【计算机类职业资格】计算机水平考试中级信息系统管理工程师2014年上半年下午真题及答案解析.doc

1、计算机水平考试中级信息系统管理工程师 2014 年上半年下午真题及答案解析(总分：75.00，做题时间：150 分钟)试题一 阅读以下有关信息系统开发方面的叙述，回答问题 1 至问题 3，将答案填入答题纸的对应栏内。 说明 信息系统测试是信息系统开发过程中的一个非常重要的环节，主要包括软件测试、硬件测试和网络测试三个部分，它是保证系统质量和可靠性的关键步骤，是对系统开发过程中的系统分析、系统设计与实施的最后审查。 在软件测试中，逻辑覆盖法可分为语句覆盖、判定覆盖、路径覆盖等方法。其中： 语句覆盖的含义是设计若干个测试用例，使得程序中的每条语句至少执行一次；判定覆盖也称为分支覆盖，其含义是设计若

2、干个测试用例，使得程序中的每个判断的取真分支和取假分支至少执行一次；路径覆盖的含义是设计足够多的测试用例，使被测程序中的所有可能路径至少执行一次。（分数：15.00）(1).问题 1 一个规范化的测试过程如图 11 所示。请将图 11 所示的测试过程中的(1)(3)处的内容填入答题纸上对应位置。 （分数：5.00）_(2).问题 2 信息系统测试应包括软件测试、硬件测试和网络测试三个部分，请简要描述这三个部分需要做的工作。（分数：5.00）_(3).问题 3 程序 M 流程如图 1-2 所示，假设设计的测试用例及覆盖路径如下： 输入数据的数据A3，B0，X3(覆盖路径 acd) 输入数据的数据

3、 A2，B0，X6(覆盖路径 ace) 输入数据的数据 A2，B1，X6(覆盖路径 abe) 输入数据的数据 A1，B1，X1(覆盖路径 abd) (1)采用语句覆盖法应选用_(a)_，判定覆盖法应选用_(b)_，路径覆盖法应选用_(c)_测试用例。 (2)就图 1-2 所示的程序 M 流程简要说明语句覆盖和判定覆盖会存在什么问题。（分数：5.00）_试题二(15 分) 阅读下列说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。 说明 某酒店拟构建一个信息系统以方便酒店管理及客房预订业务运作活动，该系统的部分功能及初步需求分析的结果如下所述： (1)酒店有多个部门，部门信息包括部门号

4、、部门名称、经理、电话和邮箱。每个部门可以有多名员工，每名员工只属于一个部门，每个部门有一名经理，负责管理本部门的事务和员工。 (2)员工信息包括员工号、姓名、职位、部门号、电话号码和工资。职位包括：经理、业务员等，其中员工号唯一标识员工关系中的每一个元组。 (3)客户信息包括客户号、单位名称、联系人、联系电话、联系地址，其中客户号唯一标识客户关系中的每一个元组。 (4)客户要进行客房预订时，需要填写预订申请。预订申请信息包括申请号、客户号、入住时间、入住天数、客房类型、客房数量。其中，一个申请号对应唯一的一个预订申请，一个客户可以有多个预订申请，但一个预订申请对应唯一的一个客户号。 (5)当

5、客户入住时，业务员根据客户预订申请负责安排入住事宜，如入住的客户的姓名、性别、身份证号、电话、入住时间、天数。一个业务员可以安排多个预订申请，但一个预订申请只由一个业务员处理。 概念模型设计 根据需求阶段收集的信息，设计的实体联系图如图 21 所示。 （分数：15.00）(1).问题 1(6 分) 根据题意，将关系模式中的空(a)(f)的属性补充完整，并填入答题纸对应的位置上。（分数：5.00）_(2).问题 2(4 分) 根据题意，可以得出图 21 所示的实体联系图中四个联系的类型，两个实体集之间的联系类型分为三类：一对一(1：1)、一对多(1：n)和多对多(m：n)。请按以下描述确定联系类

6、型并填入答题纸对应的位置上。 客户与预订申请之间的“申请”联系类型为_(g)_； 部门与员工之间的“所属”联系类型为_(h)_； 员工与员工之间的“婚姻”联系类型为_(i)_； 员工、预订申请和客房之间的“安排”联系类型为_(j)_。（分数：5.00）_(3).问题 3(5 分) 若关系中的某一属性或属性组的值能唯一地标识一个元组，则称该属性或属性组为主键。本题“客户号唯一标识客户关系的每一个元组”，故为客户关系的主键。请指出部门、员工、安排关系模式的主键。（分数：5.00）_试题三(共 15 分) 阅读下列说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。 说明 目前我国有一部分企

