4月4日做业

1、变动管理

1、变动管理的原则是首先？

首先创建项目基准、变动流程和变动控制委员会；

 

2、国内较多的配置工具备哪些？（3个）

国内较多的配置工具备Rational ClearCase 、VisualSourceSafe、ConcurrentVersions System；

 

3、CCB是决策机构仍是做业机构？

CCB是决策机构，不是做业机构；

 

4、项目经理在变动中的做用是什么？

做用：响应变动提出者的要求，评估变动对项目的影响及应对方案，将要求由技术要求转化为资源需求，供受权人决策；并据评审结果实施即调整项目基准，确保项目基准反映项目实施状况；

 

5、变动的工做程序？（记）

1、提出与接受变动申请；

2、对变动进行初审；

3、变动方案论证；

4、项目变动控制委员会审查；

5、发出变动通知并开始实施；

6、变动实施的监控；

7、变动效果的评估；

8、判断发生变动后的项目是否已归入正常轨道；

 

6、变动初审的目的是什么？（记）

1、对变动提出方施加影响，确认变动的必要性，确保变动是有价值的；

2、格式校验，完整性校验，确保评估所需信息准备充分；

3、在干系人间就提出供评估的变动信息达成共识；

4、变动初审的常见方式为变动申请文档的审核流转；

 

7、变动效果的评估从哪几个方面进行？

1、首要的评估依据，是项目基准；

2、还需结合变动的初衷来看，变动所须要达到的目的是否已达成；

3、评估变动方案中的技术论证、经济论证内容与实施过程的差距并推动解决；

 

8、针对变动，什么时候可使用分批处理、分优先级的方式，以提升效率？

在项目总体压力较大的状况下，可使用分批处理、分优先级等方式提升效率；

 

9、项目规模小、与其它项目关联度小时，高精尖更应简便高效，需注意哪三点？

1、对变动产生的因素施加影响。防止没必要要的变动，减小无谓的评估，提升必要变动的经过效率；

2、对变动的确认应当正式化；

3、变动的操做过程应当规范化；

 

10、对进度变动的控制，应包括哪些主题？（记）

1、判断项目进度的当前状态；

2、对形成进度变动的因素施加影响；

3、查明进度是否已经改变；

4、在实际变动出现时对其进行管理；

 

11、对成本变动的控制，包括哪些主题？

1、对形成成本基准变动的因素施加影响；

2、确保变动请求得到赞成；

3、当变动发生时，管理这些实际的变动；

4、保证千载的奋勇超支不超过受权的项目阶段资金和整体资金；

5、监督费用绩效，找出与成本基准的误差；

6、准确记录全部与成本基准的误差；

7、防止错误的、不恰当的或未批准的变动被归入费用或资源使用报告中；

8、就审定的变动，通知利害关系者；

9、采起措施，将预期的费用超支控制在可接受的范围内；

 

12、请简述变动管理与配置管理的区别？

1、若是把项目总体的交付物视做项目的配置项，配置管理可视为对项目完整性管理的一套系统，当用于项目基准调整时，变动管理可视为其一部分；

2、可视变动管理与配置管理为相关联的两套机制，变动管理由项目交付或基准配置调整时，由配置管理系统调用；变动管理最终应将对项目的调整结果反馈给配置管理系统，以确保项目执行与对项目的帐目相一致；

 

2、安全管理

1、信息安全三元组是什么？

1、保密性；

2、完整性；

3、可用性；

 

2、数据的保密性通常经过哪些来实现？

1、网络安全协议；

2、网络认证服务；

3、数据加密服务；

 

3、确保数据完整性的技术包括哪些？

1、消息源的不可抵赖；

2、防火墙系统；

3、通讯安全；

4、***检测系统；

 

4、确保可用性的技术包括哪些？

1、磁盘和系统的容错及备份；

2、可接受的登陆及进程性能；

3、可靠的功能性的安全进程和机制；

 

5、在ISO/IEC27001中，信息安全管理的内容被归纳为哪11个方面？

1、信息安全方针与策略；

2、组织信息安全；

3、资产管理；

4、人力资源安全；

5、物理和环境安全；

6、通讯和操做安全；

7、访问控制；

8、信息系统的获取、开发和保持；

9、信息安全事件管理；

10、业务持续性管理；

11、符合性；

 

6、什么是业务持续性管理？

应防止业务活动的中断，保护关键业务流程不会收到重大的信息系统失效或灾难的预防和回复控制措施的结合将信息资产的损失恢复到可接受的程度，这个过程须要识别关键的业务过程，并将持续要求予以整合。灾难、安全失效服务丢失和服务可用性的后果应取决于业务影响分析。应创建和实施业务持续性计划，以确保基本运营能及时恢复。信息安全应该是总体业务持续性过程和组织内其余管理过程的一个不可获取的一部分。除了通用的风险评估过程外，业务持续性管理应包括识别和减小风险的控制措施。限制有害事件的影响以及确保业务过程须要的信息可以随时获得；

 

7、应用系统经常使用的保密技术有哪些？

1、最小受权原则；

2、防暴露；

3、信息加密；

4、物理加密；

 

8、影响信息完整性的主要因素有哪些？

1、设备故障；

2、误码；

3、认为***；

4、计算机病毒；

 

