1、信息化和信息系统

信息是一种客观事物，与材料、能源一样都是社会的基础资源。

现代科学的三论：信息论、系统论、控制论。

香农指出，信息就是能够用来消除不确定性的东西。在热力学中，熵是系统无序程度的度量，相反，信息是系统有序程度的度量。

信息的特性：客观性、普遍性、无限性、 动态性、相对性、依附性、变换性、传递性、层次性、系统性、转化性。

信息具有价值，价值的大小取决于信息的质量属性：精确性、完整性、可靠性、及时性、经济性、可验证性、安全性。

信息的功能

1. 为认识世界提供依据
2. 为改造世界提供指导
3. 为有序的建立提供保证
4. 为资源开发提供条件
5. 为知识生产提供材料

信息的传输模型：信源->编码->信道（ 噪声）->解码->信宿

信息系统：输入数据，通过加工处理，产生信息的系统。

信息化的五个层次

1. 产品信息化
2. 企业信息化
3. 产业信息化
4. 国民经济信息化
5. 社会生活信息化

国家信息化体系六要素

1. 信息技术应用是龙头
2. 信息资源是关键
3. 信息网络是基础设施
4. 信息技术和产业是物质基础
5. 信息化人才是成功之本
6. 信息化政策法规和标准规范是保障

信息系统的生命周期

1. 系统规划阶段
2. 系统分析阶段
3. 系统设计阶段
4. 系统实施阶段
5. 系统运行和维护阶段

新基建：5G基建、特高压、城际高速铁路和轨道交通、新能源汽车充电桩、大数据中心、人工智能、工业互联

信息系统开发方法

• 结构化方法：结构化分析、结构化设计、结构化编码，自顶向下、逐步求精和模块化设计
• 面向对象的方法：客观世界由各种对象组成，任何事物都是对象，每个对象都有自己的运动规律和内部状态
• 原型化方法：快速原型法，根据用户初步需求，快速建立一个系统模型，在此基础上与用户交流，最终实现用户需求
• 面相服务的方法：对于跨组件的功能调用，采用接口的形式暴露出来，将接口的定义和实现进行解耦，催生服务和面相服务的开发方法

网络协议三要素

• 语义，信息各部分的含义，表示要做什么
• 语法，信息的结构与格式，表示要怎么做
• 时序，事件发生顺序的说明，表示做的顺序

开放系统互联参考模块（OSI，open system interconnect）

OSI七层协议：物数网传会表应

1. 物理层：物理联网媒介，标准有RS232、V.35、RJ-45、FDDI
2. 数据链路层：控制网络层与物理层之间的通信，主要功能是将从网络层接受到的数据分割成特定的可被物理层传输的帧，协议有IEEE802.3/.2、HDLC、PPP、ATM
3. 网络层：将网络地址翻译成对应的物理地址，并决定如何将数据从发送方路由到接收方，协议有IP、ICMP、IGMP、IPX、ARP
4. 传输层：负责确保数据可靠、顺序、无错地从A点传输到B点，如提供建立、维护和拆除传送连接的功能，提供可靠透明的数据传送，提供端到端的错误恢复和流量控制，协议有TCP、UDP、SPX
5. 会话层：负责在网络中的两个节点之间建立和维持通信，提供交互会话的管理功能，协议有RPC、SQL、NFS
6. 表示层：如同应用程序和网络之间的翻译官，数据将按照网络能理解的方案进行格式化，管理数据的解密和加密、数据转换、格式化和文本压缩，协议有JPEG、ASCII、GIF、DES、MPEG
7. 应用层：对软件提供接口以使程序能使用网络服务，如文件传送协议、网络管理等，协议有HTTP、Telnet、FTP、SMTP

网络互联设备

• 中继器：网络层
• 网桥：数据链路层
• 路由器：网络层
• 网关：第4~7层

关系型数据库：Oracle、MySQL、SQL Server；非关系型数据库：MongoDB

数据仓库体系结构

1. 数据源：包括企业内部和外部信息
2. 数据存储和管理：对数据进行抽取、清理，有效集成，按照主题进行组织
3. OLAP服务器：On Line Analytical Processing，联机分析处理，即对数据进行有效集成，按多维模型予以组织，以便多角度、多层次的分析，并发现趋势
4. 前端工具：包括查询、报表、分析、数据挖掘等工具

需求的三个层次

• 业务需求：反应企业或客户对系统的目标要求，来自项目投资人、购买产品的客户
• 用户需求：反应用户要求系统能完成的任务
• 系统需求：从系统的角度出发来说明软件的需求，包括功能需求、非功能需求、设计约束

需求分析工作：把杂乱无章的用户要求和期望转化为用户需求。

需求的状态

• 已建议：需求已被有权提出需求的人建议
• 已批准：需求已被分析，估计了对项目的影响
• 已实施：已实现需求的代码设计、编写和测试
• 已验证：需求使用所选方法验证已实现了
• 已删除：需求从基线中删除

一个好的需求具有正确性、完整性、一致性、确定性、必要性、可测试性等特性。

面向对象的三个特性：封装、继承、多态。

面向对象设计（Object-Oriented Design，OOD）的原则

• 单一职责原则：设计功能单一的类，高内聚
• 迪米特原则：一个对象对其他对象尽可能少的了解，低耦合
• 开放-封闭原则：对扩展开放，对修改封闭
• 里氏替换原则：子类可以替换父类
• 依赖倒置原则：依赖于抽象，而非具体实现
• 接口隔离原则：使用多个专门接口比使用单一总接口要好
• 组合重用原则：使用组合，而非继承，实现重用目的

软件工程的过程管理，能力成熟度模型

• 可管理级：需求管理、项目计划、配置管理、项目监督与控制、供应商合同管理、度量和分析、过程和产品质量保证
• 已定义级：需求开发、技术解决方案、产品集成、验证、确认、组织级过程焦点、组织级过程定义、组织级培训、集成项目管理、风险管理、集成化的团队、决策分析和解决方案、组织级集成环境
• 量化管理级：组织级过程性能、定量项目管理
• 优化管理级：组织级改革与实施、因果分析和解决方案

软件测试类型

• 单元测试
• 集成测试
• 回归测试，软件变更后，变更部分的正确性，以及软件原有功能和要求的不损害性
• 配置项测试
• 系统测试，包括功能测试、性能测试、用户界面测试、安全性测试、安装和拆卸测试等

• 确认测试，Alpha测试是指由用户在开发环境下进行测试，Beta测试是指由用户在实际使用环境下进行测试

软件集成技术

• 表示集成，也称为界面集成，把零散的系统界面集中在一个新的界面
• 数据集成，数据和数据库的集成，保证数据在数据库系统中分布和共享
• 控制集成，也称为功能集成、应用集成，在业务逻辑上对系统进行集成
• 业务流程集成，也称为过程集成，由一系列基于标准的、统一数据格式的工作流组成
• 企业之间的应用集成

三网融合是指电信网、互联网和有线电视网三大网络通过技术改造，提供包括语音、数据、图像等多媒体通信业务；三机合一是指电视机、电脑、手机三个信息终端之间信息互连，功能互补。三机合一的基础是三网融合。

