摘要：对于【信息系统项目管理师】软考考试而言，试题无疑是最重要的学习资料之一。在软考备考过程中，吃透所考知识点、熟悉出题思路，对我们提升分数的效果是最明显的，通过试题反复练习，还可以查漏补缺。今天，给大家带来【信息系统项目管理师】部分试题的详解，一起来看看吧~



1、26.（ ）不属于组织过程资产。
A、 行业风险数据库
B、 变更控制程序
C、 公司过去同类项目的相关资料
D、 配置管理知识库

答案:A
答题解析:参考答案A。
本题考查事业环境因素和组织过程资产辨析，参考《信息系统项目管理师教程（第3版）》P191。
1.事业环境因素
在制定项目章程时，任何一种以及所有存在于项目周围并对项目成功有影响的组织事业环境因素与制度都必须加以考虑。其中包括，但不限于如下事项。
●组织或公司的文化与组成结构。
●政府或行业标准（如管理部门的规章制度、产品标准、质量标准与工艺标准）。
●基础设施（如现有的软件与硬件基础设施）。
●现有的人力资源（如技能、专业与知识；例如设计、开发、法律、合同发包与采购）。
●人事管理（如雇用与解雇指导方针、员工业绩评价与培训记录）。
●公司工作核准制度。
●市场情况。
●项目干系人风险承受力。
●商业数据库（ 如标准的成本估算数据、行业风险研究信息与风险数据库）。
●项目管理信息系统（如自动化工具套件，例如进度管理软件工具、配置管理系统、信息收集与分发系统，或者与其他在线自动化系统的连网接口）。项目管理信息系统（PMIS）是在组织内部使用的一套系统集成的标准自动化工具。项目管理团队利用项目管理信息系统制定项目章程，在细化项目章程时促进反馈，控制项目章程的变更和发布批准的项目章程。
2、组织过程资产
在制定项目章程及以后的项目文件时，任何一种以及所有用于影响项目成功的资产都可以作为组织过程资产。任何一种以及所有参与项目的组织都可能有正式或非正式的方针、程序、计划和原则，所有这些的影响都必须考虑。组织过程资产还反映了组织从以前项目中吸取的教训和学习到的知识，如完成的进度表、风险数据和实现价值数据。组织过程资产的组织方式因行业、组织和应用领域的类型而异。例如，组织过程资产可以归纳为如下两类。
（1）组织进行工作的过程与程序。
•组织标准过程，如标准、方针（安全健康方针，项目管理方针）；软件生命周期与项目生命期，以及质量方针与程序（过程审计、目标改进、核对表，以及供组织内部使用的标准过程定义）。
•标准指导原则、工作指令、建议评价标准与实施效果评价准则。
•模板（如风险模板、工作分解结构模板与项目进度网络图模板）。
•根据项目的具体需要修改组织标准过程的指导原则与准则。
•组织沟通要求（如可利用的特定沟通技术，允许使用的沟通媒介、记录的保留，以及安全要求）。
•项目收尾指导原则或要求（如最后项目审计、项目评价、产品确认，以及验收标准）。
•财务控制程序（如进度报告、必要的开支与支付审查、会计编码，以及标准合同条文）。
•确定问题与缺陷控制、问题与缺陷识别和解决，以及行动追踪的问题与缺陷管理程序。
•变更控制程序，包括修改公司正式标准、方针、计划与程序，或者任何项目文件，以及批准与确认任何变更时应遵循的步骤。
•风险控制程序，包括风险类型、概率的确定与后果，以及概率与后果矩阵。
批准与签发工作授权的程序。
（2）组织整体信息存储检索知识库。
•过程测量数据库，用于搜集与提供过程与产品实测数据。
•项目档案（如范围、费用、进度，以及质量基准、实施效果测量基准、项目日历、项目进度网络图、风险登记册、计划的应对行动，以及确定的风险后果）。
历史信息与教训知识库（如项目记录与文件，所有的项目收尾资料与文件记录，以前项目选择决策结果与绩效的信息；以及风险管理努力的信息）。
问题与缺陷管理数据库，包括问题与缺陷状态，控制信息，问题与缺陷解决和行动结果。
配置管理知识库，包括公司所有正式标准、方针、程序和任何项目文件的各种版本与基准。
财务数据库，包括如工时、发生的费用、预算以及任何项目费用超支等信息。

