信管师培训之第九节课作业（变更管理+信息系统安全管理）

第16章 变更管理

1、变更管理的原则是首先？

变更管理的原则是首先建立项目基准、变更流程和变更控制委员会（也叫变更管理委员会）。

2、国内较多的配置工具有哪些？（3个）
国内使用较多的配配工具有Rational ClearCase、Visual SourceSafe(VSS)、Concurrent Versions System(CVS)

3、CCB是决策机构还是作业机构？
CCB是决策机构，而不是作业机构。

4、项目经理在变更中的作用是什么？
项目经理在变更中的作用是：响应变更提出者的要求，评估变更对项目的影响及应对方案，将要求由技术要求转化为资源要求，供授权人选择；并评估结果实施即调整项目基准，确保项目基准反映项目实施情况。

5、变更的工作程序？（记）
（1）.提出与接受变更申请。

（2）.对变更的初审。
（3）.变更方案论证。

（4）.项目变更委员会审查。
（5）.发出变更通知并开始实施。
（6）.变更实施的监控。
（7）.变更效果的评估。
（8）.判断发生变更后的项目是否已纳入正常轨道。

6、变更初审的目的是什么？（记）
（1）.对变更提出方施加影响，确认变更的必要性，确保变更是有价值的。

（2）.格式校验，完整性校验，确保评估所需信息准备充分。
（3）.在干系人之间就供评估的变更信息达成共识。
（4）.变更初审常见的方式为变更申请文档的审核流转。

7、变更效果的评估从哪几个方面进行？
变更效果的评估从以下几个方面进行：
（1）.首要的评估依据，就是项目基准。
（2）.还需要结合变更的初衷来看，变更所要达到的目的是否已达成。
（3）.评估变更方案的技术论证、经济论证内容与实施过程的差距并推行解决。

8、针对变更，何时可以使用分批处理、分优先级的方式，以提高效率？
在整体压力较大的情况下，更需要强调变更的提出、处理应当规范化，可以使用分批处理、分优先级等方式提高效率。

9、项目规模小、与其它项目关联度小时，高精尖更应简便高效，需注意哪三点？
项目规模小、与其他项目的关联度小时，变更的提出与处理过程可在操作上力求简便、高效，但是仍需注意到以下三点：

（1）.对变更的因素施加影响。防止不必要的变更，减小无谓的评估，提高必要变更的通过率。
（2）.对变更的确认应当正式化。
（3）.变更的操作过程应当规范化。

10、对进度变更的控制，应包括哪些主题？（记）
对进度变更的控制，包括以下主题:
（1）.判断项目进度的当前状态。
（2）.对造成进度变更的因素施加影响。
（3）.查明进度是否已经改变。
（4）.在实际变更出现时对其进行管理。

11、对成本变更的控制，包括哪些主题？

（1）.对造成成本基准变更的因素施加影响
（2）.确保变更请求获得同意
（3）.当变更发生时，管理这些实际的变更
（4）.保证潜在的费用超支不超过授权的项目阶段资金和总体资金
（5）.监督费用绩效，找出与成本基准的偏差
（6）.准确记录所有与成本基线的偏差
（7）.防止错误的、不恰当的或未批准的变更被纳入到费用或资源使用报告中
（8）.就审定的变更，通知利害关系者
（9）.采取措施，将预期的费用超支范围控制在可接受的范围内。

12、请简述变更管理与配置管理的区别？
如果把项目整体的交付物视作项目的配置项，配置管理可视为对项目完整性管理的一套系统，当用于项目基准调整时，变更管理可视为其一部分。
亦可视变更管理与配置管理为相关联的两套机制，变更管理由项目交付或基准配置调整时，由配置管理系统调用:变更管理最终应将对项目的调整结果反馈给配置管理系统，以确保项目执行与对项目的账目相一致。

第17章 安全管理
1、信息安全三元组是什么？
保密性、完整性和可用性是信息安全最为关注的三个属性，因此这三个特性也经常被称为信息安全三元组，这也是信息安全通常强调的目标。

2、数据的保密性一般通过哪些来实现？
数据的保密性可以通过如下技术来实现：

（1）.网络安全协议
（2）.网络认证服务
（3）.数据加密服务

3、确保数据完整性的技术包括哪些？
确保数据完整的技术包括：

（1）.消息源的不可抵赖性

（2）.防火墙系统
（3）.通信安全
（4）.入侵检测系统

4、确保可用性的技术包括哪些？
确保可用性的技术如下:

（1）.磁盘和系统的容错及备份。
（2）.可接受的登录和进程性能。
（3）.可靠的功能性的安全进程和机制。

5、在ISO/IEC27001中，信息安全管理的内容被概括为哪11个方面？
（1）.信息安全方针与策略。
（2）.组织信息安全。
（3）.资产管理。
（4）.人力资源安全。
（5）.物理和环境安全。
（6）.通信和操作安全。
（7）.访问控制。
（8）.信息系统的获取、开发和保持。
（9）.信息安全时间管理。
(10）.业务持续性管理。
(11）.符合性。

6、什么是业务持续性管理？
应防止业务活动的中断，保护关键业务流不会收到重大的信息系统失效或灾难的影响并确保它们的及时恢复。应实施业务持续性管理过程以减少组织的影响，并通过预测和恢复控制措施的结合将信息资产的损失（例如，它们可能是灾难、事故、设备故障和故意运行的结果）恢复到可接受的程度。这个过程需要识别关键的业务过程，并将业务持续性的信息安全管理要求与其他的诸如运营、员工安置、材料、运输和设施等持续性要求予以整合。灾难、安全失效服务丢失和服务可用性的后果应取决于业务影响分析。应建立和实施业务持续性计划，以确保基本运营能及时恢复。信息安全应该是整体业务持续性过程和组织内其他管理过程的一个不可或缺的一个部分。除了通用的风险评估过程外，业务连续性管理应包括识别和减少风险的控制措施、限制有害时间的影响以及确保业务过程需要的信息能够随时得到。

7、应用系统常用的保密技术有哪些？
应用系统常用的保密技术如下：

（1）.最小授权原则：对信息的访问权限仅授权需要从事业务的用户使用。
（2）.防暴露：防止有用信息以通过各种途径暴力或传播出去。
（3）.信息保密：用加密算法对信息进行加密处理，非法用户无法对信息进行解密从无法读懂有效信息。
（4）.物理保密：利用各种物理方法，如限制、隔离、掩蔽和控制等措施，保护信息不被泄露。

8、影响信息完整性的主要因素有哪些？
影响信息完整性的主要因素有设备故障，误码（传输、处理和存储过程中产生的误码、定时的稳定度和精度降低造成的误码、各种干扰源造成的误码）、人为攻击和计算机病毒等。

9、保障应用系统完整性的主要方法有哪些？
（1）.协议：通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
（2）.纠错编码方法：由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
（3）.密码校验和方法：它是抗篡改和传输失败的重要手段。
（4）.数字签名：保障信息的真实性。
（5）.公认：请求系统管理或中介机构证明信息的真实性。

10、哪个性质一般用系统正常使用时间和整个工作时间之比来度量？
可用性一般用系统正常使用时间和整个工作时间之比来度量。

11、在安全管理体系中，不同安全等级的安全管理机构应按哪种顺序逐步建立自己的信息安全组织机构管理体系？
(1）.配置安全管理人员
(2）.建立安全职能部门
(3）.成立安全领导小组
(4）.主要负责人出任领导
(5）.建立信息安全保密管理部门

12、在信息系统安全管理要素一览表中，“风险管理”类，包括哪些族？“业务持续性管理”类包括哪些族？
“风险管理”类包括的族：
（1）.风险管理要求和策略。
（2）.风险分析和评估。
（3）.风险控制。
（4）.基于风险的决策。
（5）.分线评估的管理。

“业务持续性管理”类包括的族：
（1）.备份与恢复。
（2）.安全时间处理。
（3）.应急处理。

13、GB/T20271-2006中，信息系统安全技术体系是如何描述的？（只答一级标题）
（1）.物理安全
（2）.运行安全
（3）.数据安全

14、对于电源，什么叫紧急供电？稳压供电？电源保护？不间断供电？
（1）.紧急供电：配置抗电压不足的基本设备、改进设备或更强设备，如基本UPS、改进的UPS、多级UPS的应急电源（发电机组）等。

（2）.稳压供电：采用线路稳压器，防止电压波动对计算机系统的影响。
（3）.电源保护：设置电源保护装置，如金属氧化物可变电阻、二极管、气体放电管、滤波器、电压调整变压器和浪涌滤波器等，防止/减少电源发生故障。
（4）.不间断供电：采用不间断供电电源，防止电压波动、电器干扰和断电等对计算机系统的不良影响。

