项目变更管理

1、变更的工作程序；

         提出与接受变更申请

         对变更的初步审

         变更方案论证

         变更控制委员会审查

         发出变更通知并实施

         变更实施的监控

         变更效果评估

         判断变更后的项目是否纳入正常轨道

===============================================================================

2、变更初审的4条内容；

         对变更提出方施加影响,确认必要性和价值

         格式、完整性校验，确保评估信息充分

         干系人间就评估变更达成共识

         变更初审的常见方式为变更申请文档的审核流转

===============================================================================

3、对进度变更控制，包括哪些主题。

         判断进度当前状态

         对造成进度变更的因素施加影响

         查明进度是否已经改变

         在实际变更出现时对其进行管理

===============================================================================

项目安全管理

1、哪些技术来实现信息的保密性；

         网络安全协议，网络认证服务，数据加密服务

===============================================================================

2、哪些技术来实现信息的完整性；

         消息源的不可抵赖

         防火墙系统

         通信安全

         ***检测

===============================================================================

3、哪些技术来实现信息的可用性；

         磁盘和系统的容错及备份

         可接受的登录及进程性能

         可靠的功能性安全进程和机制

===============================================================================

4、可靠性的定义，及度量方法。

         系统在规定时间和给定的条件下，无故障完成规定功能的概率；通常用     MTBF度量。

===============================================================================

5、应用系统常用保密技术有哪些？

         最小授权原则

         防暴露

         信息加密

         物理保密

===============================================================================

6、保障应用系统完整性的方法有哪些？

         协议

         纠错编码方法

         密码校验和方法

         数字签名

         公证

===============================================================================

7、机房供配电分为哪8种；

         分开供电

         紧急供电

         备用供电

         稳压供电

         电源保护

         不间断供电

         电器噪声防护

         突然事件防护

===============================================================================

8、紧急供电、稳压供电的内容；

         配置抗电压不足的基本设备，改进设备或更强设备，如基本UPS、改进UPS、多级UPS、和发电机组等。

         使用线路稳压器，防止电压波动对计算机系统的影响。

===============================================================================

9、应用系统运行中，涉及4个层次的安全，这4个层次的安全，按粒度从粗到细进行排列；

         系统级安全

         资源访问安全

         功能性安全

         数据域安全

===============================================================================

10、哪些属于系统级安全；

         敏感系统隔离、访问IP地址段的限制、登录时间限制、会话时间限制、连接数的限制、特定时间段内登录次数限制及远程访问控制。

===============================================================================

11、哪些属于资源访问安全；

         客户端上为用户提供权限相关的用户界面，仅出现其权限相符的菜单和按钮；

         服务端对url程序资源和业务服务类方法的调用进行访问控制。

===============================================================================

12、哪些属于功能性安全；

         用户操作业务记录时，是否需要审核，上传附件不能超过指定大小等。

===============================================================================

13、数据域安全包括哪2个层次；

         行级数据安全

         字段级数据安全

===============================================================================

14、应用系统的访问控制检查包括哪些；

         物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增加、变更和取消，用户权限分配是否遵循“最小特权”原则

===============================================================================

15、应用系统的日志检查包括哪些；

         数据库日志

         系统访问日志

         系统处理日志

         错误日志

         异常日志

===============================================================================

16、应用系统的可用性检查包括哪些；

         系统中段时间

系统正常服务时间

系统恢复时间

===============================================================================

17、应用系统的维护检查包括哪些；

         维护性问题是否在规定时间内解决

是否正确的解决问题

解决问题的过程是否有效

===============================================================================

18、安全等级分为哪2种；各分为哪几级；

         保密等级

                   绝密

机密

秘密

         可靠性等级

                   A级

                   B级

                   C级

===============================================================================

 

项目风险管理

1、风险管理的过程包括哪六步；

         风险管理规划

         风险识别

         定性风险分析

         定量风险分析

         应对计划编制

         风险监控

        

===============================================================================

2、风险事故，与风险因素的区别；

风险事故是造成风险的直接原因；

风险因素是造成风险的间接原因。·

===============================================================================

3、风险识别的方法有哪些；

         收集资料

         形势估计

         识别出风险

===============================================================================

4、风险定性分析的方法有哪些；

         风险概率与影响评估

         概率和影响矩阵

         风险分类

         风险紧迫性评估

===============================================================================

5、风险定性分析中，根据概率和影响矩阵，高风险的措施是什么；低风险的措施是什么；

         高风险

                   采取重点措施，并采取积极的应对策略。

         低风险

                   放入观察清单，并准备应急储备。

===============================================================================

6、风险定量分析的方法有哪些；

         期望货币值

         计算分析因子

         计划评审技术

         蒙特卡罗分析

===============================================================================

7、消极风险的应对策略有哪3个，并各举一例说明；

         规避

         转移

         减轻

===============================================================================

8、积极风险的应对策略有哪3个，并各举一例说明；

         开拓

         分享

         提高

===============================================================================

9、同时适用于消极风险与积极的策略是什么，并举例。

         同时适用的策略是接受风险，当风险发生时根据情况处理。

                   例如台风天气带来的洪水风险为消极风险，但是没有能做则选择接受

===============================================================================

10、风险审计的定义

         检查并记录风险应对策略处理已识别风险及其根源的效力及风险管理过程的效力。