笔记-中项/高项学习期间的错题笔记1

这是记录，在中项、高项过程中的错题笔记；
https://www.zenwu.site/post/2b6d.html

1. 信息系统的规划工具

1. 在制订计划时，可以利用PERT图和甘特图；
2. 访谈时，可以应用各种调查表和调查提纲；
3. 在确定各部门、各层管理人员的需求，梳理流程时，可以采用会谈和正式会议的方法。
4. 为把企业组织结构与企业过程联系起来，说明每个过程与组织的联系，指出过程决策人，可以采用建立过程／组织（Process/Organization，P/O）矩阵的方法。例如，一个简单的P/O矩阵示例，其中“√”代表责和决策，“+”代表过程主要涉及，“+”代表过程有涉及，空白表示过程不涉及。
5. 为定义数据类，在调查研究和访谈的基础上，可以采用实体法归纳出数据类。实俸法首先列出企业资源，再列出一个资源／数据( Resource/Data，R/D)矩阵。
6. 功能法也称为过程法，它利用所识别的企业过程，分析每个过程的输入数据类和输出数据类，与RD矩阵进行比较并调整，最后归纳出系统的数据类。功能法可以用IPO（Input-Process-Output，输入．处理，输出）
7. CU矩阵。企业过程和数据类定义好后，可以企业过程为行，以数据类为列，按照企业过程生成数据类关系填写c (Create)，使用数据类关系填写u(User)，形成CU矩阵。

2. 互联网+

互联网+，有六大特征：

一、跨界融合
+就是跨界，就是变革，就是开放，就是重塑融合。敢于跨界了，创新的基础就更坚实；融合协同了，群体智能才会实现，从研发到产业化的路径才会更垂直。融合本身也指代身份的融合，客户消费转化为投资，伙伴参与创新，等等，不一而足。

二、创新驱动
中国粗放的资源驱动型增长方式早就难以为继，必须转变到创新驱动发展这条正确的道路上来。这正是互联网的特质，用所谓的互联网思维来求变、自我革命，也更能发挥创新的力量。

三、重塑结构
信息革命、全球化、互联网业已打破了原有的社会结构、经济结构、地缘结构、文化结构。权力、议事规则、话语权不断在发生变化。互联网+社会治理、虚拟社会治理会是很大的不同。

四、尊重人性
人性的光辉是推动科技进步、经济增长、社会进步、文化繁荣的最根本的力量，互联网的力量之强大最根本地也来源于对人性的最大限度的尊重、对人体验的敬畏、对人的创造性发挥的重视。例如UGC，例如卷入式营销，例如分享经济。

五、开放生态
关于互联网+，生态是非常重要的特征，而生态的本身就是开放的。我们推进互联网+，其中一个重要的方向就是要把过去制约创新的环节化解掉，把孤岛式创新连接起来，让研发由人性决定的市场驱动，让创业并努力者有机会实现价值。

六、连接一切
连接是有层次的，可连接性是有差异的，连接的价值是相差很大的，但是连接一切是互联网+的目标。

3. 网络安全防御技术

1. 防火墙
防火墙是一种较早使用、实用性很强的网络安全防御技术，它阻挡对网络的非法访问和不安全数据的传递，使得本地系统和网络免于受到许多网络安全威胁。在网络安全中，防火墙主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略，而这种策略是预先定义好的，所以是一种静态安全技术。在策略中涉及的网络访问行为可以实施有效管理，而策略之外的网络访问行为则无法控制。防火墙的安全策略由安全规则表示。

2. 入侵检测与防护
入侵检测与防护的技术主要有两种：入侵检测系统(lntrusion Detection System，IDS)和入侵防护系统( Intrusion Prevention System，IPS)。

• 入侵检测系统(IDS)
  注重的是网络安全状况的监管，通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹缘，并发出报警。因此绝大多数IDS系统部是被动的。
• 入侵防护系统(IPS)
  则倾向于提供主动防护，注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

3. VPN
VPN（Virtual Private Network，虚拟专用网络），它是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的、安全的数据通信通道的技术。VPN可以认为是加密和认证技术在网络传输中的应用。

VPN网络连接由客户机、传输介质和服务器三部分组成，VPN的连接不是采用物理的传输介质，而是使用称之为“隧道”的技术作为传输介质，这个隧道是建立在公共网络或专用网络基础之上的。

常见的隧道技术包括：
点对点隧道协议(Point-to PointTunneling Protocol，PPTP)、第2隧道协议(Layer2 Tunneling Protocol，L2TP)和IP安全协议(IPSec)。

4. 分布式拒绝服务攻击(英文意思是Distributed Denial of Service，简称DDoS)
是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。

4. 信息系统安全

本题考查信息系统安全的有关概念，参考《信息系统项目管理师教程》第三版教程P6。

4.1. 设备安全

信息系统设备的安全是信息系统安全的首要问题。这里主要包括三个方面:

