【问题篇】☞【系统规划与管理师】【案例分析】【考点】【问题篇】第8章 监督管理
【移动端浏览】☞【系统规划与管理师】【案例分析】【模拟考题】章节考题汇总(第8章)(答案篇)(共16个知识点)
第8章 监督管理
1、监督管理有哪些重要内容?
监督管理是依据国家IT服务标准对IT服务进行整体评价,并对供方的服务过程、交付结果实施监督和绩效评估。质量管理、风险管理和信息安全管理是监督管理的重要内容,三者之间相对独立。
2、IT服务质量的属性有哪些?并结合本案例进行说明。
IT服务质量属性包括:
- (1)安全性
如可用性:需方运维业务的匹配程度,题干中提到的“全网IT资源各项数据”。
- (2)可靠性
如连续性:应急预警机制。题干中提到的“提供丰富的告警类型”。
- (3)有形性
如可视性:题干中提到的“直观图形中体现各种软硬件资源的状态、能够一目了然地掌控整个IT架构的健康度和实时运行状态”。
- (4)响应性
如及时性:响应速度,题干中提到的“可实现对于告警的自动诊断与快速恢复”。
- (5)友好性
3、运维服务质量管理包括哪些活动,请具体说明。
- (1)运维服务质量策划
①运维服务质量负责人和运维业务负责人应当定期对运维服务的质量进行整体策划;
②策划的内容包括确定运维服务质量的目标、确定运维服务质量管理的活动、确定运维服务质量管理相关的职责和权限、时间安排、质量策划文件输出。
- (2)运维服务质量检查
质量人员按照前期运维服务质量策划的内容对各阶段运维服务的质量进行检查和实施工作,必要时还要制订详细的质量计划。
- (3)运维服务质量改进
运维服务质量负责人和业务负责人应当清楚当前的运维服务质量总体状况,并要总结当前的运维服务业务现状及能力水平,针对当前的质量问题确定质量改进方向和改进目标。同时要定期关注改进情况,一旦出现偏差,要及时给予指导和帮助。
4、请说明运维服务质量策划的内容。
- (1)确定运维服务质量的目标
结合运维业务实际情况,运维服务客户的需要以及当前运维能力水平,设定合理的运维服务质量目标。
- (2)确定运维服务质量管理的活动
为了达到运维服务质量目标,必须事先策划所要采取的质量保证和质量控制活动,活动形式包括项目质量保证、用户满意度管理、客户投诉管理、日常检查等。
- (3)确定运维服务质量管理相关的职责和权限
运维服务质量策划是对相关的过程进行的一种事先的安排和部署,而任何过程必须由人员来完成。运维服务质量策划的难点和重点就是落实质量职责和权限。如果某一个过程所涉及的质量职能未能明确,没有文件给予具体规定,会出现推诿扯皮的现象。
- (4)时间安排
在策划阶段需要对确定的各类质量活动时间做出大致安排,或者确定频率周期。
- (5)质量策划文件输出
运维服务质量策划最终要形成质量策划文件,在最终确定后,应该以正式的形式发送给相关方。
5、常见质量实施和检查活动包含哪些?
- (1)进行满意度调查;
- (2)运维各项目质量保证工作实施;
- (3)内审;
- (4)管理评审;
- (5)日常检查;
- (6)质量文化培训等。
6、请说明运维服务质量改进包含哪些活动。
- (1)确定改进目标
运维服务质量负责人和业务负责人应当清楚当前的运维服务质量总体状况,并要结合当前的运维服务业务现状及能力水平,针对当前的质量问题确定质量改进方向和改进目标。
- (2)落实改进任务
质量改进目标确定后,要安排具体质量人员落实改进任务。
- (3)监控跟踪改进过程
在运维服务质量改进过程中,运维业务负责人和质量负责人也要定期关注改进情况,一旦出现偏差,要及时给予指导和帮助。
7、请说明风险管理计划应包含哪些部分的内容。
- (1)方法:IT服务中实施风险管理的办法和使用的工具等。
- (2)角色与职责:定义IT服务风险管理团队的成员,并且为这些成员分配具体任务与职责。
- (3)预算:分配资源并估计成本。
- (4)制订时间表:定义在IT服务整个生命周期中风险管理过程的执行时间进度计划。
- (5)风险类别:事先准备的常用风险类别,用一个简单的列表标识IT服务不同方面的风险。
- (6)风险概率:定义一个根据风险类别确定风险概率的客观标准。
- (7)风险影响力:反映的是风险影响的严重程度。
- (8)概率及影响矩阵:根据风险对目标的影响程度,用一种查询表格即影响矩阵对风险排序。根据风险概率和影响程度的组合,决定该风险的高、中、低程度。
- (9)报告的格式:如何对风险管理过程的结果进行归档、分析及沟通。
- (10)跟踪:记录风险行为的方方面面,并将这些内容进行归档。
8、风险识别的主要内容包括什么?该项目存在哪些风险?
