第十章 合同管理
1、合同按照信息系统工程范围划分哪几类?
项目总承包合同、项目单项承包合同、项目分包合同。
2、签订分包合同,应具备的2个条件是什么?
(1)总承建单位只能将自己承包的部分项目分包给具有相应资质的分承建单位;
(2)分包项目必须经过建设单位同意。
3、分包的禁止性规定有哪些?
(1)禁止转包;
(2)禁止将项目分包给不具备相应资质条件的单位;
(3)禁止再分包;
(4)禁止分包主体结构。
4、合同按项目付款方式为哪几类?
总价合同、单价合同、成本酬金合同。
5、总价合同的适用前提是什么?
适用于项目工作量不大且能精确计算、工期较短、技术不太复杂、风险不大的项目。
6、信息系统工程合同的内容是什么?
(1)甲乙双方的权利与义务是合同的基本内容;
(2)建设单位提交有关基础资料的期限;
(3)项目的质量要求;
(4)承建单位提交各阶段项目成果的期限;
(5)项目费用和项目款的交付方式;
(6)项目变更的约定;
(7)双方的其他协作条件;
(8)违约责任。
7、信息系统工程合同签订的注意事项有哪些?
(1)质量验收标准;
(2)验收时间;
(3)技术支持服务;
(4)损害赔偿;
(5)保密约定;
(6)软件的合法性;
(7)技术标准及工程依据;
(8)合同附件;
(9)签约资格;
(10)法律公正。
8、监理工作在合同管理中的主要内容由哪三部分组成?(记)
(1)合同的签订管理;
(2)合同的档案管理;
(3)合同的履行管理。
9、判断:信息系统工程合同只能采用书面形式。
正确。
10、合同履行管理的依据、方式、保证、重点,分别是什么?
(1)履约管理的依据——合同分析;
(2)履约管理的方式——合同控制;
(3)履约管理的保证——合同监督;
(4)履约管理的重点——项目索赔管理。
11、合同什么管理是合同管理的基础?
合同档案的管理,也即合同文件管理,是整个合同管理的基础。
12、合同档案的管理包括甲乙方合同管理,甲方与监理方合同的管理,同时适用于这2类合同的档案管理方法是什么?
(1)建立监理工作的合同档案管理体系;
(2)制定监理工作的合同档案管理制度;
(3)监理工程师必须掌握合同管理的知识;
(4)合同档案管理的具体工作。
13、监理工作的合同档案管理制度有哪些?
(1)合同的审查批准制度;
(2)印章管理制度;
(3)合同的统计考察制度;
(4)合同的信息管理制度。
14、合同档案管理的具体工作有哪些?
(1)收集、整理、统计、保管监理工作在各项活动中形成的全部档案,清点库存;
(2)按有关规定做好档案留存与销毁的鉴定工作;
(3)对拟销毁的档案建立销毁清册,经监理单位负责人和企业资产清算机构负责人审核,建设单位主管部门批准,方可销毁;
(4)按照档案的去向分别编制移交和寄存档案的目录。
15、合同管理的原则是什么?(记)
包括事前预控原则、实施纠偏原则、充分协商原则和公正处理原则。
16、索赔的程序?
(1)索赔事件发生28天内,向建设单位和监理单位发出索赔意向通知;
(2)发出索赔意向通知28天内,向建设单位和监理单位提出延长工期和(或)补偿经济损失的索赔报告及有关资料;
(3)监理单位在收到承建单位送交的索赔报告及有关资料后,于约定时间内给予答复,或要求承建单位进一步补充索赔理由和证据;
(4)监理单位在收到承建单位送交的索赔报告和有关资料后约定时间内未予答复或未对承建单位作进一步要求,视为该项索赔已经认可;
(5)当该索赔事件持续进行时,承建单位应当阶段性向监理单位发出索赔意向,在索赔事件终了约定时间内,向监理单位送交索赔的有关资料和最终索赔报告。
17、一个完整的索赔报告包括哪四部分?
总论部分、根据部分、计算部分、证据部分。
18、针对索赔意向通知书,监理审查的重点有哪些?
针对索赔意向通知书,监理审查与评估的关注点包括:
(1)费用索赔申请报告的程序、时限符合合同要求;
(2)费用索赔申请报告的格式和内容符合规定;
(3)费用索赔申请的资料必须真实、齐全、手续完备;
(4)申请索赔的合同依据、理由必须正确、充分;
(5)索赔金额的计算原则与方法必须合理、合法。
19、索赔事件处理的原则?