信息安全强调信息本身的安全，包括秘密性、完整性、可用性。

• 数据加密，对称加密：加密密钥和解密密钥相同，如DES、AES。非对称加密：加密密钥和解密密钥不同，加密密钥可公开，解密密钥需保密，如RSA。
• Hash函数，可将任意长的报文M映射为定长的Hash码，改变报文的任何一位，都会导致Hash码改变，因此具有错误检测能力。Hash函数可提供保密性、报文认证、数字签名功能。
• 数字签名，证明当事者身份和数据真实性的一种信息，不可抵赖、不可伪造、可验其真伪。
• 认证，证实某事是否真实有效的一个过程。如口令、信物、指纹、智能卡等。

信息安全的四个层次

1. 设备安全，设备的稳定性、可靠性、可用性
2. 数据安全，静态安全（传统意义上的信息安全）
3. 内容安全，在政治、法律、道德层次的要求
4. 行为安全，动态安全

信息系统安全：计算机系统、网络系统、数据库系统、操作系统、应用系统

信息系统的安全保护等级

1. 第一级，对公民、法人的合法权益造成伤害，但不损害社会秩序、公共利益和国家安全
2. 第二级，对公民、法人的合法权益造成严重伤害，对社会秩序、公共利益造成损坏，但不损害国家安全
3. 第三级，对社会秩序、公共利益造成严重损坏，对国家安全造成损坏
4. 第四级，对社会秩序、公共利益造成特别严重损坏，对国家安全造成严重损坏
5. 第五级，对国家安全造成特别严重损坏

网络安全法律法规

• 中华人民共和国网络安全法
• 中华人民共和国数据安全法
• 中华人民共和国个人信息保护法
• 关键信息基础设施安全保护条例

新一代信息技术：大数据、云计算、物联网、互联网 、智慧城市

大数据的特点

• Volume，大量，数据体量巨大，从TB到PB级别，1TB=1024GB，1PB=1024TB，1EB=1024PB
• Variety，多样，数据类型繁多，文本、图片、音频、视频等
• Value，价值密度低
• Velocity，处理速度快
• Veracity，真实性，数据来源于各类网络及终端

云计算的三种服务模式

• 基础设施即服务，IaaS，Infrastructure as a Service，提供虚拟化硬件，可以安装操作系统
• 平台即服务，PaaS，platform as a service，提供中间件、数据库，可以部署应用，建库
• 软件即服务，SaaS，Software as a Service，提供软件应用

物联网的架构：感知层、网络层、应用层

智慧是指感知、学习、思考、判断、决策并指导行动的能力。

智慧城市建设参考模型

• 功能层：物联感知层、通信网络层、计算存储层、数据及服务支撑层、智慧应用层
• 支持体系：安全保障体系、建设和运营管理体系、标准规范体系

智慧城市

• 公共服务便捷化，在教育文化、医疗卫生、计划生育、劳动就业、社会保障、环境保护、交通出行、防灾减灾等公共服务方便、及时、高效
• 城市管理精细化，在市政、人口、交通、应急、安全、监管等社会管理领域数字化、精准化
• 生活环境宜居化，水、大气、噪声、土壤和植被环境智能监测体系和污染物排放防控体系建成
• 基础设施智能化，电力、燃气、交通、物流等公用基础设施智能化水平大幅提升
• 网络安全长效化，城市网络安全保障体系和管理制度基本建立，居民、企业和政府的信息得到有效保护

智慧城市的五个核心能力：数据治理、数字孪生、边际决策、多远融合、态势感知

虚拟现实关键技术

• 人机交互技术
• 传感器技术
• 动态环境建模技术
• 系统集成技术

虚拟现实技术的主要特征：沉浸性、交互性、多感知性、构想性、自主性

元宇宙的特征

• 沉浸式体验
• 虚拟身份
• 虚拟经济
• 虚拟社会治理

二十大的6个强国

1. 制造强国
2. 质量强国
3. 航天强国
4. 交通强国
5. 网络强国
6. 数字中国：数字经济、数字社会、数字政府、数字生态

我国信息化发展的主要任务和重点

1. 促进工业领域信息化深度应用
2. 加快推进服务业信息化
3. 积极提供中小企业信息化应用水平
4. 协力推进农业农村信息化
5. 全面深化电子政务应用
6. 稳步提高社会事业信息化水平（教育、医疗、就业和社会保障）
7. 统筹城镇化与信息化互动发展
8. 加强信息资源开发利用
9. 构建下一代国家综合信息基础设施
10. 促进重要领域基础设施智能化改造升级
11. 着力提高国民信息能力
12. 加强网络语信息安全保障体系建设

电子政务的四种模式

• 政府对政府，Government to Government，G2G
• 政府对企业，Government to Business，G2B
• 政府对公众，Government to Citizen，G2C
• 政府对公务员，Government to Employee，G2E、

工业化和信息化两化融合的含义

1. 信息化与工业化发展战略要协调一致，发展模式要高度匹配，发展规划要密切配合
2. 信息资源与材料、能源等工业资源融合，极大节省材料、能源等不可再生资源
3. 虚拟经济与工业实体经济融合，促进信息经济、知识经济的形成与发展
4. 信息技术与工业技术、IT设备与工业装备融合，产生新的科技成果，形成新的生产力

信息系统规划原则

1. 规划要支持企业的战略目标
2. 规划要着眼于高层管理，兼顾各管理层、业务层的要求
3. 规划的信息系统结构要有良好的整体性和一致性，自顶向下规划，自底向上实现
4. 信息系统要适应企业的组织结构和管理体制的改变，弱化对组织结构的依从性
5. 便于实施

信息系统规划的工具

• 制定计划：甘特图
• 访谈：调查表
• 确定需求：会谈、会议
• P/O矩阵：Process/Organization，过程组织矩阵，说明过程与组织的联系，指出过程的决策人
• R/D矩阵：Resource/Data，资源数据矩阵，对数据分类
• CU矩阵：Create/User，过程数据矩阵，说明过程与数据的关系，企业过程为行，企业数据为列，生成关系是C，使用关系是U
• IPO图：说明每个模块的输入、输出数据和数据加工

企业首席信息官（Chief Information Officer，CIO）：IT专家、业务专家、管理专家

1. 提供信息帮助企业决策
2. 帮助企业制定中长期发展战略
3. 有效管理IT部门
4. 制定信息系统发展规划
5. 建立积极的IT文化

IPv6有128位地址，通常写为8组，每组为4个十六进制数的形式，大大扩展了地址的可用空间。IPv4只有32位地址。

2、信息系统项目管理基础

项目的定义：项目是为提供一项独特产品、服务或成果所做的临时性努力。

• 临时性，一次性，项目有确定的开始和结束日期
• 独特性，独特的产品、服务或成果
• 逐步完善，分步、连续的积累，在逐步完善过程中，项目范围仍应保持控制状态
• 资源约束
• 目的性，项目是面向目标的，最终得到特定的结果

有效项目管理涉及的知识领域

• 项目管理知识体系，项目管理领域独特的知识
• 应用领域的知识、标准和规定，标准是一致同意建立并由工人机构批准的文件，规则是政府对产品、过程或服务特征的强制要求
• 项目环境知识，包括社会、政治、自然环境
• 通用的管理知识和技能，如财务、采购、销售、合同、制造、供应链、人事管理、薪酬福利、职业规划等
• 软技能或人际关系技能，如有效沟通、影响组织、领导能力、激励、谈判和冲突管理等