9、保障应用系统完整性的主要方法有哪些？

1、协议；

2、纠错编码方法；

3、密码校验和方法；

4、数字签名；

5、公正；

 

10、哪一个性质通常用系统正常使用时间和整个工做时间之比来度量？

可用性通常用系统正常使用时间和整个工做时间之比来度量；

 

11、在安全管理体系中，不一样安全等级的安全管理机构应按哪一种顺序逐步创建本身的信息安全组织机构管理体系？

1、配备安全管理人员；

2、创建安全职能部门；

3、成立安全领导小组；

4、主要负责人出任领导；

5、创建信息安全保密管理部门；

 

12、在信息系统安全管理要素一览表中，“风险管理”类，包括哪些族？“业务持续性管理”类包括哪些族？

风险管理：

         1、风险管理要求和策略；

         2、风险分析和评估；

         3、风险控制；

         4、基于风险的决策；

5、风险评估的管理

 

业务持续性管理：

         1、备份与恢复；

         2、安全事件处理；

         3、应急处理；

 

13、GB/T20271-2006中，信息系统安全技术体系是如何描述的？（只答一级标题）

1、物理安全；

2、运行安全；

3、数据安全；

 

14、对于电源，什么叫紧急供电？稳压供电？电源保护？不间断供电？

1、紧急供电：配置抗电压不足的基本设备、改进设备或更强设备，如基本UPS，改进的UPS、多级UPS和应急电源；

2、稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响；

3、电源保护：设置电源保护装置，如金属氧化物可变电阻、二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器；

4、不间断供电：采用不间断供电电源，防止电压波动、电器干扰和断电等对计算机系统的不良影响；

15、人员进出机房和操做权限范围控制包括哪些？

应明确机房安全管理的责任人，机房出入应有指定人员负责，未经容许的人员不许进机房；获准进入机房的来访人员，其活动范围应受限制，并有接待人员陪同；机房要是由专人管理，未经批准，不许任何人私自复制机房钥匙或服务器开机钥匙；没有制定管理人员的明确准许，任何记录介质、文件材料及各类被保护品均不许带出机房，与工做无关的物品均不许带入机房；机房内严禁吸烟及带入火种和水源；

应要求全部来访人员通过正式批准，登记记录应妥善保存以备查；获准计入机房的人员，通常应禁止携带我的计算机等电子设备进入机房，其活动范围和操做行为应收到限制，并有机房接待人员负责和陪同；

 

16、针对电磁兼容，计算机设备防泄露包括哪些内容？

对须要防止电磁泄露的计算机设备应配备电磁干扰设备，在被保护的计算机设备工做时电磁干扰设备不许关机；必要时能够采用屏蔽机房。屏蔽机房应随时关闭屏蔽门。不得在屏蔽墙上打钉钻孔，不得在波导管之外或不通过过滤对屏蔽机房内外的链接任何线缆；应常常测试屏蔽机房的泄露状况并进行必要维护；

 

17、对哪些关键岗位人员进行统一管理，容许一人多岗，但业务应用操做人员不能由其它关键岗位人员兼任？

对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操做人员等信息系统关键岗位人员进行统一管理；容许一人多岗；但业务应用操做人员不能由其余关键岗位人员兼任；

 

18、业务开发人员和系统维护人员不能兼任或担任哪些岗位？

业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操做人员等；

 

19、应用系统运行中涉及四个层次的安全，按粒度从粗到细的排序是什么？（记）

1、系统级安全；

2、资源访问安全；

3、功能性安全；

4、数据域安全；

 

20、哪些是系统级安全？

1、敏感系统的隔离；

2、访问IP地址段的限制；

3、登陆时间段的限制；

4、绘画时间的限制；

5、链接数的限制；

6、特定时间段内登陆次数的限制；

7、远程访问控制；

 

22、什么是资源访问安全？

对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操做按钮；在服务端则对URL程序资源和业务服务类方法的调用进行访问控制；

 

23、什么是功能性安全？

功能性安全会对程序流程产生影响，若是用户操做业务记录时，是否须要审核，上传附件不能超过指定大小；

 

24、什么是数据域安全？

其一是行级数据域安全，即用户能够访问哪些业务记录；

其二是字段级数据域安全，即用户能够访问业务记录的哪些字段；

 

25、系统运行安全检查和记录的范围有哪些？（并叙述每一个的内容）

1、应用系统的访问控制检查：包括物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增长、变动和取消，用户权限的分配是否遵循“最小特权”原则；

2、应用系统的日志检查：包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志；

3、应用系统可用性检查：包括系统中断时间、系统正常服务时间和系统恢复时间等；

4、应用系统能力检查：包括系统资源消耗状况、系统交易速度和系统吞吐量等；

5、应用系统的安全操做检查：用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用；

6、应用系统维护检查：维护性问题是否在规定的时间内解决，是否正确的解决问题，解决问题的过程是否有效等；

7、应用系统的配置检查：检查应用系统的配置是否合理和适当，个配置组件是否发挥其应有的功能；

8、恶意代码的检查：是否存在恶意代码，如病毒、***、隐蔽通道致使应用系统数据的丢失、损坏、非法修改、信息泄露等；

 

26、保密等级按有关规定划分为：绝密、机密和？

保密的呢估计按照有关规定划为绝密、机密和秘密；

 

27、可靠性等级分为哪三级？

可靠性等级分为A级，B级，C级；