2012年系统集成项目管理工程师复习摘要

（1）项目变更的基本概念：

?变更的分类：

?按性质（重大变更、重要变更、一般变更） ?按迫切性（紧急变更、非紧急变更）

?按领域和阶段（进度变更、成本变更、质量变更、设计变更、实施变更、工作（产品）范围变更） ?按发生的空间（内部变更、外部环境变更）

?按变更的内容（弱电过程、应用开发、集成、IT咨询等）

（2）变更管理的基本原则：

?基准管理 ?建立变更控制流程 ?明确组织分工 ?完整体现变更的影响 ?妥善保存变更产生的相关文档

（3）变更管理组织机构与工作程序：

1) CCB（变更控制委员会）：项目的所有者权益代表，是决策机构，不是作业机构，其工作是通过评审手段来决定项目是否能变更，但不提出变更方案。

2)项目经理：响应变更提出者的要求；评估变更的影响；根据评审结果实施即调整项目基准。

3)工作程序：1）提出与接受变更申请 2）对变更初审 3）变更方案论证 4）项目变更控制委员会审查 5）发出变更通知并开始实施 6）变更实施的监控 7）变更效果的评估 8）判断发生变更后的项目是否已纳入正常轨道。 4)变更管理的工作内容： 1）对变更产生的因素施加影响，防止不必要的变更，提高效率 2）对变更的确认应当正式化 3）变更的操作过程应当规范化。 5)严格控制项目变更申请的提交。

6)变更控制：1）对进度变更控制 2）对成本变更控制 3）对合同变更的控制。 7)变更管理与其他项目管理要素之间的关系： ??1）变更管理属于项目整体变更控制的范畴

??2）变更管理与配置管理为相关联的两套机制；变更管理也可视为配置管理的一部分。

33

第17章信息系统安全管理

（1）信息安全管理：

?信息安全属性及目标：保密性、完整性、可用性、真实性、可核查性、不可抵赖性、可靠性。

?信息安全管理的内容：在 ISO/IEC27000系列标准中，它将信息安全管理的内容主要概括为 11个方面：1）信息安全方针与策略 2）组织信息安全 3）资产安全 4）人力资源安全 5）物理和环境安全 6）通信和操作安全 7）访问控制 8）信息系统的获取、开发和保持 9）信息安全事件管理 10）业务持续性管理 11）符合性

（2）信息系统安全：

1)信息系统安全概念：信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征，一般包括保障计算机及其相关的和配套的设备、设施的安全，运行环境的安全，保障信息的安全，以保障信息系统功能的正常发挥，以维护信息系统的安全运行。

2)信息系统安全属性：1）保密性 2）完整性 3）可用性 4）不可抵赖性 3)信息系统安全管理体系：

?管理体系：在组织机构中应建立安全管理机构，不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系：1）配备安全管理人员 2）建立安全职能部门 3）成立安全领导小组 4）主要负责人出任领导 5）建立信息安全保密管理部门

?技术体系：从安全角度，组成信息系统各个部分的硬件和软件都应有相应的安全功能，确保在其所管辖范围内的信息安全和提供确定的服务。 GB/T20271-2006中将信息系统安全技术体系具体描述为：1）物理安全（环境安全、设备安全、记录介质安全 2）运行安全 3）数据安全

（3）物理安全管理：

?计算机机房与设施安全：

?计算机机房：1）机房场地选择 2）机房空调、降温 3）机房防水与防潮 4）机房接地与防雷击

?电源：根据对机房安全保护的不同要求，机房供、配电分为如下几种： 1）分开供电 2）紧急供电 3）备用供电 4）稳压供电 5）电源保护 6）不间断供电 7）电器噪声防护 8）突然事 件防护

?计算机设备：1）设备的防盗和防毁 2）设备的安全可用

?通信线路：根据对通信线路安全的不同要求，通信线路安全防护分为以下几种： 1）确保线路通畅 2）发现线路截获 3）及时发现线路截获 4）防止线路截获

?技术控制：1）检测监视系统 2）人员进出机房和操作权限范围控制

?环境与人身安全：1）防火 2）防漏水和水灾 3）防静电 4）防自然灾害 5）防物理安全威胁 ?电磁兼容：1）计算机设备防止泄漏 2）计算机设备的电磁辐射标准和电磁兼容标准

（4）人员安全管理：

?安全组织：建立管理框架，以启动和控制组织范围内的信息安全的实施。 ?岗位安全考核与培训 ?离岗人员安全管理

（5）应用系统安全管理：

?应用系统安全管理的实施： 1）建立应用系统的安全需求管理 2）严格应用系统的安全检测与验收 3）加强应用系统的操作安全控制 4）规范变更控制 5）防止信息泄漏 6）严格访问控制 7）信息备份 8）应用系统的使用监视

?应用系统运行中的安全管理：1）组织管理层在系统运行安全管理中的职责（资源分配、标准和程序、应用系统的过程监控）2）系统运行安全的审查目标 3）系统运行安全与保密的层次构成（系统级安全、资源访问安全、功能性安全、数据域安全）4）系统运行安全检查与记录 5）系统运行安全管理制度（安全管理组织、系统运行的安全管理、系统运行的安全监督、系统运行的安全教育）

34

35

第18章项目风险管理

在项目管理中，任何活动都不可避免地存在不确定性，因而也就存在着各种各样的风险，项目经理的目标和任务就是与风险做斗争。项目风险管理过程包括如下内容：

36