一、变更管理
1、变更管理的原则是首先?
变更管理的原则是首先建立项目基准、变更流程和变更控制委员会(变更管理委员会)。
2、国内较多的配置工具有哪些?(3个)
国内使用较多的配置工具有Rational ClearCase、Visual SourceSafe、Concurrent Versions System.
3、CCB是决策机构还是作业机构?
CCB是决策机构。通常CCB的工作是通过评审手段来决定项目是否能变更,但不提出变更方案。
4、项目经理在变更中的作用是什么?
项目经理在变更中的作用是:相应变更提出者的要求,评估变更对项目的影响及应对方案,将要求由技术要求转化为资源需求,供授权人决策;并据评审结果实施即调整项目基准,确保项目基准反映项目实施情况。
5、变更的工作程序?(记)
(1)提出与接收变更申请
(2)对变更的初审
(3)变更方案论证
(4)项目变更控制委员会审查
(5)发出变更通知并开始实施
(6)变更实施的监控
(7)变更效果的评估
(8)判断发生变更后的项目是否已纳入正常轨道。
6、变更初审的目的是什么?(记)
(1)对变更提出方施加影响,确认变更的必要性,确保变更是有价值的。
(2)格式校验,完整性校验,确保评估所需信息准备充分
(3)在干系人间就提出供评估的变更信息达成共识
(4)变更初审的常见方式为变更申请文档的审核流转
7、变更效果的评估从哪几个方面进行?
(1)首要的评估依据,是项目基准
(2)还需结合变更的初衷来看,变更所要达到的目的是否已达成
(3)评估变更方案中的技术论证、经济论证内容与实施过程的差距并推进解决。
8、针对变更,何时可以使用分批处理、分优先级的方式,以提高效率?
在项目整体压力较大的情况下,更需强调变更的提出、处理应当规范化,可以使用分批处理、分优先级的方式,以提高效率。
9、项目规模小、与其它项目关联度小时,高精尖更应简便高效,需注意哪三点?
(1)对变更产生的因素施加影响
(2)对变更的确认应当正式化
(3)变更的操作过程应当规范化
10、对进度变更的控制,应包括哪些主题?(记)
(1)判断项目进度当前的状态
(2)对造成进度变更的因素施加影响
(3)查明进度是否已经改变
(4)在实际变更出现时对其进行管理
11、对成本变更的控制,包括哪些主题?
(1)对造成成本基准变更的因素施加影响
(2)确保变更请求获得同意
(3)当变更发生时,管理这些实际的变更
(4)保证潜在的费用超支不超过授权的项目阶段资金和总体资金
(5)监督费用绩效,找出与成本基准的偏差
(6)准确记录所有与成本基线的偏差
(7)防止错误的、不恰当的或未批准的变更被纳入到费用或资源使用报告中
(8)就审定的变更,通知利害关系者
(9)采取措施,将预期的费用超支范围控制在可接受的范围内
12、请简述变更管理与配置管理的区别?
(1)如果把项目整体的可交付视作项目的配置项,配置管理可视为对项目完整性管理的一套系统,当用作项目基准调整时,变更管理可视为其一部分。
(2)也可视变更管理与配置管理为相关联的两套机制,变更管理由项目交付或基准配置的调整时,由配置管理系统调用;变更管理最终将对项目的调整结果反馈给配置管理系统,以确保项目执行与对项目的账目相一致。
二、安全管理
1、信息安全三元组是什么?
保密性、可用性、完整性。
2、数据的保密性一般通过哪些来实现?
(1)网络安全协议
(2)网络认证服务
(3)数据加密服务
3、确保数据完整性的技术包括哪些?
(1)消息源的不可抵赖
(2)防火墙系统
(3)通信安全
(4)入侵检测系统
4、确保可用性的技术包括哪些?
(1)磁盘和系统的容错及备份
(2)可接受的登陆及进程性能
(3)可靠的功能性的安全进程和机制
5、在ISO/IEC27001中,信息安全管理的内容被概括为哪11个方面?
(1)信息安全方针与策略
(2)组织信息安全
(3)资产管理
(4)人力资源安全
(5)物理和环境安全
(6)通信和操作安全
(7)访问控制
(8)信息系统的获取、开发和保持
(9)信息安全时间管理
(10)业务持续性管理
(11)符合性
6、什么是业务持续性管理?
防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。
7、应用系统常用的保密技术有哪些?
(1)最小授权原则
(2)防暴露
(3)信息加密
(4)物理保护
8、影响信息完整性的主要因素有哪些?
设备故障、误码、人为攻击和计算机病毒
9、保障应用系统完整性的主要方法有哪些?
