第十六章变更管理
1、变更管理的原则是首先?
变更管理的原则是首先建立项目基准、变更流程和变更控制委员会(变更管理委员会)。
包括:基准管理、建立变更控制流程、明确组织分工、完整体现变更的影响、妥善保存变更产生的相关文档。
2、国内较多的配置工具有哪些?(3个)
Rational ClearCase、VisualSourceSafe和Concurrent Versions System。
3、CCB是决策机构还是作业机构?
CCB是决策机构
4、项目经理在变更中的作用是什么?
项目经理在变更中的作用是:响应变更提出者的要求,评估变更对项目的影响及应对方案,将要求由技术要求转化为资源需求,供授权人决策;并据评审结果实施即调整项目基准,确保项目基准反映项目实施情况。
5、变更的工作程序?(记)
提出与授受变更申请;对变更的初审;变更方案论证;项目变更控制委员会审查;发出变更通知并开始实施;变更实施的监控;变更效果的评估;判断发生变更后的项目是否已纳入正常轨道。
6、变更初审的目的是什么?(记)
变更初审的目的是:对变更提出方施加影响,确认变更的必要性,确保变更是有价值的;格式校验,完整性校验,确保评估所需信息准备充分;在干系人间就提出供评估的变更信息达成共识;变更初审的常见方式为变更申请文档的审核流转。
7、变更效果的评估从哪几个方面进行?
变更效果的评估从以下方面进行:首要的评估依据,是项目基准,还需结合变更的初衷来看,变更所要达到的目的是否已达成,评估变更方案中的技术论证、经济论证内容与实施过程的差距并推进解决。
8、针对变更,何时可以使用分批处理、分优先级的方式,以提高效率?
在项目整体压力较大的情况下,可以使用分批处理、分优先级的方式,以提高效率。
9、项目规模小、与其它项目关联度小时,高精尖更应简便高效,需注意哪三点?
对变更产生的因素施加影响,防止不必要的变更,减少无谓的评估,提高必要变更的通过效率;对变更的确认应当正式化;变更的操作过程应当规范化。
10、对进度变更的控制,应包括哪些主题?(记)
判断项目进度的当前状态;对造成进度变更的因素施加影响;查明进度是否已经改变;在实际变更出现时对其进行管理。
11、对成本变更的控制,包括哪些主题?
对造成成本基准变更的因素施加影响;确保变更请求获得同意;当变更发生时,管理这些实际的变更;保证潜在的费用超支不超过授权的项目阶段资金和总体资金;监督费用绩效,找出与成本基准的偏差;准确记录所有与成本基准的偏差;防止错误的、不恰当的或未批准的变更被纳入费用或资源使用报告中;就审定的变更,通知利害关系者;采取措施,将预期的费用超支控制在可接受的范围内。
12、请简述变更管理与配置管理的区别?
如果把项目整体的交付物视作项目的配置项,配置管理可视为对项目完整性管理的一套系统,当用于项目基准调整时,变更管理可视为其一部分。
亦可视变更管理与配置管理为相关联的两套机制,变更管理由项目交付或基准配置调整时,由配置管理系统调用;变更管理最终应将对项目的调整结果反馈给配置管理系统,以确保项目执行与对项目的账目相一致。
第十七章安全管理
1、信息安全三元组是什么?
保密性、完整性和可用性
2、数据的保密性一般通过哪些来实现?
网络安全协议、网络认证服务、数据加密服务。
3、确保数据完整性的技术包括哪些?
消息源的不可抵赖、防火墙系统、通信安全、入侵检测系统。
4、确保可用性的技术包括哪些?
磁盘和系统的容错及备份、可授受的登录及进程性能、可靠的功能性的安全进程和机制。
5、在ISO/IEC27001中,信息安全管理的内容被概括为哪11个方面?
信息安全方针与策略;组织信息安全;资产管理;人力资源安全;物理和环境安全;通信和操作安全;访问控制;信息系统的获取、开发和保持;信息安全事件管理;业务持续性管理;符合性。
6、什么是业务持续性管理?
应防止业务活动的中断,保护关键业务流程不会受到重大的信息系统失效或灾难的影响并确保它们的及时恢复。业务连续性管理应包括识别和减少风险的控制措施、限制有害事件的影响以及确保业务过程需要的信息能够随时得到。
7、应用系统常用的保密技术有哪些?
最小授权原则;防暴露;信息加密;物理保密。
8、影响信息完整性的主要因素有哪些?
设备故障、误码(传输、处理和存储过程中产生的误码,定时的稳定度和精度降低造成的误码,各种干扰源造成的误码)、人为攻击和计算机病毒。
9、保障应用系统完整性的主要方法有哪些?
