学系统集成项目管理工程师（中项）系列06b_信息系统安全管理（下）

Posted 2023-04-16 躺柒

1. 物理安全管理

1.1. 计算机机房与设施安全

1.1.1. 计算机机房

1.1.1.1. 机房场地选择

1.1.1.2. 机房空调、降温

1.1.1.2.1. 基本温度要求

1.1.1.2.1.1. 应有必要的空调设备，使机房温度达到所需的温度要求

1.1.1.2.2. 较完备空调系统

1.1.1.2.2.1. 应有较完备的中央空调系统，保证机房温度的变化在计算机系统运行所允许的范围内

1.1.1.2.3. 完备空调系统

1.1.1.2.3.1. 应有完备的中央空调系统，保证机房各个区域的温度变化能满足计算机系统运行、任意活动和其他辅助设备的要求

1.1.1.3. 机房防水与防潮

1.1.1.3.1. 接地与屏蔽

1.1.1.3.2. 服装防静电

1.1.1.3.2.1. 人员服装采用不易产生静电的衣料，工作鞋采用低阻值材料制作

1.1.1.3.2.1.1. 【21下选69】

1.1.1.3.3. 温、湿度防静电

1.1.1.3.4. 地板防静电

1.1.1.3.5. 材料防静电

1.1.1.3.6. 维修MOS电路保护

1.1.1.3.7. 静电消除要求

1.1.1.3.7.1. 静电消除剂

1.1.1.4. 机房接地与防雷击

1.1.1.4.1. 接地要求

1.1.1.4.1.1. 确保接地体的良好接地

1.1.1.4.2. 去耦、滤波要求

1.1.1.4.3. 避雷要求

1.1.1.4.3.1. 设置避雷地，以深埋地下，与大地良好相通的金属板作为接地点

1.1.1.4.4. 防护地与屏蔽地要求

1.1.1.4.4.1. 设置安全防护地与屏蔽地，采用阻抗尽可能小的良导体的粗线，以减少各种地之间的电位差

1.1.2. 电源

1.1.2.1. 分开供电

1.1.2.2. 紧急供电

1.1.2.3. 备用供电

1.1.2.4. 稳压供电

1.1.2.4.1. 采用线路稳压器，防止电压波动对计算机系统的影响

1.1.2.5. 电源保护

1.1.2.6. 不间断供电

1.1.2.7. 电器噪声防护

1.1.2.7.1. 减少机房中电器噪声干扰

1.1.2.8. 突然事件防护

1.1.3. 计算机设备

1.1.3.1. 设备的防盗和防毁

1.1.3.1.1. 设备标记要求

1.1.3.1.1.1. 有明显的无法去除的标记，以防更换和方便查找赃物

1.1.3.1.2. 计算中心防盗

1.1.3.1.3. 机房外部设备防盗

1.1.3.2. 设备的安全可用

1.1.3.2.1. 基本运行支持

1.1.3.2.2. 设备安全可用

1.1.3.2.3. 设备不间断运行

1.1.4. 通信线路

1.1.4.1. 确保线路畅通

1.1.4.2. 发现线路截获

1.1.4.3. 及时发现线路截获

1.1.4.4. 防止线路截获

1.2. 技术控制

1.2.1. 检测监视系统

1.2.2. 人员进出机房和操作权限范围控制

1.3. 环境与人身安全

1.3.1. 防火

1.3.2. 防漏水和水灾

1.3.2.1. 水对计算机的威胁也是致命的

1.3.3. 防静电

1.3.4. 防自然灾害

1.3.5. 防物理安全威胁

1.4. 电磁兼容

1.4.1. 计算机设备防泄露

1.4.1.1. 应配备电磁干扰设备

1.4.1.2. 必要时可以采用屏蔽机房

1.4.2. 计算机设备的电磁辐射标准和电磁兼容标准

2. 人员安全管理

2.1. 信息安全领导小组

2.1.1. 安全管理的领导职能

2.1.2. 保密监督的管理职能

2.2. 信息安全职能部门

2.2.1. 基本的安全管理职能

2.2.2. 集中的安全管理职能

2.3. 岗位安全考核与培训

2.3.1. 信息系统关键岗位人员进行统一管理

2.3.1.1. 允许一人多岗

2.3.1.1.1. 【20下选69】

2.3.1.1.1.1. 【19下选69】

2.3.1.1.2. 安全管理员和系统管理员可以由一人兼任

2.3.1.2. 业务应用操作人员不能由其他关键岗位人员兼任

2.3.1.3. 关键岗位人员应定期接受安全培训，加强安全意识和风险防范意识

2.3.2. 兼职和轮岗要求

2.3.3. 权限分散要求

2.3.3.1. 坚持关键岗位“权限分散、不得交叉覆盖”

