全部科目 > 系统规划与管理师 >
2021年上半年 下午试卷 案例
第 1 题
知识点 运维   风险管理   服务级别协议   恢复   质量管理  
 
 
【说明】
运维项目上个月未发生重大事故,但事故发生及事件恢复情况均不乐观。实际发生的事件次数为120件,其中超出服务协议约定恢复时间的事件数为90件。
运维团队成员常用以下几个趣味“成语”的歪解相互打趣。该项目负责人小孙希望通过质量管理风险管理降低这些现象带来的影响,以确保IT服务满足服务级别协议要求,敢终获得用户的满意。
 
问题:1.1   结合案例中的成语及释义,请选择每张图片所暗含须要关注的IT 服务评价指标(请将正确选项填写在答题纸的对应栏内)。
①服务记录的可追溯性
②重大事故发生情况
③服务按时恢复的事件比例
④服务的可用程度
⑤关键业务应急就绪度
⑥及时响应率
⑦及时解决率
⑧主动进行服务监控
1.“运愁维卧”须关注的IT服务评价指标是:(1)。
A.①②③④⑤⑥
B.②③④⑤⑥⑦
C.③④⑤⑥⑦⑧
D.①③④⑥⑦⑧
2.“唯唯诺诺”须关注的IT服务评价指标是: (2)。
A.①
B.①②
C.②③④
D.④⑤⑥⑦
3.“喜从天降”须关注的IT服务评价指标是: (3)。
A.①②③④⑤⑥⑦
B.①③④⑤⑥⑦⑧
C.②③④⑤⑥⑦⑧
D.①②③④⑤⑥⑧
问题:1.2   (1)结合案例,请计算服务按时恢复的事件比例。
(2)除“服务按时恢复的事件比例”指标外,请写出 IT服务连续性的其他指标。
问题:1.3   请简述常见的风险监控方法。
问题:1.4   判断下列选项的正误(填写在答题纸对应栏内,正确的选项填写“√”,错误的选项填写“x”)。
(1)IT运维服务质量的评价来自于IT服务供需双方,因IT服务的无形性、不可分离性、差异性等特点,给量化带来了很大的不确定性和难点。()
(2)关于供方访问权限的控制率越接近于0越好。()
(3)风险管理计划是风险定性分析的输入,也是风险定量分析的输入。()
(4)在IT服务风险管理技术方面,会存在技术和服务对象不匹配的风险。()
(5)外部因素造成的风险能够控制,内部因素造成的风险只能规避或转移()




 
 
 
知识点讲解
· 运维
· 风险管理
· 服务级别协议
· 恢复
· 质量管理
 
        运维
        运维是运行维护的简称,是一种IT服务形态。在《信息技术服务分类与代码》(GB/T 29264-2012)中,对运行维护服务(operation maintenance service)给出的定义是“采用信息技术手段及方法,依据需方提出的服务级别要求,对其信息系统的基础环境、硬件、软件及安全等提供的各种技术支持和管理服务”。
        运维是信息系统全生命周期中的重要阶段,也是内容最多、最繁杂的部分,是对信息系统提供维护和技术支持以及其他相关的支持和服务。运维服务的主要对象包括基础设施、硬件平台、基础软件、应用软件以及依赖于IT基础设施的数据中心、业务应用等信息系统,其范围可以是单个IT基础设施的运维,也可以是整体IT基础设施和业务应用的总体运维。运维服务交付内容主要包括咨询评估、例行操作、响应支持和优化改善。
        在《信息技术服务分类与代码》(GB/T 29264-2012)中,将运行维护服务分成基础环境运维、硬件运维服务、软件运维服务、安全运维服务、运维管理服务和其他运行维护服务六类,每类运维服务及其说明见下表。
        
        运维服务分类与代码
        
        任何组织和个人提供运维服务需要依据需方提出的服务级别要求,并确保提供的运行维护服务符合与需方约定的质量要求。因此,具备相应运维服务能力是服务组织提供服务的必要条件,比如规范和明确运维人员的岗位职责和工作安排、提供绩效考核量化依据、提供解决事故和问题经验、提供知识的积累和共享手段、实现完善的IT运维管理、提高组织经营水平和服务水平等等。在《信息技术服务运行维护第1部分:通用要求》(GB/T 28827.1-2012)中给出了供方运维服务的能力模型,该模型定义了运行维护服务能力的四个关键要素:人员、资源、技术和过程,每个要素通过关键指标反映应具备的条件和能力。模型也给出了供方为持续提升运维能力的管理方法。
 