风险识别的主要内容包括:
- (1)识别并确定IT服务的潜在风险;
- (2)识别引起风险的主要因素;
- (3)识别IT服务风险可能引起的后果。
风险一般包括人员、技术、资源、过程和其他五方面。结合本项目来说,人员方面可能会出现人员流动导致服务质量波动大、人员误操作导致业务数据丢失;资源方面可能会发生运维软件平台故障或失效;技术方面可能会存在采用发现问题的技术和服务对象不匹配的风险。
9、可以采用哪些方法进行风险识别?风险识别应输出哪些文档?
- (1)方法
①文档评审
对文档采取一些结构化的评审。
②信息收集技术
如头脑风暴法、德尔菲法、访谈法、优劣势分析法。
③检查表
④分析假设
⑤图解技术
- (2)风险识别的输出
①风险记录
内容应包含风险的根本原因、更新的风险分类、潜在的风险应对方法列表、风险征兆或警告信号。
②更新管理计划
10、如何进行风险定性分析?风险定性分析应输出哪些内容?
风险定性分析是对已识别风险进行优先级排序,通过对风险的发生概率和影响程度的综合评估来确定其优先级。风险定性分析应输出以下内容:
- (1)按优先级或相对等级排列的风险
概率及影响矩阵可根据每个风险的重要程度分类。
- (2)按种类的风险分组
- (3)要近期做出响应的风险列表
- (4)需要进一步分析和应对的风险列表
- (5)低优先级风险的监视表
- (6)风险定性分析结果中反映的“趋势”。
11、如何进行风险定量分析?风险定量分析应输出哪些内容?
- (1)风险定量分析过程是指定量的分析风险对目标的影响;
- (2)风险定量分析是基于管理计划、风险管理计划、经过更新的风险记录、包含活动的逻辑关系及活动历时估算的进度管理计划等进行量化分析;
- (3)定量风险分析的输出包括可能性分析、实现成本和进度目标的可能性、已量化风险的优先级列表、定量风险分析结果中的趋势。
12、请说明风险处置计划的内容。
- (1)已识别的风险及其描述;
- (2)风险责任人及其职责;
- (3)定性和定量风险分析过程的结果;
- (4)一致认同的应对策略;
- (5)执行选定的应对策略所需的具体行动;
- (6)在应对策略执行后,期望的残留风险水平;
- (7)风险发生时的预警和信号;
- (8)风险应对策略所需的预算和时间;
- (9)时间和成本的应急储备;
- (10)启动应急计划的触发条件;
- (11)风险一旦发生后所采用的回退计划;
- (12)残留风险;
- (13)二级风险;
- (14)需要的应急储备量;
- (15)风险相关的合同协议。
13、风险处置计划中可以采用哪些应对策略?
- (1)负面风险应对策略
包含避免、转移、减轻三种方式。
- (2)机遇应对策略
包含开拓、分享、强大三种方式。
- (3)同时适用威胁和机遇的应对策略
通常的风险应对策略是预留突发事件预备资源,包括进度、成本或资源来处理已知的甚至是潜在的突发的未知风险。
- (4)应急响应策略
制订一个计划来应对风险,等以后必要时使用。
14、如何进行风险监控?风险监控的输出包含哪几部分内容?
- (1)方法
①风险评估
②风险审计和定期的风险评审
③差异和趋势分析
通过对绩效数据的分析,可以看出发展的趋势。分析结果可以用来对进度和成本目标的潜在偏差进行预测。
④技术的绩效评估
通过比较执行过程的技术成果和原始计划的差别来完成。
⑤预留管理
通过比较剩余的预留储备和剩余的风险,可以看出预留储备是否合适。
- (2)风险监控应输出包含建议的纠正措施、变更申请、风险记录、组织过程资产四部分内容。
15、如何进行风险跟踪?
- (1)风险审计
系统规划与管理师定义进行风险审核,在关键处进行事件跟踪和主要风险因素跟踪,对没有预计到的风险制订新的处置计划。
- (2)偏差分析
系统规划与管理师定期和计划比较,分析成本和时间上的偏差。
- (3)技术指标分析
比较原定技术指标和实际技术指标差异。
16、信息安全管理包含哪些活动?并根据本案例进行说明。
信息安全管理活动主要包括:
- (1)定义信息安全策略
信息安全政策是一个机构信息安全的最高方针,必须形成书面文件,分发到组织内所有员工手上,并要对所有相关员工进行培训。
- (2)定义信息安全管理体系的范围
即在机构内选定在多大范围内构建信息安全管理体系。
- (4)进行信息安全风险评估
信息安全风险评估的复杂程度取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织信息资产风险的保护需求相一致。具体有三种评估方法可以选择:基本风险评估、详细风险评估、基本风险评估和详细风险评估相组合。
- (4)确定管理目标和选择管理措施
管制目标的确定和管制措施的选择原则是费用不超过风险所造成的损失。但应注意有些风险的后果并不能用金钱来衡量。由于信息安全是一个动态的系统工程,组织应实时对选择的管制目标和管制措施加以校验和调整。
- (5)准备信息安全适用性申明
信息安全适用性申明记录了组织内相关的风险管制目标和针对每种风险所采取的各种控制措施。信息安全适用性申明的准备,一方面是为了向组织内的员工申明对信息安全风险的态度,在更大程度上则是为了向外界表明机构的态度和作为,以表明机构已经全面、系统地审视了信息安全系统,并将所有有必要管制的风险控制在能够被接受的范围内。