2.3.3.1.1. 【21上选69】

2.3.3.2. 系统管理员、数据库管理员、网络管理员不能相互兼任岗位或工作

2.3.3.2.1. 【19上选70】

2.3.4. 多人共管要求

2.3.4.1. 二人同时在场，关键事务应多人共管

2.3.5. 全面控制要求

2.4. 离岗人员安全管理

2.4.1. 基本要求

2.4.2. 调离后的保密要求

2.4.3. 离岗的审计要求

2.4.3.1. 涉及组织机构管理层和信息系统关键岗位的人员调离单位，必须进行离岗安全审查，在规定的脱密期限后，方可调离

2.4.3.1.1. 【22上选68】

2.4.4. 关键部位人员的离岗要求

2.4.4.1. 应按照机要人员管理办法办理

3. 应用系统安全管理

3.1. 组织管理层在系统运行安全管理中的职责

3.1.1. 资源分配

3.1.2. 标准和程序

3.1.3. 应用系统的过程监控

3.2. 系统运行安全与保密的层次构成

3.2.1. 系统级安全

3.2.2. 资源访问安全

3.2.2.1. 【22下选69】

3.2.2.2. 最常见的应用系统安全问题

3.2.3. 功能性安全

3.2.4. 数据域安全

3.2.4.1. 【19上选69】

3.2.4.2. 行级数据域安全

3.2.4.2.1. 用户可以访问哪些业务记录，一般以用户所在单位为条件进行过滤

3.2.4.3. 字段级数据域安全

3.2.4.3.1. 用户可以访问业务记录的哪些字段

3.2.4.4. 粒度最小的层次

3.3. 系统运行安全检查与记录

3.3.1. 安全管理的常用工作方法

3.3.2. 预防事故、发现隐患、指导整改的必要工作手段

3.4. 系统运行安全管理制度

3.4.1. 系统运行的安全管理组织

3.4.2. 系统运行的安全管理

3.4.2.1. 安全等级

3.4.2.1.1. 保密等级

3.4.2.1.1.1. 绝密

3.4.2.1.1.2. 机密

3.4.2.1.1.3. 秘密

3.4.2.1.2. 可靠性等级

3.4.2.1.2.1. 最高的为A级

3.4.2.1.2.2. 系统运行所要求的最低限度可靠性为C级

3.4.2.1.2.3. 介于中间的为B级

3.4.2.2. 系统运行监视管理

3.4.2.3. 系统运行文件管理制度

3.4.2.4. 系统运行操作规程

3.4.2.5. 用户管理制度

3.4.2.6. 系统运行维护制度

3.4.2.7. 系统运行灾备制度

3.4.2.8. 系统运行审计制度

3.4.3. 系统运行的安全监督

3.4.4. 系统运行的安全教育

4. 信息安全等级保护

4.1. 国家信息安全等级保护坚持自主定级、自主保护的原则

4.2. 第一级

4.2.1. 对公民、法人和其他组织的合法权益造成损害

4.2.2. 不损害国家安全、社会秩序和公共利益

4.3. 第二级

4.3.1. 对公民、法人和其他组织的合法权益产生严重损害

4.3.2. 对社会秩序和公共利益造成损害

4.3.3. 不损害国家安全

4.3.4. 国家信息安全监管部门指导

4.4. 第三级

4.4.1. 对社会秩序和公共利益造成严重损害

4.4.2. 对国家安全造成损害

4.4.3. 国家信息安全监管部门监督、检查

4.5. 第四级

4.5.1. 【22上选69】

4.5.2. 对社会秩序和公共利益造成特别严重损害