        风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
        服务级别协议
        服务级别协议(SLA)设定了IT服务的数量、质量、费用等相关标准,实现了IT部门和业务部门之间的全面协作,努力获得高质量的服务以及最大限度地提高服务效率。SLA不仅用于企业内部IT部门和业务部门之间,而且也将用于企业和第三方服务提供商之间(比如外包、应用开发服务、系统集成服务等)。
        结构合理的服务级别协议应该包括下列内容。
        .被明确规定和描述的服务定义。
        .定义每项服务的测量标准:例如数量、质量、可用性、可靠性、安全性、问题解答、支持、备份、恢复时间、偶然性、增长能力、开发请求。
        .此外还应包括服务时间框架;服务成本及计费;对不履行职责所实施的惩罚。
        .依据服务测量方法来监督服务质量。
        .另外服务级别协议中也应包括企业和第三方服务提供商之间的明确职责。
 
        恢复
        数据恢复有3个步骤。
        (1)反向扫描文件日志,查找该事务的更新操作。
        (2)对事务的更新操作执行逆操作。
        (3)继续反向扫描日志文件,查找该事务的其他更新操作,并做同样的处理,直到事务的开始标志。
 
        质量管理
        ISO将质量定义为:“质量是反映实体满足明确和隐含需要的能力的特性总和”。我国国家标准GB/T1900—2000将质量定义为:“质量是一组固有特性满足要求的程度”。这些定义表明质量是通过实体来体现的,质量的实体可以是产品,也可以是某项活动或过程的工作质量,还可以是质量管理体系运行的质量。
        ISO将质量管理定义为:“在质量方面指挥和控制组织的协调活动”。我国国家标准GB/T1900-2000对质量管理的定义是:“在质量方面指挥和控制组织的协调的活动”。在质量方面的指挥和控制活动,通常包括制定质量方针和质量目标以及质量策划、质量控制、质量保证和质量改进。
        我国国家标准GB/T1900—2000对质量保证的定义是:“质量保证是质量管理的一部分,致力于增强满足质量要求的能力”。也就是,质量保证是为了提供足够的信任表明实体能够满足质量要求,而在质量体系中实施并根据需要进行全部有计划和有系统的活动。
        我国国家标准GB/T 1900—2000对质量控制的定义是:“质量管理的一部分,致力于满足质量要求”。质量控制的目标就是确保产品的质量能满足顾客、法律法规等方面所提出的质量要求,如适用性、可靠性和安全性。质量控制的范围涉及产品质量形成全过程的各个环节,如设计过程、采购过程、生产过程和安装过程。
        项目质量管理是为了保证项目最终能够达到预期的质量目标而进行的一系列的管理过程。项目的质量管理可以分解为质量计划编制、质量保证与质量控制三个过程。
        (1)质量计划编制。是指确定与项目相关的质量标准,并决定如何达到这些质量标准。
        (2)质量保证。是定期评估总体项目绩效的活动之一,以树立项目能满足相关质量标准的信心。
        (3)质量控制。是指监控具体的项目结果以判断其是否符合相关的质量标准,并确定方法来消除绩效低下的原因。
        质量管理与项目管理是相辅相成的,例如质量管理和项目管理这两门学科都认识到以下几方面的重要性:
        (1)顾客的满意程度。强调对顾客的需求深刻理解、认真评估、准确定义和严格管理,以便与顾客的期望相符。这就要求既符合要求(项目交付的产品要与它宣布将交付的产品相符)又适于使用(交付的产品或服务要满足实际需求)。
        (2)预防胜于检查。强调预防比检查更重要。防患于未然的代价总是小于检查所发现错误的纠正代价。
        (3)管理层的责任。成功需要项目团队全体成员的参与,然而提供取得成功所需的资源却仍然是管理层的职责。
        (4)持续改进。计划、执行、检查和改进循环是质量改进的基础。执行组织采取的质量改进措施,不仅会改善项目管理的质量,而且也会改进项目产品的质量。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2025 All Rights Reserved
软考在线版权所有