协议;纠错编码方法;密码校验和方法;数字签名;公证。
10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量?
可用性一般用系统正常使用时间和整个工作时间之比来度量。
11、在安全管理体系中,不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系?
配备安全管理人员;建立安全职能部门;成立安全领导小组;主要负责人出任领导;建立信息安全保密管理部门
12、在信息系统安全管理要素一览表中,“风险管理”类,包括哪些族?“业务持续性管理”类包括哪些族?
风险管理:风险管理要求和策略;风险分析和评估;风险控制;基于风险的决策;风险评估的管理。
业务持续性管理:备份与恢复;安全事件处理;应急处理。
13、GB/T20271-2006中,信息系统安全技术体系是如何描述的?(只答一级标题)
物理安全、运行安全、数据安全
14、对于电源,什么叫紧急供电?稳压供电?电源保护?不间断供电?
紧急供电:配置抗电压不足的基本设备、改进设备或更强设备,如基本UPS、改进的UPS、多级UPS和应急电源(发电机组)等。
稳压供电:采用线路稳压器,防止电压波动对计算机系统的影响;
电源保护:设置电源保护装置;
不间断供电:采用不间断供电电源,防止电压波动、电器干扰和断电等对计算机系统的不良影响。
15、人员进出机房和操作权限范围控制包括哪些?
应明确机房安全管理的责任人,机房出入应有指定人员负责,未经允许的人员不准进入机房;获准进入机房的来访人员,其活动范围应受限制,并有接待人员陪同;机房钥匙由专人管理,未经批准,不准任何人私自复制机房钥匙或服务器开机钥匙;没有指定管理人员的明确准许,任何记录介质、文件材料及各种被保护品均不准带出机房,与工作无关的物品均不准带入机房;机房内严禁吸烟及带入火种和水源。
应要求所有来访人员经过正式批准,登记记录应妥善保存以备查;获准进入机房的人员,一般应禁止携带个人计算机等电子设备进入机房,其活动范围和操作行为应受到限制,并有机房接待人员负责和陪同。
16、针对电磁兼容,计算机设备防泄露包括哪些内容?
对需要防止电磁泄露的计算机设备应配备电磁干扰设备,在被保护的计算机设备工作时电磁干扰设备不准关机;必要时可以采用屏蔽机房。屏蔽机房应随时关闭屏蔽门;不得在屏蔽墙上打钉钻孔,不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆;应经常测试屏蔽机房的泄露情况并进行必要的维护。
17、对哪些关键岗位人员进行统一管理,允许一人多岗,但业务应用操作人员不能由其它关键岗位人员兼任?
对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理,允许一人多岗,但业务应用操作人员不能由其他关键岗位人员兼任。
18、业务开发人员和系统维护人员不能兼任或担任哪些岗位?
业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作。
19、应用系统运行中涉及四个层次的安全,按粒度从粗到细的排序是什么?(记)
系统级安全、资源访问安全、功能性安全、数据域安全。
20、哪些是系统级安全?
敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制、远程访问控制。
22、什么是资源访问安全?
对程序资源的访问进行安全控制,在客户端上,为用户提供和权限相关的用户界面,权出现和其权限相符的菜单和操作按钮;在服务端则对URL程序资源和业务服务类方法的调用进行访问控制。
23、什么是功能性安全?
功能性安全会对程序流程产生影响,如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制,而是程序流程内的限制,在一定程序上影响程序流程的运行。
24、什么是数据域安全?
包括二个层次,其一是行级数据域安全,即用户可以访问哪些业务记录;其二是字段级数据域安全,即用户可以访问业务记录的哪些字段。
25、系统运行安全检查和记录的范围有哪些?(并叙述每个的内容)
1)应用系统的访问控制检查:包括物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则。
2)应用系统的日志检查:包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
3)应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间。
4)应用系统能力检查:系统资源消耗情况、系统交易速度和系统吞吐量。
5)应用系统的安全操作检查:用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。
6)应用系统维护检查:维护性问题是否在规定时间内解决,是否正确地解决问题,解决问题的过程是否有效。
7)应用系统的配置检查:检查应用系统的配置是否合理和适当,各配置组件是否发挥其应有的功能。
8)恶意代码的检查:是否存在恶意代码,如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露。
26、保密等级按有关规定划分为:绝密、机密和?
绝密、机密和秘密。
27、可靠性等级分为哪三级?
对可靠性要求最高的为A级;系统运行所要求的最低限度可靠性为C级;介于中间的为B级。