4.5.3. 对国家安全造成严重损害

4.5.4. 国家信息安全监管部门强制监督、检查

4.6. 第五级

4.6.1. 对国家安全造成特别严重损害

4.6.2. 国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查

5. 计算机系统安全保护能力的五个等级

5.1. 用户自主保护级

5.2. 系统审计保护级

5.3. 安全标记保护级

5.4. 结构化保护级

5.5. 访问验证保护级

2016年上半年系统集成中项3月28日作业

第十二章 项目沟通管理

1、项目沟通管理包括哪些过程？（记）

1)沟通计划编制

2)信息分发

3)绩效报告

4)项目干系人管理

2、阻碍有效沟通的因素有哪些？

1)沟通双方的物理距离，不能过远也不能过近。

2)沟通的环境因素

3)缺乏清晰的沟通渠道

4)复杂的组织结构

5)复杂的技术术语

6)有害的态度

3、沟通计划编制的第一步是什么？目的是什么？

答：通常沟通计划编制的第一步是干系人分析，目的是得出项目中沟通的需求和方式，进而形成较为准确的沟通需求表，然后再针对需求进行计划编制。

4、沟通管理计划包括哪些内容（8条）

1)项目干系人沟通要求

2)对要发布信息的描述，包括格式、内容和详尽成都

3)信息接收的个人或组织

4)传达信息所需的技术或方法，如备忘录、电子邮件和新闻发布等

5)沟通频率，如每周沟通

6)上报过程，对下层无法解决的问题，确定问题上报的时间要求和管理链（名称）

7)随项目的进展对沟通管理计划更新与细化的方法

8)通用词语表

5、干系人沟通计划包括哪些内容？（记）

1)项目成员可以看到哪些信息，项目经理需要哪些信息，高层管理者需要哪些信息以及客户需要哪些信息等；

2)文件的访问权限、访问路径以及文件的接受格式等

3)根据项目团队组织结构确定内部人员的信息浏览权限，还需要考虑客户、客户的领导层和分包商等关键的干系人的沟通需求

4)项目还应该在初期计划的时候规定好一些主要的沟通规则。例如，那些事情由谁来发布、哪些会议由谁来召集、由谁来发布正式的文档等。

6、项目例会的主要议题有哪四条？

1)项目进展程度调查和汇报

2)项目问题的解决

3)项目潜在的风险的评估

4)项目团队人力资源协调

7、项目内部启动会议、外部启动会议分别要解决什么问题？

答：内部启动会议主要解决内部的资源调配和约束条件的确认；

外部启动会议主要是协调甲方和乙方的项目接口工作

8、项目总结会议的目的有哪些？

1)了解项目全过程的工作情况以及相关的团队或成员的绩效状况

2)了解出现的问题并提出改进措施

3)了解项目全过程中出现的值得吸取的经验并进行总结

4)对总结过后的文档进行讨论，通过后就存入公司的知识库，从而形成企业的知识累计

9、影响项目沟通的技术因素有哪些？

1)对信息需求的紧迫性

2)技术是否到位

3)预期的项目人员配备

4)项目时间的长短

5)项目环境

10、常用的四种沟通方式是什么？各有何优缺点？

1)书面与口头、听与说；书面的沟通方式优点是清晰，二义性少以及可以作为备忘录，也可作为双方沟通的证据。而确定是缺乏人性化，如果某些用语较为生硬，容易使双方的关系出现矛盾。口头的沟通方式较为人性化，也容易使双方充分了解和沟通。但口头的沟通也容易产生问题，例如缺乏沟通的有效证据，当一方的理解和另一方不同时，容易产生较强的分歧。

