变更管理、安全管理和风险管理作业
一、变更管理
1、变更的工作程序;
(1) 提出与接受变更申请。
(2) 对变更的初审。
(3) 变更方案论证。
(4) 项目变更控制委员会审查。
(5) 发出变更通知并开始实施。
(6) 变更实施的监控。
(7) 变更效果的评估。
(8) 判断发生变更后的项目是否已纳入正常轨道。
2、变更初审的4条内容;
变更初审的目的如下:
(1) 对变更提出方施加影响,确认变更的必要性,确保变更有价值。
(2) 格式检验,完整性校验,确保评估所需信息准备充分。
(3) 在干系人间就提出供评估的变更信息达成共识。
(4) 变更初审的常见方式为变更申请文档的审核流转。
3、对进度变更控制,包括哪些主题。
对进度变更的控制,包括以下主题:
(1) 判断项目进度的当前状态。
(2) 对造成进度变更的因素施加影响。
(3) 查明进度是否已经改变。
(4) 在实际变更出现时对其进行管理。
二、安全管理
1、哪些技术来实现信息的保密性;
数据的保密性可以通过下列技术来实现。
(1) 网络安全协议。
(2) 网络认证服务。
(3) 数据加密服务。
2、哪些技术来实现信息的完整性;
确保数据完整性的技术包括:
(1) 消息源的不可抵赖。
(2) 防火墙系统。
(3) 通信安全。
(4) 入侵检测系统
3、哪些技术来实现信息的可用性;
确保可用性的技术如以下几个方面:
(1) 磁盘和系统的容错及备份。
(2) 可接受的登录及进程性能。
(3) 可靠的功能性的安全进程和机制。
4、可靠性的定义,及度量方法。
可靠性是指系统在规定的时间和给定的条件下,无故障完成规定功能的概率,通常用平均故障间隔时间来度量。
5、应用系统常用保密技术有哪些?
应用系统常用的保密技术如下:
(1) 最小授权原则。
(2) 防暴露。
(3) 信息加密。
(4) 物理保密。
6、保障应用系统完整性的方法有哪些?
保障应用系统完整性的主要方法如下:
(1) 协议。
(2) 纠错编码方法。
(3) 密码校验和方法。
(4) 数字签名。
(5) 公证。
7、机房供配电分为哪8种;
机房供配电有如下8种:
(1) 分开供电。
(2) 紧急供电。
(3) 备用供电。
(4) 稳压供电。
(5) 电源保护。
(6) 不间断供电。
(7) 电器噪声防护。
(8) 突发事件防护。
8、紧急供电、稳压供电的内容;
紧急供电:配置抗电压不足的基本设备、改进设备或更强设备,如:基本UPS、改进UPS、多级UPS和应急电源(发电机组)等。
不间断供电:采用不间断供电电源,防止电压波动、电器干扰和断电等对计算机系统的不良影响。侧重不间断。
9、应用系统运行中,涉及4个层次的安全,这4个层次的安全,按粒度从粗到细进行排列;
系统运行安全和保护的层次按照粒度从粗到细排序为:
系统级安全,资源访问安全,功能性安全,数据域安全
10、哪些属于系统级安全;
系统级安全包括有:
制定系统级安全策略,策略包括敏感系统的隔离、访问 m 地址段的限制、登录时间段的限会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等
11、哪些属于资源访问安全;
资源访问安全包括有:在客户端上,为用户提供和其权限相关的用户界面,仅出现和其权限相符的菜单和操作按钮。 在服务端则对 URL 程序资源和业务服务类方法的调用进行访问控制。
12、哪些属于功能性安全;
功能性安全包括:如用户在操作业务记录时,是否需要审核,上传附件不能超过指定大小等。
13、数据域安全包括哪2个层次;
数据域安全包括两个层次,其一是行级数据域安全,即用户可以访问哪些业务记录,一般以用户所在单位为条件进行过滤;其二是字段级数据域安全,即用户可以访问业务记录的 哪些字段。
14、应用系统的访问控制检查包括哪些;
应用系统的访问控制检查: 包括物理和逻辑访问控制,是否按照规定的策略和程序进行访问权限的增加、变更和取消,用户权限的分配是否遵循“最小特权”原则。
15、应用系统的日志检查包括哪些;
应用系统的日志检查: 包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
16、应用系统的可用性检查包括哪些;
应用系统可用性检查:包括系统中断时间、系统正常服务时间和系统恢复时间等。
17、应用系统的维护检查包括哪些;
应用系统维护检查: 维护性问题是否在规定的时间内解决,是否正确地解决问题,解决问题的过程是否有效等。
18、安全等级分为哪2种;各分为哪几级;
安全等级可分为保密等级和可靠性等级两种。
保密等级应按有关规定划为绝密、机密和秘密。
靠性等级可分为三级,对可靠性要求最高的为 A 级,系统运行所要求的最低限度可靠性为 C 级,介于中间的为 B级。
三、风险管理
1、风险管理的过程包括哪六步;
项目风险管理过程包括如下内容:
(1)风险管理规划。
(2)风险识别。
(3)定性风险分析。
(4)定量风险分析。
(5)应对计划编制。
(6)风险监控。
2、风险事故,与风险因素的区别;
风险事件也称风险事故,是指酿成事故和损失的直接原因和条件。
风险因素,在其他条件下,造成损失的间接原因。
3、风险识别的方法有哪些;
风险识别的方法有如下:
(1)德尔菲法。
(2)头脑风暴法。
(3)SWOT技术。
(4)检查表。
(5)图解技术。图解结束包括如下:因果图、过程流程图和影像图。
4、风险定性分析的方法有哪些;
定性风险分析的技术方法有风险概率与影响评估法、概率和影响矩阵、风险紧迫性评估等。
5、风险定性分析中,根据概率和影响矩阵,高风险的措施是什么;低风险的措施是什么;
对于处于高风险区域,可能需要采取重点措施,并采取紧急的应对措施。而对于处于低风险区域,只需将之放入待观察风险清单或分配应急储备额外,不需要采取任何其他立即直接管理措施。
6、风险定量分析的方法有哪些;
定量风险分析的工具与技术要包括:期望货币值、计算分析因子、计划评审技术(三点估算)、蒙特卡罗(Monte Carlo)分析。
7、消极风险的应对策略有哪3个,并各举一例说明;
消极风险或威胁的应对策略:规避、转嫁与减轻。
规避:如延长进度或减少范围。
转嫁:如分包合同。
减轻:如选用比较稳定可靠的卖方,往往需有第三方介入。
8、积极风险的应对策略有哪3个,并各举一例说明;
积极风险或机会的应对策略:开拓、分享和提高。
开拓:如为项目分配更多的有能力的资源
分享:建立风险分享合作关系,合作合资企业等
提高:提高机会发生的概率。
9、同时适用于消极风险与积极的策略是什么,并举例。
同时适用于消极风险与积极的策略是接受。
被动接受:如不要求采取任何行动。
主动结束:如建立应急储备。
10、风险审计的定义
风险审计在于检查并记录风险应对策略处理已识别风险及其根源的效力以及风险管理过程的能力。
