软考信息系统监理师:2016年4月1日作业
一、合同管理
1、合同按照信息系统工程范围划分哪几类?
答:从信息系统工程的不同范围和数量进行划分,可以分为信息系统工程总承建
合同、信息系统工程承建合同、分包合同。
2、签订分包合同,应具备的2个条件是什么?
答:
签订分包合同应当同时具备两个条件
(1)总承建单位只能将自己承包的部分项目分包给具有相应资质条件的分承建单
位。
(2)分包项目必须经过建设单位同意。
3、分包的禁止性规定有哪些?
答:分包合同管理时也有相应的禁止性规定,这些禁止性规定包括:
禁止转包。
禁止将项目分包给不具备相应资质条件的单位。
禁止再分包。
禁止分包主体结构。
4、合同按项目付款方式为哪几类?
答:1)总价合同 2)单价合同 3)成本加酬金合同
5、总价合同的适用前提是什么?
答:采用这种合同类型要求建设单位必须准备详细而全面的设计方案(一般要求
实施详图)和各项说明,使承建单位能准确计算项目工作量。
6、信息系统工程合同的内容是什么?
答:
信息系统工程合同包括如下主要内容。
(1)甲、乙双方的权利与义务是合同的基本内容。
(2)建设单位提交有关基础资料的期限。
(3)项目的质量要求。
(4)承建单位提交各阶段项目成果的期限。
(5)项目费用和项目款的交付方式。
(6)项目变更的约定。
(7)双方的其他协作条件。
(8)违约责任。
7、信息系统工程合同签订的注意事项有哪些?
答:信息系统工程合同是以后解决纠纷的重要依据,因此有关重要事项都应当在
项目合同中明确规定。项目合同中最重要的内容,是对委托方和被委托方在信息
化过程中的权利和义务的界定。从这一点来说,项目合同是确定“委托方一被委
托方”双方合作关系的一份关键的商务文件。
在项目合同中,对于下面一些容易产生纠纷的事项,合作的双方都应当认真对待
,也是监理单位审查合同的重点,不但需要明文规定,而且应当特别仔细地考虑
所有条款是否严密、规范。
1)质量验收标准
2)验收时间
3)技术支持服务
4)损害赔偿
5)保密约定
6)软件的合法性
7)技术标准及工程依据
8)合同附件
9)签约资格
10)法律公证
8、监理工作在合同管理中的主要内容由哪三部分组成?(记)
答:在信息系统工程监理工作中,合同管理是监理最主要的任务之一。合同管理
的工作内容包括:
(1)拟定信息系统工程的合同管理制度,其中应包括合同草案的拟定、会签、协
商、修改、审批、签署、保管等工作制度及流程;
(2)协助建设单位拟定信息系统工程合同的各类条款,参与建设单位和承建
单位的谈判活动;
(3)及时分析合同的执行情况,并进行跟踪管理;
(4)协调建设单位与承建单位的有关索赔及合同纠纷事宜。
归 纳 起 来,监理工作在合同管理中的主要内容由三部分组成,即合同的
签订管理、合同的档案管理和合同的履行管理。
9、判断:信息系统工程合同只能采用书面形式。
答:根据《×××合同法》(以下简称《合同法》)的规定,信息系统工
程合同应当采用书面形式,这是因为信息系统工程合同一般具有合同标额大、合
同内容复杂、履行期较长等特点,如果采用口头合同,‘一旦发生纠纷则难以举
证,不易分清责任。采用书面形式,一方面可以使合同双方权利义务固定化,从
而减少纠纷,便于合同的履行,另一方面如果合同双方发生纠纷,也便于人民法
院分清是非,进而确定责任。所以,根据《合同法》的规定,信息系统工程合同
应该属于要式合同,只能采用书面形式。
10、合同履行管理的依据、方式、保证、重点,分别是什么?
答:1)履约管理的依据—合同分析
2)履约管理的方式—合同控制,合同的控制方法分为主动控制和被动控制。
3)履约管理的保证—合同监督
4)履约管理的重点—项目索赔管理
11、合同什么管理是合同管理的基础?
答:合同 档 案 的管理,也即合同文件管理,是整个合同管理的基础。
12、合同档的管理包括甲乙方合同管理,甲方与监理方合同的管理,同时适用于
这2类合同的档案管理方法是什么?
