作业4.4

一、变更管理

1、变更管理的原则是首先？

答：建立项目基准、变更流程、变更控制委员会

2、国内较多的配置工具有哪些？（3个）

答：Rational ClearCase(RCC)、Visual SourceSafe(VSS)、Concurrent Versions System(CVS)

3、CCB是决策机构还是作业机构？

答：决策机构

4、项目经理在变更中的作用是什么？

答：1.响应变更提出者的要求

2.评估变更对项目的影响及应对方案

3.将要求由技术转化为资源需要求，供授权人决策

4.据评审结果实施即调整项目基准

5.确保项目基准反映项目实施情况

5、变更的工作程序？（记）

1.提出或接受变更申请

2.对变更的初审

3.变更方案论证

4.CCB审查

5.发出变更通知并开始实施

6.变更实施的监控

7.变更效果的评估

8.判断发生变更后的项目是否已纳入正常轨道

6、变更初审的目的是什么？（记）选择

1.对变更提出方施加影响，确认变更的必要性，确保变更是有价值的。

2.格式校验，完整性校验，确保评估所需信息准备充分

3.在干系人间就提出供评估的变更信息达成共识

4.变更初审的常见方式为变更申请文档的审核流转

7、变更效果的评估从哪几个方面进行？

1.首要的评估依据，是项目基准

2.还需结合变更的初衷来看，变更所要达到的目的是否已达成

3.评估变更方案中的技术论证、经济论证内容与实施过程的差距并推进解决

8、针对变更，何时可以使用分批处理、分优先级的方式，以提高效率？

1.在项目整体压力较大的情况下

9、项目规模小、与其它项目关联度小时，高精尖更应简便高效，需注意哪三点？

1.对变更产生的因素施加影响，防止不必要的变更，减少无谓的评估，提高必要变更的通过效率

2.对变更的确认应当正式化

3.变更的操作过程应当规范化

10、对进度变更的控制，应包括哪些主题？（记）

1.判断项目进度的当前状态

2.对造成进度变更的因素施加影响

3.查明进度是否已经改变

4.在实际变更出现时对其进行管理

11、对成本变更的控制，包括哪些主题？

1.对造成成本基准变更的因素施加影响

2.确保变更请求获得同意

3.当变更发生时，管理这些实际的变更

4.保证潜在的费用超支不超过授权的项目阶段资金和总体资金

5.监督费用绩效，找出与成本基准的偏差

6.准确记录所有与成本基准的偏差

7.防止错误的、不恰当的或未批准的变更被纳入费用或资源使用报告中

8.就审定的变更，通知利害关系者

9.采取措施，将预期的费用超支控制在可接受的范围内

12、请简述变更管理与配置管理的区别？

1.变更是配置管理的一部分

2.变更管理与配置管理也可以视为两套机制

3.变更管理是对项目交付或基准调整的管理

4.配置管理是对项目交付和基准的储存管理

二、安全管理

1、信息安全三元组是什么？

1.保密性

2.完整性

3.可用性

2、数据的保密性一般通过哪些来实现？

1.网络安全协议

2.网络认证服务

3.数据加密服务

3、确保数据完整性的技术包括哪些？

1.消息源的不可抵赖

2.防火墙系统

3.通信安全

4.入侵检测系统

4、确保可用性的技术包括哪些？

1.磁盘和系统的容错及备份

2.可接受的登录及进程性能

3.可靠的功能性的安全进程和机制

5、在ISO/IEC27001中，信息安全管理的内容被概括为哪11个方面？

1.信息安全方针与策略

2.组织信息完整

3.资产管理

4.人力资源安全

5.物理和环境安全

6.通信和操作安全

7.访问控制

8.信息系统的获取、开发和保持

9.信息安全事件管理

10.业务持续性管理

11.符合性

6、什么是业务持续性管理？

1.防止业务活动的中断并确保它们及时恢复

2.控制损失在可接受范围

3.管理识别关键业务过程并整合其他持续性服务。

6、什么是符合性管理：应最大化信息系统审核的有效性，并最小化来自信息系统审核带来的干扰。

7、应用系统常用的保密技术有哪些？

1.最小授权原则

2.防爆露

3.信息加密

