摘要：对于【信息系统项目管理师】软考考试而言，试题无疑是最重要的学习资料之一。在软考备考过程中，吃透所考知识点、熟悉出题思路，对我们提升分数的效果是最明显的，通过试题反复练习，还可以查漏补缺。今天，给大家带来【信息系统项目管理师】部分试题的详解，一起来看看吧~



1、企业系统规划（BSP）是通过全面调查分析企业信息需求，制定信息系统总体方案的一种方法，其活动步骤顺序是（ ）。①　准备工作②　识别定义数据类③　确定管理部门对系统的要求④　成果报告⑤　分析现有系统⑥　制订建议书和开发计划⑦　定义企业过程
A、 ①⑦②③⑤⑥④
B、 ①②⑦⑥⑤③④
C、 ①⑦②⑤③⑥④
D、 ①②⑦③⑤⑥④

答案:C
答题解析:

企业系统规划法（Business System Planning，BSP）是IBM在20世纪70年代提出的，旨在帮助企业制定信息系统的规划，以满足企业近期和长期的信息需求，它较早运用面向过程的管理思想，是现阶段影响最广的方法。

用企业系统规划法制定规划是一项系统工程，其主要的工作步骤为：

1）准备工作。成立由最高领导牵头的委员会，下设一个规划研究组，并提出工作计划。

2）调研。规划组成员通过查阅资料，深入各级管理层，了解企业有关决策过程、组织职能和部门的主要活动和存在的主要问题。

3）定义业务过程（又称企业过程或管理功能组）。定义业务过程是系统规划方法的核心。业务过程指的是企业管理中必要且逻辑上相关的、为了完成某种管理功能的一组活动。

4）业务过程重组。业务过程重组是在业务过程定义的基础上，找出哪些过程是正确的，哪些过程是低效的，需要在信息技术支持下进行优化处理，还有哪些过程不适合采用计算机信息处理，应当取消。

5）定义数据类。数据类是指支持业务过程所必需的逻辑上相关的数据。对数据进行分类是按业务过程进行的，即分别从各项业务过程的角度将与该业务过程有关的输入数据和输出数据按逻辑相关性整理出来归纳成数据类。

6）定义信息系统总体结构。定义信息系统总体结构的目的是刻画未来信息系统的框架和相应的数据类。其主要工作是划分子系统，具体实现可利用U/C矩阵。

7）确定总体结构中的优先顺序。即对信息系统总体结构中的子系统按先后顺序排出开发计划。

8）完成BSP研究报告，提出建议书和开发计划。

2、《计算机信息系统安全保护等级划分准则》将计算机系统分为5个安全保护等级。其中（ ）适用于中央级国家机关、广播电视部门、重要物资储备单位等部门。
A、 系统审计保护级
B、 安全标记保护级
C、 结构化保护级
D、 访问验证保护级

答案:C
答题解析:

信息系统安全等级

3、CC（即Common Critoria ISO/IEC 17859）标准将安全审计功能分为6个部分，其中（ ）要求审计系统提供控制措施，以防止由于资源的不可用丢失审计数据。
A、 安全审计数据生成功能
B、 安全审计浏览功能
C、 安全审计事件选择功能
D、 安全审计事件存储功能

答案:D
答题解析:

安全审计（Security Audit）是指主体对客体的访问及使用情况进行记录和审查，以保证安全规则被正确执行，帮助分析安全事故产生的原因。

《计算机信息系统安全保护等级划分准则》（GB17859－1999），规定了计算机系统安全保护能力的五个等级

第一级：用户自主保护级

第二级：系统审计保护级

第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级

安全审计是信息安全保障系统的一个重要组成部分，具体包括两方面的内容：①采用网络监控和入侵防范系统，识别网络中各种违规操作与攻击行为，及时响应并进行阻断；②对信息内容和业务流程的审计，可以防止内部机密和敏感信息的非法泄露、单位资产的流失。

安全审计采用数据挖掘和数据仓库技术。安全审计属于安全管理类产品。安全审计产品主要包括主机类、网络类、数据库类、业务应用系统级的审计产品。信息安全审计偏向业务审计，入侵检测偏向入侵类审计。

安全审计的主要作用有：

l 对潜在的攻击者起到震慑和警告作用。

l 对已经发生的系统破坏行为提供纠正数据。

l 提供有价值的系统使用日志。

l 提供系统运行的统计日志。

网络安全审计的具体内容：

l 监控网络内部活动。

l 观察系统中存在的潜在威胁。

l 对日常运行情况的统计分析。

l 对突发案件和异常事件的事后分析。

l 辅助侦破和取证。

CC标准与安全审计功能，CC标准将安全审计功能分为6个部分：

1）安全审计自动响应：在检测到一个潜在的安全攻击时作出响应，如报警、中断服务、终止进程，账号失效等。

2）安全审计自动生成：记录与安全相关的事件的出现，如对敏感数据项的访问，目标对象的删除，改变主体的安全属性。

3）安全审计分析：分析系统活动和审计数据来寻找可能的安全违规操作，可以用于入侵检测或对安全违规的自动响应。

4）安全审计浏览：使授权的用户有效地浏览审计数据。

5）安全审计事件选择：要求系统管理员能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计，如目标标识、用户标识、主体标识。

6）安全审计事件存储：防止由于资源的不可用丢失审计数据，能够创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。 网络与主机信息监测审计，应用系统信息监测审计，网络安全系统设备信息审计和系统安全评估报告作为安全审计系统的主体，物理安全日志记录作为安全审计系统的辅助系统。