• 设备的稳定性：设备在一定时间内不出故障的概率。
• 设备的可靠性：设备能在一定时间内正常执行任务的概率。
• 设备的可用性：设备随时可以正常使用的概率。

信息系统的设备安全是信息系统安全的物质基础。除了硬件设备外，软件系统也是一种设备，也要确保软件设备的安全。

4.2. 数据安全

其安全属性包括秘密性、完整性和可用性。很多情况下，即使信息系统设备没有受到损坏，但其数据安全也可能已经受到危害，如数据泄露、数据篡改等。由于危害数据安全的行为具有较高的隐蔽性，数据应用用户往往并不知情，因此，危害性很高。

4.3. 内容安全

内容安全是信息安全在政治、法律、道德层次上的要求。

1. 信息内容在政治上是健康的。
2. 信息内容符合国家的法律法规。
3. 信息内容符合中华民族优良的道德规范。

除此之外，广义的内容安全还包括信息内容保密、知识产权保护、信息隐藏和隐私保护等诸多方面。
如果数据中充斥着不健康的、违法的、违背道德的内容，即使它是保密的、未被篡改的，也不能说是安全的。因为这会危害国家安全、危害社会稳定、危害精神文明。因此，必须在确保信息系统设备安全和数据安全的基础上，进-步确保信息内容的安全。

4.4. 行为安全

数据安全本质上是一种静态的安全，而行为安全是一种动态安全。

1. 行为的秘密性：行为的过程和结果不能危害数据的秘密性。必要时，行为的过程和结果也应是秘密的。
2. 行为的完整性：行为的过程和结果不能危害数据的完整性，行为的过程和结果是预期的。
3. 行为的可控性：当行为的过程出现偏离预期时，能够发现、控制或纠正。

行为安全强调的是过程安全，体现在组成信息系统的硬件设备、软件设备和应用系统协调工作的程序(执行序列)符合系统设计的预期，这样才能保证信息系统的“安全可控”。

5. 集成技术

5.1. 表示集成

表示集成也称为界面集成，这是比较原始和最浅层次的集成，但又是常用的集成。这种方法将用户界面作为公共的集成点,把原有零散的系统界面集中在一个新的界面中。黑盒集成。

5.2. 数据集成

为了完成控制集成和业务流程集成，必须首先解决数据和数据库的集成问题。在集成之前，必须首先对数据进行标识并编成目录，另外还要确定元数据模型，保证数据在数据库系统中分布和共享。白盒集成。

5.3. 控制集成

控制集成也称为功能集成或应用集成，是在业务逻辑层上对应用系统进行集成的。控制集成的集成点存于程序代码中，集成处可能只需简单使用公开的API ( Application Programming Interface, 应用程序编程接口)就可以访问，当然也可能需要添加附加的代码来实现。控制集成是黑盒集成。

5.4. 业务流程集成

业务流程集成也称为过程集成，这种集成超越了数据和系统，它由一系列基于标准的、统一数据格式的工作流组成。当进行业务流程集成时，企业必须对各种业务信息的交换进行定义、授权和管理，以便改进操作、减少成本、提高响应速度。

6. 黑盒测试和白盒测试

1. 黑盒测试也称为功能测试
   主要用于集成测试、确认测试和系统测试中。黑盒测试将程序看作是一个不透明的黑盒，完全不考虑(或不了解)程序的内部结构和处理算法，而只检查程序功能是否能按照SRS的要求正常使用，程序是否能适当地接收输入数据并产生正确的输出信息，程序运行过程中能否保持外部信息(例如，文件和数据库等)的完整性等。黑盒测试根据SRS所规定的功能来设计测试用例，一般包括等价类划分、边界佰分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。

2. 白盒测试也称为结构测试
   主要用于软件单元测试中。它的主要思想是，将程序看作是一个透明的白盒，测试人员完全清楚程序的结构和处理算法，按照程序内部逻辑结构设计测试用例，检测程序中的主要执行通路是否都能按预定要求正确工作。

7. 大数据

大数据是具有体量大、结构多样、时效性强等特征的数据，处理大数据需要采用新型计算架构和智能算法等新技术。大数据从数据源经过分析挖掘到最终获得价值一般需经过5主要环节，包括数据准备、数据存储与管理、计算处理、数据分析和知识展现。

大数据技术涉及到的数据模型、处理模型、计算理论，与之相关的分布计算、分布存储平台技术（C选项）、数据清洗和挖掘技术，流式计算、増量处理技术，数据质量控制等方面的研究和开发成果丰硕，大数据技术产品也已经进入商用阶段。

大数据像水、矿石、石油一样，正在成为新的自然资源，能不能挖掘资源中的潜在的价值，成为这个时代能不能走向创富的重要条件。

8. 对象、类、抽象、封装、继承

对象
由数据及其操作所构成的封装体，是系统中用来描述客观事物的一个模块，是构成系统的基本单位。对象包含三个基本要素，分别是对象标识、对象状态和对象行为。例如，对于姓名 (标识)为Joe的教师而言，其包含性别、年龄、职位等个人状态信息，同时还具有授课等行为特征，Joe就是封装后的一个典型对象。

类
现实世界中实体的形式化描述，类将该实体的属性(数据)和操作(函数) 封装在一起。
**类和对象的关系可理解为，对象是类的实例，类是对象的模板。**如果将对象比作房子，那么类就是房子的设计图纸。

抽象
通过特定的实例抽取共同特征以后形成概念的过程。抽象是一种单一化的描述，强调给出与应用相关的特性，抛弃不相关的特性。对象是现实世界中某个实体的抽象，类是一组对象的抽象。

