易错题-项目变更管理+信息安全管理（答案）

易错题••项目变更管理+信息安全管理（答案）

1.移动互联网的迅速普及除了归功于网络带宽的增加之外，还与丰富的应用有密

不可分的关系。（）技术使得Web应用不仅丰富，而且能够实现高度的互动，

极大地改善了移动互联网用户的体验。

A.HTML5

B.Android

C.S0A

D.HTTPS

答案：A

考点：移动互联网。

来源：《系统集成项目管理工程师（第2版）》第168页。

2.在项目变更管理中，变更影响分析一般由（：负责。

A.变更申请提出者

B.变更管理员

C.变更控制委员会

D.项目经理

答案：D

实施整体变更控制过程贯穿于项目始终，并且应用于项目的各个阶段。项目经理

对此负最终责任。所以变更影响分析也应该由项目经理负责。

3.合同变更控制系统用来规范合同变更，保证买卖双方在合同变更过程中达成一

致，其内容不包括（

A.变更跟踪系统

B.变更书面记录

C.变更争议解决程序

D.合同审计程序

答案：D

合同变更的处理由合同变更控制系统来完成。合同变更控制系统包括文书记录工

作、跟踪系统、争议解决程序以及各种变更所需的审批层次。

4.下图是变更控制管理流程图，该流程图缺少（）。

A.评估影响记录

B.配置审计

C.变更定义

D.记录变更实施情况

答案：D

对比变更管理流程图，题干中的流程图在实施变更后缺少监控变更是否正确实施

的过程，即记录变更实施情况。

5.以下关于项目变更控制委员会的描述中（）是正确的。

A.CCB是作业机构

B.CCB的工作是通过评审手段来决定项目是否能变更，并提出变更方案

C.CCB是决策机构，又是作业机构

D.CCB是决策机构

答案：D

项目变更控制委员会或更完整的配置控制委员会:ConfigurationControlBoard,

CCB）,或相关职能的类似组织，是项目的所有者权益代表，负责裁定接受哪些变

更。

CCB由项目所涉及的多方人员共同组成，通常包括用户和实施方的决策人员。

CCB是决策机构，不是作业机构。

通常，CCB的工作是通过评审手段来决定项目是否能变更，但不提出变更方案。

6.整体变更控制过程实际上是对（）的变更进行标识、文档化、批准或拒绝，

并控制的过程。

A.详细的WBS计划

B.项目基准

C.项目预算

D.明确的项目组织结构

答案：B

本题考查项目变更控制。

《系统集成项目管理工程师教程》的“6.7整休变更控制”节指出：项目变更就

是对被批准的项目管理计划的变更，而被批准的项目管理计划就是项R基准。

7.项目整体变更控制管理的流程是：变更请求一（）o

A.同意或否决变更一变更影响评估一执行

B.执行变更一变更影响评估一同意或否决变更

C.变更影响评估一同意或否决变更一执行

D.同意或否决变更一执行一变更影响评估

答案：C

考点：项目变更。

来源：《系统集成项目管理工程师（第2版）》第257页。

8.在项目变更时，如果有人要求项目进度提前，那么根据变更控制流程，首先应

该（）o

A.提交书面的进度变更申请单

B.变更的影响分析

C.对该变更接受或拒绝

D.执行变更

答案：A

变更控制过程如下：（：）受理变更申请；（2）变更的整体影响分析：（3）接收或拒

绝变更；（4）执行变更；（5）变更结果追踪与审核。

如果有人要求项目进度提前，此时应先依据进度变更控制流程进行处理，包括提

交廿面的进度变更申请表、变更的影响分析、对该变更的接受或拒绝。如果接受

变更，变更后新的进度基准可能要求增加成本，可能带来质量风险，也可能要求

增加人力资源，所有这些连带的变更，则需要项目整体变更控制过程进行全面的

综合变更管理。

9.小张是软件研发项目经理，负责管理的某项目已经进入实现阶段，此时用户提

出要增加一项新的功能，小张应该（）。

A,拒绝该变更

B.通过变更控制流程进行处理

C.立即实现该变更

D.要求客户先去与公司领导协商

答案：B

B.所有的变更请求都必须以书面形式记录

C.所有的变更请求都必须交由变更控制委员会审批

D.客户也可以作为变更控制委员会成员

答案：C

项目的任何干系人都可以提出变更请求。尽管可以口头提出，但所有的变更请求

都必须以书面形式记录。每个记录在案的变更请求都必须由一位责任人批准或否

决，这个责任人通常是项目发起人或项目经理。必要时，应该由变更控制委员会

（CCB来决策是否实施整理变更控制过程。

所有的变更请求都必须交由变更控制委员会审批的错误之处在于：并非所有的变

更请求都必须交由CCB审批，对于一些不涉及项目范围、成本、进度变化的变更

