201711系统规划下午真题
第 1 题
请详细阅读以下关于IT服务管理的说明,回答问题1、问题2、和问题3,并将解答填入答题纸的对应栏内。
【说明】
陈俊是某公司运维部门经理,由于最近反馈到运维部门的事件数量下降,陈经理自然认为客户的抱怨比前期少了。周三陈经理按照惯例去和客户开碰头会。
“早啊,何总。”陈经理一进会议室就与客户主管何总打了招呼。
“嗯”何总阴沉着脸应了一句。陈经理一看觉得气氛不对,再一看周边几个区域管理员都没了以往的兴致勃勃的劲,老老实实坐在那里,便意识到出了问题,立刻打起十二分的精神。
“开会了!”何总看到陈经理进来之后立刻宣布会议开始,并说“今天的会议就一个主题:维护。上周公司领导去基层检查工作发现计算机设备维护存在不少问题。”,陈经理一听便知何总下面的话是说给自己听的。
“最近系统运行不稳定,我们要求提供服务的时候,系统却停止服务进行维护,不能提供充分的服务时间。”何总说到这里有点激动,接着说“希望你们尽快解决这个问题,确保提供正常的系统服务。特别是公司要在‘十一’黄金周进行促销活动,你们必须为黄金周业务的正常运营提供保障”。
陈经理返回办公室后仔细查阅了相关《运维服务合同》,但从该合同中无法得知“十一”期间是否一定要提供服务,并且“十一”期间维护部门已经安排了系统检修工作。
【问题1】(9分)
在该案例中系统维护要求与客户服务要求存在哪些问题?
【问题2】(10分)
请举例说明IT服务需求识别阶段的5个方面的活动。
【问题3】(6分)
请根据试题说明,列举IT服务运营管理中应当充分重视并执行的3个事项。
答案与解析
- 试题难度:较难
- 知识点:下午应用题>IT服务运维管理
- 试题答案:【问题1】
近期系统运行状况不能得到充分反映,客户反映事件无法完全反馈到运行经理,缺乏必要运行支撑系统
由于客户要求的服务时间变动比较大,服务水平管理无法充分了解客户需求,造成在客户需要服务的时期进行系统维护
缺乏统一的可用性管理。可用性管理要求系统运行过程中要适当的维护期,在维护期中停止系统运行
【问题2】IT服务可用性需求识别
IT 服务业务连续性需求识别
IT 服务能力需求识别
信息安全需求识别
价格需求识别
IT服务报告需求识别
【问题3】
更新服务目录并管理服务级别变更
监控服务级别协议执行情况
对关键性指标进行管理(服务目录定义的完整性、签订服务级别协议的规范性、服务级别考核评估机构的有效性和完整性)
- 试题解析:【问题1】
从对话中可以看出主要存在三个方面的问题:
近期系统运行状况不能得到充分反映,客户反映事件无法完全反馈到运行经理,缺乏必要运行支撑系统
由于客户要求的服务时间变动比较大,服务水平管理无法充分了解客户需求,造成在客户需要服务的时期进行系统维护
缺乏统一的可用性管理。可用性管理要求系统运行过程中要适当的维护期,在维护期中停止系统运行
【问题2】IT服务需求识别包括:可用性需求、连续性需求、能力需求、信息安全需求、价格需求等
IT服务可用性需求识别:从业务角度分析,IT服务不可用(或质量下降)时造成的成本损失;IT服务不可用对业务的影响,即客户可以承受多长的停机时间;如:平均无故障时间、平均故障修复时间、平均故障间隔
IT 服务业务连续性需求识别:通过风险评估找出潜在的威胁,然后引入风险降低的措施或恢复等手段达成目的。如:编制灾难恢复计划、应急处理计划
IT 服务能力需求识别:分析要对客户业务需求、客户现状和信息系统有清晰的了解,保证所有对能力的需求都以合理的成本加以满足,尤其是对于未来能力需求的把握。如:当前和未来的能力需求
信息安全需求识别:识别组织对信息在机密性、完整性、可用性方面的要求。如:信息的机密性、可用性、完整性等