7、业的 IT 管理还处在 IT 技术及运作管理层，即主要侧重于对 H 基础设施本身的技术性管理工作。为了提升 H 管理工作水平，必须协助企业在实现有效盯技术及运作管理的基础之上，通过进行 IT 系统管理的规划、设计和建立，完成 IT 战略规划，真正实现 IT 与企业业务目标的融合。 为了完成上述转变，要求企业相应地改变 IT 部门在组织架构中的定位，同时把 IT 部门从仅为业务部门提供 IT 支持的辅助部门改造成一个成本中心，甚至利润中心。一方面以先进的管理理念和方法、标准来为业务部门提供高质量、低成本、高效率的盯支持服务，同时依照约定的服务级别协议、监控 IT 服务并评价最终结果；另一方面也使

8、 IT 部门所提供的服务透明化，不仅让业务部门，更让企业高层管理者清楚地知道盯部门提供了什么服务。通过将企业战略目标与信息系统整体部署，从不同层次和角度的结合来促进企业信息化建设工作。（分数：15.00）(1).问题 1(5 分) 企业在“IT 系统”上巨大的投资没有达到所期望的效果，业界称之为“信息悖论”现象，请说明企业可以来取哪些管理手段，引入哪些措施来避免“信息悖论”，提高投资效益。（分数：5.00）_(2).问题 2(6 分) 请简要叙述，为了使 IT 部门组织架构及职责充分支持 IT 战略规划并使 IT 与业务目标趋于一致，IT 部门进行组织及职责设计时应该注重哪些原则。（分数：5.

9、00）_(3).问题 3(4 分) 如果将 IT 部门定位为成本中心或利润中心，使 IT 部门从 IT 支持角色转变为 IT 服务角色。请针对成本中心与利润中心分析二者的管理有何不同。（分数：5.00）_试题四(共 15 分) 阅读下列说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。 说明 据中国国家互联网应急中心 CNCERT 监测，2013 年 111 月，我国境内被篡改的网站数量为 21860 个，其中政府网站有 2191 个，较去年分别增长了 33和 22：被暗中植入后门的网站有 93917 个，较去年月均增长79，其中政府网站有 2322 个。 针对日益严重的信息系统安全

10、问题，各行业信息系统主管单位进一步加强信息安全标推、规范的落实工作，对各类信息系统的等级保护工作的备案情况进行检查。请结合你本人的实际工作经验回答以下问题。（分数：15.00）(1).问题 1(5 分) 计算机信息安全保护等级划分准则(GB 178591999)中规定的计算机信息系统安全保护能力分为五个等级，请将下图级别与名称的对应关系画线连接。 （分数：5.00）_(2).问题 2(4 分) 针对信息系统可能出现的运行安全问题，实现系统应急处理的安全管理措施应包括哪些内容?（分数：5.00）_(3).问题 3(6 分) 请说明网站篡改攻击有哪些特征、影响和危害?企事业单位防范网站攻击可以选择

11、哪些网络安全产品进行部署?（分数：5.00）_试题五(共 15 分) 阅读下列说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。 说明 某学校原购买的 0A 系统具有协同办公、公文管理、内部邮件、计划管理、信息发布、会议管理、车辆管理等基本功能模块，主要用于学校内部上下级单位、部门之间的公文流转、信息发布、日常事务管理等。系统的用户主要分为学校领导和部门领导，普通教职工没有使用 OA 系统的权限。部门内部工作部署与信息沟通主要通过传统的直接交流、文件传阅、会议讨论等方式进行。 随着学校信息化建设的深入开展，学校要求全部教职工使用 OA 系统，以便规范管理程序，提高工作效率，促进学校管

12、理效益的提升。考虑到原购买的 OA 系统在总体技术水平、功能覆盖范围等方面已经不能满足现有需求，学校从多家公司提供的产品中选定了 B 公司的 OA 系统(新系统)替换原有 OA 系统。该校信息化管理办公室将系统转换的计划工作安排给工程师小张来完成，并采取其他相应的措施来保证系统建设工作顺利实施。（分数：15.00）(1).问题 1(5 分) 请简述什么是管理效益。你认为新系统的全面实施应该从哪些方面对学校管理效益的提升起到促进作用?（分数：5.00）_(2).问题 2(5 分) 请说明该学校要将原有 0A 系统转换成新系统，工程师小张做的系统转换计划应该包括哪些内容?（分数：5.00）_(3)