请求，项目经理也可以做出批准。

14.（）不属于变更控制过程所包含的变更管理活动。

A.识别可能发生的变更

B.维持所有基线的完整性

C.完成防灾演习等特定工

D.系统升级

答案：C

整体变更控制过程基于项目的执行情况在不同层次上包含以下变更管理活动：（1）

识别可能发生的变更。（2）管理每个己识别的变更。（3）维持所有基线的完整性。

（4）根据已批准的变更，更新范围、成本、预算、进度和质量要求协调整体项

目内的变更。例如，一个被提出的进度变更通常会影响成本、风险、质量和人

员配置。（5）基于质量报告，控制项目质量使其符合标准。（6）维护一个及时、精

确的关于项目产品及其相关文档的信息库，直至项目结束。

15.变更管理有两个重要的用途，一是（）；二是变更度量分析，帮助组织提升

自身的项目管理能力。

A.分析变更的原因，并管理这些原因

B.规避风险，确保项目顺利

C.限制变更，维持项目的计划

D.控制变更，保证项目可控

答案：D

本题考察项目变更知识。变更管理要能体现出它的两个重要用途，一个是控制变

更，保证项目可控；一个是变更度量分析，帮助组织提供自己的开发能力。

16.某企业应用系统为保证运行安全，只允许操作人员在规定的工作时间段内登

录该系统进行业务操作，这种安全策略属于（）层次。

A.数据域安全

B.功能性安全

C.资源访问安全

D.系统级安全

答案：D

应卤系统运行中涉及的安全和保密层次包括系统级安全、资源访向安全、功能性

安全和数据安全。这4个层次的安全，按照粒度从粗到细的排序是系统级安全、

资源访问安全、功能性安全、数据域安全。程序资源访问控制安全的粒度大小界

于系统级安全和功能性安全两者之间，是最常见的应用系统安全问题，几乎所有

的应用系统都会涉及这个安全问题。

（1）系统级安全

企业应用越来越复杂，因此制定得力的系统级安全策略才是从根本上解决问题的

基础。通过对现行安全技术的分析，制定系统级安全策略，策略包括敏感系统的

隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、连接数的

限制、特定时间段内登录次数的限制以及远程访问控制等，系统级安全是应用系

统的第一级防护大门。（2）资源访问安全

对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户

界面，仅出现和其权限相符的菜单和操作按钮；在服务端则对IRL程序资源和业

务服务类方法的调用进行访问控制。

（3）功能性安全

功能性安全会对程序流程产生影响，如用户在操作业务记录时，是否需要审核，

上传附件不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序

流程内的限制，在一定程度上影响程序流程的运行。

（4）数据域安全

数据域安全包括两个层次，其一是行级数据域安全，即用户可以访问哪些业务记

录，一般以用户所在单位为条件进行过滤；其二是字段级数据域安全，即用户可

以访问业务记录的哪些字段。不同的应用系统数据域安全的需求存在很大的差别,

业务相关性比较高。

根据上述定义，只允许操作人员在规定的工作时间段内登录该系统进行业务操作,

属于“系统级安全”层次。

17.根据《关于信息安全等级保护工作的实施意见》，如信息系统受到破坏后：会

对社会秩序和公共利益造成较大损害，或者对国家安全造成损害，该信息系统

应实施（）的信息安全保护。

A.第一级

B.第二级

C.第三级

D.第四级

答案：C

本考题考查的知识点为信息安全等级保护基础知混。

信息系统的安全保护等级分为五级：第1级，信息系统受到破坏后，会对公民、

法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重

损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；第三级，信息

系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成

损害；第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损

害，或者对国家安全造成严重损害；第五级，信息系统受到破坏后，会对国家安

全造成特别严重损害。

18.按照系统安全等级中的可靠性等级由高到低分别为（）。

A.绝密、机密、秘密

B.军用、商用、民用

C.A级、B级、C级

D.使用级、修改级、控制级

答案：C

根施《系统集成项目管理工程师教程》中“17.5.2应用系统运行中的安全管理”