2)对内与对外；

3)正式与非正式；

4)垂直于水平；垂直方向（从下到上或从上到下）沟通的特点是：沟通信息传播速度快，准确程度高。水平方向沟通的特点是:复杂程度高，往往不受当事人的控制。

11、信息分发的工具和技术是什么？

1)信息收集和检索系统

2)信息发布系统

12、经验教训总结过程结果是什么？

1)经验教训知识库的更新

2)为知识管理系统增加新的依据

3)企业政策、程序和过程的更新

4)商业技能的改进

5)产品和服务的总体改进

6)风险管理计划的更新

13、绩效报告包括哪11条内容？是否有预测？

1)项目的进展和调整情况

2)项目的完成情况

3)项目总投入、资金到位情况

4)项目资金实际支出情况

5)项目主要效益情况

6)财务制度执行情况

7)项目团队各职能团队的绩效

8)项目执行中存在的问题以及改进措施

9)预测——随着项目的进展，根据获得的工作绩效信息对以前的预测进行更新并重新签发。

10)变更请求——对项目绩效进行分析后，通常需要对项目的某些方面进行变更。这些变更请求应按整体变更控制过程所描述的办法进行处理

11)其他需要说明的问题。

有预测。

14、项目干系人管理的方法有哪四条？

1)通过调查项目干系人需求和期望可以了解项目干系人的目标、目的和沟通层次。在沟通管理计划中，对这些需求和期望进行识别、分析和记录。

2)在进行干系人沟通时，项目经理需要充分理解干系人的需求以便充分与干系人合作，已达成项目的目标。

3)在进行干系人管理中，应使用沟通管理计划中为每个项目干系人确定的沟通方法。面对面会议是与项目干系人讨论、解决问题的最有效方法。如果不需要进行面对面会议或进行面对面会议不可行时（例如国际项目），则可利用电子邮件或传真的方式进行。

4)对干系人管理的主要目标是促进干系人对项目的理解与支持，使干系人了解项目的进展和有可能带来的影响。

 