价格需求识别:通过反复沟通和确认,在IT服务内容确认后,估算IT服务的成本。如:软件成本、设备成本、人力成本等
IT服务报告需求识别:对IT服务过程提供的各类IT服务报告的需求进行识别。如:报告的前提、报告的内容等
【问题3】
题干描述中“陈经理返回办公室后仔细查阅了相关《运维服务合同》,但从该合同中无法得知“十一”期间是否一定要提供服务,并且“十一”期间维护部门已经安排了系统检修工作。”说明产生这些问题的主要原因是SLA和服务目录问题:没有及时更新、没有对可用性和连续等方面做出明确的约定、服务目录没有及时更新等。另外发生问题后,陈经理自身不知道,说明没有对SLA执行进行监控,和及时通知相关人员等。
综合来看应该:
更新服务目标并管理服务级别变更:产生新的服务需求及请求,或者组织服务能力提升、服务范围扩大,或客户在原有服务范围的基础上变更服务级别需求,均应对服务目录进行及时更新,并在与客户协商一致的基础上对服务级别协议进行变更
监控服务级别执行情况:需要定期监控服务级别的达成情况,做出服务级别监控图表,对不同程度的服务级别协议违反情况提出警告,通知相关人员
对关键指标进行管理:服务目录定义的完整性,签订服务级别协议文件的规范性,服务级别考核评估机制的有效性和完整性。
</div>
第 2 题
请详细阅读以下关于项目实施方面的说明,回答问题1、问题2、和问题3,并将解答填入答题纸的对应栏内。
【说明】
李涛是某公司一名技术骨干,沟通能力比较强,因此项目部张经理委派他担任一个中等项目的项目经理。李涛负责的项目有以下特点:
(1)项目刚刚完成立项,从项目的技术可行性分析预计规模为100人*月,涉及5个需求部门。
(2)项目涉及与合作方的实时联机交易和批量文件交换,必须在6个月后按合作方规定的日期投产(该投产日期非版本计划投产日),投产前必须通过合作方的验收。
(3)与合作方的连接需要使用新设备,涉及采购。新设备中的应用程序由设备提供商负责开发。
(4)项目组成员中的新员工比率达30%。
【问题1】(9分)
在IT服务风险管理中,风险识别主要包括哪些内容?
【问题2】(12分)
(1)请根据试题的【说明】识别本项目存在的风险。
(2)针对已识别的风险应采取哪些应对措施?
【问题3】(4分)
从风险管控的角度出发,李涛应如何进行管理,以确保项目顺利实施?
答案与解析
- 试题难度:较难
- 知识点:下午应用题>监督管理
- 试题答案:【问题1】
识别并确定IT服务的潜在风险:确定服务可能会遇到的风险,分析这些风险的性质和后果,全面分析服务的各种影响因素,找出可能存在的各种风险,整理汇总成风险清单
识别引起风险的主要因素:识别各风险的主要影响因素,把握风险发展变化的规律,衡量风险的可能性与后果。可以根据风险清单,全面分析各风险的主要影响因素,描述清楚这些风险的主要因素同风险的相互关系
识别IT服务风险可能引起的后果:风险识别的根本目的就是要缩小和消除风险可能带来的不利后果,所以要分析风险可能带来的后果和这种后果的严重程度
【问题2】本题请大家适当理解
(1)
客户关系风险:未能了解真正的客户需求,特别是关键客户的需求;干系人多,服务需求多样化。
第三放风险:沟通不畅;未能提前识别并约定所有可能的情况,出现利益及责任分配问题;第三方工作得不到客户的支持;交付物风险;
沟通风险:
供应商关系风险:未能提前识别并约定所有可能的情况,出现利益及责任分配问题;供应商组织变动或业务发生变更;供应商不配合
人员管理风险:沟通问题;人员连续性问题;负面情绪;考核指标不明确
(2)
客户关系风险:挖掘客户真正的需求,及时签署补充协议,争取客户高层的支持和配合;针对客户提供差异化的服务报告及时总结回顾,为客户内部提供相关成本的核算数据,必要时引导客户签署补充协议。