答:
合同档案的管理包括两个类别的合同,即建设单位与监理单位之间签订的监理合
同管理,以及建设单位与承建单位签订的业务合同管理。下面叙述的合同档案管
理方法,如果没有特别说明适用于这两类合同的管理。
1)建立监理工作的合同档案管理体系
2)制定监理工作的合同档案管理制度
3)监理工程师必须掌握合同管理的知识
4)合同档案管理的具体工作
13、监理工作的合同档案管理制度有哪些?
答:
(1)合同的审查批准制度。
(2)印章管理制度。
(3)合同的统计考察制度。
(4)合同的信息管理制度。
14、合同档案管理的具体工作有哪些?
答:(1)收集、整理、统计、保管监理工作在各项活动中形成的全部档案,清点
库存。
(2)按有关规定做好档案留存与销毁的鉴定工作。鉴定工作由监理单位有关
负责人、资产清算机构负责人、主要业务部门负责人和档案部门负责人等组成的
鉴定小组主持,对档案进行直接鉴定。
(3)对拟销毁的档案建立销毁清册,经监理单位负责人和企业资产清算机构
负责人审核,建设单位主管部门批准,方可销毁。销毁档案须二人以上监督销毁
,并在销毁清册上签字。销毁清册永久保存。
(4)按照档案的去向分别编制移交和寄存档案的目录。
15、合同管理的原则是什么?(记)
答:事前预控原则、实时纠偏原则、充分协商原则和公正处理原则
16、索赔的程序?
答:(1)索赔事件发生约定时间内,向建设单位和监理单位发出索赔意向通知。
(2)发出索赔意向通知后约定时间内,向建设单位和监理单位提出延长工期和(或
)补偿经济损失的索赔报告及有关资料。
(3)监理单位在收到承建单位送交的索赔报告及有关资料后,于约定时间内
给予答复,或要求承建单位进一步补充索赔理由和证据。
(4)监理单位在收到承建单位送交的索赔报告和有关资料后约定时间内未予
答复或未对承建单位作进一步要求,视为该项索赔已经认可。
(5)当该索赔事件持续进行时,承建单位应当阶段性向监理单位发出索赔意
向,在索赔事件终了约定时间内,向监理单位送交索赔的有关资料和最终索赔报
告。索赔答复程序与上述(3). (4)规定相同,建设单位的反索赔的时限与上述规
定相同。
17、一个完整的索赔报告包括哪四部分?
答:一个完整的索赔报告应包括以下四个部分。
(1)总论部分
(2)根据部分
(3)计算部分
(4)证据部分
18、针对索赔意向通知书,监理审查的重点有哪些?
答:针对索赔意向通知书,监理审查与评估的关注点包括:(1)费用索赔申请
报告的程序、时限符合合同要求;(2)费用索赔申请报告的格式和内容符合规
定;(3)费用索赔申请的资料必须真实、齐全、手续完备;(4)申请索赔的合
同依据、理由必须正确、充分;(5)索赔金额的计算原则与方法必须合理、合
法。
19、索赔事件处理的原则?
答:(1)预防为主的原则;(2)必须以合同未依据;(3)公平合理原则;(4
)协商原则;(5)授权的原则;(6)必须注意资料的积累;(7)及时、合理
地处理索赔。
20、合同争议有2种解决方式,分别是什么?
答:(1)根据合同约定向约定的仲裁委员会申请仲裁;
(2)向有管辖权的人民法院起诉。
21、由于承建单位违约导致实施合同终止后,监理单位应按何种程序处理?
答:监理单位应按下列程序清理承建单位的应得款项,偿还建设单位的相关款项
,并书面通知建设单位和承建单位:(1)实施合同终止时,清理承建单位已按
实施合同规定实际完成的工作所应得的款项和已经得到的支付的款项;(2)实
施现场余留的材料、软硬件设备及临时项目的价值;(3)对已完成项目进行检
查和验收、移交项目资料、该部分项目的清理、质量缺陷修复等所需的费用;(
4)实施合同规定的承建单位应支付的违约金。
22、因不可抗力事件,导致的费用及延误的工期,双方如何承担?
答:由双方按以下方法分别承担:(1)项目本身的损害、因项目损害导致第三
方人员伤亡和财产损失以及运至实施场地用于实施的材料和待安装设备的损害,
由建设单位承担;(2)建设单位、承建单位人员伤亡由其所在单位负责,并承
担相应费用;(3)承建单位设备损坏及停工损失,由其承建单位承担;(4)停
工期间承建单位应监理单位要求留在实施场地的必要的管理人员及保卫人员的费
用由发包人承担;(5)项目所需修复、清理费用,由建设单位承担;(6)延误
的工期相应顺延。
23、《计算机软件保护条例》规定,计算机软件包括什么?
