變更管理、安全管理和風險管理作業

變更管理、安全管理和風險管理作業

一、變更管理

1、變更的工作程式；

  （1） 提出與接受變更申請。

  （2） 對變更的初審。

  （3） 變更方案論證。

  （4） 項目變更控制委員會審查。

  （5） 發出變更通知并開始實施。

  （6） 變更實施的監控。

  （7） 變更效果的評估。

  （8） 判斷發生變更後的項目是否已納入正常軌道。

2、變更初審的4條内容；

   變更初審的目的如下：

  （1） 對變更提出方施加影響，确認變更的必要性，確定變更有價值。

  （2） 格式檢驗，完整性校驗，確定評估所需資訊準備充分。

  （3） 在幹系人間就提出供評估的變更資訊達成共識。

  （4） 變更初審的常見方式為變更申請文檔的稽核流轉。

3、對進度變更控制，包括哪些主題。

   對進度變更的控制，包括以下主題：

  （1） 判斷項目進度的目前狀态。

  （2） 對造成進度變更的因素施加影響。

  （3） 查明進度是否已經改變。

  （4） 在實際變更出現時對其進行管理。

二、安全管理

1、哪些技術來實作資訊的保密性；

   資料的保密性可以通過下列技術來實作。

  （1） 網絡安全協定。

  （2） 網絡認證服務。

  （3） 資料加密服務。

2、哪些技術來實作資訊的完整性；

   確定資料完整性的技術包括：

  （1） 消息源的不可抵賴。

  （2） 防火牆系統。

  （3） 通信安全。

  （4） 入侵檢測系統

3、哪些技術來實作資訊的可用性；

   確定可用性的技術如以下幾個方面：

  （1） 磁盤和系統的容錯及備份。

  （2） 可接受的登入及程序性能。

  （3） 可靠的功能性的安全程序和機制。

4、可靠性的定義，及度量方法。

   可靠性是指系統在規定的時間和給定的條件下，無故障完成規定功能的機率，通常用平均故障間隔時間來度量。

5、應用系統常用保密技術有哪些？

   應用系統常用的保密技術如下：

  （1） 最小授權原則。

  （2） 防暴露。

  （3） 資訊加密。

  （4） 實體保密。

6、保障應用系統完整性的方法有哪些？

   保障應用系統完整性的主要方法如下：

  （1） 協定。

  （2） 糾錯編碼方法。

  （3） 密碼校驗和方法。

  （4） 數字簽名。

  （5） 公證。

7、機房供配電分為哪8種；

   機房供配電有如下8種：

  （1） 分開供電。

  （2） 緊急供電。

  （3） 備用供電。

  （4） 穩壓供電。

  （5） 電源保護。

  （6） 不間斷供電。

  （7） 電器噪聲防護。

  （8） 突發事件防護。

8、緊急供電、穩壓供電的内容；

   緊急供電：配置抗電壓不足的基本裝置、改進裝置或更強裝置，如：基本UPS、改進UPS、多級UPS和應急電源(發電機組)等。

   不間斷供電：采用不間斷供電電源，防止電壓波動、電器幹擾和斷電等對計算機系統的不良影響。側重不間斷。

9、應用系統運作中，涉及4個層次的安全，這4個層次的安全，按粒度從粗到細進行排列；

   系統運作安全和保護的層次按照粒度從粗到細排序為：

   系統級安全，資源通路安全，功能性安全，資料域安全

10、哪些屬于系統級安全；

    系統級安全包括有：

    制定系統級安全政策，政策包括敏感系統的隔離、通路 m 位址段的限制、登入時間段的限會話時間的限制、連接配接數的限制、特定時間段内登入次數的限制以及遠端通路控制等

11、哪些屬于資源通路安全；

    資源通路安全包括有：在用戶端上，為使用者提供和其權限相關的使用者界面，僅出現和其權限相符的菜單和操作按鈕。 在服務端則對 URL 程式資源和業務服務類方法的調用進行通路控制。