封装
将相关的概念组成一个单元模块，并通过一个名称来引用它。面向对象封装是将数据和基于数据的操作封装成一个整体对象，对数据的访问或修改只能通过对象对外提供的接口进行。

继承
表示类之间的层次关系(父类与子类这种关系使得某类对象可以继承另外一类对象的特征，继承又可分为单继承和多继承。

9. 承建方技术可行性分析

承建方技术可行性分析：

• 承建方人力及其他资源配置能力可行性分析
• 项目财务可行性分析
• 项目风险分析
• 对可能的其他投标者的相关情况分析

10. 可行性研究报告的内容

可行性研究报告的内容包括有：

1. 项目概述
2. 项目技术背景与发展概况
3. 现行系统业务、资源、设施情况分析
4. 项目技术方案
5. 实施进度计划
6. 投资估算与资金筹措计划
7. 人员及培训计划
8. 不确定性（风险）分析
9. 经济和社会效益预测与评价
10. 可行性研究结论与建议

11. 项目论证的原则

项目论证的原则有：

1. 合规；
2. 政策、技术、经济相结合；
3. 重视数据资料；
4. 要加强科学的预测工作；
5. 微观经济效果与宏观经济效果相结合的原则；
6. 近期经济效果与远期经济效益相结合；
7. 定性分析与定量分析相结合.

12. 商业论证的作用

商业论证的作用主要体现在以下几个方面：

1. 确定项目是否实施的依据；
2. 筹措资金、向银行贷款的依据；
3. 编制计划、设计、采购、施工以及机构设置、资源配置的依据；
4. 商业论证是防范风险、提高项目效率的重要保证。

商业论证的内容包括项目运行环境评价、项目技术评价、项目财务评价、项目国民经济评价、项目环境评价、项目社会影响评价、项目不确定性和风险评价、项目综合评价等。

13. 可行性研究阶段

项目论证的机会研究阶段，成本误差控制 ±3％，
初步可行性研究阶段，成本误差控制在 ±2％，
详细可行性研究阶段，成本误差控制在 ±1％。

• 机会研究的内容为寻求投资机会，鉴别投资方向；
• 初步可行性研究阶段要研究项目是否有生命力，能否盈利；
• 详细可行性研究是要在多方案比较的基础上选择出最优方案；
• 项目论证是确定项目是否实施的前提。

14. CIMMI过程域

笔记-信息系统开发基础-CMMI过程域分类-连续式的模型post/131e.html：

CIMMI过程域可以分为项目管理、过程管理、工程和支持等4类别。

CMMI-DEV中的七个项目管理类过程域如下：

• 集成项目管理( Integrated Project Management，IPM)
• 项目监督与控制( Project Monitoring and Control，PMC)
• 项目计划( Project Planning，PP)
• 量化项目管理（Quantitative Project Management，QPM）
• 需求管理(Requirements Management, REQM)
• 风险管理（Risk Management, RSKM）
• 供方协议营理（Supplier Agreement Management，SAM）

CMMI-DEV中的五个工程类过程域如下：

• 产品集成( Product Integration，PI)
• 需求开发( Requirements Development，RD)
• 技术解决方案( Technical Solution．TS)
• 确认(Validation，VAL)
• 验证( Verification，VER)

CMMI-DEV中的五个过程管理类过程域如下：

• 组织级过程定义（Organizational Process Definition，OPD）
• 组织级过程关注（Organizational Process Focus，OPF）
• 组织级绩效管理（Organizational Performance Management，OPM）
• 组织级过程性能（Organizational Process Performance，OPP）
• 组织级培训(Organizational Training，OT)

CMMI-DEV中的五个支持类过程域如下：

• 原因分析与解决( Causal Analysis and Resolution，CAR)
• 配置管理（Configuration Management，CM）
• 决策分析与解决(Decision Analysis and Resolution，DAR)
• 度量与分析（Measurement and Analysis，MA）
• 过程与产品质量保证（Process and Product Quality Assurance，PPQA）

15. CMMI表示法与级别

CMMI表示法与级别： 1. 初始级；2. 已管理级；3. 已定义级；4. 已量化管理级；5. 持续优化级

16. 研究一切系统的基本观点（原理）

系统论方法论是研究一切系统的一般模式、原则和规律的理论体系。研究一切系统的基本观点（原理）：

原理一，整体性：“盲人摸象”的教训；
原理二，相关性：牵一发而动全身；
原理三，层次性：等级森严的结构整体；
原理四，有序性：系统功能发挥的源泉；
原理五，动态性：发展变化的理论；
原理六，调控性：系统的自组织；
原理七，最优化：如何追求完美。

17. 五大过程组

启动过程组：确定并核准项目或项目阶段。
规划过程组：定义和细化目标，规划最佳的行动方案即从各种备选的方案中选取最优方案，以实现项目或阶段所承担的目标范围。
执行过程组：通过采用必要的行动，协调人力资源和其他资源，整体的、有效的实施项目计划。
监控过程组：测量和实时监控项目进展情况，发现偏离项目管理计划之处，及时采取纠正措施和变更控制，确保项目目标的实现。
收尾过程组：对项目成果、项目产品、项目阶段进行验收，确保项目或项目阶段有条不紊的结束。