国际项目管理协会（International Project Management Association，IPMA）将项目管理专业人员资质认证分为四个等级：

• A级，认证的高级项目经理，Certificated Projects Director，CPD
• B级，认证的项目经理，Certificated Project Manager
• C级，认证的项目管理专家，Certificated Project Management Professional，PMP
• D级，认证的项目管理专业人员，Certificated Project Management Practitioner，PMF

PRINCE2的四要素：原则、流程、主题、环境

PRINCE2的七项原则（通过原则定义项目）

1. 持续业务验证
2. 吸取经验教训
3. 明确定义的角色和职责，令所有人明确自己的任务要求
4. 按阶段管理，计划须具有可管理性和预见性，分阶段计划、监督和控制项目
5. 例外管理，项目范围、进度、成本的约束
6. 关注产品，强调交付物的定义、生产和审批
7. 根据项目环境剪裁，项目管理没有严格公式，流程和主题要符合项目的独特状况

PRINCE2的七个主题（持续关注的方面）

1. 商业论证
2. 组织，项目团队成员的角色和职责
3. 质量，使所有参与人员了解产品的质量特点，及确保这些要求能够交付
4. 计划，计划是项目沟通和控制的重点
5. 风险，管理项目中的不确定性
6. 变更，评估和处理对项目基线产生影响的问题
7. 进展，关注计划持续的可交付性

PRINCE2的七个流程（基于流程的项目管理方法）

1. 项目准备流程
2. 项目指导流程
3. 项目启动流程
4. 阶段控制流程
5. 阶段边界管理
6. 产品交付管理流程
7. 项目收尾流程

PRINCE2的环境：依据组织和项目的特殊性，对流程和主题剪裁，如项目的大小、复杂性、类型、地理和文化差异等。

软件生命周期模型

1. 瀑布模型，需求、设计、编码、测试、运维，逐阶段顺序进行
2. 螺旋模型，强调风险分析，适用于庞大复杂、高风险的系统
3. 迭代模型，初始、细化、构造、移交，适用于需求有变化的情况
4. V模型，体现的主要思想是开发和测试同等重要，左侧是需求分析、概要设计、详细设计、编码，右侧是单元测试、集成测试、系统测试、验收测试，清晰描述测试阶段和开发阶段的对应关系，适用于需求明确、变更不频繁的项目
5. 原型化模型，创建一个快速原型，在此基础上进行讨论分析，进而开发出用户满意的产品，适用于难以一下全面准确提出用户需求的情况
6. 敏捷开发模型，以人为核心、迭代、循序渐进的开发方法，Scrum是一种迭代式增量软件开发过程

3、项目立项管理

项目建议书内容

1. 项目的必要性
2. 项目的市场预测
3. 产品方案或服务的市场预测
4. 项目建设必需的条件

项目可行性报告内容

1. 投资的必要性
2. 技术的可行性
3. 财务的可行性
4. 组织的可行性
5. 经济的可行性
6. 社会的可行性
7. 风险因素及对策

招标人和中标人应当自中标通知书发出之日起30日内按投标文件订立书面合同，招标人应当自确定中标之日起15日内，向有关行政监督部门提交招投标情况的书面报告。

项目论证，围绕市场需求、开发技术、财务经济三方面进行调查和分析，市场是前提、技术是手段、财务经济是核心。

项目论证一般可分为机会研究、初步可行性研究和详细可行性研究三个阶段。

4、项目整体管理

整范进成质，人沟风采干。

项目整体管理的7个过程

1. 启动过程组：制定项目章程
2. 规划过程组：制定项目管理计划
3. 执行过程组：指导和管理项目工作、管理项目知识
4. 监控过程组：监控项目工作、实施整体变更控制
5. 收尾过程组：结束项目或阶段

项目章程应当包括的内容

1. 项目目的或批准项目的原因
2. 可测量的项目目标和相关的成功标准
3. 项目的总体要求
4. 概括性的项目描述
5. 项目的主要风险
6. 总体里程碑进度计划
7. 总体预算
8. 项目审批要求（用什么标准评价项目成功，由谁对项目成功下结论，由谁来签署项目介绍）
9. 委派的项目经理及其职责和职权
10. 发起人或其他批准项目章程的人员的姓名和职权

制定项目章程的依据

1. 协议，包括合同、协议书、意向书、口头协议、电子邮件或其他书面协议
2. 项目工作说明书，对项目提供的产品或服务的文字说明，指明如下事项之一：业务需求、产品范围说明书、战略计划
3. 商业论证，包括业务需求和成本效益分析，决定项目是否值得投资。考虑因素：市场需求、组织需要、客户要求、技术进步、法律要求、生态影响、社会需要
4. 事业环境因素，如公司文化和组织结构、政府或行业标准、基础设施、现有人力资源、人事管理制度、市场情况、项目干系人风险承受力、商业数据库、项目管理系统等
5. 组织过程资产，包括组织进行工作的过程与程序（标准过程、指导原则、沟通要求、变更控制程序、风险控制程序、批准与签发授权的工作程序）和组织整体信息存储检索知识库（过程测量数据库、项目档案、历史信息和教训知识库、配置管理知识库、财务数据库）

三个项目财务价值评价方法

• 净现值分析，将未来的现金流入和流出折算成现值，即今天的钱比未来的钱更值钱。净现值为正时意味项目收益会超过成本。
• 投资收益率分析，ROI = （总的折现收益 – 总的折现成本）/ 总的折现成本
• 投资回报期分析，确定多长时间累积收益大于累积成本，即累积净现金流现值大于0

项目管理计划内容

1. 项目名称
2. 项目背景
3. 项目范围管理计划，范围基准
4. 项目进度管理计划，进度基准
5. 项目成本管理计划，成本基准
6. 项目质量管理计划
7. 项目人力资源计划
8. 项目沟通计划
9. 项目风险管理计划，风险登记册
10. 项目采购计划

变更管理的基本流程

1. 变更申请
2. 变更评估
3. 变更决策
4. 变更实施
5. 变更验证
6. 变更存档

5、项目范围管理

项目范围管理就是只做范围内的事，既不多做，也不少做。项目范围管理包括三方面的工作：

1. 明确项目边界
2. 对项目执行工作进行监控
3. 防止项目范围发生蔓延

产品范围是指产品或者服务应该包含的功能，项目范围是指为了能够交付产品，项目所必须做的工作。

项目的范围基准是经过批准的项目范围说明书、WBS和WBS词典。判断项目范围是否完成，以范围基准来衡量。

项目范围管理的6个过程

1. 启动过程组：无
2. 规划过程组：规划范围管理、收集需求、定义范围、创建WBS
3. 执行过程组：无
4. 监控过程组：确认范围、控制范围
5. 收尾过程组：无