第三方风险:建立良好的第三方协作沟通机制;与第三方界定工作协作机制,避免留有产生争议的空间;提前获取客户对相关第三方工作的支持;明确交付物的内容和验收标准。
供应商风险:签署明确有效的支持合同,避免留有产生争议的空间及时识别潜在的争议,并有效处理;建立供应商备份机制,定期对供应商进行审核及评估;选择有效的供应商;加强沟通;争取供应商的高层支持和配合。
人员管理风险:建立良好的沟通协作机制,进行服务意识及沟通能力培训;实施有效的人员连续性管理措施;引导积极向上的团队文化,进行团建;按照SMART原则定义人员绩效指标。
参考:其它答案(与本科目有较大的差异)基于项目管理的风险理论识别风险
【问题3】
进度风险:项目规模100人月,按项目标准工期模型,此项目开发周期约为215工作日,其中需求编写阶段28工作日。而离合作方要求的投产时间只有6个月(约132)工作日,实际工期只有理论工期的61%。如果考虑安排1个月适合性测试,开发实际工期只有理论工期的51%,存在进度风险,可能导致项目延期
规模风险:业务需求部门多达5个,有潜在的产品规模风险
技术风险:合作方要求的投产时间点与版本计划投产日期不一致,投产前涉及版本同步工作,有潜在的技术风险
外部风险:与合作方的连接是项目实施的关键路径,涉及采购和外公司的程序开发,有潜在的外部风险
人员风险:项目组新人比率过高,有人员风险
应对措施
减缓进度风险。在项目计划上,申请测试流程整合,裁剪适应性测试和非必选流程,并要求适应性测试人员从项目需求编制阶段就分批加入项目,尽可能保障项目的开发工期
接受规模风险:在项目前期,要求各业务部门到项目部门与项目组设计人员一并集中办公,增加需求的整体感,并提高效率,减少需求文档编制阶段的时间。对于各部门未达成一致且优先级较低的需求,可考虑在二期实现,以减缓此风险
减缓外部风险:第一时间提交采购所需文档,申请通过紧急流程进行采购活动。需求明确后,优先安排与外公司的接口设计工作
接受技术风险:提前规划和申请项目所要使用的各种开发、验证环境
接受人员风险:在需求编制阶段,启动对新员工的技术和业务培训。并通过完成练习题的方式检查培训结果。并与开发部门沟通,确认这些资源额按计划投入
制定分析管理计划
进行风险识别
进行风险分析(定性分析、定量分析)
制定分析处置计划
项目过程中进行风险监控
进行风险跟踪 - 试题解析:【问题1】
风险识别是指识别可能会对服务产生影响的风险,并将这些风险的特征形成文档,是一个不断重复的过程。
IT服务风险识别是一项风险管理工作,其目标是识别和确定出风险、风险的基本特性,以及可能影响到哪些方面。风险识别的主要内容包括以下三方面:
识别并确定IT服务的潜在风险:确定服务可能会遇到的风险,分析这些风险的性质和后果,全面分析服务的各种影响因素,找出可能存在的各种风险,整理汇总成风险清单
识别引起风险的主要因素:识别各风险的主要影响因素,把握风险发展变化的规律,衡量风险的可能性与后果。可以根据风险清单,全面分析各风险的主要影响因素,描述清楚这些风险的主要因素同风险的相互关系
识别IT服务风险可能引起的后果:风险识别的根本目的就是要缩小和消除风险可能带来的不利后果,所以要分析风险可能带来的后果和这种后果的严重程度
【问题2】本题请大家适当理解
风险
(1)的说明中说明项目比较大,干系人会比较多,可能存在客户风险和干系人方面的风险
(2)的说明中涉及第三方,和交付物,可能存在第三方、交付物风险
(3)的说明中涉及供应商,可能存在供应商风险
(4)的说明中新人战30%,可能存在人员连续性、能力、沟通等人员方面的风险
针对以上的风险,应该采用针对性的措施:
客户关系风险:未能了解真正的客户需求,特别是关键客户的需求;干系人多,服务需求多样化。
第三放风险:沟通不畅;未能提前识别并约定所有可能的情况,出现利益及责任分配问题;第三方工作得不到客户的支持;交付物风险;
沟通风险:
供应商关系风险:未能提前识别并约定所有可能的情况,出现利益及责任分配问题;供应商组织变动或业务发生变更;供应商不配合
人员管理风险:沟通问题;人员连续性问题;负面情绪;考核指标不明确
参考:其它答案(与本科目有较大的差异)基于项目管理的风险理论:识别风险
【问题3】
进度风险:项目规模100人月,按项目标准工期模型,此项目开发周期约为215工作日,其中需求编写阶段28工作日。而离合作方要求的投产时间只有6个月(约132)工作日,实际工期只有理论工期的61%。如果考虑安排1个月适合性测试,开发实际工期只有理论工期的51%,存在进度风险,可能导致项目延期
规模风险:业务需求部门多达5个,有潜在的产品规模风险
技术风险:合作方要求的投产时间点与版本计划投产日期不一致,投产前涉及版本同步工作,有潜在的技术风险
外部风险:与合作方的连接是项目实施的关键路径,涉及采购和外公司的程序开发,有潜在的外部风险
人员风险:项目组新人比率过高,有人员风险
应对措施
减缓进度风险。在项目计划上,申请测试流程整合,裁剪适应性测试和非必选流程,并要求适应性测试人员从项目需求编制阶段就分批加入项目,尽可能保障项目的开发工期
接受规模风险:在项目前期,要求各业务部门到项目部门与项目组设计人员一并集中办公,增加需求的整体感,并提高效率,减少需求文档编制阶段的时间。对于各部门未达成一致且优先级较低的需求,可考虑在二期实现,以减缓此风险
减缓外部风险:第一时间提交采购所需文档,申请通过紧急流程进行采购活动。需求明确后,优先安排与外公司的接口设计工作
接受技术风险:提前规划和申请项目所要使用的各种开发、验证环境
接受人员风险:在需求编制阶段,启动对新员工的技术和业务培训。并通过完成练习题的方式检查培训结果。并与开发部门沟通,确认这些资源额按计划投入
针对IT服务项目中的风险,李涛应该进行风险管理:
风险管理包括:策划、组织、领导、协调和控制等活动,通过风险识别、风险分析和风险评估,提供一个有效的事先计划,并合理地使用回避、减少、分散或转移等方法,对风险实行有效的控制,妥善地处理风险造成的不利后果,以合理的成本保证安全,可靠地实现预定的目标,减少风险对组织资源、收益和现金流的不利影响。具体包含:制定分析管理计划、进行风险识别、进行风险分析(定性分析、定量分析)、制定分析处置计划、项目过程中进行风险监控、进行风险跟踪等活动。
第 3 题
请详细阅读有关信息安全管理方面的说明,回答问题1、问题2、和问题3,并将解答填入答题纸的对应栏内。
【说明】
(1)2017年5月12日,新型“蠕虫”勒索病毒Wanna Cry在全球大规模爆发。这是一起利用NSA黑客武器库泄露的“永恒之蓝”发起的病毒攻击事件。国内连接校园网络的电脑以及部分企业中了该病毒,造成许多高校毕业生的论文以及企业单位的文档被锁,需要支付高额赎金才能解密。
(2)2017年6月27日,乌克兰、俄罗斯、印度及欧洲多个国家遭遇新型勒索病毒Petya的袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度受到了影响。国内已有个别企业用户疑似遭到攻击。
(3)“永恒之蓝”会扫描开放445等端口的安装有Windows操作系统的机器,并利用相关系统漏洞,无需任何操作,只要开机上网,就能在电脑和服务器中植入勒索病毒,并进行大规模爆发性传播。
【问题1】(9分)
《计算机信息安全保护等级划分准则》中规定的计算机信息系统安全保护能力共分为哪几个等级?