一节的所述内容，系统安全等级管理是根据应用系统所处理数据的秘密性和重要

性确定安全等级，并据此采用有关规范和制定相应管理制度。安全等级可分为保

密等级和可靠性等级两种，系统的保密等级与可靠性等级可以不同。保密等级应

按有关规定划为绝密、机密和秘密。可靠性等级可分为三级，对可靠性要求最高

的为A级，系统运行所要求的最低限度可靠性为C级，介于中间的为B级。安全

等级管理就是根据信息的保密性及可靠性要求采取相应的控制措施，以保证应用

系统及数据在既定的约束条件下合理合法的使用。

19.应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功

能性安全和数据域安全。以下关于这四个层次安全的，错误的是()。

A.按粒度从粗到细排序为系统级安全、资源访问安全、功能性安全、数据域

安全

B.系统级安全是应用系统的第一道防线

C.所有的应用系统都会涉及资源访问安全问题

D.数据域安全可以细分为记录级数据域安全和字段级数据域安全

答案：C

应用系统运行中涉及的安全和保密层次包括系统级安全、资源访问安全、功能性

安全和数据域安全。这4个层次的安全，按粒度从粗到细的排序是：系统级安全、

资源访问安全、功能性安全、数据域安全。程序资源访问控制安全的粒度大小界

于系统级安全和功能性安全两者之间，是最常见的应用系统安全问题，几乎所有

的应用系统都会涉及这个安全问题。

(1)系统级安全

企业应用系统越来越复杂，因此制定得力的系统级安全策略才是从根本上解决问

题的基础。应通过对现行系统安全技术的分析，制定系统级安全策略，策略包括

敏感系统的隔离、访问IP地址段的限制、登录时间段的限制、会话时间的限制、

连接数的限制、特定时间段内登录次数的限制以及远程访问控制等，系统级安全

是应用系统的第一道防护大门。

(2)资源访问安全

对程序资源的访问进行安全控制，在客户端上，为用户提供和其权限相关的用户

界面，仅出现和其权限相符的菜单和操作按钮；在服务端则对LKL程序资源和业

务服务类方法的调用进行访问控制。可见不是“所有的应用系统都会涉及资源访

问安全问题”。

(3)功能性安全

功能性安全会对程序流程产生影响，如用户在操作业务记录时是否需要审核、上

传附件不能超过指定大小等。这些安全限制已经不是入口级的限制，而是程序流

程内的限制，在一定程度上影响程序流程的运行。

(4)数据域安全

数据域安全包括两个层次，其一是行级数据域安全，即用户可以访问哪些业务记

录，一般以用户所在单位为条件进行过滤；其二是字段级数据域安全，即用户可

以访问业务记录的哪些字段。不同的应用系统数据域安全的需求存在很大的差别,

业务相关性比较高。

20.以下不属于主动式攻击策略的是（）o

A.中断

B.篡改

C.伪造

D.窃听

答案：D

计算机网络上的通信面临以下4种威胁：

（1）截获。从网络上纷听他人的通信内容。

（2）中断。有意中断池人在网络上的通信。

（3）篡改。故意篡改网络上传送的报文。

（4）伪造。伪造信息在网络上传送。

所谓主动攻击是指更改信息和拒绝用户使用资源的攻击，攻击者对某个连接中通

过的PDU进行各种处理。

所谓被动攻击是指截获信息的攻击，攻击者只是观察和分析某一个协议数据单元

PDU而不干扰信息流。

因此，截获属于被动攻击；而中断、篡改、伪造属于主动攻击。

21.以下关于计算机病毒与蠕虫的特点比较的叙述中，正确的是：（）。

A.在传染机制中，蠕虫是通过宿主程序运行的

B.为系统打补丁，能有效预防蠕虫，但不能有效预防病毒

C.在触发机制中，蠕虫的触发者是计算机的使用者

D.蠕虫和病毒都是寄生模式存在

答案：B

病毒与蠕虫的区别：

（1）存在形式上病毒寄生在某个文件上，而蠕虫是作为独立的个体而存在

（2）传染机制方面病毒利用宿主程序的运行，而蠕虫利用系统存在的漏洞

⑶传染目标病毒针对本地文件，而蠕虫针对网络上的其他计算机

⑷防治病毒是将其从宿主文件中删除，而防治蠕虫是为系统打补丁。

（5）在触发机制中，蠕虫的触发者是蠕虫病毒的发布者。

22、某公司接到通知，上级领导要在下午对该公司机房进行安全检查，为此公司

做了如下安排：

①了解检查组人员数量及姓名，为其准备访客证件

②安排专人陪同检查人员对机房安全进行检查

③为了体现检查的公正，下午为领导安排了一个小时的自由查看时间