13、.问题 3(5 分) 请结合实际项目经验说明 B 公司提供系统用户支持的前提是什么，新系统的用户支持方案中应该包含哪些内容?（分数：5.00）_计算机水平考试中级信息系统管理工程师 2014 年上半年下午真题答案解析(总分：75.00，做题时间：150 分钟)试题一 阅读以下有关信息系统开发方面的叙述，回答问题 1 至问题 3，将答案填入答题纸的对应栏内。 说明 信息系统测试是信息系统开发过程中的一个非常重要的环节，主要包括软件测试、硬件测试和网络测试三个部分，它是保证系统质量和可靠性的关键步骤，是对系统开发过程中的系统分析、系统设计与实施的最后审查。 在软件测试中，逻辑覆盖法可分为语句覆盖、

14、判定覆盖、路径覆盖等方法。其中： 语句覆盖的含义是设计若干个测试用例，使得程序中的每条语句至少执行一次；判定覆盖也称为分支覆盖，其含义是设计若干个测试用例，使得程序中的每个判断的取真分支和取假分支至少执行一次；路径覆盖的含义是设计足够多的测试用例，使被测程序中的所有可能路径至少执行一次。（分数：15.00）(1).问题 1 一个规范化的测试过程如图 11 所示。请将图 11 所示的测试过程中的(1)(3)处的内容填入答题纸上对应位置。 （分数：5.00）_正确答案：( (1)编制测试大纲； (2)设计和生成测试用例； (3)实施测试。)解析： 一个规范化的测试过程的活动主要包括：拟定测试计划、

15、编制测试大纲、设计和生成测试用例、实施测试、生成测试报告。(2).问题 2 信息系统测试应包括软件测试、硬件测试和网络测试三个部分，请简要描述这三个部分需要做的工作。（分数：5.00）_正确答案：( (1)硬件测试所做的主要工作有配置检测、硬件设备的外观检查、硬件测试(加电检测、操作检测)，形成相应的硬件测试报告。 (2)网络测试所做的主要工作有网络设备的外观检查(如：交换机、路由器等)、硬件测试、网络连通测试，形成相应的网络测试报告。 (3)软件测试主要是对软件的模块、功能等进行测试，软件测试通常分为单元测试、组装测试、确认测试和系统测试四步进行。)解析： 信息系统测试应包括软件测试、硬件测

16、试和网络测试三个部分。 (1)硬件测试，在进行信息系统开发中，通常需要根据项目的情况选购硬件设备。在设备到货后，应在各个相关厂商配合下进行初验测试，初验通过后将与软件、网络等一起进行系统测试。初验测试所做的工作主要如下： 配置检测，检测是否按合同提供了相应的配置，如系统软件、硬盘、内存、CPU 等的配置情况； 硬件设备的外观检查，所有设备及配件开箱后，外观有无明显划痕和损伤。这些包括计算机主机、工作站、磁带库、磁盘机柜和存储设备等； 硬件测试，首先进行加电检测，观看运行状态是否正常，有无报警及屏幕有无乱码提示和死机现象，是否能进入正常提示状态。然后进行操作检测，用一些常用的命令来检测机器是否能

17、执行命令，结果是否正常，例如，文件拷贝、显示文件内容、建立目录等。最后检查是否提供了相关的工具，如帮助系统、系统管理工具等。 通过以上测试，要求形成相应的硬件测试报告，在测试报告中包含测试步骤、测试过程和测试的结论等。 (2)网络测试，如果信息系统不是单机，需要在局域网或广域网运行，按合同会选购网络设备，在网络设备到货后，应在各个相关厂商配合下进行初验测试。初验通过后将与软件、硬件等一起进行系统测试。初验测试所做的工作主要有： 网络设备的外观检查，所有设备及配件开箱后，外观有无明显划痕和损伤，这些包括交换机、路由器等； 硬件测试，进行加电检测，观看交换机、路由器等工作状态是否正常，有无错误和报