(1)预防为主的原则;
(2)必须以合同未依据;
(3)公平合理原则;
(4)协商原则;
(5)授权的原则;
(6)必须注意资料的积累;
(7)及时、合理地处理索赔。
20、合同争议有2种解决方式,分别是什么?
(1)根据合同约定向约定的仲裁委员会申请仲裁;
(2)向有管辖权的人民法院起诉。
21、由于承建单位违约导致实施合同终止后,监理单位应按何种程序处理?
(1)实施合同终止时,清理承建单位已按实施合同规定实际完成的工作所应得的款项和已经得到的支付的款项;
(2)实施现场余留的材料、软硬件设备及临时项目的价值;
(3)对已完成项目进行检查和验收、移交项目资料、该部分项目的清理、质量缺陷修复等所需的费用;
(4)实施合同规定的承建单位应支付的违约金。
22、因不可抗力事件,导致的费用及延误的工期,双方如何承担?
(1)项目本身的损害、因项目损害导致第三方人员伤亡和财产损失以及运至实施场地用于实施的材料和待安装设备的损害,由建设单位承担;
(2)建设单位、承建单位人员伤亡由其所在单位负责,并承担相应费用;
(3)承建单位设备损坏及停工损失,由其承建单位承担;
(4)停工期间承建单位应监理单位要求留在实施场地的必要的管理人员及保卫人员的费用由发包人承担;
(5)项目所需修复、清理费用,由建设单位承担;
(6)延误的工期相应顺延。
23、《计算机软件保护条例》规定,计算机软件包括什么?
计算机软件是指计算机程序和文档。
24、某政府单位花500万委托软件公司开发一套软件,若合同未约定知识产权,则产权属于谁?软件公司。
第十一章 信息安全管理
1、信息系统安全属性分为哪三个方面?各自的定义?
可用性、保密性和完整性。
2、国家秘密分为秘密、机密和什么三个等级?
秘密、机密和绝密。
3、常用的保密技术有哪些?
防侦测、防辐射、信息加密和物理保密。
4、保障信息网络系统完整性的主要方法有哪些?
答:包括协议、纠错编码方法、密码检验和方法、数字签名和公证。
5、技术体系是全面提供信息系统安全保护的技术保障系统,它由物理安全技术和系统安全技术组成,各包括哪些内容?
物理安全技术包括机房安全和设施安全;系统安全技术包括平台安全、数据安全、通信安全、应用安全和运行安全。
6、组织机构体系是信息系统的组织保障系统,由哪三个模块构成?
机构、岗位和人事
7、管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管理和什么共3部分组成?
法律管理、制度管理和培训管理
8、监理在信息系统安全管理的作用有哪些?
(1)保证建设单位在信息系统工程项目建设中,保证信息系统的安全在可用性、保密性、完整性与信息工程的可维护性技术环节上没有冲突;
(2)在成本控制的前提下,确保信息系统安全设计上没有漏洞;
(3)督促建设单位的信息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理,建立安全意识;
(4)监督承建单位按照技术标准和建设方案施工,检查承建单位是否存在设计过程中的非安全隐患行为或现象等,确保整个项目建设过程中的安全建设和安全应用。
9、人员安全管理要遵循哪些原则?
(1)授权最小化;(2)授权分散化;(3)授权规范化。
10、请写出任意8种信息系统安全管理制度。
(1)计算机信息网络系统出入管理制度;
(2)计算机信息网络系统各工作岗位的工作职责、操作规程;
(3)计算机信息网络系统升级、维护制度;
(4)计算机信息网络系统的工作人员人事管理制度;
(5)计算机信息网络系统安全检查制度;
(6)计算机信息网络系统应急制度;
(7)计算机信息网络系统信息资料处理制度;
(8)计算机信息网络系统工作人员安全教育培训制度。
11、物理访问的安全管理中,监理安全管理注意事项有哪四条?(记)
(1)硬件设施在合理范围内是否能防止强制入侵;
(2)计算机设备的钥匙是否有良好的控制以降低未授权者进入的危险;
(3)智能终端是否上锁或有安全保护,以防止电路板、芯片或计算机被搬移;
(4)计算机设备在搬动时是否需要设备授权通行的证明。
12、逻辑访问的安全管理中,监理在逻辑访问风险分析与安全管理上,主要的原则有哪五条?(记)
(1)了解信息处理的整体环境并评估其安全需求,可通过审查相关数据,询问有关人员,个人观察及风险评估等;
(2)通过对一些可能进入系统访问路径进行记录及复核,评价这些控制点的正确性、有效性;
(3)通过相关测试数据访问控制点,评价安全系统的功能和有效性;
(4)分析测试结果和其他审核结论,评价访问控制的环境并判断是否达到控制目标;
(5)审核书面策略,观察实际操作和流程,与一般公认的信息安全相比较,评价组织环境的安全性及其适当性等。
13、什么是特洛伊木马、去尾法、色粒米技术、计算机蠕虫、逻辑炸弹、网络窃听、DOS?