④根据检查要求，在机房内临时设置一处吸烟区，明确规定检查期间机房内其他

区域严禁烟火

上述安排符合《GB/T20269-2006信息安全技术信息系统安全管理要求》的做法

是（）。

A.③④

B.②③

C.①②

D.②④

答案：C

在《信息安全技术信息系统安全管理要求GB/T20269—2006》物理安全管理中

给出了技术控制方法：

⑴检测监视系统

应建立门禁控制手段，任何进出机房的人员应经过门禁设施的监控和记录，应有

防止绕过门禁设施的手段（可见“③为了体现检查的公正，下午为领导安排了一

个小时的自由查看时间是错误的）；门禁系统的电子记录应妥善保存以备查；进

入机房的人员应佩戴相应证件（可见“①了解检查组人员数量及姓名，为其准备

访客证件”是正确的）；未经批准，禁止任何物理访问；未经批准，禁止任何人

移动计算机相关设备或带离机房。

机房所在地应有专设警卫，通道和入口处应设置视频监控点。24小时值班监视；

所有来访人员的登记记录、门禁系统的电子记录以及监视录像记录应妥善保存以

备查；禁止携带移动电话、电子记事本等具有移动互联功能的个人物品进入机房。

（2）人员进出机房和操作权限范围控制

应明确机房安全管理的责任人，机房出入应有指定人员负责，未经允许的人员不

准进入机房；获准进入机房的来访人员，其活动范围应受限制，并有接待人员陪

同（可见“②安排专人陪同检查人员对机房安全进行检查”是正确的）；机房钥

匙由专人管理，未经批准，不准任何人私自复制机房钥匙或服务器开机钥匙；没

有指定管理人员的明确准许，任何记录介质、文件材料及各种被保护品均不准带

出机房，与工作无关的物品均不准带入机房；机房内严禁吸烟及带入火种和水源

（可见“④根据检查要求，在机房内临时设置一处吸烟区，明确规定检查期间

机房内其他区域严禁烟火”是错误的）。

应要求所有来访人员经过正式批准，登记记录应妥善保存以备查；获准进入机房

的人员，一般应禁止携带个人计算机等电子设备进入机房，其活动范围和操作行

为应受到限制，并有机房接待人员负责和陪同。

23.在某次针对数据库的信息安全风险评估中，发现其中对财务核心数据的逻辑

访问密码长期不变。基于以上现象，下列说法正确的是（）o

A.该数据不会对计算机构成威胁，因此没有脆弱性

B.密码和授权长期不变是安全漏洞，属于该数据的脆弱性

C.密码和授权长期不变是安全漏洞，属于对该数据的威胁

D.风险评估针对设施和软件，小针对数据

答案：B

威胁、脆弱性、影响之间存在着一定的对应关系，威胁可看成从系统外部对系统

产生的作用，而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系

统内部的薄弱点。脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威协可

以利用脆弱性发挥作用。假设威胁不存在，系统本身的脆弱性仍然带来一定的风

险。系统本身脆弱性导致的损失，与威胁不一定相关。

密码和授权长期不变是系统内部客观存在的薄弱点，因此属于脆弱性。

24.某公司财务管理数据只能提供给授权的用户，通过采取安全管理措施来确保

信息不能被未授权的个人、实体或过程利用或知悉，以确保数据的（）。

A.保密性

B.完整性

C.可用性

D.稳定性

答案：A

保密性是应用系统的信息不被泄露给非授权的用户、实体或过程，或供其利用的

特性。即防止信息泄漏给非授权个人或实体，信息只为授权用户使用的特性。

25.某公司系统安全管理员在建立公司的“安全管理体系”时，根据

GB/T20269-2006《信息安全技术信息系统安全管理要求》，对当前公司的安全风

险进行了分析和评估，他分析了常见病毒对计算机系统、数据文件等的破坏程度

及感染特点，制定了相应的防病毒措施。这一做法符合（）的要求。

A.资产识别和评估

B.威胁识别和分析

C.脆弱性识别和分析

D.等保识别和分析

答案：B

按照GB/T20269-2006《信息安全技术信息系统安全管理要求》，风险分析和评

估包括：

•资产识别和分析

对资产识别和分析，不同安全等级应有选择地满足以下要求的一项：

①信息系统的资产统计和分类：确定信息系统的资产范围，进行统计和编制资产

清单，并进行资产分类和重要性标识。

②信息系统的体系特征描述：在①的基础上，根据对信息系统的硬件、软件、系

统接口、数据和信