摘要：对于【信息系统项目管理师】软考考试而言，试题无疑是最重要的学习资料之一。在软考备考过程中，吃透所考知识点、熟悉出题思路，对我们提升分数的效果是最明显的，通过试题反复练习，还可以查漏补缺。今天，给大家带来【信息系统项目管理师】部分试题的详解，一起来看看吧~



1、某项目采用敏捷管理方式，项目经理给领导汇报了项目的执行速度和团队绩效情况，请领导对提交的项目文档进行审核，以确定下一阶段在哪些方面做出改进。当前项目处于敏捷项目管理中的（　）阶段。
A、 探索
B、 推测
C、 适应
D、 结束

答案:C
答题解析:

敏捷项目管理模式的结构：构想—推测—探索—适应—结束，重点在交付（执行）和适应。

1）构想：确定产品构想、项目范围、项目社团以及团队共同工作的方式。

构想阶段为客户和项目团队创造构想，该构想包括提供什么、谁提供和如何提供。如果没有构想，其他的项目启动活动都是无用之功。用商业话语来说，构想是项目早期“成功的关键因素”。

2）推测：制定基于功能的发布计划、里程碑和迭代计划，确保交付构想的产品。

敏捷项目管理更多的是构想和探索，而不是计划和执行，它迫使我们面对这样的现实：不稳定的商业环境和变化多端的产品开发环境。推测阶段实际上是构想阶段的延伸并与它相互影响，它包括收集初始的、广泛的产品要求；将工作量定义为一个产品功能清单；制订一个交付计划（发布、里程碑和迭代），其中包括那些功能的进度表和资源分配；在估计项目成本这个计划中加入风险降低策略，并生成其他必要的行政管理和财务信息。

3）探索：在短期内提供经测试的功能，不断致力于减少项目风险和不确定性。

探索阶段提供产品功能。从项目管理的角度看，在此阶段，有三个关键的活动区域：第一是通过管理工作量和使用适当的技术方法和风险降低策略，交付计划的功能；第二是建立协作的、自我组织的项目社团，这是每个人的责任但需要由项目经理推动；第三是管理团队与客户、产品经理和其他利益相关方的相互交流。

控制和纠正是这个周期阶段常用的术语。计划制订了，结果监控了、纠正也完成了。这个流程暗示着计划是正确的，而如果实际结果与计划不同，则是错误的。

4）适应：审核提交的结果、当前情况以及团队的绩效，必要时做出调整。

“适应”意味着修改或改变而不是成功或失败。如果项目的指导哲学认为适应变化比执行计划更重要，则将失败归罪于计划的变更是不会有任何结果的。非常特别的流程并不能从错误中吸取教训，而吸取教训是敏捷项目管理的关键。

自构想阶段以后，其循环通常是推测—探索—适应，每次迭代都不断对产品进行提炼。但要是团队收集到新的信息，定期地回到构想阶段也很有必要。

在适应阶段，需要从客户、技术、人员和流程绩效以及项目状况等方面对结果进行评估。该分析将会对比实际结果和计划的结果，但更重要的是，要根据项目得到的最新信息，思考实际的与修订后的项目前景。修改后的结果将返回、融入到重新计划工作中，开始新的迭代。

5）结束：终止项目、交流主要的学习成果并庆祝。

在某种程度上，项目根据开始和结束来界定。许多组织由于没有明确项目的终结点，通常在客户之间会造成理解问题。项目应该以庆祝方式结束。结束阶段以及每次迭代末尾的“小型”结束的主要目标是：学习并将学到的东西融入下一次迭代工作中，或者传递给下一个项目团队。

2、《计算机信息系统安全保护等级划分准则》将计算机系统分为5个安全保护等级。其中（ ）适用于中央级国家机关、广播电视部门、重要物资储备单位等部门。
A、 系统审计保护级
B、 安全标记保护级
C、 结构化保护级
D、 访问验证保护级

答案:C
答题解析:

信息系统安全等级

3、CC（即Common Critoria ISO/IEC 17859）标准将安全审计功能分为6个部分，其中（ ）要求审计系统提供控制措施，以防止由于资源的不可用丢失审计数据。
A、 安全审计数据生成功能
B、 安全审计浏览功能
C、 安全审计事件选择功能
D、 安全审计事件存储功能

答案:D
答题解析:

安全审计（Security Audit）是指主体对客体的访问及使用情况进行记录和审查，以保证安全规则被正确执行，帮助分析安全事故产生的原因。

《计算机信息系统安全保护等级划分准则》（GB17859－1999），规定了计算机系统安全保护能力的五个等级

第一级：用户自主保护级

第二级：系统审计保护级

第三级：安全标记保护级

第四级：结构化保护级

第五级：访问验证保护级

安全审计是信息安全保障系统的一个重要组成部分，具体包括两方面的内容：①采用网络监控和入侵防范系统，识别网络中各种违规操作与攻击行为，及时响应并进行阻断；②对信息内容和业务流程的审计，可以防止内部机密和敏感信息的非法泄露、单位资产的流失。

安全审计采用数据挖掘和数据仓库技术。安全审计属于安全管理类产品。安全审计产品主要包括主机类、网络类、数据库类、业务应用系统级的审计产品。信息安全审计偏向业务审计，入侵检测偏向入侵类审计。

安全审计的主要作用有：

l 对潜在的攻击者起到震慑和警告作用。

l 对已经发生的系统破坏行为提供纠正数据。

l 提供有价值的系统使用日志。

l 提供系统运行的统计日志。

网络安全审计的具体内容：

l 监控网络内部活动。

l 观察系统中存在的潜在威胁。

l 对日常运行情况的统计分析。

l 对突发案件和异常事件的事后分析。

l 辅助侦破和取证。

CC标准与安全审计功能，CC标准将安全审计功能分为6个部分：

1）安全审计自动响应：在检测到一个潜在的安全攻击时作出响应，如报警、中断服务、终止进程，账号失效等。

2）安全审计自动生成：记录与安全相关的事件的出现，如对敏感数据项的访问，目标对象的删除，改变主体的安全属性。

3）安全审计分析：分析系统活动和审计数据来寻找可能的安全违规操作，可以用于入侵检测或对安全违规的自动响应。

4）安全审计浏览：使授权的用户有效地浏览审计数据。

5）安全审计事件选择：要求系统管理员能够维护、检查或修改审计事件的集合，能够选择对哪些安全属性进行审计，如目标标识、用户标识、主体标识。

6）安全审计事件存储：防止由于资源的不可用丢失审计数据，能够创造、维护、访问它所保护的对象的审计踪迹，并保护其不被修改、非授权访问或破坏。 网络与主机信息监测审计，应用系统信息监测审计，网络安全系统设备信息审计和系统安全评估报告作为安全审计系统的主体，物理安全日志记录作为安全审计系统的辅助系统。