18. 组织结构

职能型组织

优点：

1. 强大的技术支持，便于交流；
2. 清晰的职业生涯晋升路线；
3. 直线沟通、交流简单、责任和权限很清晰；
4. 有利于重复性工作为主的过程管理。

缺点：

1. 职能利益优先于项目，具有狭隘性；
2. 组织横向之间的联系薄弱、部门间协调难度大；
3. 项目经理极少或缺少权利、权威；
4. 项目管理发展方向不明，缺少项目基准等。

项目型组织

优点：

1. 结构单一，责权分明，利于统一指挥；
2. 目标明确单一；
3. 沟通简洁、方便；
4. 决策快。

缺点：

1. 管理成本过高；
2. 项目环境封闭，不利于沟通、技术共享等；
3. 员工缺乏事业上的连续性和保障等。

矩阵型组织

优点：

1. 项目经理负责制，有明确的项目目标；
2. 改善了项目经理对整体资源的控制；
3. 及时响应；
4. 获得职能组织更多的支持；
5. 最大限度地利用公司的稀缺资源；
6. 改善了跨职能部门间的协调合作；
7. 使质量、成本、时间等制约因素得到更好的平衡；
8. 团队成员有归属感，士气高，问题少；
9. 出现的冲突较少，易处理解决。

缺点：

1. 管理成本增加；
2. 多头领导；
3. 难以监测和控制；
4. 资源分配与项目优先的问题产生冲突；
5. 权利难以保持平衡。

19. 项目型组织

项目型组织是指那些一切工作都围绕项目进行、通过项目创造价值并达成自身战略目标的组织。它包括企业、企业内部的部门、政府或其他机构。在这里所谓的项目型组织，不同于人们日常所说的项目部，它是指一种专门的组织结构。

项目型组织的典型优点：

• 结构单一、责权分明、利于统一指挥；目标明确、沟通简洁、方便；决策快。

项目型组织的典型缺点：

• 管理成本过高、如项目的工作量不足则资源配置效率低；项目环境比较封闭、不利于沟通、技术知识等共享；员工缺乏事业上的连续型和保障。

20. 质量成本

审计成本：用于审计工作所花的成本；
沉没成本：在过去己经花的钱；
直接成本：直接可以归属于项目工作的成本；
间接成本：一般管理费用科目或几个项目共同分担的成本。

在以上成本中，项目经理可以控制的只有直接成本。

21. 软技能

软技能包括人际关系管理。软技能包括以下内容：

• 有效的沟通：信息交流；
• 影响一个组织：“让事情办成”的能力；
• 领导能力：形成一个前景和战略并组织人员达到它；
• 激励：激励人员达到高水平的生产率并克服变革的阻力；
• 谈判和冲突管理：与其他人谈判或达成协议；
• 问题解决：问题定义和做出决策的结合。

22. 项目整体评估要素

把项目看成一个整体，权衡各种要素之间的关系的评估称为项目整体评估，其主要特征可以概括为：

• 整体性（综合集成经济、技术运行、环境、风险）
• 目标性、相关性（时间、知识、逻辑三维结构）
• 动态性（项目生命周期）

23. 目目标

任何一个项目，不论是建筑业、国防系统的复杂项目，还是IT项目、个人或团体的一次性的大小项目或活动，项目一经确定投资实施，必定要产生一个项目的目标，而且这个目标是经过仔细分析得出的，是一个清晰的目标，尽管对于项目的不同利益方，如客户方、承包商或其他相关厂商又有不同目标和把握的重点，但其最终结果是实现项目整体的目标。**项目目标就是实施项目所要达到的期望结果，即项目所能交付的成果或服务。**即“A．项目目标就是所能交付的成果或服务的期望效果”是正确的。

项目目标具有如下特性：

1. 项目目标的多目标性
   对于一个项目而言，项目目标往往不是单一的，而是一个多目标系统，希望通过一个项目的实施，实现一系列的目标，满足多方面的需求。但很多时候不同的目标之间是相互冲突的，实施项目的过程就是多个目标协调的过程，有同一层次不同目标的协调，不同层次总项目目标与子目标的协调，项目目标与组织战略的协调等。

2. 项目目标的优先性
   项目是一个多目标的系统，不同目标可能在项目管理不同阶段根据不同需要，其重要性也不一样。如，在项目的启动阶段，技术性能可能给予过多关注，在实施阶段成本将会成为重点，而时间进度往往是在验收时给予高度的重视。而对于不同的项目，关注的重点也不一样，如单纯的软件研发项目，将更多的关注技术指标和软件质量。

3. 项目目标具有层次性
   项目目标的层次性是指对项目目标的描述需要有一个从抽象到具体的层次结构。即一个项目目标既有最高层的战略目标，又有较低层次的具体目标。通常是把明确定义的项目目标按其意义和内容表示为一个递进层次结构，而且越较低层次的目标应该描述越清晰具体，并应分解到相关岗位。即“B．项目目标应分解到相关岗位”是正确的。

项目目标的SMART原则

• S（Specific）——明确性
• M（Measurable）——可衡量性
• A（Attainable）——可接受性
• R（Relevant）——实际性
• T（Time-based）——时限性