项目范围说明书描述了项目的可交付物和产生这些可交付物所必须做的工作。项目范围说明书在所有项目干系人之间建立起一个对项目范围的基本共识。

项目范围说明书的内容：产品范围描述、验收标准、可交付成果、项目除外责任、制约因素、假设条件

项目范围说明书的作用：确定范围、沟通基础、规划和控制依据、变更基础、规划基础

WBS（Work Breakdown Structure），工作分解结构。创建WBS就是将项目可交付成果和项目工作分解成较小的、易于管理的组件的过程。

WBS不是某个项目成员的责任，应由全体项目团队成员、用户和项目干系人共同完成和一致确认。

WBS包括

1. 里程碑：标志某个可交付成果或阶段的正式完成，里程碑是重要的检查点
2. 工作包：应非常具体，以便承担者明确自己的任务、目标和责任。遵循8/80原则（最少8个小时，最多80个小时）
3. 控制账户：一种管理控制点，既可以是工作包，也可以是更高层次的一个要素
4. 规划包：在控制账户之下，工作内容已知但尚缺详细进度活动的WBS组成部分，随着情况逐渐明晰，最终分解为工作包
5. WBS字典：给WBS每个部分一个账户编码标识符，是成本、进度和资源使用信息汇总的层次结构

WBS分解步骤

1. 识别和分析可交付成果及相关工作
2. 确定WBS的结构和编排方法
3. 自上而下逐层细化分解
4. 为WBS组件制定和分配标识编码
5. 核实可交付成果分解的程度是恰当的

WBS的分层方式

• 第一层：项目名称
• 第二层：项目生命周期的各阶段、主要可交付成果、子项目

WBS的表现形式

• 树形结构，优点是层次清晰、直观性强，缺点是不易修改、难以表示项目全貌
• 表格形式，优点是能反映出项目所有的工作要素，缺点是直观性较差

WBS分解注意事项

1. WBS必须是面向可交付成果
2. WBS必须符合项目的范围
3. WBS的底层应该支持计划和控制
4. WBS的元素必须有人负责，可多人参与，但只由一个人负责
5. WBS建议控制在4~6层
6. WBS应包括项目管理工作，包括分包出去的工作
7. WBS的编制需要所有项目团队成员、项目干系人的参与
8. WBS不是一成不变的

WBS的作用

1. 明确项目范围，使项目团队成员清楚理解任务的性质和努力方向
2. 定义项目边界
3. 针对独立单元，进行时间、成本和资源需求量的估算，提高估算的准确性
4. 为计划、预算、进度安排和费用控制奠定共同基础，确定项目进度和控制的基准
5. 确定工作内容和工作顺序
6. 有助于防止需求蔓延

确认范围是正式验收项目已完成的可交付成果的过程，确认范围贯穿项目的始终。

范围变更原因

1. 政府政策发生变化
2. 项目范围计划有错误或遗漏
3. 市场上出现新技术或新方案
4. 项目执行组织发生变化
5. 客户对项目、项目产品或服务的要求发生变化

6、项目进度管理

进度管理的7个过程

1. 启动过程组：无
2. 规划过程组：规划进度管理、定义活动、排列活动顺序、估算活动持续时间、制定进度计划
3. 执行过程组：无
4. 监控过程组：控制进度
5. 收尾过程组：无

活动是实施项目时安排工作的最基本的工作单元，一个活动只可以属于一个工作包。

横道图：也称甘特图，活动为纵轴，时间为横轴。

缩短活动工期的办法（进度压缩）

1. 赶工，投入更多资源或增加工作时间，以缩短关键活动工期
2. 快速跟进，并行施工，以缩短关键路径长度
3. 使用高素质资源或经验更丰富的人员
4. 减小活动范围或降低活动要求，前提是甲方同意
5. 改进方法或技术，以提高生产效率
6. 加强质量管理，及时发现问题，减少返工

项目工作量和工期的估计方法

1. 德尔菲法（Delphi）：一种专家评估技术，防止个人错误被放大
2. 类比估算：类比环境和复杂度相似的历史项目
3. 参数估算：基于历史数据和项目参数，使用某种算法来估算
4. 储备分析：应急储备（应对进度不确定性，风险已知，包含在进度基准中）和管理储备（为管理控制的目的特别留出来的项目时段，应对不可预见的工作，风险未知，不在进度基准中，在项目总预算中）
5. 三点估算：期望值 =（悲观 4*最可能 乐观）/ 6，标准差 = （悲观-乐观）/ 6，68.3%、95.4%、99.7%

前导图法

• 前导图法（Precedence Diagramming Method，PDM），也称单代号网络图法、紧前关系绘图法，使用方框（称为节点）代表活动，节点之间用箭头连接，以显示节点之间的逻辑关系
• 四种依赖关系：结束-开始、结束-结束、开始-开始、开始-结束（Start、Finish）
• 活动的四个时间

最早开始时间	工期	最早完成时间
活动名称
最迟开始时间	总浮动时间	最迟完成时间

箭线图法

• 箭线图法（Arrow Diagramming Method，ADM），也称双代号网络图、活动箭线图（Activity On Arrow，AOA），用箭线表示活动，节点表示事件
• 三个原则：每一个活动和事件有唯一的代号、节点代号沿箭线方向越来越大、流入同一节点的活动有共同的紧后活动
• 虚活动，由虚箭线表示，虚活动不消耗时间和资源，只是为了表达活动之间的关系

关键路径法

• 最早开始时间和最迟开始时间相等的活动称为关键活动，关键活动串联起来的路径为关键路径
• 关键路径是项目中时间最长的活动顺序，决定着项目最短工期
• 关键路径可以有多条

关键链法：建立在关键路径法之上，考虑资源分配、资源优化、资源平衡和活动历时不确定性对关键路径的影响，引入缓冲和缓冲管理的概念

• 项目缓冲：放在关键链末端的缓冲，保证项目不因关键链的延误而延误
• 接驳缓冲：放在非关键链和关键链的接合点，保护关键链不受非关键链延误的影响

资源优化技术

• 资源平衡，在资源需求和资源供给之间取得平衡，根据资源制约对开始日期和结束日期进行调整，会导致关键路径改变，通常是延长
• 资源平滑，使项目资源需求不超过资源限制，活动只在其自由浮动时间和总浮动时间内延迟，不改变关键路径，也不延长完工日期

PERT分析

• Program Evaluation and Review Technique，计划评估和审查技术，一种合理的风险评估方法
• PERT分布的期望值为：E=(O 4M P)/6，其中：O代表乐观值，M代表最可能值，P代表最悲观值。

7、项目成本管理

项目全过程耗用的各种成本的总和为项目成本，项目成本管理的目标是在预算范围内完成项目，不节省、不超支。

项目成本失控的原因

1. 对项目认识不足
2. 需求管理不当
3. 技术的制约
4. 方法问题
5. 组织制度不健全

成本的类型

1. 固定成本：不随生产量、工作量或时间变化而变化的成本
2. 可变成本：随生产量、工作量或时间变化而变化的成本
3. 直接成本：直接归属于项目工作的成本，如项目团队工资、差旅费，项目使用的物料
4. 间接成本：几个项目共同担负的项目成本，如税金、额外福利
5. 机会成本：利用时间或资源生产一种商品时，而失去生产其他最佳产品的机会
6. 沉没成本：由于过去决策已经发生了的、无法再改变的成本

