免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2020年下半年 系统集成项目管理工程师 下午试卷 案例
  第3题      
  知识点:   风险管理计划   风险识别   风险管理   风险清单   健康检查   排序   维护   运维   运行维护   中断   作业

 
2018年底,某公司承接了大型企业数据中心的运行维护服务项目,任命经验丰富的王伟为项目经理。
2019年1月初项目启动会后,王伟根据经验编制了风险管理计划,整理出了风险清单并制定了应对措施。考虑到风险管理会发生一定的成本,王伟按照应对措施的实施成本和难易程度对风险进行了排序
在项目会议上,王伟挑选了20项实施成本相对较低、难度相对较小的应对措施,将实施贵任分配到个人并将实施进度和成果等纳入个人绩效中。3月底,各责任人反馈应对措施均已实施完成。
4月初,数据中心周边施工作业造成市电临时中断,数据中心部分UPS由于电池老化未能及时供电,造成部分设备停机。该风险在20项应对措施覆盖范围内,当时安排小李负责,而小李认为电力中断发生的可能性太小,没有按照要求对UPS做健康检查及测试。
6月初,数据中心新上线一大批设备,随后又发生了部分设备停机事件,经过调查发现是机房空调制冷不足引起的。客户认为这是运维团队的工作疏忽,王伟坚持认为大批设备上线在年初做风险识别时属于未知风险,责任不该由运维团队承担。
 
问题:3.1   (10分)
结合案例,请指出本项目风险管理中存在的问题。
 
问题:3.2   (6分)
结合案例,请写出风险管理的主要过程,并说明王伟在这些过程中做了哪些具体工作?
 
问题:3.3   (4分)
请将下面(1) ~ (4)处的答案填写在答题纸的对应栏内。
应对威胁或可能给项目目标带来消极影响的风险,可采用(1)、(2)、(3)和(4)四种策略。
 
 
 

   知识点讲解    
   · 风险管理计划    · 风险识别    · 风险管理    · 风险清单    · 健康检查    · 排序    · 维护    · 运维    · 运行维护    · 中断    · 作业
 
       风险管理计划
        风险管理计划是项目管理计划的组成部分,描述将如何安排与实施风险管理活动。风险管理计划包括以下内容:
        .方法论:确定项目风险管理将使用的方法、工具及数据来源。
        .角色与职责:确定风险管理计划中每个活动的领导者和支持者,以及风险管理团队的成员,并明确其职责。
        .预算:根据分配的资源估算所需资金,并将其纳入成本基准,制定应急储备和管理储备的使用方案。
        .时间安排:确定在项目生命周期中实施风险管理过程的时间和频率,制定进度应急储备的使用方案,确定风险管理活动并纳入项目进度计划中。
        .风险类别:规定对潜在风险成因的分类方法。风险分解结构(Risk Breakdown Structure, RBS)有助于项目团队在识别风险的过程中发现有可能引起风险的多种原因。不同的RBS适用于不同类型的项目。组织可使用预先准备好的分类框架,可以是简易的分类清单或结构化的风险分解结构。
        .风险概率和影响的定义:为了确保风险分析的质量和可信度,需要对项目环境中特定的风险概率和影响的不同层次进行定义。在规划风险管理过程中,应根据具体项目的需要,裁剪通用的风险概率和影响定义,供后续过程使用。
        .概率和影响矩阵:概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。根据风险可能对项目目标产生的影响,对风险进行优先排序。通常由组织来设定概率和影响的各种组合,并据此设定高、中、低风险级别。
        .修订的干系人承受力:可在规划风险管理过程中对干系人的承受力进行修订,以适应具体项目的情况。
        .报告格式:如何记录、分析和沟通风险管理过程的结果,规定风险登记册及其他风险报告的内容和格式。
        .跟踪:如何记录风险活动以促进当前项目的开展,以及如何审计风险管理过程。
 