2、在某科研企业信息办工作的小王将储存在内网上的涉密数据，偷偷拷贝到个人笔记本电脑上，这属于（ ）事件。
A、 设备安全
B、 数据安全
C、 内容安全
D、 行为安全

答案:B
答题解析:

官方教材P68-69

1)设备安全

信息系统设备的安全是信息系统安全的首要问题。这里主要包括三个方面：

(1)设备的稳定性：设备在一定时间内不出故障的概率。

(2)设备的可靠性：设备能在一定时间内正常执行任务的概率。

(3)设备的可用性：设备随时可以正常使用的概率。

信息系统的设备安全是信息系统安全的物质基础。除了硬件设备外，软件系统也是一种设备，也要确保软件设备的安全。

2)数据安全（即信息安全属性）

其安全属性包括秘密性、完整性和可用性。数据安全受到危害：如数据泄露、数据篡改等。因危害数据安全的行为有较高的隐蔽性，用户往往不知情，因此危害性很高。

3)内容安全

内容安全是信息安全在政治、法律、道德层次上的要求。

(1)信息内容在政治上是健康的。

(2)信息内容符合国家的法律法规。

(3)信息内容符合中华民族优良的道德规范。

内容安全还包括信息内容保密、知识产权保护、信息隐藏和隐私保护等诸多方面。

如果数据中充斥着不健康的、违法的、违背道德的内容，即使它是保密的、未被篡改的，也不能说是安全的。必须在确保设备安全和数据安全的基础上，来确保内容安全。

4)行为安全

数据安全（即信息自身的安全属性/信息安全属性）是静态安全，行为安全是动态安全。

(1)行为的秘密性：行为的过程和结果不能危害数据的秘密性，行为的过程和结果也应是秘密的。

(2)行为的完整性：行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。

(3)行为的可控性：当行为的过程出现偏离预期时，能够发现、控制或纠正。

行为安全强调的是过程安全，体现在硬件设备、软件设备、应用系统协调工作的程序（执行序列）符合系统设计的预期，这样才能保证信息系统的“安全可控”。

参考答案：B

3、（ ） 可以对预先定义好的策略中涉及的网络访问行为实施有效管理，而对策略之外的网络访问行为则无法控制。
A、 入侵防护系统(IPS)
B、 防火墙(FW)
C、 虚拟专用网络(VPN)
D、 分布式拒绝服务(DDOS)

答案:B
答题解析:

官方教材P76-77

网络安全防御技术包括：

1)防火墙

它阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于受到许多网络安全威胁；

主要用于逻辑隔离外部网络与受保护的内部网络；

防火墙主要是实现网络安全的安全策略，而这种策略是预先定义好的（即策略之内的可以管理、策略之外无能为力），所以是一种静态安全技术；

2)入侵检测与防护

入侵检测与防护的技术主要有两种：入侵检测系统(IDS)和入侵防护系统(IPS)。

入侵检测系统(IDS)注重的是网络安全状况的监管，通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。因此绝大多数IDS系统都是被动的。

入侵防护系统(IPS)则倾向于提供主动防护，预先对入侵活动和攻击性网络流量进行拦截。

3)VPN（虚拟专用网络）

它是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的、安全的数据通信通道的技术。

VPN网络连接由客户机、传输介质和服务器三部分组成。VPN的连接：采用名为“隧道”的技术作为传输介质，隧道是建立在公共网络或专用网络基础之上的。常见的隧道技术包括：点对点隧道协议(PPTP)、第2层隧道协议(L2TP)和IP安全协议(IP Sec)。

参考答案：B