24. PMO

PMO的一个主要职能是通过各种方式向项目经理提供支持，这些方式包括（但不限于）：

• 对PMO所辖的全部项目的共享资源进行管理；
• 识别和制定项目管理方法、最佳实践和标准；
• 指导、辅导、培训和监督；
• 通过项目审计，监督对项目管理标准、政策、程序和模板的遵守程度；
• 制定和管理项目政策、程序、模板和其他共享的文件（组织过程资产）；
• 对跨项目的沟通进行协调。

25. 项目管理过程组

任何项目都需从启动、规划、执行、监控到收尾的5个项目管理过程组，与应用领域或具体行业无关。在各种项目上，五大过程组之间的先后顺序关系基本相同。当然，在这种先后顺序关系之中，又存在交叉和循环。这种交叉和循环关系，在不同项目上有较大差别。 项目管理过程的变更与项目变更之间没有必然联系。项目进入执行阶段后，需要3，而这种细化或修改仍属于规划过程组的工作。

26. 四控、三管、一协调

信息系统工程监理活动的主要内容是“四控、三管、一协调”。

四控如下：

1. 信息系统工程的质量控制：
2. 信息系统工程的进度控制；
3. 信息系统工程的投资控制；
4. 信息系统工程的变更控制。

三管如下

1. 信息系统工程的合同管理；
2. 信息系统工程的信息管理；
3. 信息系统工程的安全管理。

一协调如下：在信息系统工程实施过程中协调有关单位间的工作关系。

27. 质量管理体系文件

质量管理体系文件包括质量手册、程序文件和质量记录。

28. 六西格玛管理法

六西格玛管理法是全面质量管理（TQM）的继承和发展，它为组织带来了一个新的、垂直的质量管理方法体系。它的优越之处在于从项目实施过程中改进和保证质量，而不是从结果中检验控制质量。这样不仅减小了检控质量的步聚，而且避免了由此带来的返工成本，同时六西格玛质量管理培养了员工的质量意识，并将这种质量意识融入企业文化之中。

29. 人员配备管理计划

人员配备管理计划说明将在何时、以何种方式获得项目团队成员，以及他们需要在项目中工作多久。

30. 预分派

预分派可在下列情况下发生：

• 在竞标过程中承诺分派特定人员进行项目工作；
• 项目取决于特定人员的专有技能；
• 项目章程中指定了某些人员的工作分派。

31. 组织

组织是由人和其他各种用以实现一系列目标的资源组成的正式集合。所有的组织都包含有一系列的增值过程，如内部后勤、仓库和存储、生产、市场、销售、客户服务等等，这些是价值链的组成部分。信息系统在增值过程中，与增值过程紧密相连，是过程本身的一部分。组织适应新环境或者随时间而改变其行为称为组织学习。

32. 质量控制过程

质量控制过程的输入包括：
质量管理计划、质量度量标准、质量检查表、组织过程资产、工作绩效信息、已批准的变更请求、产品服务和结果。

33. 中华人民共和国合同法

根据《中华人民共和国合同法》 第三十二条 当事人采用合同书形式订立合同的，自双方当事人签字或者盖章时合同成立。

根据《中华人民共和国合同法》第十条　当事人订立合同，有书面形式、口头形式和其他形式。

根据《中华人民共和国合同法》第三十五条 当事人采用合同书形式订立合同的，双方当事人签字或者盖章的地点为合同成立的地点。

根据《中华人民共和国合同法》第三十三条 当事人采用信件、数据电文等形式订立合同的，可以在合同成立之前要求签订确认书。签订确认书时合同成立。

34. 管理文档

管理文档是建立在项目管理信息的基础上，包括开发过程的每个阶段的进度和进度变更记录；软件变更情况的记录；相对于开发的判定记录；职责定义。

这些文档从管理的角度规定涉及软件生存的信息。开发文档是描述软件开发过程，包括软件需求、软件设计、软件测试、保证软件质量的一类文档，开发文档也包括软件的详细技术描述（程序逻辑、程序间相互关系、数据格式和存储等）。

36. 走查、审核、认证、鉴定

走查
一种静态分析技术或评审过程，在此过程中，设计者或程序员引导开发组的成员通读已书写的设计或编码，其他成员负责提出问题并对有关技术、风格、可能的错误、是否违背开发标准等方面进行评论。

审核（审计）
a) 为评估工作产品或工作产品集是否符合软件需求、规格说明、基线、标准、过程、指令、代码以及合同和特殊要求而进行的一种独立的检查；
b) 通过调查研究确定己制定的过程、指令、规格说明、代码和标准或其他的合同及特殊要求是否恰当和被遵守，以及其实现是否有效而进行的活动。

认证
a) 一个系统、部件或计算机程序符合其规定的需求，对操作使用是可接受的一种书面保证。例如，一计算机系统是安全的允许在定义的环境中操作的书面的认可；
b) 为使系统获准投入运行性使用，对系统遵循规定的需求是可接受的所做的正式演示；
c) 验证系统或部件遵循规定的需求，且其操作使用是可接受的过程。