答:计算机软件是指计算机程序和文档。
24、某政府单位花500万委托软件公司开发一套软件,若合同未约定知识产权,
则产权属于谁?
答:软件公司。
第十一章 信息安全管理
1、信息系统安全属性分为哪三个方面?各自的定义?
答:可用性、保密性和完整性。
2、国家秘密分为秘密、机密和什么三个等级?
答:分为秘密、机密和绝密。
3、常用的保密技术有哪些?
答:常用的保密技术包括:防侦测、防辐射、信息加密和物理保密。
4、保障信息网络系统完整性的主要方法有哪些?
答:包括协议、纠错编码方法、密码检验和方法、数字签名和公证。
5、技术体系是全面提供信息系统安全保护的技术保障系统,它由物理安全技术
和系统安全技术组成,各包括哪些内容?
答:物理安全技术包括机房安全和设施安全;系统安全技术包括平台安全、数据
安全、通信安全、应用安全和运行安全。
6、组织机构体系是信息系统的组织保障系统,由哪三个模块构成?
答:由机构、岗位和人事三个模块构成。
7、管理是信息系统安全的灵魂。信息系统安全的管理体系由法律管理、制度管
理和什么共3部分组成?
答:信息系统安全管理体系由法律管理、制度管理和培训管理3部分组成。
8、监理在信息系统安全管理的作用有哪些?
答:(1)保证建设单位在信息系统工程项目建设中,保证信息系统的安全在可
用性、保密性、完整性与信息工程的可维护性技术环节上没有冲突;(2)在成
本控制的前提下,确保信息系统安全设计上没有漏洞;(3)督促建设单位的信
息系统工程应用人员在安全管理制度和安全规范下严格执行安全操作和管理,建
立安全意识;(4)监督承建单位按照技术标准和建设方案施工,检查承建单位
是否存在设计过程中的非安全隐患行为或现象等,确保整个项目建设过程中的安
全建设和安全应用。
9、人员安全管理要遵循哪些原则?
答:(1)授权最小化;(2)授权分散化;(3)授权规范化。
10、请写出任意8种信息系统安全管理制度。
答:(1)计算机信息网络系统出入管理制度;(2)计算机信息网络系统各工作
岗位的工作职责、操作规程;(3)计算机信息网络系统升级、维护制度;(4)
计算机信息网络系统的工作人员人事管理制度;(5)计算机信息网络系统安全
检查制度;(6)计算机信息网络系统应急制度;(7)计算机信息网络系统信息
资料处理制度;(8)计算机信息网络系统工作人员安全教育培训制度。
11、物理访问的安全管理中,监理安全管理注意事项有哪四条?(记)
答:(1)硬件设施在合理范围内是否能防止强制入侵;(2)计算机设备的钥匙
是否有良好的控制以降低未授权者进入的危险;(3)智能终端是否上锁或有安
全保护,以防止电路板、芯片或计算机被搬移;(4)计算机设备在搬动时是否
需要设备授权通行的证明。
12、逻辑访问的安全管理中,监理在逻辑访问风险分析与安全管理上,主要的原
则有哪五条?(记)
答:(1)了解信息处理的整体环境并评估其安全需求,可通过审查相关数据,
询问有关人员,个人观察及风险评估等;(2)通过对一些可能进入系统访问路
径进行记录及复核,评价这些控制点的正确性、有效性;(3)通过相关测试数
据访问控制点,评价安全系统的功能和有效性;(4)分析测试结果和其他审核
结论,评价访问控制的环境并判断是否达到控制目标;(5)审核书面策略,观
察实际操作和流程,与一般公认的信息安全相比较,评价组织环境的安全性及其
适当性等。
13、什么是特洛伊木马、去尾法、色粒米技术、计算机蠕虫、逻辑×××、网络窃
听、DOS?