18、警； 网络连通测试，检测网络是否连通，可以用P1NG、TELNET、FTP 等命令来检查。 通过以上测试，要求形成相应的网络测试报告，在测试报告中包含测试步骤、测试过程和测试的结论等。 (3)软件测试，软件测试实际上分成四步：单元测试、组装测试、确认测试和系统测试，它们接顺序进行。首先是单元测试(unit testing)，对源程序中的每一个程序单元进行测试，验证每个模块是否满足系统设计说明书的要求。组装测试(integration testing)是将己测试过的模块组合成子系统，重点测试各模块之间的接口和联系。确认测试(validation testing)是对整个软件进行验收，根据系统分析

19、说明书来考察软件是否满足要求。系统测试(system testing)是将软件、硬件、网络等系统的各十部分连接起来，对整个系统进行总的功能、性能等方面的测试。(3).问题 3 程序 M 流程如图 1-2 所示，假设设计的测试用例及覆盖路径如下： 输入数据的数据A3，B0，X3(覆盖路径 acd) 输入数据的数据 A2，B0，X6(覆盖路径 ace) 输入数据的数据 A2，B1，X6(覆盖路径 abe) 输入数据的数据 A1，B1，X1(覆盖路径 abd) (1)采用语句覆盖法应选用_(a)_，判定覆盖法应选用_(b)_，路径覆盖法应选用_(c)_测试用例。 (2)就图 1-2 所示的程序 M

20、流程简要说明语句覆盖和判定覆盖会存在什么问题。（分数：5.00）_正确答案：( (1)(a) (b)或 (c) (2)语句覆盖有可能发现不了判断条件中算法出现的错误，例如，将判断语句中的“AND”错写成“OR”，或把第二个语句中的“0R”错写成“AND”，用上面的测试用例是不能发现问题的。判定覆盖还不能保证一定能查出判断条件中的错误，例如给出的测试用例不能发现把第二个判断语句中的 X1 错写成 X1 的错误。)解析： (1)逻辑覆盖主要用于模块的测试，它以程序内部的逻辑结构为基础，考虑测试数据执行(覆盖)程序的逻辑程度。根据覆盖情况的不同，逻辑覆盖可分为：语句覆盖、判定覆盖、条件覆盖、判定条件

21、覆盖、多重覆盖、路径覆盖、循环覆盖。以图 1-2 所示的程序段为例。这是一个非常简单的程序，共有 2 个判断，4 条不同的路径：acd、ace、abe 和 abd。 空(d)语句覆盖(statement coverage)是通过设计若干个检测用例，使得程序中的每条语句至少执行一次。根据题意，本题只要选择能通过路径 ace 的测试用例A2，B0，X6 即可。 空(e)判定覆盖(decision coverage)也称为分支覆盖，就是设计若干个检测用例，使得程序中的每个判断的取真分支和取假分支至少执行一次。对本题只要选择能通过路径 acd 和abe(或 abd 和 ace)的测试用例：A3，B0，

22、X3(覆盖 acd)；A2，B1，X6(覆盖 abe)即可。 空(f)路径覆盖就是设计足够多的测试示例，使被测程序中的所有可能路径至少执行一次。对上面的例子来说，可以选择这样的 4 组测试数据来覆盖程序中的所有路径。覆盖 abd 测试数据：A1，B1，X1；覆盖 ace 测试数据：A2，B0，X3；覆盖 acd 测试数据：A3，B0，X3；覆盖 abe 测试数据：A2，B1，X1。 (2)语句覆盖对程序的逻辑覆盖程度很少，如果把每一个判断语句中的“AND”错写成“OR”，或把第二个语句中的“OR”错写成“AND”，用上面的测试用例是不能发现问题的。这说明语句覆盖有可能发现不了判断条件中算法出现

23、的错误。判定覆盖比语句覆盖的程度稍强，因为如果通过了每个分支的测试，则各语句也都执行了。但仍有不足，如上述的测试用例不能发现把第二个判断语句中的X1 错写成 X1 的错误。所以，判定覆盖还不能保证一定能查出判断条件中的错误。因此，需要更强的逻辑覆盖来检查内部条件的错误。试题二(15 分) 阅读下列说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。 说明 某酒店拟构建一个信息系统以方便酒店管理及客房预订业务运作活动，该系统的部分功能及初步需求分析的结果如下所述： (1)酒店有多个部门，部门信息包括部门号、部门名称、经理、电话和邮箱。每个部门可以有多名员工，每名员工只属于一个部门，每个部