鉴定
一个正式的过程，通过这个过程确定系统或部件是否符合它的规格说明，是否可在目标环境中适合于操作使用。

37. 安全审计

安全审计是信息安全保障系统中的一个重要组成部分，是落实系统安全策略的重要机制和手段，通过安全审计，识别与防止计算机网络系统内的攻击行为，追查计算机网络系统内的泄密行为。安全审计具体包括两方面的内容。

1. 采用网络监控与入侵防范系统，识别网络各种违规操作与攻击行为，即时响应(如报警)并进行阻断。
2. 对信息内容和业务流程进行审计，可以防止内部机密或敏感信息的非法泄漏和单位资产的流失。

安全审计系统采用数据挖掘和数据仓库技术，对历史数据进行分析、处理和追踪,实现在不同网络环境中终端对终端的监控和管理，必要时通过多种途径向管理员发出警告或自动采取排错措施。因此信息安全审计系统被形象地比喻为“黑匣子”和“监护神”。

38. 事件管理

事件管理的宗旨是最短时候恢复故障，从而将故障的损失降到最低，在此前提下尽可能满足服务的要求。
问题管理在于找出IT故障的根本原因，制定解决方案，防止类似故障的再次发生。

39. 帕累托分析原理

帕累托分析原理：
帕累托图来自于8/2定律，该定律认为大多数的问题或缺陷产生于相对有限的原因，即20%的原因造成了80%的问题。

40. 一致性成本与非一致性成本

一致性成本：在项目期间用于防止失败的费用；
非一致性成本：项目期间和项目完成后用于处理失败的费用

41. 干系人分析

干系人分析可以达到两个目的：

1. 是确定不同干系人的信息需求；
2. 是辨别项目干系人的影响和收益，以此帮助项目经理制定最佳的沟通策略。(而与项目匹配的方法和技术分析不是分析项目干系人的内容。)

42. 沟通方法

沟通方法：

• 假设性问题，一般会强迫对方思考；
• 探寻式问题，适合于探索性的内容；
• 开发式问题，用于发散收集更多信息；
• 封闭式问题，常用于确认信息。

43. 项目干系人管理

项目干系人管理的主要目标是促进干系人对项目的理解与支持，使干系人了解项目的进展和有可能带来的影响。
项目干系人管理就是对项目沟通进行管理，以满足信息需要者的需求并解决项目干系人之间的问题。积极地管理项目干系人，提高了项目因为项目干系人之间存在未解决的问题而偏离的可能性，提高操作人员的能力，避免他们在项目进行期间分奔离析。项目关系人管理是促进干系人对项目的埋解与支持，使干系人了解项目的进展和有可能带来的影响。

44. 沟通管理计划

沟通管理计划的内容如下：

• 项目干系人沟通要求；
• 对要发布的信息的描述，包括格式、内容、详尽程度；
• 信息接收的个人或组织；
• 传达信息所需的技术或方法，例如：备忘录、电子邮件和/或新闻发布等；
• 沟通频率，例如，每周沟通等；
• 上报过程，对下层无法解决的问题，确定问题上报的时间要求和管理链(名称)；
• 随项目的进展对沟通管理计划更新与细化的方法；
• 为沟通活动分配相应的资源，包括时间和预算；
• 通用词语表。

45. 绩效报告

绩效报告对收集到的信息进行组织与归纳，并通过与绩效测量基准的比较，来分析和展示绩效。应按照沟通管理计划中的规定，以各干系人所要求的详细程度，向他们提供项目状态和进展信息。

46. 总监理工程师

1. 当总监理工程师需要调整时，监理单位应征得建设单位****同意并书面通知承建单位；
2. 当专业监理工程师需要调整时，总监理工程师应书面通知建设单位与承建单位；

47. 四控、三管、一协调

监理活动的主要内容被概括为“四控、三管、一协调”：

1. 四控
   信息系统工程质量控制；信息系统工程进度控制：
   信息系统工程投资控制；信息系统工程变更控制。

2. 三管
   信息系统工程合同管理；信息系统工程信息管理；信息系统工程安全管理。

3. 一协调
   在信息系统工程实施过程中协调有关单位及人员间的工作关系。

48. 服务级别管理

服务级别管理的主要目标在于，根据客户的业务需求和相关的成本预算，制定恰当的服务级别目标，并将其以服务级别协议的形式确定下来。在服务级别协议中确定的服务级别目标，既是IT服务部门监控和评价实际服务品质的标准，也是协调IT部门和业务部门之间有关争议的基本依据。

49. IT服务级别管理

IT服务级别管理是指企业在可以接受的成本条件下，就IT服务的质量所做出的包括谈判、定义、评估、管理、改进等在内的一系列管理活动，它是连接IT部门和某个具体业务部门的纽带。

50. IT服务管理

IT服务管理是一种以流程为导向、以客户为中心的方法，它通过整合IT服务与组织业务，提高组织在IT服务提供和服务支持方面的能力及其水平。
《IT服务管理实施规划》将这些价值归纳为商业价值、财务价值、创新价值和内部价值、员工利益。

51. 问题处置过程

在ISO2000中规定：
问题处置过程往往要经过“问题提出→服务台记录问题→工程师调查问题→解决问题→如果该现象经常出现要调查原因→批准和更新设施或软件”。按照这个流程，问题处置过程就是“服务台→事件管理→问题管理→发布管理”。