项目成本管理的4个过程

1. 启动过程组：无
2. 规划过程组：规划成本管理、估算成本、制定预算
3. 执行过程组：无
4. 监控过程组：控制成本
5. 收尾过程组：无

估算成本步骤

1. 找：识别并分析成本的构成科目
2. 算：估算每一科目的成本大小
3. 优：分析成本估算结果，找出各种可以相互替代的成本，协调各种成本之间的比例关系

制定预算是汇总所有估算成本，建立一个经批准的成本基准的过程。可据此监督和控制项目绩效。

控制成本是监督项目状态，以更新项目成本，管理成本基准变更的过程。成本控制的单位为控制账号或工作包，而非具体活动。

挣值分析：评估项目绩效和进度的方法。

• PV：planned value，计划值
• AC：actual cost，实际成本
• EV：earned value，挣值
• ETC：estimate to complete，完工尚需成本，非典型偏差：ETC = BAC – EV，典型偏差：ETC = (BAC – EV) / CPI
• EAC：estimate actual cost，完工估算成本，非典型偏差：EAC = AC ETC，典型偏差：ETC = BAC / CPI
• CV：成本偏差，CV = EV – AC
• CV > 0：成本节省
• CV < 0：成本超支
• SV：进度偏差，SV = EV – PV
• SV > 0：进度超前
• SV < 0：进度落后
• CPI：成本绩效指数，CPI = EV / AC
• SPI：进度绩效指数，SPI = EV / PV

8、项目质量管理

质量的定义：一组固有特性满足要求的程度（GB/T 1900-2008）。

质量管理：指确定质量方针、目标和职责，并通过质量规划、质量保证和质量控制，以及质量改进来实现所有管理职能的全部活动。

质量管理标准体系ISO9000系列的基本原则

1. 以顾客为中心
2. 领导作用
3. 全员参与
4. 过程方法
5. 管理的系统方法
6. 持续改进
7. 基于事实的决策方法
8. 与供方互利的关系

全面质量管理（TQM）核心特征

1. 全员参加的质量管理
2. 全过程的质量管理
3. 全面方法的质量管理
4. 全面结果的质量管理

六西格玛

• 六西格玛意为六倍标准差，即一百万个产品样本中，只有3.4个瑕疵
• 采用DMAIC（确定、测量、分析、改进、控制）改进方法对组织的关键流程进行改进

项目质量管理的3个过程

1. 启动过程组：
2. 规划过程组：规划质量管理
3. 执行过程组：管理质量
4. 监控过程组：控制质量
5. 收尾过程组：

质量成本

• 一致性成本：在项目期间用于防止失败的费用，如培训、测试、检查
• 非一致性成本：项目期间和项目完成后用于处理失败的费用，如返工、废品、保修

七种质量工具（老）

因流核帕直控散

1. 因果图：也称鱼骨图，用来追溯问题原因，回推到可行动的根本原因
2. 流程图：也称过程图，用来显示一个或多个输入转化成一个或多个输出的过程
3. 核查表：也称计数表，用于收集数据的查对清单
4. 帕累托图：用于识别造成大多数问题的少数重要原因
5. 直方图：用于描述集中趋势、分散程度和统计分布形状
6. 控制图：七点运行定律，指在一个质量控制图中，一行上的7个数据点都低于或高于平均值，或者都是上升或下降的，则这个过程就需要因为非随机问题接受检查
7. 散点图：用于显示两个变量之间是否有关系

七种质量工具（新）

亲过关树优活阵

1. 亲和图：针对某个问题，产生出可联成有组织的想法模式的各种创意，用于确定范围分解结构
2. 过程决策程序图（PDPC）：用于理解目标与达成此目标的步骤之间的关系，有助于制定应急计划
3. 关联图：关系图的变种
4. 树形图：也称系统图，用于表现如WBS的层次分解结构
5. 优先矩阵：用于识别关键事项和合适的备选方案
6. 活动网络图：也称箭头图，包括活动箭线图和活动节点图
7. 矩阵图：使用矩阵结构对数据进行分析，在行列交叉位置展示因素、原因和目标之间的关系强弱

质量保证人员的工作

1. 制定质量管理计划
2. 建立相应的质量标准和规范
3. 按计划实施质量检查，每次检查之前准备检查清单，并将质量管理相关情况予以记录
4. 依据检查的情况和记录，发现问题、分析问题，与当事人协商进行解决，问题解决后要进行验证。若无法与当事人达成一致，应报告项目经理，直至问题解决
5. 定期给项目干系人发质量报告
6. 为项目成员提供质量管理方面的培训或指导

9、项目资源管理

项目经理具有领导者和管理者的双重身份。

• 领导者：确定方向、统一思想、激励和鼓舞
• 管理者：负责某件事情的管理和实现某个目标

项目资源管理的4个过程

1. 启动过程组：无
2. 规划过程组：规划资源管理、估算活动资源
3. 执行过程组：获取资源、建设团队、管理团队
4. 监控过程组：控制资源
5. 收尾过程组：无

整体性的人力资源计划包括供给报表、需求报表和人力报表

团队发展阶段

1. 形成阶段：形成共同目标，对未来有美好期待
2. 震荡阶段：出现争执，互相指责，怀疑项目经理能力
3. 规范阶段：团队成员之间相互熟悉和了解，矛盾基本解决，项目经理得到团队认可
4. 发挥阶段：团队成员配合默契，积极工作，努力实现目标，项目经理得到团队信任
5. 解散阶段：项目结束，团队解散

不管目前处于什么阶段，当增加或减少一个人后，都从形成期重新开始。

人际关系技能：领导力、激励、沟通、冲突管理、谈判技巧、影响力、有效决策、团队建设和引导技能等

项目经理的5种权利

1. 职位权力
2. 奖励权力
3. 惩罚权力
4. 专家权力
5. 参照权力

冲突解决的5种办法

1. 撤退/回避：从冲突中退出，回避问题
2. 缓和/包容：单方面的妥协
3. 妥协/调解：双方面的包容
4. 强迫/命令：一方赢，一方输
5. 合作/解决问题：双赢

马斯洛需求层次理论

1. 生理的需求
2. 安全的需求
3. 社会交往的需求
4. 受尊重的需求
5. 自我实现的需求

赫茨伯格的双因素理论

• 保健因素：与工作环境或条件有关，防止产生不满意感，如工作环境、工资、公司政策、人际关系
• 激励因素：与工作本身或工作内容有关，促使产生满意感，如责任、成就、发展机会

X理论和Y理论

• X理论：假设人性本恶，好逸恶劳、以自我为中心、缺乏进取心、反对改革，主张对员工采取强制处罚手段，严格监督管理
• Y理论：假设人性本善，与X理论相反，主张对员工采用激励、放权的办法

期望理论：激发力量 = 目标效价 x 期望值，目标效价是指实现该目标有多大价值，期望值是指实现该目标的可能性大小

三类层级结构

• WBS：work breakdown structure，工作分解结构，把项目可交付成果分解为工作包
• OBS：organization breakdown structure，组织分解结构，按照组织部门进行排列
• RBS：resource breakdown structure，资源分解结构，按照资源的类别和类型进行排列