24、门有一名经理，负责管理本部门的事务和员工。 (2)员工信息包括员工号、姓名、职位、部门号、电话号码和工资。职位包括：经理、业务员等，其中员工号唯一标识员工关系中的每一个元组。 (3)客户信息包括客户号、单位名称、联系人、联系电话、联系地址，其中客户号唯一标识客户关系中的每一个元组。 (4)客户要进行客房预订时，需要填写预订申请。预订申请信息包括申请号、客户号、入住时间、入住天数、客房类型、客房数量。其中，一个申请号对应唯一的一个预订申请，一个客户可以有多个预订申请，但一个预订申请对应唯一的一个客户号。 (5)当客户入住时，业务员根据客户预订申请负责安排入住事宜，如入住的客户的姓名、性别、身份证

25、号、电话、入住时间、天数。一个业务员可以安排多个预订申请，但一个预订申请只由一个业务员处理。 概念模型设计 根据需求阶段收集的信息，设计的实体联系图如图 21 所示。 （分数：15.00）(1).问题 1(6 分) 根据题意，将关系模式中的空(a)(f)的属性补充完整，并填入答题纸对应的位置上。（分数：5.00）_正确答案：( (a)部门号 (b)客户号 (c)申请号 (d)客户号 注：(c)与(d)答案可互换 (e)入住时间 (f)天数 注：(e)与(f)答案可互换)解析： 本题考查数据库系统中实体联系模型(ER 模型)和关系模式设计方面的基础知识。 问题 1 空(a)分析：部门和员工之间有

26、一个 1：n 的“所属”联系需要将一端的码并入多端，故员工关系模式中的空(a)应填写部门号。 空(b)分析：在客户关系模式中，客户号唯一标识客户关系的每一个元组，故空(b)应填写客户号。 空(c)、(d)分析：由于预订申请信息包括申请号、客户号、预订入住时间、入住天数、客房类型、客房数量，故空(c)、空(d)应填写申请号、客户号。 空(e)、(f)分析：根据题意，客户入住时，业务员根据客户预订申请负责安排入住事宜，如入住的客户的姓名、性别、身份证号、电话、入住时间、天数。而在安排关系模式中缺少入住时间、天数，故空(e)、(f)应填写入住时间、天数。(2).问题 2(4 分) 根据题意，可以得出

27、图 21 所示的实体联系图中四个联系的类型，两个实体集之间的联系类型分为三类：一对一(1：1)、一对多(1：n)和多对多(m：n)。请按以下描述确定联系类型并填入答题纸对应的位置上。 客户与预订申请之间的“申请”联系类型为_(g)_； 部门与员工之间的“所属”联系类型为_(h)_； 员工与员工之间的“婚姻”联系类型为_(i)_； 员工、预订申请和客房之间的“安排”联系类型为_(j)_。（分数：5.00）_正确答案：( (g) 1：n(或 1：*) (h) 1：n (i) 1：1 (j) 1：n：m)解析： 两个实体集之间的联系类型分为三类：一对一(1：1)联系、一对多(1：n)联系和多对多(m

28、：n)联系。 空(g)分析：由于一个客户可以有多份预订申请，但一个预订申请对应唯一的一个客户号，故客户和预订申请之间有一个 1：n 的“申请”联系。 空(h)分析：根据题意，每名员工只能在一个部门工作，所以部门和员工之间有一个 1：n 的“所属”联系。 空(i)分析：按照我国婚姻法，员工与员工之间的“婚姻”联系类型为 1：1 的。 空(j)分析：由于一个业务员可以安排多个预订申请，但一个预订申请只由一个业务员处理；又由于一个预订申请可以申请多个同类型的客房，故业务员、预订申请和客房之间有一个1：n：m 的“安排”联系。 根据上述分析，完善图 21 所示的实体联系图如图 22 所示。 (3).问

29、题 3(5 分) 若关系中的某一属性或属性组的值能唯一地标识一个元组，则称该属性或属性组为主键。本题“客户号唯一标识客户关系的每一个元组”，故为客户关系的主键。请指出部门、员工、安排关系模式的主键。（分数：5.00）_正确答案：( 部门关系模式中的部门号为主键； 员工关系模式中的员工号为主键； 安排关系模式中的主键为客房号，身份证号，入住时间。)解析： 部门关系模式中的部门号为主键，经理为外键，因为经理来自员工关系。 员工关系模式中的员工号为主键，部门号为外键，因为部门号来自部门关系。 安排关系模式的中的主键为客房号，身份证号，入住时间；外键为客房号、业务员。试题三(共 15 分) 阅读下列说

