一、變更管理
1、變更的工作程序;
答:8條:(1)提出與接受變更申請;(2)對變更的初審;(3)變更方案論證;(4)項目變更控制委員會審查;(5)發出變更通知並開始實施;(6)變更實施的監控;(7)變更效果的評估;(8)判斷髮生變更後的項目是否已納入正常軌道。
2、變更初審的4條內容;
答:(1)確認變更的必要性;(2)格式與完整性較驗,確保評估所需的信息充分;(3)與干係統人就提出評估的變更信息達成共識;(4)變更申請文檔的審覈流轉。
3、對進度變更控制,包括哪些主題。
答:4個主題:(1)判斷項目進度的當前狀態。(2)對造成進度變更的因素施加影響。(3)查明進度是否已經改變。(4)在實際變更出現時對進度進行管理。
二、安全管理
1、哪些技術來實現信息的保密性;
答:網絡安全協議、網絡認證服務、數據加密服務。
2、哪些技術來實現信息的完整性;
答:消息源的不可抵賴、防火牆系統、通信安全、***檢測系統。
3、哪些技術來實現信息的可用性;
答:磁盤和系統的容錯及備份、可接受的登錄及進程性能、可靠的功能性的安全進程和機制。
4、可靠性的定義,及度量方法。
答:可靠性是指系統在規定的時間和給定和條件下,無故障完成規定功能的概率。度量通常用平均故障間隔時間(Mean Time Between Failure,MTBF)來進行。
5、應用系統常用保密技術有哪些?
答:4種技術:(1)最小授權原則;(2)防暴露;(3)信息加密;(4)物理保密。
6、保障應用系統完整性的方法有哪些?
答:5種方法:協議、糾錯編碼方法、密碼校驗和方法、數字簽名、公證。
7、機房供配電分爲哪8種;
答:(1)分開供電,(2)緊急供電,(3)備用供電,(4)穩壓供電,(5)電源保護,(6)不間斷供電,(7)電器噪聲防護,(8)突然事件防護。
8、緊急供電、穩壓供電的內容;
答:緊急供電:配置搞電壓不足的基本設備、改進高備或更強設備,如基本、改進的、多級的UPS和應急電源(發電機組)等。
穩壓供電:採用線路穩壓器,防止電壓波動對計算機系統的影響。
9、應用系統運行中,涉及4個層次的安全,這4個層次的安全,按粒度從粗到細進行排列;
答:按粒度從粗到細的排序是:系統級安全、資源訪問安全、功能性安全、數據安全。
10、哪些屬於系統級安全;
答:敏感系統間隔離、訪問IP地址段的限制、登錄時間段的限制、會話時間的限制、連接數的所限制、特定時間段內登錄次數年的限制以及遠程訪問控制等。
11、哪些屬於資源訪問安全;
答:在客戶端上:爲用戶提供和其權限相關的用戶界面,僅出現和其權限相符的菜單和操作按鈕;在服務端則對URL程序資源和業務服務類方法的調用進行訪問控制。
12、哪些屬於功能性安全;
答:用戶操作業務記錄時,是否需要審覈,上傳附件不能超過指定大小等。
13、數據域安全包括哪2個層次;
答:行級數據域安全(可訪問哪些);字段級字據域安全(可訪問的字段是哪些)。
14、應用系統的訪問控制檢查包括哪些;
答:物理和邏輯訪問控制,是否按照規定的策略和程序進行訪問權限的增加、變更和取消,是否遵循“最小特權“原則。
15、應用系統的日誌檢查包括哪些;
答:包括數據庫日誌、系統訪問日誌、系統處理日誌、錯誤日誌及異常日誌。
16、應用系統的可用性檢查包括哪些;
答:包括系統中斷時間、系統正常服務時間和系統恢復時間等。
17、應用系統的維護檢查包括哪些;
答:維護性問題是否在規定的時間內解決,是否正確地解決問題,解決問題的過程是否失效等。
18、安全等級分爲哪2種;各分爲哪幾級;
答:分爲保密等級和可靠性等級兩種,保密等級分爲:絕密、機密、祕密。可靠性分爲:最高A級,最低C級,介於中間爲B級。
三、風險管理
1、風險管理的過程包括哪六步;
答:風險管理規劃、風險識別、定性風險分析、定量風險分析、應對計劃編制、風險監控。
2、風險事故,與風險因素的區別;
答:風險事幫是直接原因,風險因素是造成損失的間接原因。
3、風險識別的方法有哪些;
答:(1)爾菲技術(匿名、多次重複、避免主觀影響,力求儘量客觀)、(2)頭腦風暴法(集思廣益)、(3)SWOT分析方法(內在,外部)、(4)檢查表、(5)圖解技術。
4、風險定性分析的方法有哪些;
答:風險概率與影響評估,概率和影響矩陣。
5、風險定性分析中,根據概率和影響矩陣,高風險的措施是什麼;低風險的措施是什麼;
答:高風險深灰色區域,採取重點措施,並用積對應對的策略;低風險中度灰色區域,放入待觀察清單或分配應急儲備額外,不需要採取其他立即的管理措施。
6、風險定量分析的方法有哪些;
答:(1)期望貨幣值EMV,(2)計算分析因子,(3)計劃評審技術PERT,(4)蒙特卡羅建模分析。
7、消極風險的應對策略有哪3個,並各舉一例說明;
答:規避,如延長進度或減少範圍:
轉移,如買保險、擔保書、風險共擔
減輕,採用不太複雜工藝、實施更多的測試、或者選用更穩定可靠的賣方。或設計時在子系統中設置冗餘組件有可能減輕原有組件故障所造成的影響。
8、積極風險的應對策略有哪3個,並各舉一例說明;
答:開拓,爲項目分配更多的有能力的資源,以提升進度與提高質量。
分享,建立分享合作關係,將風險分擔給最能給項目利益獲取機會的第三方。
提高,扣高積極風險的概率與影響,識別並最大程度發近積極風險的驅動因素,提高機會發生的成因與觸發與發生概率。
9、同時適用於消極風險與積極的策略是什麼,並舉例。
答:接受,主動或被動,主動接受風險方式即建立應急儲備,已知的未知,做好準備,被動剛不採取任何行動,待出現時再解決。
10、風險審計的定義
答:風險審計在於檢查並記錄風險應對策略處理已識別風險及其根源的效力以及風險管理過程的效力。