20151026变动管理、信息系统安全和风险管理

1、变动管理
1、变动的工做程序（8条）；

• 提出与接受变动申请；

• 对变动的初审；

• 变动方案论证；

• 项目变动控制委员会审查；

• 发出变动通知并开始实施；

• 变动实施的监控；

• 变动效果的评估；

• 判断发生变动后的项目是否已归入正常轨道

• 
  

2、变动初审的4条内容；

• 对变动提出方施加影响，确认变动的必要性，确保变动是有价值的；

• 格式校验，完整性校验，确保评估所需信息准备充分；

• 在干系人间就提出评估的变动信息达成共识；

• 变动初审的常见方式为变动申请文档的审核流转。

• 
  

3、对进度变动控制，包括哪些主题（4条）。

• 判断项目进度的当前状态；

• 对形成进度变动的因素施加影响；

• 查明进度是否已经改变；

• 在实际变动出现时对其进行管理。

  
  

2、信息系统安全管理

1、哪些技术来实现信息的保密性；

• 网络安全协议；

• 网络认证服务；

• 数据加密服务

2、哪些技术来实现信息的完整性；

• 消息源的不可抵赖；

• 防火墙系统；

• 通讯安全；

• ***检测系统

3、哪些技术来实现信息的可用性；

• 磁盘和系统的容错及备份；

• 可接受的登陆及进程性能；

• 可靠的功能性的安全进程和机制

4、可靠性的定义，及度量方法。

可靠性是指系统在规定的时间和给定的条件下，无端障完成规定功能的几率，一般用平均间隔时间（MTBF）来度量.

5、应用系统经常使用保密技术有哪些（4条）？

• 最小受权原则；

• 防暴露；

• 信息加密；

• 物理加密

6、保障应用系统完整性的方法有哪些（5条）？

• 协议；

• 纠错编码方法；

• 密码校验和方法；

• 数字签名；

• 公证

7、机房供配电分为哪8种；

• 分开供电；

• 紧急供电；

• 备用供电；

• 稳压供电；

• 电源保护；

• 不间断供电；

• 电器噪声防御；

• 忽然事件防御

  8、紧急供电、稳压供电的内容；

紧急供电：配置抗电压不足的基本设备、改进设备或更强设备，如基本UPS、改进的UPS、多级UPS和应急电源（发电机组）等。

稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响。

9、应用系统运行中，涉及4个层次的安全，这4个层次的安全，按粒度从粗到细进行排列；

• 系统级安全；

• 资源访问安全；

• 功能性安全；

• 数据域安全；

10、哪些属于系统级安全；

• 敏感系统的隔离；

• 访问IP地址段的限制；

• 登陆时间段的限制；

• 会话时间的限制；

• 链接数的限制；

• 特定时间段内登陆的限制以及远程访问控制

11、哪些属于资源访问安全；

• 在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操做按钮；

• 在服务端则对URL程序资源和业务服务类的调用进行访问控制。

12、哪些属于功能性安全；

用户在操做业务记录是，是否须要审核，上传福建不能超过制定大小等。这些安全限制已经不是入口级的限制，而是程序流程内的限制，在必定程度上影响程序流程的运行。

13、数据域安全包括哪2个层次；

• 行级数据域安全；

• 字段级数据域安全

14、应用系统的访问控制检查包括哪些；

包括物理和逻辑的访问控制，是否按照规定的策略和程序进行访问权限的增长、变动和取消，用户权限的分配是否遵循“最小特权”原则；

15、应用系统的日志检查包括哪些；

• 数据库日志

• 系统访问日志；

• 系统处理日志；

• 错误日志及异常日志

16、应用系统的可用性检查包括哪些；

• 系统的中断时间；

• 系统正常服务时间；

• 系统恢复时间等

17、应用系统的维护检查包括哪些；

• 维护性问题是否在规定的时间内解决，是否正确地解决问题，

• 解决问题是否有效等

18、安全等级分为哪2种；各分为哪几级；

安全等级分为保密等级和可靠性等级两种。

保密等级分为绝密、机密和秘密

可靠等级分为A.B.C 三级

3、风险管理
1、风险管理的过程包括哪六步；

• 风险管理计划；

• 风险识别；

• 定性风险分析；

• 定量风险分析；

• 应对计划编辑；

• 风险监控

2、风险事故，与风险因素的区别；

风险事故是形成损失的直接或外在的缘由，是损失的媒介物，即风险只有经过风险事故的发生才能致使损失；

就某一事件来讲，若是它是形成损失的直接缘由，那么它就是风险事故；而在其余条件下，若是它是形成损失的间接缘由，它便成为风险因素。

3、风险识别的方法有哪些（5点）；

• 德尔菲技术；

• 头脑风暴法；

• SWOT分析法；

• 检查表；

• 图解技术

4、定性风险分析的方法有哪些；

• 风险几率与影响评估；

• 几率与影像矩阵；

• 风险分类；

• 风险紧迫性评估

5、定性风险分析中，根据几率和影响矩阵，高风险的措施是什么；低风险的措施是什么；

高风险采起充电措施，并采起积极的应对策略；

低风险的，只需将之放入待观察风险清单或分配应急储备额外，不须要采起任何其余当即直接管理措施。

6、定量风险分析的方法有哪些（4点）；

• 指望货币值（EMV）;

• 计算分析因子；

• 计划评审技术（PERT）

• 蒙特卡罗分析

7、消极风险的应对策略有哪3个，并各举一例说明；

• 规避，指改变项目计划，以排除风险或条件，或者保护项目目标，使其不受影响，或对受到威胁的一些目标放松要求。如延长进度或者减小范围。

• 转移，指设法将风险的后果连同应对的责任转移到其余方身上。

• 减轻，指设法把不利的风险时间的几率和后果下降到一个可接受的临界值。如设计时在子系统中设置冗余组建由可能减轻原有组件故障所形成的影响。

8、积极风险的应对策略有哪3个，并各举一例说明；

• 开拓，经过确保机会确定实现而消除与特定积极风险相关的不肯定性。直接开拓措施包括为项目分配更多的有能力的资源，以便缩短完成时间或实现超过最初预期的高质量。

• 分享，指将风险的责任分配给最能为项目的利润获取机会的第三方，包括创建风险分享合做关系，或专门为机会管理目的造成团队、特殊目的项目公司或合做合资企业；

• 提升，指经过提升积极风险的几率或其积极影响，识别并最大程度发挥这些积极风险的驱动因素，致力于改变机会的“大小”。

9、同时适用于消极风险与积极的策略是什么，并举例。

风险监控

10、风险审计的定义

  风险审计在于检查并记录风险应对策略处理已识别风险及其更远的效力以及风险管理过程的效力。