在这个处置过程中：

• 事件管理的目标是：尽可能快的恢复商定的提供给业务的服务或响应服务请求。
• 问题管理的目标是：通过对事件起因的主动识别和分析，以及管理问题的关闭（彻底解决该问题），以最大限度降低对业务的损害。

52. 监理模式

根据监理范围及内容的不同，信息系统工程的监理模式可分为咨询式监理、里程碑式监理及全过程监理，建设单位可根据自己的需要在委托监理合同中约定监理模式。

53. 监理规划

监理规划依据监理委托合同编制，监理规划在内容和深度等方面比监理委托合同更加具体化，更加具有指导监理工作的实际价值。监理规划的作用体现在以下几点：

1. 监理规划是监理项目部职能的具体体现；
2. 监理规划是指导监理项目部全面开展工作的纲领性文件；
3. 监理规划是信息系统工程监理管理部门对监理单位进行监督管理的主要内容和依据；
4. 监理规划是建设单位检查监理单位是否能够认真、全面履行信息系统工程监理委托合同的重要依据；

监理实施细则是在监理规划指导下，具有可实施可操作的业务性文件，用来指导具体监理业务的开展。

54. 总监理工程师代表的职责

总监理工程师代表的职责如下：

1. 总监理工程师代表由总监理工程师授权，负责总监理工程师指定或交办的监理工作；
2. 负责本项目的日常监理工作和一般性监理文件的签发。
3. 总监理工程师不得将下列工作委托总监理工程师代表：

①根据工程项目的进展情况进行监理人员的调配，调换不称职的监理人员；
②主持编写工程项目监理规划及审批监理实施方案；
③签发工程开工/复工报审表、工程暂停令。工程款支付证书、工程项目的竣工验收文件；
④审核签认竣工结算；
⑤调解建设单位和承建单位的合同争议，处理索赔，审批工程延期。

55. 监理大纲、监理规划、监理实施细则

在监理工作实施前，监理单位开始逐步进行监理工作的计划，完成监理大纲、监理规划和监理实施细则。

监理大纲
是建设单位在选择合适的监理单位时，监理单位为了获得监理任务，在项目监理招标阶段编制的项目监理方案性文件。

监理规划
是在监理委托合同签订后，由监理单位制订的指导监理工作开展的纲领性文件。

监理实施细则
是在监理规划指导下，具有可实施可操作的业务性文件。、

监理规划的内容及编制指南

1. 目的
   说明监理规划编制的目的。
2. 工程项目概况
   2.1. 项目名称
   说明项目的名称。
   2.2. 系统概述
   概述本信息系统工程情况。
   2.3. 系统功能
   简要说明系统功能，可根据系统特性分类描述。
   2.4. 应用环境
   说明系统的应用环境或业务范围。
   2.5. 建设单位
   说明信息系统需方单位名称。
   2.6. 承包开发单位
   说明接受监理的承包开发单位名称，如有多个子项目，应列出每个项目的承包开发单位。
   2.7. 分包单位
   说明主要分包单位。如有多个子项目，应列出每个子项目的主要分包单位。
3. 监理工作范围
   说明本项目监理上作的范围，包括受监理的软件过程、组织机构等。
4. 监理工作目标
   描述本项目监理工作的目标。
   包括质量、进度、经费的过程控制及项目风险控制目标等。
5. 监理工作依据
   列出本项目监理工作所使用的依据。
6. 项目监理组织及人员
   6.1. 项目监理的组织形式
   说明承担工程项目监理的组织形式及各部门职责。
   6.2. 监理人员
   说明监理组织中的人员及职责分工。
7. 监理工具和设施
   列出为本项目监理工作配备的资源，包括仪器、设备、软硬件工具、环境设施等。
8. 监理工作内容与计划
   列出每个（子）项目受监理的工作内容。
9. 向建设单位提交的报告及文档
   列出监理进程中需向建设单位提交的报告及文档，并说明提交时机。
10. 监理工作制度
    规范监理工作的规章制度。

56. 功能基线、分配基线和产品基线

在软件配置管理中，有功能基线、分配基线和产品基线这三种基线。

• 功能基线：最初通过的功能配置
• 分配基线：最初通过的分配的基线
• 产品基线：最初通过的或有条件地通过的产品配置

57. 配置库

配置库有三类：

• 开发库（development Library）
  存放开发过程中需要保留的各种信息，供开发人员个人专用。库中的信息可能有较为频繁的修改，只要开发库的使用者认为有必要，无需对其做任何限制。因为这通常不会影响到项目的其他部分。
• 受控库（controlled library）
  在信息系统开发的某个阶段工作结束时，将工作产品存入或将有关的信息存入，存入的信息包括计算机可读的以及人工可读的文档资料。如：基线库，存入的是经过评审后成为后续工作基准的需求基线、设计基线等。对库内信息的读写和修改加以控制。
• 产品库（Product library）
  在开发的信息系统产品完成系统测试之后，作为最终产品存入库内，等待交付用户或现场安装。库内的信息也应加以控制。