15、人员进出机房和操作权限范围控制包括哪些？
（1）.应明确机房安全管理的责任人，机房出入应有指定人员负责，未经允许的人员不准进入机房。
（3）.获准进入机房的来访人员，其活动范围应受限制，并有接待人员陪同；机房钥匙由专人管理，未经批准，不准任何人私自复制机房钥匙或服务器开关钥匙。
（3）.没有指定管理人的明确准许，任何记录介质、文件材料及各类被保护品均不准带出机房，与工作无关的物品均不准带入机房。
（4）.机房内严禁吸烟及带入火种和水源。
（5）.应要求所有来访人员经过正式批准，登记记录应妥善保存以备查。
（6）.获准进入机房的人烟，一般应禁止携带个人计算机等电子设备进入机房，其活动范围和操作行为应受到限制，并有机房接待人员负责和陪同。

16、针对电磁兼容，计算机设备防泄露包括哪些内容？
（1）.对需要防止电磁泄漏的计算机设备应配备电磁干扰设备，在被保护的计算机设备工作时电磁干扰设备不准关机。
（2）.必要时可以采用屏蔽机房。
（3）.屏蔽机房应随时关闭屏蔽门。
（4）.不得在屏蔽墙上打钉钻孔，不得在波导管以外或不经过过滤器对屏蔽机房内外连接任何线缆。
（5）.应经常测试屏蔽机房的泄漏情况并进行必要的维护。

17、对哪些关键岗位人员进行统一管理，允许一人多岗，但业务应用操作人员不能由其它关键岗位人员兼任？
对安全管理员、系统管理员、数据库管理员、网络管理员、重要业务开发人员、系统维护人员和重要业务应用操作人员等信息系统关键岗位人员进行统一管理；允许一人多岗，但业务人员不能由其他关键岗位人员兼任；关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识。

18、业务开发人员和系统维护人员不能兼任或担任哪些岗位？
业务开发人员和系统维护人员不能兼任或担负安全管理员、系统管理员、数据库管理员、网络管理员和重要业务应用操作人员等岗位或工作；必要时关键岗位人员应采用定期轮岗制度。

19、应用系统运行中涉及四个层次的安全，按粒度从粗到细的排序是什么？（记）
按粒度从粗到细的排序是：系统级安全、资源访问安全、功能性安全、数据域安全。

20、哪些是系统级安全？
敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的限制、特定时间段内登录次数的限制以及远程访问控制等。

22、什么是资源访问安全？
对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户界面，仅出现和其权限相符的菜单和操作按钮；在服务端则对URL程序资源和业务服务类方法的调用进行访问控制。

23、什么是功能性安全？
功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，上传附件不能超过指定大小等。这些安全限制已经不是入口的极限，而是程序流程内的限制，在一定程度上影响程序流程的运行。

24、什么是数据域安全？
数据域安全包括两个层次，
其一是行级数据域安全，即用户访问哪些业务记录，一般以用户所在单位为条件进行过滤；
其二是字段级数据域安全，即用户可以防伪业务记录的哪些字段。不同的应用系统数据域安全的需求存在很大的差别，业务相关性比较高。对于行级的数据域安全。

25、系统运行安全检查和记录的范围有哪些？（并叙述每个的内容）

（1）.应用系统的防伪控制检查。包括物理和逻辑访问控制，是否按照规定的策略和程序进行访问权限的增加、变更和取消，用户权限的分配是否遵循“最小特权”原则。

（2）.应用系统的日志检查。包括数据库日志、系统访问日志、系统处理日志、错误日志及异常日志。
（3）.应用系统可用性检查。包括系统中断时间、系统正常服务时间和系统恢复时间等。
（4）.应用系统能力检查。包括系统资源消耗情况、系统交易速度和系统吞吐量等。
（5）.应用系统的安全操作检查。用户对应用系统的使用是否按照信息安全的相关策略和程序进行访问和使用。
（6）.应用系统维护检查。危害性问题是否在规定的时间内解决，是否正确地解决问题，解决问题的过程是否有效等。
（7）.应用系统的配置检查。检查应用系统的配置是否合理和适当，各配置组件是否发挥其应有的功能。
（8）.恶意代码的检查。是否存在恶意代码，如病毒、木马、隐蔽通道导致应用系统数据的丢失、损坏、非法修改、信息泄露等。

26、保密等级按有关规定划分为：绝密、机密和？
保密等级应按有关规定划分为绝密、机密和秘密。

27、可靠性等级分为哪三级？
可靠性等级可分为三级，对可靠性要求最高的为A级，系统运行所要求的最低限度可靠性为C级，介于中间的为B级。