20151026變更管理、信息系統安全和風險管理

一、變更管理
1、變更的工作程序（8條）；

• 提出與接受變更申請；

• 對變更的初審；

• 變更方案論證；

• 項目變更控制委員會審查；

• 發出變更通知並開始實施；

• 變更實施的監控；

• 變更效果的評估；

• 判斷髮生變更後的項目是否已納入正常軌道

• 
  

2、變更初審的4條內容；

• 對變更提出方施加影響，確認變更的必要性，確保變更是有價值的；

• 格式校驗，完整性校驗，確保評估所需信息準備充分；

• 在干係人間就提出評估的變更信息達成共識；

• 變更初審的常見方式爲變更申請文檔的審覈流轉。

• 
  

3、對進度變更控制，包括哪些主題（4條）。

• 判斷項目進度的當前狀態；

• 對造成進度變更的因素施加影響；

• 查明進度是否已經改變；

• 在實際變更出現時對其進行管理。

  
  

二、信息系統安全管理

1、哪些技術來實現信息的保密性；

• 網絡安全協議；

• 網絡認證服務；

• 數據加密服務

2、哪些技術來實現信息的完整性；

• 消息源的不可抵賴；

• 防火牆系統；

• 通信安全；

• ***檢測系統

3、哪些技術來實現信息的可用性；

• 磁盤和系統的容錯及備份；

• 可接受的登錄及進程性能；

• 可靠的功能性的安全進程和機制

4、可靠性的定義，及度量方法。

可靠性是指系統在規定的時間和給定的條件下，無故障完成規定功能的概率，通常用平均間隔時間（MTBF）來度量.

5、應用系統常用保密技術有哪些（4條）？

• 最小授權原則；

• 防暴露；

• 信息加密；

• 物理加密

6、保障應用系統完整性的方法有哪些（5條）？

• 協議；

• 糾錯編碼方法；

• 密碼校驗和方法；

• 數字簽名；

• 公證

7、機房供配電分爲哪8種；

• 分開供電；

• 緊急供電；

• 備用供電；

• 穩壓供電；

• 電源保護；

• 不間斷供電；

• 電器噪聲防護；

• 突然事件防護

  8、緊急供電、穩壓供電的內容；

緊急供電：配置抗電壓不足的基本設備、改進設備或更強設備，如基本UPS、改進的UPS、多級UPS和應急電源（發電機組）等。

穩壓供電：採用線路穩壓器，防止電壓波動對計算機系統的影響。

9、應用系統運行中，涉及4個層次的安全，這4個層次的安全，按粒度從粗到細進行排列；

• 系統級安全；

• 資源訪問安全；

• 功能性安全；

• 數據域安全；

10、哪些屬於系統級安全；

• 敏感系統的隔離；

• 訪問IP地址段的限制；

• 登錄時間段的限制；

• 會話時間的限制；

• 連接數的限制；

• 特定時間段內登錄的限制以及遠程訪問控制

11、哪些屬於資源訪問安全；

• 在客戶端上，爲用戶提供和其權限相關的用戶界面，僅出現和其權限相符的菜單和操作按鈕；

• 在服務端則對URL程序資源和業務服務類的調用進行訪問控制。

12、哪些屬於功能性安全；

用戶在操作業務記錄是，是否需要審覈，上傳福建不能超過制定大小等。這些安全限制已經不是入口級的限制，而是程序流程內的限制，在一定程度上影響程序流程的運行。

13、數據域安全包括哪2個層次；

• 行級數據域安全；

• 字段級數據域安全

14、應用系統的訪問控制檢查包括哪些；

包括物理和邏輯的訪問控制，是否按照規定的策略和程序進行訪問權限的增加、變更和取消，用戶權限的分配是否遵循“最小特權”原則；

15、應用系統的日誌檢查包括哪些；

• 數據庫日誌

• 系統訪問日誌；

• 系統處理日誌；

• 錯誤日誌及異常日誌

16、應用系統的可用性檢查包括哪些；

• 系統的中斷時間；

• 系統正常服務時間；

• 系統恢復時間等

17、應用系統的維護檢查包括哪些；

• 維護性問題是否在規定的時間內解決，是否正確地解決問題，

• 解決問題是否有效等

18、安全等級分爲哪2種；各分爲哪幾級；

安全等級分爲保密等級和可靠性等級兩種。

保密等級分爲絕密、機密和祕密

可靠等級分爲A.B.C 三級

三、風險管理
1、風險管理的過程包括哪六步；

• 風險管理計劃；

• 風險識別；

• 定性風險分析；

• 定量風險分析；

• 應對計劃編輯；

• 風險監控

2、風險事故，與風險因素的區別；

風險事故是造成損失的直接或外在的原因，是損失的媒介物，即風險只有通過風險事故的發生才能導致損失；

就某一事件來說，如果它是造成損失的直接原因，那麼它就是風險事故；而在其他條件下，如果它是造成損失的間接原因，它便成爲風險因素。

3、風險識別的方法有哪些（5點）；

• 德爾菲技術；

• 頭腦風暴法；

• SWOT分析法；

• 檢查表；

• 圖解技術

4、定性風險分析的方法有哪些；

• 風險概率與影響評估；

• 概率與影像矩陣；

• 風險分類；

• 風險緊迫性評估

5、定性風險分析中，根據概率和影響矩陣，高風險的措施是什麼；低風險的措施是什麼；

高風險採取充電措施，並採取積極的應對策略；

低風險的，只需將之放入待觀察風險清單或分配應急儲備額外，不需要採取任何其他立即直接管理措施。

6、定量風險分析的方法有哪些（4點）；

• 期望貨幣值（EMV）;

• 計算分析因子；

• 計劃評審技術（PERT）

• 蒙特卡羅分析

7、消極風險的應對策略有哪3個，並各舉一例說明；

• 規避，指改變項目計劃，以排除風險或條件，或者保護項目目標，使其不受影響，或對受到威脅的一些目標放鬆要求。如延長進度或者減少範圍。

• 轉移，指設法將風險的後果連同應對的責任轉移到其他方身上。

• 減輕，指設法把不利的風險時間的概率和後果降低到一個可接受的臨界值。如設計時在子系統中設置冗餘組建由可能減輕原有組件故障所造成的影響。

8、積極風險的應對策略有哪3個，並各舉一例說明；

• 開拓，通過確保機會肯定實現而消除與特定積極風險相關的不確定性。直接開拓措施包括爲項目分配更多的有能力的資源，以便縮短完成時間或實現超過最初預期的高質量。

• 分享，指將風險的責任分配給最能爲項目的利潤獲取機會的第三方，包括建立風險分享合作關係，或專門爲機會管理目的形成團隊、特殊目的項目公司或合作合資企業；

• 提高，指通過提高積極風險的概率或其積極影響，識別並最大程度發揮這些積極風險的驅動因素，致力於改變機會的“大小”。

9、同時適用於消極風險與積極的策略是什麼，並舉例。

風險監控

10、風險審計的定義

  風險審計在於檢查並記錄風險應對策略處理已識別風險及其更遠的效力以及風險管理過程的效力。