【问题2】(12分)
请简述在建立信息安全管理体系(ISMS)中使用的模型原理。
【问题3】(4分)
(1)针对上述病毒应该采用什么应对措施?
(2)从信息安全管理角度应采取哪些预防措施?
答案与解析
- 试题难度:较难
- 知识点:下午应用题>监督管理
- 试题答案:试题答案
【问题1】
《计算机信息系统安全保护等级划分准则》将信息系统安全分为:自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级
【问题2】
信息安全管理体系(ISMS):是整个管理体系的一部分。是基于业务风险的方法来建立、实施、运行、监视、评审、保持和改进信息安全(注:管理体系包括:组织、结构、方针政策、规划活动、职责、实践、程序、过程和资源)在建立信息安全管理体系(ISMS)中,使用PDCA模型作为建立西悉尼安全管理体系的模型。P——建立信息安全管理体系及风险评估,根据风险评估结果、法律法规要求、组织确定控制目标与控制措施D——实施并运行信息安全管理体系C——监视并评审信息安全管理体系,对安全措施的实施情况进行符合性检查A——改进信息安全管理系统,根据ISMS审核、管理评审的结果及其相关信息,采取纠正和预防措施,实现ISMS的持续改进【问题3】
(1)备份重要文件;清除病毒;开启防火墙,关闭445端口(或者停用LanmanServer服务);识别网络中软件和设备并部署补丁程序(特别是ms17-010补丁);升级系统到最新版本;必要时先断网进行上述工作。
(2)定义信息安全策略;定义信息安全管理体系的范围;进行信息安全风险评估;确定管理目标和选择管理措施;准备信息安全适用性申明
建立信息安全保障机制及相应的紧急事件应急体系,明确人员的分工和责任使用网络安全产品,确保企事业单位互联网入口的信息安全使用技术手段,确保企事业单位内部的计算机和服务器的防病毒软件和操作系统补丁是最新建立容灾备份及恢复机制,对重要数据有备份和恢复方法并进行定期进行演练 - 试题解析:试题分析
【问题1】
2001年1月1日起由公安部组织制定、国家技术标准局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》开始实施,该准则将信息系统安全分为:自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级
【问题2】
信息安全管理体系(ISMS):是整个管理体系的一部分。是基于业务风险的方法来建立、实施、运行、监视、评审、保持和改进信息安全(注:管理体系包括:组织、结构、方针政策、规划活动、职责、实践、程序、过程和资源)在建立信息安全管理体系(ISMS)中,使用PDCA模型作为建立西悉尼安全管理体系的模型。P——建立信息安全管理体系及风险评估,根据风险评估结果、法律法规要求、组织确定控制目标与控制措施D——实施并运行信息安全管理体系C——监视并评审信息安全管理体系,对安全措施的实施情况进行符合性检查A——改进信息安全管理系统,根据ISMS审核、管理评审的结果及其相关信息,采取纠正和预防措施,实现ISMS的持续改进【问题3】
根据(3)的描述,“永恒之蓝”主要是针对445端口,通过网络传播。所以对于该病毒的处理应先切断其传播途径,防止循环感染,再清除病毒,再安装对应的补丁程序。
从安全管理的角度来考虑的话,应该定义信息安全策略、定义信息安全管理体系的范围、进行信息安全风险评估、确定管理目标和选择管理措施、准备信息安全适用性申明。
建立信息安全保障机制及相应的紧急事件应急体系,明确人员的分工和责任使用网络安全产品,确保企事业单位互联网入口的信息安全使用技术手段,确保企事业单位内部的计算机和服务器的防病毒软件和操作系统补丁是最新建立容灾备份及恢复机制,对重要数据有备份和恢复方法并进行定期进行演练