4.物理保密

8、影响信息完整性的主要因素有哪些？

1.设备故障

2.误码

3.认为攻击

4.计算机病毒

9、保障应用系统完整性的主要方法有哪些？

1.协议

2.纠错编码方法

3.密码校验

4.数字签名

5.公证

10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量？

1.可用性

11、在安全管理体系中，不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系？

1.配备安全管理人员

2.建立安全职能部门

3.成立安全领导小组

4.主要负责人出任领导

5.建立信息安全保密管理部门

12、在信息系统安全管理要素一览表中，“风险管理”类，包括哪些族？“业务持续性管理”类包括哪些族？

风险管理

1.风险管理要求和策略

2.风险分析和评估

3.风险控制

4.基于风险的决策

5.风险评估的管理

业务持续性

1.备份与恢复

2.安全事件处理

3.应急处理

13、GB/T20271-2006中，信息系统安全技术体系是如何描述的？（只答一级标题）

1.物理安全

2.运行安全

3.数据安全

14、对于电源，什么叫紧急供电？稳压供电？电源保护？不间断供电？

UPS：紧急供电

防止电压波动：稳压器

可变电阻、二极管、气体放电管、滤波器、浪涌滤波器：电源保护

不间断供电：注意不是UPS，采用不间断供电电源，防止电压波动、电器干扰和断电等对计算机系统的不良影响。

15、人员进出机房和操作权限范围控制包括哪些？

1.

16、针对电磁兼容，计算机设备防泄露包括哪些内容？

17、对哪些关键岗位人员进行统一管理，允许一人多岗，但业务应用操作人员不能由其它关键岗位人员兼任？

1.安全管理员

2.系统管理员

3.数据库管理员

4.网络管理员

5.重要业务操作人员

6.重要业务开发人员

7.系统维护人员

18、业务开发人员和系统维护人员不能兼任或担任哪些岗位？

1.安全管理员

2.系统管理员

3.数据库管理员

4.网络管理员

5.重要业务操作人员

19、应用系统运行中涉及四个层次的安全，按粒度从粗到细的排序是什么？（记）

1.系统级安全

2.资源访问

3.功能性安全

4.数据域安全

20、哪些是系统级安全？

1.敏感系统隔离

2.访问IP地址段的限制

3.登录时间段的限制

4.会话时间的限制

5.连接数的限制

6.特定时间段内登录次数的限制

7.远程访问控制

22、什么是资源访问安全？

1.客户端：权限、用户界面

2.服务端：URL程序资源、业务服务类方法的调用

23、什么是功能性安全？

1.审核

2.上传附件大小

24、什么是数据域安全？

1.行级数据域安全

2.字段级数据域安全

25、系统运行安全检查和记录的范围有哪些？（并叙述每个的内容）

1.应用系统的访问控制检查：包括物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增加、变更和取消，用户权限的分配是否遵循最小特权原则。

2.应用系统的日志检查：包括数据库日志、系统访问日志、系统处理日志、错误日志以及异常日志。

3.应用系统可用性检查：包括系统中断时间、系统正常服务时间和系统恢复时间等。

4.应用系统能力检查：包括系统资源消耗情况、系统交易速度和系统吞吐量等。

5.应用系统的安全操作检查：对用户应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。

6.应用系统的维护检测：维护性问题是否在规定的时间内解决，是否正确地解决问题，解决问题的过程是否有效等。

7.应用系统的配置检查：检查应用系统的配置是否合理和适当，各配置组件是否发挥其应有的功能。

8.恶意代码的检查：是否存在恶意代码，如病毒、木马、隐蔽通道导致应用系统数据丢失、损坏、非法修改、信息泄漏等。

26、保密等级按有关规定划分为：绝密、机密和？

秘密

27、可靠性等级分为哪三级？

A高B中C低