2015年10月26日作业

标签：信息系统安全管理   网络安全   数据加密   项目风险管理   

中级学员---徐化栋

2015年10月26日作业

一、变更管理

1、变更的工作程序；

• 提出与接受变更申请

• 对变更的初审

• 变更方案论证

• 项目变更控制委员会审查

• 发出变更通知并开始实施

• 变更实施的监控

• 变更效果评估

• 判断发生变更后的项目是否已纳入正常轨道

2、变更初审的4条内容；

• 对变更提出方施加影响，确认变更必要性。确保变更是有价值的

• 格式校验、完整性校验，确认评估所需信息准备充分

• 在干系人之间就提出供评估的变更信息达成共识

• 变更初审的常见方式为变更申请文档的审核流程

3、对进度变更控制，包括哪些主题。

• 判断项目进度的当前状态

• 对造成进度变更的因素施加影响

• 查明进度是否已经改变

• 在实际变更出现时对其进行管理

二、安全管理

1、哪些技术来实现信息的保密性；

网络安全协议 、网络认证服务、数据加密服务

2、哪些技术来实现信息的完整性；

消息源的不可抵赖、防火墙系统、通信安全、入侵检测系统

3、哪些技术来实现信息的可用性；

磁盘和系统的容错及备份、可接受的登录及进程性能、可靠的功能性的安全进程和机制

4、可靠性的定义，及度量方法。

可靠性是指系统在规定的时间和给定的条件下，无故障完成规定功能的概率

通常用平均故障间隔时间（MeanTime Between Failure，MTBF）来度量

5、        应用系统常用保密技术有哪些？

• 最小授权原则   2）防暴露    3）信息加密   4）物理保密

6、        保障应用系统完整性的方法有哪些？

• 协议   2）纠错编码   3）密码校验   4）数字签名   5）公证

7、机房供配电分为哪8种；

1）分开供电     2）紧急供电   3）备用供电    4）稳压供电

5）电源保护     6）不间断供电   7）电器噪声防护    8）突然事件防护

8、紧急供电、稳压供电的内容；

紧急供电：配置抗电压不足的基本设备、改进设备或更强设备，如基本UPS、改进的UPS、多级UPS和应急电源

稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响

9、应用系统运行中，涉及4个层次的安全，这4个层次的安全，按粒度从粗到细进行排列；

系统级安全，资源访问安全，功能性安全，数据域安全

10、哪些属于系统级安全；

敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间限制、连接数限制、特定时间段内登录次数的限制以及远程访问控制

11、哪些属于资源访问安全；

在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操作按钮

在服务端则对URL程序资源和业务服务类发方法的调用进行访问控制

12、哪些属于功能性安全；

用户在操作业务记录时，是否需要审核，上传附件不能超过指定大小

13、数据域安全包括哪2个层次；

其一是行级数据域安全

其二是字段级数据域安全

14、应用系统的访问控制检查包括哪些；

• 应用系统的访问控制检查         2）应用系统的日志检查

3） 应用系统可用性检查                4）应用系统能力检查

5） 应用系统安全操作检查           6）应用系统维护检查

7）应用系统的配置检查               8） 恶意代码检查

15、应用系统的日志检查包括哪些；

数据库日志、系统访问日志、系统处理日志、错误日志及异常日志

16、应用系统的可用性检查包括哪些；

系统中断时间、系统正常服务时间和系统恢复时间

17、应用系统的维护检查包括哪些；

维护性问题是否在规定时间内解决，是否正确地解决问题，解决问题的过程是否有效

18、安全等级分为哪2种；各分为哪几级；

安全等级分为保密等级和可靠性等级两种

保密等级按有关预定划为绝密、机密和秘密

可靠性等级分为三级：对可靠性要求最高为A级，系统运行所要求的最低限度可靠性为C级，介于中间的为B级

三、风险管理

1、风险管理的过程包括哪六步；

风险管理规划、风险识别、定性风险分析、定量风险分析、应对计划编制、风险监控

2、风险事故，与风险因素的区别；

风险事故是造成损失的直接或外在的原因，是损失的媒介物，即风险只有通过风险事故的发生才能导致损失。

就某一事件来说，如果它是造成损失的直接原因，那么它就是风险事故；而在其他条件下，如果它是造成损失的间接原因，它便成为风险因素

3、风险识别的方法有哪些；

1）德尔菲技术      2）头脑风暴法     3）SWOT分析法（优势、劣势、机遇、挑战） 4） 检查表            5）图解技术

4、风险定性分析的方法有哪些；

风险概率与影响评估、概率和影响矩阵、风险紧迫性评估

5、风险定性分析中，根据概率和影响矩阵，高风险的措施是什么；低风险的措施是什么；                                                                                                                                                                                                                       

高风险需要采取重点措施，并采取积极的应对策略

低风险只需将之放入待观察风险清单或分配应急储备

6、风险定量分析的方法有哪些；

期望货币值、计算分析因子、计划评审技术（三点估算）、蒙特卡罗（Monte Carlo）分析

7、消极风险的应对策略有哪3个，并各举一例说明；

1）回避，例如延长进度或减少范围

2）转移，例如使用费用加以成合同可将费用风险转移给买方，如果项目设计是稳定的，可以用固定总价合同把风险转移给卖方

3）减轻，例如采用不太复杂的工艺

8、积极风险的应对策略有哪3个，并各举一例说明；

1）开拓，为项目分配更多的有能力的资源，以便缩短完成时间或实现最初预期的高质量

2）分享，建立风险分享合作关系

3）提高，

9、同时适用于消极风险与积极的策略是什么，并举例。

接受，

10、风险审计的定义

风险审计在于检查并记录风险应对策略处理已识别风险及其根源的效力以及风险管理过程的效力

本文出自 “徐化栋” 博客，请务必保留此出处http://xingnuo0909.blog.51cto.com/10009343/1706586

2015年10月26日作业

标签：信息系统安全管理   网络安全   数据加密   项目风险管理   

原文地址：http://xingnuo0909.blog.51cto.com/10009343/1706586