答:特洛伊木马:是指将一些带有恶意的、欺诈性的代码置于已授权的的计算机
程序中,当程序启动时这些代码也会启动;
去尾法:将交易发生后计算出的金额(如利息)中小数点后的余额删除并转入某
个未授权的账户;
色拉米技术:是一种类似去尾法的舞弊行为,不同时将余额切分成更小金额,再
转入未授权的账户;
计算机蠕虫:是一种破坏性程序,可以破坏计算机内部数据或是使用大量计算机
及通信资源,不能自行复制;
逻辑×××:是在满足特定逻辑条件时按某种不同的方式运行,对目标系统实施破
坏的计算机程序;
网络窃听:不直接进行直接的网络攻击,但借助网络窃听器的软件或硬件,掌握
对方的而重要信息,如账号、密码等;
Dos:这种攻击行为表现在使用服务器充斥大量要求响应的信息,消耗网络带宽
或系统资源,导致网络或系统不胜负荷,以至于瘫痪而停止提供正常的网络服务
。
14、来自互联网上的安全问题主要分成两大类,主动式攻击和被动式攻击,试解
释之。
答:主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数
据等以达到非法目的。主动攻击可以归纳为中断、篡改、伪造三种;被动式攻击
主要是指攻击者监听网络上传达的信息流,从而获取信息的内容,或仅仅希望得
到信息流的长度、传输频率等数据,被动式攻击一般采用网络分析和窃听来收集
信息。
15、什么是对称密钥加密?不对称密钥加密?
答:对称密钥(也称机密秘钥或会话密钥)加密是指发件人和收件人使用其共同
拥有的单个秘钥。这种秘钥既用于加密,也用于解密,是加密大量数据的一种行
之有效的方法;不对称秘钥(也称公钥)加密是指需要用到两个秘钥——一个公
钥和一个私钥,这两个秘钥在数学上是相关的。
16、什么是数字签名和证书?
答:数字签名与书面文件签名有相同之处,采用数字签名,也能确认两点:一是
信息是由签名者发送的;二是信息自签发到收到为止未曾作任何修改。
公钥证书简称为证书,用于在互联网、外联网和内联网上进行身份验证并确保数
据交换的安全。
17、什么是网闸?
答:即安全隔离与信息交换系统,是新一代高安全度的企业级信息安全防护设备
,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信
息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
18、什么是防火墙?
答:是指设置在不同网络或网络安全域之间的一系列部件的组合。它是不同网络
或网络安全域之间信息的唯一出入口,能根据建设单位的安全政策控制出入网络
的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和
信息安全的基础实施。
19、什么是入侵检测系统?
答:入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分
析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入
侵系统检测的软件与硬件的组合就是入侵检测系统。
20、什么是全备份、差分备份、增量备份?(记)
答:全备份是指将系统中所有的数据信息进行全部备份;差分备份是指只备份上
次备份后系统中变化过的数据信息;增量备份是指只备份上次完全备份后系统中
变化过的数据信息。
21、请大家在百度百科搜索:RAID0、1、2、3、4、5,并写成作业。
答:RAID 0是最早出现的RAID模式,即Data Stripping数据分条技术。RAID 0是
组建磁盘阵列中最简单的一种形式,只需要2块以上的硬盘即可,成本低,可以
提高整个磁盘的性能和吞吐量。RAID 0没有提供冗余或错误修复能力,但实现成
本是最低的。
RAID 1称为磁盘镜像,原理是把一个磁盘的数据镜像到另一个磁盘上,也就
是说数据在写入一块磁盘的同时,会在另一块闲置的磁盘上生成镜像文件,在不
影响性能情况下最大限度的保证系统的可靠性和可修复性上,只要系统中任何一
对镜像盘中至少有一块磁盘可以使用,甚至可以在一半数量的硬盘出现问题时系
统都可以正常运行,当一块硬盘失效时,系统会忽略该硬盘,转而使用剩余的镜
像盘读写数据,具备很好的磁盘冗余能力。
RAID 2 同RAID 3类似, 两者都是将数据条块化分布于不同的硬盘上, 条块
单位为位或字节。然而RAID 2 使用一定的编码技术来提供错误检查及恢复。这
种编码技术需要多个磁盘存放检查及恢复信息,使得RAID 2技术实施更复杂。
RAID3:带奇偶校验码的并行传送。这种校验码与RAID2不同,只能查错不能纠
错。它访问数据时一次处理一个带区,这样可以提高读取和写入速度。校验码在
写入数据时产生并保存在另一个磁盘上。需要实现时用户必须要有三个以上的驱
动器,写入速率与读出速率都很高,因为校验位比较少,因此计算时间相对而言
比较少。
RAID4和RAID3很象,不同的是,它对数据的访问是按数据块进行的,也就是按
磁盘进行的,每次是一个盘。在图上可以这么看,RAID3是一次一横条,而RAID4
一次一竖条。它的特点和RAID3也挺象,不过在失败恢复时,它的难度可要比
RAID3大得多了,控制器的设计难度也要大许多,而且访问数据的效率不怎么好
。
RAID5:分布式奇偶校验的独立磁盘结构。它的奇偶校验码存在于所有磁盘上
,其中的p0代表第0带区的奇偶校验值,其它的意思也相同。RAID5的读出效率很
高,写入效率一般,块式的集体访问效率不错。因为奇偶校验码在不同的磁盘上
,所以提高了可靠性。但是它对数据传输的并行性解决不好,而且控制器的设计
也相当困难。
第十二章 信息管理
1、按工程建设信息的性质划分哪几类?
