2012年下半年　信息系统项目管理师　下午试卷II

试题一　论构建信息系统安全策略

在组织的信息化工作中，建立信息系统安全策略是其中必不可少的环节，信息系统安全策略就是指：为避免因使用计算机或应用信息系统可能导致的单位资产损失而采取的各种措施、手段以及建立的各种管理制度、法规等。

请以“论构建信息系统安全策略问题，分别从以下三个方面进行论述”：

1．概要叙述你参与管理过的信息系统项目（项目的背景、项目规模、发起单位、目的、项目内容、组织结构、项目周期、交付的产品、项目安全需求等）。

2．围绕以下两方面，结合项目实际论述构建信息系统安全策略的基本内容。

（1）构建信息安全策略的核心内容；

（2）构建信息安全策略的设计原则。

3．请结合论文中所提到的信息系统项目，简要论述项目中涉及的几种具体的安全策略，并指出其中可以进一步改进之处。

试题二　论大型复杂信息系统项目管理

目前，伴随着工业化和信息化的深度融合，国内的信息系统项目正在逐渐向大型化、复杂化的方向发展。大型复杂项目具有很多与一般项目不同的特征，在诸如计划、实施、控制等方面的管理要求很高，有关组织必须建立以过程有基础的大型复杂项目管理体系，以保证大型复杂项目顺利实施。

请以“论大型复杂信息系统项目管理”为题，分别从以下三个方面进行论述：

1．简要叙述你参加管理过的大型复杂信息系统项目，包括项目的背景、发起单位、目标、项目内容、项目领域和交付的产品。

2．结合项目管理的实际情况，就大型复杂信息系统项目的管理从以下三个方面展开论述：

（1）大型复杂信息系统项目的特征；

（2）大型复杂信息系统项目的计划过程；

（3）大型复杂信息系统项目的实时和控制过程。

3．请结合你所参加的大型复杂信息系统项目管理实践经验，介绍你再大型复杂信息系统项目实施过程中的实际管理过程以及采用的方法与工具。

参考答案

论文一写作要点

（1）整篇论文陈述完整，论文结构合理、语言流畅，字迹清楚。

（2）所述项目切题真实，介绍清楚。

（3）结合实际情况，进行安全策略的论述：

① 信息系统安全是指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征，一般包括保障计算机及其相关的配套的设备、设施（含网络）的安全、运行环境的安全、保障信息的安全以保障信息系统功能的正常发挥，以维护信息系统的安全运行。

② 项目对安全的需求：结合项目背景，考察考生描述的安全需求是否合理，需求考虑是否全面，这些需求在后文中是否通过安全策略的实施得到了解决。

③ 制订安全策略的角度：

♦　根据国家标准GB/T 20271—2006《信息安全技术　信息系统安全通用技术要求》，可将信息系统安全技术体系划分为物理安全、运行安全和数据安全。

♦　根据国家标准GB/T 20282—2006《信息安全技术　信息系统安全工程管理要求》，信息系统安全工程的全部流程可被划分为5个阶段，即起始、设计、建设、运行和维护、废弃。安全保护的各级安全工程要求体现在安全过程的部分或全部阶段中。

④ 按照上一部分提到的安全策略的各方面，考生应展开其中一、两方面，结合论文中提到的项目，详细描述如何实现的。

（4）根据GB/T 20269—2006《信息安全技术　信息系统安全管理要求》：信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理，包括机构和人员的管理、风险管理、环境和资源管理、运行和维护管理、业务连续性管理、监督和检查管理、生命周期管理等。

安全管理制度：最基本的应包括网络安全管理规定、系统安全管理规定、数据安全管理规定、防病毒规定、机房安全管理规定以及相关的操作规程，还可能包括设备使用管理规定、人员安全管理规定、安全审计管理、用户管理、风险管理、信息分类分级管理、安全事件报告、应急管理、灾难恢复，等等。

可结合等级保护分类，每一级等级对安全的要求更高。

考生可结合以上信息系统建设中的安全策略，提出如何加强安全管理。

注意：整篇论文可从信息系统发起或使用方的角度写如何规划该信息系统项目的安全管理，也可从信息系统项目的承建方如何设计及实施此项目的安全策略的角度来进行组织和论述。无论从哪一方面进行论述，都要体现出安全策略从哪几方面进行考虑，每一方面又包括哪些内容，这些安全要求如何在项目中实现，通过什么技术或手段。论文应有系统性和逻辑性，提到的项目过程能够支持作者论述的内容，体现出有一定的实践经验。基本达到以上要求的，可给及格分数。

论文二写作要点

（1）整篇论文陈述完整，论文结构合理、语言流畅，字迹清楚。

（2）所述项目切题真实，介绍清楚。

（3）从大型及复杂项目的分解、计划、实施和控制过程等方面论述应实施的活动：

① 大型及复杂项目分解。

分解的原则：各个子项目的复杂程度之和应小于整个项目的复杂程度，在分解时应考虑到技术性因素和非技术性因素。

分解的方式：可从按子项目分解、按管理职能分解、矩阵式分解等三个方面进行阐述，亦可根据考生所承担的项目的具体情况阐述任一种分解方式，但考生需阐述清楚该管理的内容及优、缺点。

a．按照子项目分解。各个子项目的负责人直接承担子项目的管理工作，并向项目经理负责，项目经理则承担着整个项目的规划、组织、指导，以及各个子项目之间的协调工作，并考核评定各个子项目经理的业绩。

b．按照管理职能分解。这是一种“职能办公室”式的管理分解方式。项目经理领导着一个职业管理团队，这个团队中的每一个成员负责某一方面的管理工作，如质量管理、进度管理、资金管理、资源管理和文档管理等。

c．矩阵式分解。这种管理分解形式实际上是将按照子项目分解和按照管理职能分解的两种形式综合起来，这样既有利于强化各个子项目经理的责任和权利，又有利于项目经理对整个项目的监督和控制，并且有利于管理工作的统一化、专业化和规范化。

② 大型及复杂项目的计划。

对于大型、复杂项目来说，必须建立以过程为基础的管理体系，过程作为一个项目团队内部共同认可的制度而存在，它主要起约束各个相关方以一致的方式来实施项目。

③ 大型复杂项目的实施和控制过程。

大型、复杂项目规模庞大，团队构成复杂，项目实施过程中的监督和控制尤为重要。控制过程的主要任务和目标是：获取项目的实施绩效，将项目实施状态和结果与项目的基准计划进行比较，如果出现偏差及时进行纠偏和变更。