30、明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。 说明 目前我国有一部分企业的 IT 管理还处在 IT 技术及运作管理层，即主要侧重于对 H 基础设施本身的技术性管理工作。为了提升 H 管理工作水平，必须协助企业在实现有效盯技术及运作管理的基础之上，通过进行 IT 系统管理的规划、设计和建立，完成 IT 战略规划，真正实现 IT 与企业业务目标的融合。 为了完成上述转变，要求企业相应地改变 IT 部门在组织架构中的定位，同时把 IT 部门从仅为业务部门提供 IT 支持的辅助部门改造成一个成本中心，甚至利润中心。一方面以先进的管理理念和方法、标准来为业务部门提供高质量、低成本、高效率的

31、盯支持服务，同时依照约定的服务级别协议、监控 IT 服务并评价最终结果；另一方面也使 IT 部门所提供的服务透明化，不仅让业务部门，更让企业高层管理者清楚地知道盯部门提供了什么服务。通过将企业战略目标与信息系统整体部署，从不同层次和角度的结合来促进企业信息化建设工作。（分数：15.00）(1).问题 1(5 分) 企业在“IT 系统”上巨大的投资没有达到所期望的效果，业界称之为“信息悖论”现象，请说明企业可以来取哪些管理手段，引入哪些措施来避免“信息悖论”，提高投资效益。（分数：5.00）_正确答案：( (1)引入 IT 服务理念、引入服务级别管理、引入财务管理等措施可以避免“信息悖论”。 (

32、2)IT 部门的角色转换，将 IT 部门从一个技术支持部门转变成一个责任中心。)解析： IT 业界对于“信息悖论”现象产生的原因首先源自现代企业信息系统的复杂性，信息系统规模大、功能多、变化快、异构性；其次从生命周期的观点看，信息系统 80的时间基本处于运营阶段，企业 IT运营管理的水平对效益、成本会产生很大的影响。为了避免“信息悖论”，必须转变系统管理的理念。 IT 部门首先要树立 IT 服务的思想，将 IT 当作一种服务来提供，以先进的管理理念和方法、标准为业务部门提高质量、低成本、高效率的 IT 支持服务；同时，IT 部门应该准确了解业务部门的服务需求，以及由此决定相应的服务级别、监控

33、IT 服务，并评价最终结果，抑制客户在设备技术方面“高消费”的欲望为组织节约成本，提高 IT 投资效益；重视 IT 系统的成本管理，改变以往那种“激情澎湃”的非理性 IT投资方式，研究 IT 项目投资的必要性和可行性、准确计量 IT 投资的成本效益，并在此基础上进行投资评价和责任追究。 在传统的 IT 组织架构中，IT 部门仅作为辅助部门，为业务部门提供支持，这种职能定位使得 IT 部门成为业务部门的“后勤部门”，再加上 IT 部门自身技术壁垒，使得 IT 项目的预算与成本失去控制。只有将 IT 部门从一个技术支持中心改造成一个成本中心，责任中心，才能提高 IT 部门的运作效率，避免出现“信息

34、悖论”现象。(2).问题 2(6 分) 请简要叙述，为了使 IT 部门组织架构及职责充分支持 IT 战略规划并使 IT 与业务目标趋于一致，IT 部门进行组织及职责设计时应该注重哪些原则。（分数：5.00）_正确答案：( (1)IT 部门有清晰的远景和目标，一个简洁清晰的远景是 IT 管理框架的原动力，它描述了IT 部门在企业中的地位和贡献。 (2)根据 IT 部门服务内容重新思考和划分部门职能，进行组织机构调整，清晰部门职责。做到重点业务突出，核心业务专人负责。 (3)建立目标管理制度、项目管理制度，使整个组织的目标能够落实和分解，建立有利于组织生产的项目管理体制。 (4)作为组织机构调整、