答:引导信息和辨识信息。
2、按工程建设信息的用途划分哪几类?
答:投资控制信息、进度控制信息、质量控制信息、合同管理信息、组织协调信
息和其他用途信息。
3、为什么说高效的文档管理,是监理单位自身的需要?
答:这是因为(1)为了成功对工程进行监理,必须有一套严谨的文档分类管理
办法,这样,工程的详细情况才可被监理项目组准确掌握,从而被建设单位准确
掌握;(2)监理单位需要对监理人员的工作情况进行考核,以决定人员的报酬
和职位进行奖惩升降,而这些最主要的依据,则是监理的文档;(3)监理文档
本身就是对监理工作的最好总结,是监理工作最好的培训资料。
4、监理工程师在归集监理资料时的注意事项有哪些?
答:(1)监理资料应及时整理、真实完整、分类有序;(2)监理资料的管理应
由总监理工程师负责,并指定专人负责具体实施;(3)监理资料应在各阶段监
理工作结束后及时整理归档;(4)监理档案的编制及保存应按有关规定执行。
5、总控类文档包括哪些?(记)
答:总控类文档包括承建合同、总体方案、项目组织实施方案、技术方案、项目
进度计划、质量保证计划、资金分解计划、采购计划、监理规划及实施细则等。
6、监理实施类文档包括哪些?(记)
答:又称工程作业记录,包括项目变更文档、进度监理文档、质量监理文档、质
量回归监理文档、监理日报、监理月报、专题监理报告、验收报告、总结报告等
。
7、工程验收监理报告必须包括哪些要素?(记)
答:包括(1)工程竣工准备综述;(2)验收测试方案与规范;(3)测试结果
与分析;(4)验收测试结论。
8、工程监理总结报告包括哪些方面?(记)
答:包括(1)工程概况;(2)监理工作统计;(3)工程质量综述;(4)工程
进度综述;(5)管理协调综述;(6)监理总评价。
9、P273页表12-5,掌握各阶段产出哪些文档?哪些文档在哪个阶段开始做?请
分别回答:开发计划、测试计划、用户手册、操作手册、开发总结这些文档的开
始阶段、产出阶段。(记)
答:(1) 各阶段文档的产出
计划:可行×××报告,项目开发计划,开发进度月报
需求分析:项目开发计划,软件需求规格说明,数据需求规格说明,测试计划,用户
手册,开发进度月报
设计:测试计划,概要设计说明,详细设计说明,数据库设计说明,用户手册,操作手
册,开发进度月报
编码:模块开发卷宗,用户手册,操作手册,开发进度月报
测试:模块开发卷宗,测试分析报告,开发进度月报,项目开发总结
(2) 哪些文档在哪个阶段开始做
可行×××报告:在计划阶段开始做,本阶段结束
项目开发计划:计划阶段开始做,需求分析阶段结束
软件需求规格说明:需求分析阶段开始做,本阶段结束
数据需求规格说明:需求分析阶段开始做,本阶段结束
计测试划:需求分析阶段开始做,设计阶段结束
概要设计说明:设计阶段开始做,本阶段结束
详细设计说明:设计阶段开始做,本阶段结束
数据库设计说明:设计阶段开始做,本阶段结束
模块开发卷宗:编码阶段开始做,测试阶段结束
用户手册:需求分析阶段开始做,编码阶段结束
操作手册:设计阶段开始做,编码阶段结束
测试分析报告:测试阶段开始做,本阶段结束
开发进度月报:计划阶段开始做,测试阶段结束
项目开发总结:测试阶段开始做,本阶段结束