特洛伊木马:是指将一些带有恶意的、欺诈性的代码置于已授权的的计算机程序中,当程序启动时这些代码也会启动;
去尾法:将交易发生后计算出的金额(如利息)中小数点后的余额删除并转入某个未授权的账户;
色拉米技术:是一种类似去尾法的舞弊行为,不同时将余额切分成更小金额,再转入未授权的账户;
计算机蠕虫:是一种破坏性程序,可以破坏计算机内部数据或是使用大量计算机及通信资源,不能自行复制;
逻辑炸弹:是在满足特定逻辑条件时按某种不同的方式运行,对目标系统实施破坏的计算机程序;
网络窃听:不直接进行直接的网络攻击,但借助网络窃听器的软件或硬件,掌握对方的而重要信息,如账号、密码等;
Dos:这种攻击行为表现在使用服务器充斥大量要求响应的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷,以至于瘫痪而停止提供正常的网络服务。
14、来自互联网上的安全问题主要分成两大类,主动式攻击和被动式攻击,试解释之。
主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据等以达到非法目的。主动攻击可以归纳为中断、篡改、伪造三种;被动式攻击主要是指攻击者监听网络上传达的信息流,从而获取信息的内容,或仅仅希望得到信息流的长度、传输频率等数据,被动式攻击一般采用网络分析和窃听来收集信息。
15、什么是对称密钥加密?不对称密钥加密?
对称密钥(也称机密秘钥或会话密钥)加密是指发件人和收件人使用其共同拥有的单个秘钥。这种秘钥既用于加密,也用于解密,是加密大量数据的一种行之有效的方法;不对称秘钥(也称公钥)加密是指需要用到两个秘钥——一个公钥和一个私钥,这两个秘钥在数学上是相关的。
16、什么是数字签名和证书?
数字签名与书面文件签名有相同之处,采用数字签名,也能确认两点:一是信息是由签名者发送的;二是信息自签发到收到为止未曾作任何修改。
公钥证书简称为证书,用于在互联网、外联网和内联网上进行身份验证并确保数据交换的安全。
17、什么是网闸?
即安全隔离与信息交换系统,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
18、什么是防火墙?
是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据建设单位的安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础实施。
19、什么是入侵检测系统?
入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵系统检测的软件与硬件的组合就是入侵检测系统。
20、什么是全备份、差分备份、增量备份?(记)
全备份是指将系统中所有的数据信息进行全部备份;
差分备份是指只备份上次备份后系统中变化过的数据信息;
增量备份是指只备份上次完全备份后系统中变化过的数据信息。
21、请大家在百度百科搜索:RAID0、1、2、3、4、5,并写成作业。
RAID 0是最早出现的RAID模式,即DataStripping数据分条技术。RAID 0是组建磁盘阵列中最简单的一种形式,只需要2块以上的硬盘即可,成本低,可以提高整个磁盘的性能和吞吐量。RAID 0没有提供冗余或错误修复能力,但实现成本是最低的。
RAID 1称为磁盘镜像,原理是把一个磁盘的数据镜像到另一个磁盘上,也就是说数据在写入一块磁盘的同时,会在另一块闲置的磁盘上生成镜像文件,在不影响性能情况下最大限度的保证系统的可靠性和可修复性上,只要系统中任何一对镜像盘中至少有一块磁盘可以使用,甚至可以在一半数量的硬盘出现问题时系统都可以正常运行,当一块硬盘失效时,系统会忽略该硬盘,转而使用剩余的镜像盘读写数据,具备很好的磁盘冗余能力。
RAID 2 同RAID 3类似, 两者都是将数据条块化分布于不同的硬盘上, 条块单位为位或字节。然而RAID2 使用一定的编码技术来提供错误检查及恢复。这种编码技术需要多个磁盘存放检查及恢复信息,使得RAID 2技术实施更复杂。
RAID3:带奇偶校验码的并行传送。这种校验码与RAID2不同,只能查错不能纠错。它访问数据时一次处理一个带区,这样可以提高读取和写入速度。校验码在写入数据时产生并保存在另一个磁盘上。需要实现时用户必须要有三个以上的驱动器,写入速率与读出速率都很高,因为校验位比较少,因此计算时间相对而言比较少。
RAID4和RAID3很象,不同的是,它对数据的访问是按数据块进行的,也就是按磁盘进行的,每次是一个盘。在图上可以这么看,RAID3是一次一横条,而RAID4一次一竖条。它的特点和RAID3也挺象,不过在失败恢复时,它的难度可要比RAID3大得多了,控制器的设计难度也要大许多,而且访问数据的效率不怎么好。
RAID5:分布式奇偶校验的独立磁盘结构。它的奇偶校验码存在于所有磁盘上,其中的p0代表第0带区的奇偶校验值,其它的意思也相同。RAID5的读出效率很高,写入效率一般,块式的集体访问效率不错。因为奇偶校验码在不同的磁盘上,所以提高了可靠性。但是它对数据传输的并行性解决不好,而且控制器的设计也相当困难。
第十二章 信息管理
1、按工程建设信息的性质划分哪几类?
