不一样的应用系统数据域安全的需求存在很大的差异，业务相关性比较高。

25、系统运行安全检查和记录的范围有哪些？（并叙述每一个的内容）

1)      应用系统的访问控制检查。包括物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增长、变动和取消，用户权限的分配是否遵循“最小特权”原则。

2)      应用系统可用性检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。

3)      应用系统可用性检查。包括系统中断时间、系统正常服务时间和系统恢复时间等。

4)      应用系统的安全操做检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。

5)      应用系统维护检查。检查应用系统的配置是否合理和适当，各配置组件是否发挥其应有的功能。

6)      恶意代码的检查。是否存在恶意代码，如病毒、***、隐蔽通道致使应用系统数据的丢失、损坏、非法修改、信息泄露等。

26、保密等级按有关规定划分为：绝密、机密和？

绝密、机密和秘密。

27、可靠性等级分为哪三级？

可靠性等级可分为A、B、C三级，其中A级要求最高，C级最低。