35、目标管理制度和项目管理体制的配套工程，建立科学的现代人力资源管理体系，特别是薪酬和考核体系。 (5)通过薪酬和考核体系的建立，信息中心的绩效得以提高。 (6)IT 组织的柔性化，能够较好地适应企业对 IT 服务的需求变更及技术发展。)解析： 企业 IT 管理的三个层次包括：IT 战略规划、IT 系统管理、IT 技术管理以及支持来进行盯组织及岗位职责设计。其中：IT 战略及投资管理其主要职责是制定 IT 战略规划及支撑业务发展，同时对重大 H投资项目子以评估决策；IT 系统管理主要对于公司整个盯活动的管理，包括 IT 财务管理、服务级别管理、IT 资源管理、性能及能力管理、系统安全管理、新系统运

36、行转换等职能，从而高质量地为业务部门(客户)提供 IT 服务；IT 技术及运作主持主要是 IT 基础设施的建设及业务部门 IT 支持服务。 IT 组织及责任设计应包括的具体原则：IT 部门有清晰的远景目标；有明确的职责划分，例如部门划分、岗位设置、与业务部门问的关系；完善的目标管理制度和管理体系、科学的人力资源管理体系；适应企业发展对 IT 的需求变化等方面。(3).问题 3(4 分) 如果将 IT 部门定位为成本中心或利润中心，使 IT 部门从 IT 支持角色转变为 IT 服务角色。请针对成本中心与利润中心分析二者的管理有何不同。（分数：5.00）_正确答案：( (1)两者均属于责任会计的范

37、畴，成本中心一般没收入或收入少。其责任人可以对成本的发生进行控制，与之对应，利润中心既要控制成本，又要对利润负责。 (2)对于那些组织业务规模较大且对盯依赖程度较高的组织，可将其盯部门设立为利润中心，以商业化模式进行运作。与之对应，将 IT 部门作为成本中心运作就可以达到成本控制的目的。)解析： 成本中心和利润中心都属于责任会计范畴，当 IT 部门被确立为成本中心时，对其 IT 支出和产出(要求)要进行全面核算，并从客户收费中收取补偿。这种政策要求核算所有的付现和非付现成本，确认IT 服务运作的所有经济成本。作为利润中心来运作的盯部门相当于一个独立的经营性组织，一般拥有完整的会计核算体系，通过

38、市场化运作实现自身盈利，对内部可形成有效激励，并且创造更多社会价值。 将 IT 部门定位为成本中心或者利润中心取决于组织规模和对 IT 部门的依赖程度。一般来说，对于那些组织规模较大且对 IT 依赖程度较高的组织，可将其 IT 部门设立成利润中心。反之，对于业务量小且对 IT部门依赖程度不高的组织而言，将 IT 部门作为成本中心运作就可以达到成本控制的目的。试题四(共 15 分) 阅读下列说明，回答问题 1 至问题 3，将解答填入答题纸的对应栏内。 说明 据中国国家互联网应急中心 CNCERT 监测，2013 年 111 月，我国境内被篡改的网站数量为 21860 个，其中政府网站有 2191

39、 个，较去年分别增长了 33和 22：被暗中植入后门的网站有 93917 个，较去年月均增长79，其中政府网站有 2322 个。 针对日益严重的信息系统安全问题，各行业信息系统主管单位进一步加强信息安全标推、规范的落实工作，对各类信息系统的等级保护工作的备案情况进行检查。请结合你本人的实际工作经验回答以下问题。（分数：15.00）(1).问题 1(5 分) 计算机信息安全保护等级划分准则(GB 178591999)中规定的计算机信息系统安全保护能力分为五个等级，请将下图级别与名称的对应关系画线连接。 （分数：5.00）_正确答案：( )解析： 信息安全等级保护信息安全等级保护管理办法规定，国家

40、信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。 依据计算机信息系统安全保护等级划分准则(GB 178591999)，信息系统的安全保护等级分为以下五级。即： 第一级，用户自主保护级。本级的计算机信息系统可信计算机通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。 第二级，系统审计保护级

41、。与用户自主保护级相比，本级的计算机信息系统可信计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。 第三级，安全标记保护级。本级的计算机信息系统可信计算机具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述，具有准确地标记输出信息的能力，消除通过测试发现的任何错误。 第四级，结构化保护级。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管理控制。系统具有相当的抗渗透能力。 第五级，访问验证保护级。本级的计算机信息系统可信计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，必须足够小，能够分析和测试。为了满足访问监控器需求，