       风险识别
        风险识别是判断哪些风险可能影响项目并记录其特征的过程,其主要作用是对已有风险进行文档化,并为项目团队预测未来事件积累知识和技能。
        在项目生命周期中,随着项目的进展,新的风险可能产生或为人所知,所以风险识别是一个反复进行的过程,反复的频率及每轮的参与者因具体情况不同而异。对风险的描述应该便于比较项目中的某个风险与其他风险的相对后果。项目团队成员应参与风险识别过程,以便增强对风险及其应对措施的主人翁感和责任感,项目团队之外的干系人可以提供其他客观的信息。
               输入
                      风险管理计划
                      风险管理计划为识别风险过程提供一些关键要素,包括角色和职责分配、已列入预算和进度计划的风险管理活动,以及可能以风险分解结构的形式呈现的风险类别。
                      成本管理计划
                      成本管理计划中规定的工作流程和控制方法有助于在整个项目内识别风险。
                      进度管理计划
                      进度管理计划有助于了解可能受风险影响的项目时间、目标及预期。
                      质量管理计划
                      质量管理计划中规定的质量测量和度量基准,可用于识别风险。
                      人力资源管理计划
                      人力资源管理计划中包括角色与职责、项目组织图和人员配备管理计划,它们是识别风险过程的重要输入。
                      范围基准
                      项目范围说明书中包括项目的假设条件,应该把项目假设条件中的不确定性作为项目风险的潜在原因加以评估。WBS是识别风险过程的关键输入,它方便人们同时从微观和宏观两个层面认识潜在风险,可以在总体、控制账户或工作包层级上识别并继而跟踪风险。
                      活动成本估算
                      对活动成本估算进行审查,有利于识别风险。成本估算区间的宽度代表风险的相对程度。
                      活动持续时间估算
                      对活动持续时间估算进行审查,有利于识别与活动或整个项目的应急储备时间有关的风险。估算区间的宽度代表着风险的相对程度。
                      干系人登记册
                      可以利用干系人的信息确保关键干系人,特别是发起人和客户参与识别风险的过程,为风险识别提供各种输入。
                      项目文件
                      项目文件能为项目团队更好地识别风险提供与决策有关的信息。项目文件有助于跨团队沟通和干系人之间的沟通。项目文件包括项目章程、项目进度计划、进度网络图、问题日志、质量核对单以及对风险识别有用的其他信息。
                      采购文件
                      如果项目需要采购外部资源,采购文件就成为识别风险过程的重要输入。
                      事业环境因素
                      可能影响风险识别过程的事业环境因素包括公开发布的信息、学术研究资料、公开发布的核对单、标杆对照资料、行业研究资料和风险态度等。
                      组织过程资产
                      可能影响本过程的组织过程资产包括项目文档、组织和项目的过程控制资料、风险描述的格式或模板、经验教训等。
               工具与技术
                      文档审查
                      对项目文档(包括各种计划、假设条件、以往的项目文档、协议和其他信息)进行结构化审查。项目计划的质量,以及这些计划与项目需求和假设之间的匹配程度,都可能是项目的风险指示器。
                      信息收集技术
                      可用于风险识别的信息收集技术包括:
                      .头脑风暴:目的是获得一份综合的项目风险清单。可用风险类别作为基础框架,然后依风险类别进行识别和分类,并进一步阐明风险的定义。
                      .德尔菲技术:组织专家达成一致意见的一种方法。项目风险专家匿名参与,组织者使用调查问卷就重要的项目风险征询意见,然后对专家的答卷进行归纳,并把结果反馈给专家做进一步评论。这个过程反复几轮后,就可能达成一致意见。德尔菲技术有助于减轻数据的偏倚,防止任何个人对结果产生不恰当的影响。
                      .访谈:同有经验的项目参与者、干系人或相关主题专家进行访谈,有助于识别风险,
                      .根本原因分析:发现问题、找到其深层原因并制定预防措施的一种特定技术。
                      核对单分析
                      可以根据以往类似项目和其他来源的历史信息与知识编制风险识别核对单。
                      假设分析
                      假设分析是检验假设条件在项目中的有效性,并识别因其中的不准确、不稳定、不一致或不完整而导致的项目风险。
                      图解技术
                      风险图解技术可包括:
                      .因果图:又称石川图或鱼骨图,用于识别风险的起因。
                      .系统或过程流程图:显示系统各要素之间的相互联系及因果传导机制。
                      .影响图:用图形方式表示变量与结果之间的因果关系、事件时间顺序及其他关系。
                      SWOT分析
                      这种技术从项目的每个优势(strength)、劣势(weakness)、机会(opportunity)和威胁(threat)出发,对项目进行考察,并把产生于内部的风险都包括在内,从而更全面地考虑风险。
                      专家判断
                      项目经理可以借助拥有类似项目或业务领域经验的专家来识别风险。
               输出
                      风险登记册
                      风险识别过程的输出是风险登记册中的初始内容。随着其他风险管理过程的实施,风险登记册中的信息种类和数量会逐渐增加。最初的风险登记册包括如下信息:
                      .已识别风险清单:对已识别风险进行尽可能详细的描述。可采用结构化的风险描述语句对风险进行描述。
                      .潜在应对措施清单:在识别风险过程中,有时可以识别出风险的潜在应对措施。这些应对措施应作为规划风险应对过程的输入。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
       风险清单
        风险清单是一种主要的风险管理工具,指明了服务在任何时候面临的最大风险。风险管理负责人应经常维护这张清单,直到结束前不断更新这张清单,并给这些风险排列优先顺序,更新风险解决情况,对这些风险的严重程度的变化保持警惕。
 