12、哪些屬于功能性安全；

    功能性安全包括：如使用者在操作業務記錄時，是否需要稽核，上傳附件不能超過指定大小等。

13、資料域安全包括哪2個層次；

    資料域安全包括兩個層次，其一是行級資料域安全，即使用者可以通路哪些業務記錄，一般以使用者所在機關為條件進行過濾；其二是字段級資料域安全，即使用者可以通路業務記錄的     哪些字段。

14、應用系統的通路控制檢查包括哪些；

    應用系統的通路控制檢查： 包括實體和邏輯通路控制，是否按照規定的政策和程式進行通路權限的增加、變更和取消，使用者權限的配置設定是否遵循“最小特權”原則。

15、應用系統的日志檢查包括哪些；

    應用系統的日志檢查： 包括資料庫日志、系統通路日志、系統處理日志、錯誤日志及異常日志。

16、應用系統的可用性檢查包括哪些；

    應用系統可用性檢查：包括系統中斷時間、系統正常服務時間和系統恢複時間等。

17、應用系統的維護檢查包括哪些；

    應用系統維護檢查： 維護性問題是否在規定的時間内解決，是否正确地解決問題，解決問題的過程是否有效等。

18、安全等級分為哪2種；各分為哪幾級；

   安全等級可分為保密等級和可靠性等級兩種。

   保密等級應按有關規定劃為絕密、機密和秘密。

   靠性等級可分為三級，對可靠性要求最高的為 A 級，系統運作所要求的最低限度可靠性為 C 級，介于中間的為 B級。

三、風險管理

1、風險管理的過程包括哪六步；

   項目風險管理過程包括如下内容：

   （1）風險管理規劃。

   （2）風險識别。

   （3）定性風險分析。

   （4）定量風險分析。

   （5）應對計劃編制。

   （6）風險監控。

2、風險事故，與風險因素的差別；

   風險事件也稱風險事故，是指釀成事故和損失的直接原因和條件。

   風險因素，在其他條件下，造成損失的間接原因。

3、風險識别的方法有哪些；

   風險識别的方法有如下：

   （1）德爾菲法。

   （2）頭腦風暴法。

   （3）SWOT技術。

   （4）檢查表。

   （5）圖解技術。圖解結束包括如下：因果圖、過程流程圖和影像圖。

4、風險定性分析的方法有哪些；

   定性風險分析的技術方法有風險機率與影響評估法、機率和影響矩陣、風險緊迫性評估等。

5、風險定性分析中，根據機率和影響矩陣，高風險的措施是什麼；低風險的措施是什麼；

   對于處于高風險區域，可能需要采取重點措施，并采取緊急的應對措施。而對于處于低風險區域，隻需将之放入待觀察風險清單或配置設定應急儲備額外，不需要采取任何其他立即直接管理措施。

6、風險定量分析的方法有哪些；

   定量風險分析的工具與技術要包括：期望貨币值、計算分析因子、計劃評審技術（三點估算）、蒙特卡羅（Monte Carlo）分析。

7、消極風險的應對政策有哪3個，并各舉一例說明；

   消極風險或威脅的應對政策：規避、轉嫁與減輕。

    規避：如延長進度或減少範圍。

    轉嫁：如分包合同。

    減輕：如選用比較穩定可靠的賣方，往往需有第三方介入。

8、積極風險的應對政策有哪3個，并各舉一例說明；

   積極風險或機會的應對政策：開拓、分享和提高。

   開拓：如為項目配置設定更多的有能力的資源

   分享：建立風險分享合作關系，合作合資企業等

   提高：提高機會發生的機率。

9、同時适用于消極風險與積極的政策是什麼，并舉例。

    同時适用于消極風險與積極的政策是接受。

    被動接受：如不要求采取任何行動。

    主動結束：如建立應急儲備。

10、風險審計的定義

    風險審計在于檢查并記錄風險應對政策處理已識别風險及其根源的效力以及風險管理過程的能力。