58. 合同内容约定不明确时

当事人就有关合同内容约定不明确，依照合同法第六十一条的规定仍不能确定的，适用下列规定：

（一）质量要求不明确的，按照国家标准、行业标准履行；没有国家标准、行业标准的，按照通常标准或者符合合同目的的特定标准履行。
（二）价款或者报酬不明确的，按照订立合同时履行地的市场价格履行；依法应当执行政府定价或者政府指导价的，按照规定履行。
（三）履行地点不明确，给付货币的，在接受货币一方所在地履行；交付不动产的，在不动产所在地履行；其他标的，在履行义务一方所在地履行。
（四）履行期限不明确的，债务人可以随时履行，债权人也可以随时要求履行，但应当给对方必要的准备时间。
（五）履行方式不明确的，按照有利于实现合同目的的方式履行。
（六）履行费用的负担不明确的，由履行义务一方负担。

59. 配置审计

配置审计（或称配置审核）工作主要集中在两个方面：

一是功能审计，即验正配置项的实际功效是否与其需求相一致，代码走查属于功能审计；
二是物理审计，即确定配置项是否符合预期的物理特征（指特定的媒体形式）。变更过程的规范性审核、介质齐备性检查、配置项齐全性审核属于物理审计。

60. 风险曝光度

风险曝光度（Risk Exposure）= 错误出现率 P（风险出现率）* 错误造成损失 C（风险损失）

61. 风险审计

通过风险审计，检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及风险管理过程的有效性。

“确保被识别的和相当有威胁的每一个风险都有计算的预期值”是定量风险分析的目标。

62. 风险概率及影响评估、风险数据质量评估、风险分类

风险概率及影响评估
旨在调查每个具体风险发生的可能性。风险影响评估旨在调查风险对项目目标（如进度、成本、质量或性能）的潜在影响，既包括威胁所造成的消极影响，也包括机会所产生的积极影响。

对已识别的每个风险都要进行概率和影响评估。可以选择熟悉相应风险类别的人员，对他们进行访谈或与他们召开会议，来进行风险评估。这些人员中应该包括项目团队成员，也可包括项目外部的经验丰富人员。通过访谈或会议，评估每个风险的概率级别及其对每个目标的影响。还应记录相应的说明性细节，例如，确定风险级别所依据的假设条件。根据风险管理计划中的定义，对风险概率和影响进行评级。具有低等级概率和影响的风险，将被列入观察清单中，供将来进一步监测。

风险数据质量评估
定性风险分析要具有可信度，就应该使用准确和无偏倚的数据。风险数据质量分析就是评估有关风险数据对风险管理的有用程度的一种技术。它考察人们对风险的理解程度，以及考察风险数据的准确性、质量、可靠性和完整性。如果数据质量不可接受，就可能需要收集更高质量的数据。

风险分类
可以按照风险来源（如使用风险分解结构）、受影响的项目工作（如使用工作分解结构），或其他分类标准（如项目阶段），对项目风险进行分类，以明确受不确定性影响最大的项目区域。根据共同的根本原因对风险进行分类，有助于制定有效的风险应对措施。

风险数据收集属于定量风险分析方法的范畴。

63. 德尔菲法

德尔菲法是组织专家就某个专题达成一致意见的一种方法。项目风险专家匿名参与。组织者使用调查问卷就重要的项目风险征询意见，然后对专家的答卷进行归纳，并把结果反馈给专家，请他们做进一步评论。这个过程重复几轮后，就可能取得一致意见。德尔菲技术有助于减轻数据的偏倚，防止任何个人对结果产生不恰当的影响。

64. 采用单一来源方式采购

根据《中华人民共和国政府采购法》，第三十一条 符合下列情形之一的货物或者服务，可以依照本法采用单一来源方式采购：

（一）只能从唯一供应商处采购的；
（二）发生了不可预见的紧急情况不能从其他供应商处采购的；
（三）必须保证原有采购项目一致性或者服务配套的要求，需要继续从原供应商处添购，且添购资金总额不超过原合同采购金额百分之十的。

65. SWOT分析法

SWOT分析法是一种环境分析方法。SWOT是英文**Strength（优势）、Weakness（劣势）、Opportunity（机遇）、Threat（挑战）**的简写。 这种技术从项目的每一个优势、劣势、机会和威胁出发，对项目进行考察，把产生于内部的风险都包括在内，从而更全面地考虑风险。

66. 风险管理计划

风险管理计划是项目管理计划的组成部分，描述将如何安排与实施风险管理活动。风险管理计划包括以下内容：

1. 方法论；
2. 角色和职责；
3. 预算；
4. 时间安排；
5. 风险类别；
6. 风险概率和影响力的定义；
7. 概率及影响矩阵；
8. 已修订的项目干系人对风险的容忍度；
9. 报告的格式；
10. 跟踪。

67. 风险应对

风险应对是一系列过程，它通过开发备用的方法、制定某些措施以提高项目成功的机会，同时降低失败的威胁。应该为每种风险选择一种或几种有效的策略。某些决策工具，如决策树，可以用来选择最合适的应对方法，然后可以采取具体的行动来实现该策略。还应该开发一个备用策略，以防当前的策略变得不太有效、或有某个可以接受的风险发生。另外，我们要为进

来源：Zen.Wu