RACI矩阵：Responsible 执行、Accountable 负责、Consult 咨询、Inform 知情

评价团队有效性的指标

1. 个人技能的改进
2. 团队技能的改进
3. 团队离职率降低
4. 团队凝聚力加强

项目经理如何建设团队

1. 对团队有耐心，保持态度良好
2. 努力去解决问题，而非一味抱怨
3. 召开定期有效的项目会议
4. 规划一些社会活动，让团队成员和项目干系人彼此熟悉
5. 给予团队成员同等压力，创造团队成员喜欢的氛围
6. 培养和鼓励团队成员之间互相帮助
7. 认可个人和团队的成绩

成功团队的特征

1. 团队目标明确，成员清楚自己工作对目标的贡献
2. 团队组织结构清晰，岗位明确
3. 团队有成文的工作流程和方法，且流程简明有效
4. 团队有明确的考核和评价标准，工作结果公开公正，赏罚分明
5. 团队有共同制定并遵守的组织纪律
6. 团队成员互相信任、协同工作

10、项目沟通管理和干系人管理

沟通模型的关键要素

1. 编码：把思想或想法转化为他人能理解的语言
2. 信息：编码的结果
3. 媒介：传递信息的方法
4. 噪声：干扰信息传输和理解的一切因素
5. 解码：把信息还原成思想或想法

沟通的5个状态

1. 已发送
2. 已收到
3. 已理解
4. 已认可
5. 已转化为积极行动

项目沟通管理的3个过程

1. 启动过程组：无
2. 规划过程组：规划沟通管理
3. 执行过程组：管理沟通
4. 监控过程组：监督沟通
5. 收尾过程组：无

沟通渠道的数量 = n * (n – 1) / 2，n 为总人数，用来反映项目沟通的复杂程度。

沟通方法

1. 交互式沟通：在两方或多方之间进行的实时多向信息交换，如会议、电话、即时通信
2. 推式沟通：向信息接收方发送或发布信息，如邮件、传真、日志、新闻
3. 拉式沟通：需要信息接收方主动访问信息，如企业内网、网络课程

项目干系人管理的4个过程

1. 启动过程组：识别干系人
2. 规划过程组：规划干系人参与
3. 执行过程组：管理干系人参与
4. 监控过程组：监督干系人参与
5. 收尾过程组：无

权利/利益方格

• 高权利、高利益：重点管理
• 高权利、低利益：令其满意
• 低权利、高利益：随时告知
• 低权利、低利益：保持监督

11、项目风险管理

项目风险既包括对项目目标的威胁，也包括促进项目目标的机会。

风险的分类

• 按后果分：纯粹风险、投机风险
• 按来源分：自然风险、人为风险
• 按影响范围分：局部风险、总体风险
• 按可预测性分：已知风险、可预测风险、不可预测风险

项目风险管理的7个过程

1. 启动过程组：无
2. 规划过程组：规划风险管理、识别风险、实施定性风险分析、实施定量风险分析、规划风险应对
3. 执行过程组：实施风险应对
4. 监控过程组：监督风险
5. 收尾过程组：无

消极风险应对策略

• 回避：改变项目计划，以排除风险
• 转嫁：将风险的后果和责任转移到第三方
• 减轻：把风险的结果降低到一个可接受的临界值
• 接受：接受风险后果，不采取任何措施

积极的风险应对策略

• 开拓：确保机会肯定实现，消除风险相关的不确定性
• 分享：分享积极风险到第三方
• 提高：提高积极风险的概率或影响

风险识别的特点

1. 全员性
2. 系统性
3. 动态性
4. 信息依赖性
5. 综合性

12、项目采购管理

摈弃以企业为中心的传统管理模式，代之以现代战略合作的管理模式。战略合作的本质是供应链管理。

项目采购管理的3个过程

1. 启动过程组：无
2. 规划过程组：规划采购管理
3. 执行过程组：实施采购
4. 监控过程组：控制采购
5. 收尾过程组：无

采购步骤

1. 需求确定与采购计划的制定
2. 供应商的搜寻和分析
3. 定价：竞争性报价、谈判
4. 拟订并发出订单
5. 订单的跟踪和跟催
6. 收货和验货
7. 开票和支付货款
8. 记录管理

供应商选择的三大主要因素：产品价格、质量、服务

不合格采购品的处理

• 退货
• 调换
• 降级作他用，需主管领导批准并备案

采购合同签订后5个工作日将采购合同原件及附件进行归档。

采购档案的保存期限：短期为10年，长期为30年，和永久保存。

13、项目合同管理

合同是买卖双方形成的一个共同遵守的协议，卖方有义务提供合同指定的产品和服务，买方有义务支付合同规定的价款。

合同类型

• 按项目范围分
• 总承包合同：买方将项目全过程作为一个整体发包给一个卖方的合同
• 单项承保合同：买方将项目全中的某一项或某几项内容，分别与不同的卖方订立项目单项承包的合同
• 分包合同：经合同约定和买方认可，卖方将承保项目的某一部分或某几部分项目再发包给具有相应资质条件的分包方，与分包方订立的合同称为项目分包合同。分包方不能再次分包。
• 按付款方式分
• 总价：固定总价合同、总价加激励费用合同、总价加经济价格调整合同、订购单
• 成本补偿：成本加固定费用（固定费用为项目初始估算成本的某一百分比）、成本加激励费用合同（预先确定的激励费用）、成本加奖励费用合同（买方主管判断决定奖励费用）
• 工料合同：适合金额小、工期短、不复杂的项目

合同类型的选择

• 如果工作范围明确，项目设计详细，则使用总价合同
• 如果工作性质清楚，但范围不很清楚，且工作不复杂，又需要快速签订合同，则使用工料合同
• 如果工作范围尚不清楚，则使用成本补偿合同
• 如果双方分担风险，则使用工料合同
• 如果买方承担成本风险，则使用成本补偿合同
• 如果卖方承担成本风险，则使用总价合同
• 如果购买标准产品，且数量不大，则使用单边合同

合同的内容

1. 项目名称
2. 标的内容和范围
3. 项目的质量要求
4. 项目的计划、进度、地点和方式
5. 项目建设过程中的各种期限
6. 技术情报和资料的保密
7. 风险责任的承担
8. 技术成果的归属
9. 验收的标准和方法
10. 价款、报酬及其支付方式
11. 违约金或损失赔偿的计算方法
12. 解决争议的方法
13. 名词术语解释

合同管理过程

1. 合同签订管理：市场调查、合作伙伴或竞争对手调查、了解相关环境
2. 合同履行管理：对合同的履行情况进行跟踪管理，解决合同争议的顺序：谈判、调解、仲裁、诉讼
3. 合同变更管理：必须以书面形式提出
4. 合同档案管理：合同档案管理是整个合同管理的基础。包括正本和副本管理、合同文本格式等内容，文本格式上要求采用电脑打印文本，手写的旁注和修改不具有法律效力
5. 合同违约索赔管理：索赔流程：提出索赔要求、报送索赔资料、监理工程师答复、监理工程师逾期答复后果、持续索赔、仲裁与诉讼（每项流程28天）