引导信息和辨识信息。
2、按工程建设信息的用途划分哪几类?
投资控制信息、进度控制信息、质量控制信息、合同管理信息、组织协调信息和其他用途信息。
3、为什么说高效的文档管理,是监理单位自身的需要?
(1)为了成功对工程进行监理,必须有一套严谨的文档分类管理办法,这样,工程的详细情况才可被监理项目组准确掌握,从而被建设单位准确掌握;
(2)监理单位需要对监理人员的工作情况进行考核,以决定人员的报酬和职位进行奖惩升降,而这些最主要的依据,则是监理的文档;
(3)监理文档本身就是对监理工作的最好总结,是监理工作最好的培训资料。
4、监理工程师在归集监理资料时的注意事项有哪些?
(1)监理资料应及时整理、真实完整、分类有序;
(2)监理资料的管理应由总监理工程师负责,并指定专人负责具体实施;
(3)监理资料应在各阶段监理工作结束后及时整理归档;
(4)监理档案的编制及保存应按有关规定执行。
5、总控类文档包括哪些?(记)
承建合同、总体方案、项目组织实施方案、技术方案、项目进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等。
6、监理实施类文档包括哪些?(记)
项目变更文档、进度监理文档、质量监理文档、质量回归监理文档、监理日报、监理月报、专题监理报告、验收报告、总结报告等。
7、工程验收监理报告必须包括哪些要素?(记)
(1)工程竣工准备综述;(2)验收测试方案与规范;(3)测试结果与分析;(4)验收测试结论。
8、工程监理总结报告包括哪些方面?(记)
(1)工程概况;(2)监理工作统计;(3)工程质量综述;(4)工程进度综述;(5)管理协调综述;(6)监理总评价。
9、P273页表12-5,掌握各阶段产出哪些文档?哪些文档在哪个阶段开始做?请分别回答:开发计划、测试计划、用户手册、操作手册、开发总结这些文档的开始阶段、产出阶段。(记)
(1) 各阶段文档的产出
计划:可行性研究报告,项目开发计划,开发进度月报
需求分析:项目开发计划,软件需求规格说明,数据需求规格说明,测试计划,用户手册,开发进度月报
设计:测试计划,概要设计说明,详细设计说明,数据库设计说明,用户手册,操作手册,开发进度月报
编码:模块开发卷宗,用户手册,操作手册,开发进度月报
测试:模块开发卷宗,测试分析报告,开发进度月报,项目开发总结
(2) 哪些文档在哪个阶段开始做
可行性研究报告:在计划阶段开始做,本阶段结束
项目开发计划:计划阶段开始做,需求分析阶段结束
软件需求规格说明:需求分析阶段开始做,本阶段结束
数据需求规格说明:需求分析阶段开始做,本阶段结束
计测试划:需求分析阶段开始做,设计阶段结束
概要设计说明:设计阶段开始做,本阶段结束
详细设计说明:设计阶段开始做,本阶段结束
数据库设计说明:设计阶段开始做,本阶段结束
模块开发卷宗:编码阶段开始做,测试阶段结束
用户手册:需求分析阶段开始做,编码阶段结束
操作手册:设计阶段开始做,编码阶段结束
测试分析报告:测试阶段开始做,本阶段结束
开发进度月报:计划阶段开始做,测试阶段结束
项目开发总结:测试阶段开始做,本阶段结束