第十三章 合同管理

1、哪些是无效合同（合同法第52条）？（记）

1)一方以欺诈、胁迫的手段订立合同，损害国家利益的合同

2)恶意串通，损害国家、集体或第三人利益，损害国家利益的合同

3)以合法形式掩盖非法目的损害国家利益的合同

4)损害社会公共利益

5)违反法律、行政法规的强制性规定。

2、按信息系统范围划分，合同分为哪几类？

1)总承包合同

2)单向项目承包合同

3)分包合同

3、签订分包合同必须同时具备哪些条件？

1)承包人只能讲自己承包的部分工程分包给具有相应资质条件的分包人；

2)分包工程必须经过发包人同意；

4、按照项目付款方式划分，合同分为哪几类？

1)总价合同

2)单价合同

3)成本加酬金合同

5、总价合同的适用条件是什么？

答：适用于工程量不太大且能精确计算、工期较短、技术不太复杂、风险不大的项目，同时要求发包人必须准备详细全面的设计图纸和各项说明

6、成本加酬金合同，主要适用于哪些项目？

1)需立即开展工作的项目

2)对项目内容及技术经济指标未确定的项目

3)风险大的项目

7、合同法规定的违约责任的承担方式有哪些？（记）

1)继续履行

2)采取补救措施（如质量不符合约定的，可以要求修理、更换、重做、退货、减少价款或报酬等）。

3)赔偿损失

4)支付约定违约金或定金

8、合同谈判分为哪六个阶段？各阶段的内容是什么？

1)准备阶段

调研，广泛收集资料

确立谈判目标

选择谈判时间、地点

组件谈判小组

制定谈判计划

2)开局摸底阶段

在谈判前须先陈述双方有关情况，如格子的期望、彼此的观点、成交的原则等，最终取得各自的最大利益（同时兼顾对方）。

3)报价阶段。

报价的形式

报价的原则

确定报价的起点

报价的方法

4)磋商阶段

搞清对方报价的依据

磋商中的讨价

磋商中的还价

5)成交阶段

此阶段整理谈判记录，形成合同草稿。

6)认可阶段

合同的正式签订组委本阶段的成果。

9、针对合同不明确情况，即合同法第62条，如何处理？（记）

1)当事人对标的质量要求不明确，按国家标准和行业标准。没有这些标准的，按产品通常标准或符合合同目的的标准；

2)履行地点不明确的，按标的的性质不同而定：接受货币在接受方，交付不动产的在不动产所在地，其他标的在履行义务方所在地。履行地在法律上具有非常重要的意义，它可以确定有谁负担，货物的所有权何时何处转移，货物丢失风险由谁承担等，在诉讼中，也是确定管辖权的重要依据，所以签订合同对履行地条款要特别注意。

3)履行期限不明的，债务人可随时履行，债权人可随时要求履行，但应给对方必要的准备时间。在这里特别提醒债权人要注意诉讼时效，关于随时履行收不收诉讼时效的制约目前仍有争议，不过最好在时效以内主张权利。

4)履行费用负担不明确的，有履行义务一方负担。履行费用是履行义务过程中各种附随发生的费用。在合同中应该考虑各种费用的分担，如果没有约定，视为由履行义务一方承担。

10、合同管理的主要内容有哪些？

1)合同签订管理

2)合同履行管理

3)合同变更管理

4)合同档案管理

11、合同变更控制系统包括哪些内容？

答：合同变更控制系统包括文书记录工作、跟踪系统、争端解决程序和授权变更所需的批准级别。

12、合同变更控制系统的一般处理程序？

1)变更的提出

2)变更请求的审查

3)变更的批准

4)变更的实施

13、合同变更的处理原则是什么？变更合同价款按哪些方法进行？（记）

答：合同变更的处理原则是“公平合理”

变更合同价款按照以下方法来进行：

1)首先确定合同变更量清单，然后确定变更价款

2)合同中已有适用于项目变更的价格，按合同已有的价格变更合同价款

3)合同中只有类似于项目变更的价格，可以参照类似价格变更合同价款

4)合同中没有适用或类似项目变更的价格，由承包人提出适当的变更价格，经监理工程师和业主确认后执行。

13、索赔的程序是什么？（记）同时，还要记里这里边的28天。（记）

1)提出索赔要求；在索赔事项发生后的28天以内向建立工程师正式提出索赔意向通知

2)报送索赔资料；在索赔通知书发出后的28天内，想监理工程师提出延长工期和（或）补偿经济损失的速配报告及相关材料。

3)监理工程师答复；监理工程师收到送交的索赔报告有关资料后，于28天内给予答复，或要求索赔方进一步补充索赔理由和证据。

4)监理工程师逾期答复后果；监理工程师在收到承包人送交的索赔报告的有关资料后28天未予答复或未对承包人作进一步要求，视为该项索赔已被认可。

5)持续索赔；当索赔事件持续进行时，索赔方应当阶段性向工程师发出索赔意向，在索赔事件终了后28天内，向工程师送交索赔的有关资料和最终索赔报告，工程师应在28天内给予答复或要求索赔方进一步补充索赔理由和证据。逾期未答复，视为该索赔成立。

6)仲裁与诉讼；监理工程师对索赔的答复，索赔方或发包人不能接受，即进入仲裁或诉讼程序。

本文出自 “学海无涯” 博客，谢绝转载！