合同解释原则

• 主导语言原则
• 适用法律原则
• 整体解释原则
• 公平诚信原则

14、信息文档管理与配置管理

文档分类

• 开发文档：项目任务书、可行性报告、需求规格说明书、功能规格说明书、设计规格说明书、开发计划、测试计划、质量保证计划
• 产品文档：软件支持手册、参考手册、用户指南、培训手册、产品手册
• 管理文档：变更记录、开发团队职责定义、项目阶段报告、配置管理计划

配置管理的6个主要活动

1. 制定配置管理计划：如何开展项目配置管理工作的规划，包括配置管理活动，实施这些活动的规范、流程、进度、人员
2. 识别配置：识别配置项，并在技术文档中记录配置项的功能和物理特征
3. 配置控制：配置项和基线的变更控制，包括标识和记录变更申请、分析和评价变更、批准或否决申请、实施变更、变更的验证和确认、变更的发布
4. 配置状态报告：及时准确给出配置项的当前状况
5. 配置审计：也称配置审核，包括功能配置审计和物理配置审计，确保配置管理的有效性
6. 发布管理和交付：有效控制软件产品和文档的发行和交付

一个产品可以有多个基线，也可以只有一个基线。如对内开发的开发基线，对外发行的产品基线。

配置库分类

• 开发库：也称动态库、工作库，保存开发人员正在开发的配置实体，由开发人员自行控制
• 受控库：也称主库，包含当前基线和对基线的更改。在某个阶段结束时，将当前的工作产品存入受控库
• 产品库：也称静态库、发行库，包含已发布的各种基线的存档。在开发产品完成系统测试后，作为最终产品存入产品库

配置审计的目的

1. 防止提交不合适的产品，如交付不正确的用户手册
2. 发现不完善的实现，如未按设计说明书进行开发，未按变更请求实施变更
3. 找出各配置项间不匹配的现象
4. 确认配置项符合质量控制要求，并纳入基线保存
5. 确认记录和文档，保持可追溯行

15、知识管理

知识的分类：显性知识、隐性知识

知识管理工具

• 生成工具：产生新的想法，发现新的商业模式等
• 编码工具：通过标准的形式表现知识，方便共享和交流
• 转移工具：使知识能够传播和分享

学习型组织：建立共同愿景、团队学习、改变心智模式、自我超越、系统思考。扁平式结构。

对软件著作权的保护只针对程序和文档，不包括所用的思想、处理过程、操作方法或数学概念等。

注册商标的有效期为10年，自核准注册制日起算。

同样的发明申请专利，按照申请时间的先后决定授予谁。

发明专利保护期限为20年，实用新型和外观设计专利的期限为10年，均从申请日开始算。若没有按规定缴纳年费，或书面声明放弃专利权，则专利权在期满前终止。

知识产权包括：版权（著作权）、商标权、发明专利等，具有专有性、地域性、时间性。

知识管理内容

• 建立知识库
• 促进员工知识交流
• 建立尊重知识的内部环境
• 把知识作为资产来管理

16、项目变更管理

变更管理的实质：不断调整项目努力方向和资源配置，最大程度地满足项目要求，提升项目价值。

变更产生的原因

1. 产品范围定义过失或疏忽
2. 项目范围定义过失或疏忽
3. 增值变更
4. 应对风险的紧急计划或回避计划
5. 项目执行过程与基准要求不一致带来的被动调整
6. 外部事件

变更的分类

• 一般变更、重要变更、重大变更，通过不同审批权限控制
• 紧急变更、非紧急变更，通过不同变更流程控制

项目变更管理原则

1. 基准管理，基准是变更的依据
2. 变更控制流程化
3. 明确组织分工
4. 评估变更的可能影响
5. 妥善保存变更产生的相关文档

变更控制委员会（Change Control Board，CCB），通过评审手段决定基准是否变更，是决策机构，不是作业机构。

项目在变更中的作用

1. 响应变更提出者的需求
2. 评估变更对项目的影响及应对方案
3. 将需求由技术要求转化为资源需求，拱授权人决策
4. 依据评审结果实施变更
5. 确保项目基准反映项目实施情况

变更的步骤

1. 提出与接受变更申请
2. 对变更的初审
3. 变更方案论证
4. 项目管理委员会审查
5. 发出变更通知并组织实施
6. 变更实施的监控
7. 变更效果的评估
8. 判断发生变更后的项目是否已纳入正常轨道

17、战略管理

组织战略的组成因素

• 战略目标
• 战略方针：行动纲领和依据
• 战略实施能力：组织战略实施的物质基础
• 战略措施

战略实施是一个自上而下的动态管理过程。

组织战略类型

• 防御者战略：扩大或保持目前市场占有情况，预防竞争对手
• 探索者战略：发现和发掘新产品、新技术和新市场
• 分析者战略：在规避风险的同时，又能够提供新产品和服务
• 反应者战略：缺乏应对外部竞争的能力，除非迫不得已，不会对外部环境做出调整

18、组织级项目管理

组织级项目管理：在组织战略指导下，从业务管理、组织架构、人员配置多个方面对组织进行项目化的管理。

组织级项目管理框架：最佳实践、组织能力、成果

OPM3是评估组织通过管理单个项目和组合项目来实施自己战略目标的能力的一种方法。

OPM3的三位模型

1. 成熟度的四个梯级：标准化的、可测量的、可控制的、持续改进的
2. 项目管理的十个领域和五个基本过程
3. 组织项目级项目管理

19、流程管理

流程就是做事情的顺序，是一个或连续有规律的行动。

业务流程的核心：以顾客利益为中心、以员工为中心、以效率和效益为中心

业务流程管理，Business Process Management，BPM。

流程管理的4个层次

1. 生产流程层：设备和工艺的实时控制
2. 运作层：制作执行流程管理
3. 计划层：资源能力计划和预算
4. 战略层：战略调整、流程设计和资源类型确定

业务流程重构（Business Process Reengineering，BPR）：对企业业务流程的基本问题进行反思，并进行彻底的重新设计，使业务取得显著提高。

业务流程分类

• 管理流程
• 操作流程
• 支持流程

BPR的核心内容：根本性、彻底性、显著性、流程。

BPR遵循的原则

• 以流程为中心的原则
• 团队管理的原则
• 以客户为导向的原则

指导BPR项目实施的原则

1. 组织结构设计要围绕企业的产出，而非一项一项任务
2. 要使用过程输出的人来执行过程操作
3. 将信息处理工作结合到该信息产生的实际过程中去
4. 对地理分散的资源看作是集中的来处理
5. 平行活动的联系要更紧密，而不是集成各自的活动成果
6. 将决策点下放到基层活动中，并建立对过程的控制
7. 尽量在信息产生的源头一次获取信息，同时保持信息的一致性