       健康检查
        (1)数据库日志检查:在数据库系统中,对数据的任何更新操作(如增加、修改、删除),都要把相关操作的命令、执行时间、数据的更新等信息保存下来,这些被保存的信息就是数据库日志,即数据库日志是数据库系统中所有更新活动的操作序列。数据库系统根据事务处理来记录日志信息,日志内容包括:事务开始标记、事务的唯一标识、所操作数据项的唯一标识、数据项的写前值(数据插入操作不包含该项)、数据项的写后值(数据删除操作不包含该项)、事务提交或终止标记。任何数据库系统都遵循先写日志的原则,即在内存中被更新数据写入磁盘之前,要保证对应日志信息已经写入磁盘,存入日志文件。因此,数据库日志文件是数据恢复的重要基础。
        (2)数据库一致性检查:对数据库的物理和逻辑一致性进行检查,以SQL Server 2000数据库管理系统为例,系统提供数据库控制台命令DBCC,可用于数据库的一致性检查。DBCC语句分类如下表所示。
        
        DBCC语句分类表
 
       排序
        假设含n个记录的文件内容为{R1R2,…,Rn},其相应的关键字为{k1k2,…,kn}。经过排序确定一种排列{Rj1Rj2,…,Rjn},使得它们的关键字满足如下递增(或递减)关系:kj1≤kj2≤…≤kjn(或kj1kj2≥…≥kjn)。
 
       维护
        维护阶段是软件生存期中时间最长的阶段。软件一旦交付正式投入运行后便进入软件维护阶段。该阶段的关键任务是通过各种必要的维护活动使系统持久地满足用户的需要。每一项维护活动都应该准确地记录下来,作为正式的文档资料加以保存。
 
       运维
        运维是运行维护的简称,是一种IT服务形态。在《信息技术服务分类与代码》(GB/T 29264-2012)中,对运行维护服务(operation maintenance service)给出的定义是“采用信息技术手段及方法,依据需方提出的服务级别要求,对其信息系统的基础环境、硬件、软件及安全等提供的各种技术支持和管理服务”。
        运维是信息系统全生命周期中的重要阶段,也是内容最多、最繁杂的部分,是对信息系统提供维护和技术支持以及其他相关的支持和服务。运维服务的主要对象包括基础设施、硬件平台、基础软件、应用软件以及依赖于IT基础设施的数据中心、业务应用等信息系统,其范围可以是单个IT基础设施的运维,也可以是整体IT基础设施和业务应用的总体运维。运维服务交付内容主要包括咨询评估、例行操作、响应支持和优化改善。
        在《信息技术服务分类与代码》(GB/T 29264-2012)中,将运行维护服务分成基础环境运维、硬件运维服务、软件运维服务、安全运维服务、运维管理服务和其他运行维护服务六类,每类运维服务及其说明见下表。
        
        运维服务分类与代码
        
        任何组织和个人提供运维服务需要依据需方提出的服务级别要求,并确保提供的运行维护服务符合与需方约定的质量要求。因此,具备相应运维服务能力是服务组织提供服务的必要条件,比如规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决事故和问题经验、提供知识的积累和共享手段、实现完善的IT运维管理、提高组织经营水平和服务水平等等。在《信息技术服务运行维护第1部分:通用要求》(GB/T 28827.1-2012)中给出了供方运维服务的能力模型,该模型定义了运行维护服务能力的四个关键要素:人员、资源、技术和过程,每个要素通过关键指标反映应具备的条件和能力。模型也给出了供方为持续提升运维能力的管理方法。
 