(1)协议
(2)纠错编码方法
(3)密码校验和方法
(4)数字签名
(5)公证
10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量?
可用性一般用系统正常使用时间和整个工作时间之比来度量。
11、在安全管理体系中,不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系?
在安全管理体系中,不同安全等级的安全管理机构应按下列顺序逐步建立自己的信息安全组织机构管理体系:
(1)配置安全管理人员
(2)建立安全职能部门
(3)成立安全领导小组
(4)主要负责人出任领导
(5)建立信息安全保密管理部门
12、在信息系统安全管理要素一览表中,“风险管理”类,包括哪些族?“业务持续性管理”类包括哪些族?
风险管理类包括:风险管理要求和策略、风险分析和评估、风险控制、基于风险的决策、风险评估的管理。
业务持续性管理包括:备份与恢复、安全事件处理、应急处理。
13、GB/T20271-2006中,信息系统安全技术体系是如何描述的?(只答一级标题)
物理安全、运行安全、数据安全。
14、对于电源,什么叫紧急供电?稳压供电?电源保护?不间断供电?
(1)紧急供电:配置抗电压不足的基本设备、改进设备或更强设备,如UPS
(2)稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响
(3)电源保护:设置电源保护装置,防止/减少电源发生故障
(4)不间断供电:采用不间断供电电源。
15、人员进出机房和操作权限范围控制包括哪些?
(1)应明确机房安全管理的责任人,机房出入应有指定人员负责,未经允许的人员不准进入机房;获准进入机房的人员,其活动范围应受限制,并有接待人员陪同;机房的钥匙由专人管理,未经批准,不准任何人私自复制机房钥匙或服务器开机钥匙;没有指定管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,与工作无关的物品均不准带入机房;机房内严禁吸烟及带入火源和水源。
(2)应要求所有来访人员经过正式批准,登记记录应妥善保存以备查;获准进入机房的人员,一般应禁止携带个人计算机等电子设备进入机房,其活动范围和操作行为应受到限制,并有机房指定人员陪同和负责。
16、针对电磁兼容,计算机设备防泄露包括哪些内容?
对需要防止电磁泄漏的计算机设备应配备电磁干扰设备,在被保护的计算机设备工作时电磁干扰设备不准关机;必要时可以采用屏蔽机房。屏蔽机房应随时关闭屏蔽门;不得在屏蔽墙上打定钻孔,不得在波管道以外或不经过过滤器对屏蔽机房内外连接任何线缆;应经常测试屏蔽机房的泄漏情况并进行必要的维护。
17、对哪些关键岗位人员进行统一管理,允许一人多岗,但业务应用操作人员不能由其它关键岗位人员兼任?
对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等关键岗位人员进行统一管理;允许一人多岗,但业务应用操作人员不能由其它关键岗位人员兼任。
18、业务开发人员和系统维护人员不能兼任或担任哪些岗位?
业务开发人员和系统维护人员不能兼任或担任安全管理员、系统管理员、数据库管理员、网络管理员、重要业务应用操作人员。
19、应用系统运行中涉及四个层次的安全,按粒度从粗到细的排序是什么?(记)
系统级安全、资源访问安全、功能性安全、数据域安全。
20、哪些是系统级安全?
包括敏感系统的隔离、访问IP地址段的限制、登陆时间段的限制、会话时间的限制、连接数的限制、特定时间内登陆次数的限制及远程访问控制。
22、什么是资源访问安全?
在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行控制。
23、什么是功能性安全?
用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。
24、什么是数据域安全?
(1)行级数据域安全:即用户可以访问哪些业务记录。
(2)字段级数据域安全:即用户可以访问业务记录的哪些字段。
25、系统运行安全检查和记录的范围有哪些?(并叙述每个的内容)
(1)应用系统的访问控制检查:包括物理和逻辑访问控制;
(2)应用系统的日志检查:包括数据库日志、系统访问日志、系统处理日志、错误日志等;
(3)应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间等;
(4)应用系统能力检查:包括系统资源消耗情况、系统交易速度和系统吞吐量等;
(5)应用系统的安全操作检查:用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用;
(6)应用系统维护检查:维护性问题是否在规定的时间内解决,是否正确的解决问题,解决问题的过程是否有效等;
(7)应用系统的配置检查:检查应用系统的配置是否合理和恰当;
(8)恶意代码的检查:是否存在恶意代码。
26、保密等级按有关规定划分为:绝密、机密和?
保密等级按有关规定划分为:绝密、机密和秘密。
27、可靠性等级分为哪三级?
A、B、C三级。要求最高的为A级,系统运行要求最低限度可靠性为C级,介于中间的为B级。