       运行维护
        数据库应用系统经过测试、试运行后即可正式投入运行。运行维护是系统投入使用后,必须不断地对其进行评价、调整与修改,直至系统消亡。
        在任一设计阶段,一旦发现不能满足用户数据需求时,均需返回到前面的适当阶段进行必要的修正。经过如此的迭代求精过程,直到能满足用户需求为止。在进行数据库结构设计时,应考虑满足数据库中数据处理的要求,将数据和功能两方面的需求分析、设计和实现在各个阶段同时进行,相互参照和补充。
        事实上,在数据库设计中,对每一个阶段设计成果都应该通过评审。评审的目的是确认某一阶段的任务是否全部完成,从而避免出现重大的错误或疏漏,保证设计质量。评审后还需要根据评审意见修改所提交的设计成果,有时甚至要回溯到前面的某一阶段,进行部分重新设计乃至全部重新设计,然后再进行评审,直至达到系统的预期目标为止。
 
       中断
        中断是异步发生的,是来自处理器外部的I/O设备的信号的结果。硬件中断不是由任何一条专门的指令造成的,从这个意义上来说它是异步的。硬件中断的异常处理程序常常被称为中断处理程序(interrupt handler)。
               硬中断与软中断
               硬中断是由硬件产生的,例如磁盘、网卡、键盘、时钟等。每个设备或设备集都有它自己的IRQ(中断请求)。基于IRQ,CPU可以将相应的请求分发到对应的硬件驱动上。
               软中断是一组静态定义的下半部分接口,可以在所有的处理器上同时执行,即使两个类型相同也可以。但是一个软中断不会抢占另外的一个软中断,唯一可以抢占软中断的是硬中断。
               可屏蔽中断与不可屏蔽中断
               可屏蔽中断和不可屏蔽中断都属于外部中断,是由外部中断源引起的。不可屏蔽中断源一旦提出请求,CPU必须无条件响应,而对可屏蔽中断源的请求,CPU可以响应,也可以不响应。
               CPU一般设置两根中断请求输入线:可屏蔽中断请求INTR(Interrupt Require)和不可屏蔽中断请求NMI(Non Maskable Interrupt)。对于可屏蔽中断,除了受本身的屏蔽位控制外,还都要受一个总的控制,即CPU标志寄存器中的中断允许标志位IF(Interrupt Flag)的控制,IF位为1,可以得到CPU的响应,否则,得不到响应。IF位可以由用户控制,指令STI或Turbo C的Enable()函数,将IF位置1(开中断),指令CLI或Turbo_c的Disable()函数,将IF位清0(关中断)。
               中断优先级
               当多个中断源同时请求中断时,而CPU一次只能响应其中的一个中断,同时为了能响应所有中断,就引入中断优先级来处理。系统会根据引起中断事件的重要性和紧迫程度,将中断源分为若干个级别,称作中断优先级。中断优先级有两种:查询优先级和执行优先级。
               查询优先级是不可以更改和设置的,在该方式下当多个中断源同时产生中断信号时,中断仲裁器会选择中断源优先处理的顺序,此过程与是否发生中断服务程序的嵌套毫不相干。当CPU查询各个中断标志位的时候,会依照优先级顺序依次查询,当数个中断同时请求的时候,会优先查询到高查询优先级的中断标志位,但并不代表高查询优先级的中断可以打断已经并且正在执行的低查询优先级的中断服务。
               由于可屏蔽的中断源很多,故需要对其进行管理,如区分是哪个中断源发出的中断信号?哪个中断源最优先及怎样处理多级中断嵌套等。为此,可使用中断控制器对多个可屏蔽中断源进行管理。
               中断控制器能够对中断进行排队管理,避免中断信号的丢失,同时支持对不同中断进行优先级的配置,使高优先级中断能够中断低优先级中断,满足系统中具有更高时间约束特性功能的需要。
               中断嵌套
               当处理器正在处理一个中断时,有比该中断优先级高的中断源发出中断请求时,如果处理器正在执行中断处理程序,那么处理器会对高优先级的中断进行立即处理,处理完之后再返回到低优先级的中断服务程序继续执行。这样就形成了中断服务程序中套用中断服务程序的情况,即中断嵌套。可嵌套中断的处理流程和中断服务框图如下图所示。
               
               可嵌套中断处理流程
 
       作业
        作业(Job)是用户提交给操作系统计算的一个独立任务。一般每个作业必须经过若干个相对独立又相互关联的顺序加工步骤才能得到结果,其中,每一个加工步骤称一个作业步(Job Step),例如,一个作业可分成编译、连接装配和运行三个作业步,往往上一个作业步的输出是下一个作业步的输入。作业由用户组织,作业步由用户指定,一个作业从提交给系统,直到运行结束获得结果,要经过提交、收容、执行和完成四个阶段。
   题号导航      2020年下半年 系统集成项目管理工程师 下午试卷 案例   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
 
第3题    在手机中做本题