敏捷项目管理过程：构想、推测、探索、适应、结束（狗腿探世界）

20、项目集管理

项目集：一组相关联的项目、子项目集和项目集活动，有共同的目标。

项目组合：一组项目只是在资金、技能、干系人等方面存在关联，没有共同目标，没有协调收益的交付特征。

项目集指导委员会的职责

1. 保证项目集与组织愿景和目标保持一致
2. 项目集批准和启动
3. 项目集筹资

项目集生命周期三个阶段

1. 项目集定义：构建和准备
2. 项目集收益交付：规划和授权、监管和整合、移交和收尾
3. 项目集收尾：移交和关闭

项目集准备阶段的关键活动

1. 建立项目集治理结构
2. 组建初始的项目集组织
3. 制定项目集管理计划

21、项目组合管理

项目组合代表组织的投资决策、项目优先级的排序及资源分配，是组织战略意图、战略方向和战略进展的体现形式。

项目组合管理实施过程

1. 评估项目组合管理过程的当前状态
2. 定义项目组合管理的愿景和计划
3. 实施项目组合管理过程
4. 改进项目组合管理过程

管理项目组合风险

1. 风险识别
2. 风险分析
3. 风险响应
4. 风险监控

22、信息系统安全管理

信息系统的安全策略，一个单位的安全策略一定是定制的，都是针对本单位的。

七定：定方案、定岗、定位、定员、定目标、定制度、定工作流程。

信息系统的5个安全保护等级

1. 用户自主保护级：适用普通内联网用户
2. 系统审计保护级：适用通过内联网或国际网进行商务活动，需要保密的非重要单位
3. 安全标记保护级：适用于地方各级国家机关、金融单位、邮电通信、交通运输、能源、大型工商与信息技术企业
4. 结构化保护级：适用于中央级国家机关、重要物资储备单位、社会应急服务部门、国家重点科研单位、国防建设
5. 访问验证保护级：适用于国防关键部门，和依法需对计算机信息系统实施特殊隔离的单位

信息系统安全保护等级的两个定级要素

1. 受侵害的客体
2. 客体受侵害的程度

访问控制的两个重要过程：认证（鉴别身份）和授权（赋予权限）。

访问机制可分为两类：强制访问控制（MAC）和自主访问控制（DAC）。

四种访问授权方案

1. DAC（Discretionary Access Control）：自主访问控制方式，对每个用户指明能够访问的资源。
2. ACL（Access Control List）：访问控制列表方式，目标资源拥有访问权限列表，指明哪些用户能够访问。
3. MAC（Mandatory Access Control）：强制访问控制方式，在军事和安全部门应用较多，目标具有一个包含等级的安全标签（不保密、限制、秘密、机密、绝密），访问者拥有包含等级列表的许可，其中定义了可访问哪个级别的目标。如允许访问秘密级信息，则不保密、限制、秘密级信息可访问，机密和绝密级信息不允许访问。
4. RBAC（Role-Based Access Control）：基于角色的访问控制方式，首先定义一些组织内的角色，如局长、科长、职员，再根据管理规定给这些角色分配相应的权限，最后对组织内的每个人根据其具体业务和职位分配一个或多个角色。

安全审计产品包括：主机类、网络类、数据库类、业务应用系统级。

入侵检测是指对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，包括外部的入侵行为和内部用户的未授权活动。

23、信息系统综合测试与管理

软件测试模型

1. V模型：左边表示开发过程的各个阶段，右边表示测试过程的各个阶段，每个开发阶段对应一个测试阶段。
2. W模型：相当于两个V模型的叠加，一个是开发的V，一个是测试的V，测试随开发进展不断前进。测试和开发同步进行，有利于尽早发现问题。
3. H模型：将测试从开发中独立出来，与其他流程并发进行。
4. X模型：针对单独的程序片段进行相互分离的编码和测试，探索性测试

测试类型分类

1. 按开发阶段分：单元测试、集成测试、系统测试、验收测试
2. 按实施组织分：开发方测试（Alpha测试，由用户在开发环境进行测试）、用户测试（Beta测试，由用户在应用环境测试）、第三方测试
3. 按测试技术分：黑盒测试（从用户角度进行界面测试、功能测试）、白盒测试（检查软件内部逻辑结构）、灰盒测试（介于黑盒和白盒之间）
4. 按执行方式分：静态测试（不运行程序，如代码检查、静态代码结构分析）和动态测试（执行被测程序）

三类性能测试

• 负载测试：通过逐步增加系统负载，测试系统性能变化，最终确定在满足性能指标的情况下，系统所能承受的最大负载量。
• 压力测试：通过对系统逐渐增加压力，获得系统能提供的最大服务级别，或不能接收用户请求的性能点。
• 稳定性测试：通常是系统稳定运行情况下的并发用户数，或持续运行较长一段时间，保证达到系统疲劳强度需求的业务量，确定系统处理最大工作量强度性能。

测试监控内容

1. 测试用例的执行进度
2. 缺陷的存活时间
3. 缺陷的趋势分析
4. 缺陷的分步密度
5. 缺陷的修改质量

测试风险管理

1. 需求风险
2. 测试用例风险
3. 缺陷风险
4. 代码质量风险
5. 测试环境风险
6. 测试技术风险
7. 回归测试风险
8. 沟通协调风险
9. 其他不可预计风险

24、项目管理成熟度模型

项目管理成熟度表达一个组织具有的按照预订目标和条件成功地、可靠地实施项目的能力，指项目管理过程的成熟度。

• PMI：Project Management Institute，美国项目管理学会
• OPM3：Organization Project Management Maturity Model，组织级项目管理成熟度模型
• CMM：Capability Maturity Model，能力成熟度模型
• CMMI：Capability Maturity Model Integration，能力成熟度模型集成

CMMI的4个过程域：项目管理、过程管理、工程、支持

连续式表示法能力等级：不完整级、已执行级、已管理级、已定义级

阶段式表示法成熟度级别：初始级、已管理级、已定义级、已量化管理级、持续优化级

25、量化的项目管理

量化项目管理过程

1. 准备量化管理
1. 建立项目的目标
2. 组成已定义的过程
3. 选择子过程与属性
4. 选择度量项与分析技术
2. 量化的管理项目
1. 监督所选定子过程的性能
2. 管理项目绩效
3. 执行根本原因分析

26、知识产权与标准规范

招投标法、政府采购法、合同法、著作权、知识产权

招标/投标/开标/评标/中标

• 招标分为公开招标和邀请招标
• 招标人设有标底的，标底必须保密（标底是招标工程的预期价格，也就是最底价格）
• 招标文件开始发出之日至投标人提交投标文件截止日，不得少于20日
• 招标人对已发出的招标文件进行澄清或修改的，应距招标截止日至少15日
• 投标人少于三个的，招标人应当重新招标
• 投标人在招标截止日后送达的招标文件，招标人应当拒收
• 投标人拟在中标后将项目非主体、非关键性工作进行分包的，应当在投标文件中载明
• 两个或两个人以上法人可以组成一个联合体，以一个投标人的身份共同投标
• 联合体各方均当具备招标项目的相应能力，且按照资质较低的单位确定资质等级
• 投标人不得以低于成本的报价竞标
• 投标保证金不得超过招标项目估算价的2%，履约保证金不得超过10%
• 开标由招标人主持，邀请所有投标人参加
• 评标由招标人依法组建的评标委员会负责，成员人数为5人以上单数，其中技术、经济方面的不得少于总人数的2/3
• 评标委员会的委员应由招标人从政府有关部门提供的专家名册或招标代理机构的专家库的相关专家名单中随机抽取
• 中标人应能否最大限度满足招标文件中规定的各项综合评价标准，且投标价格最低
• 评标委员会认为所有投标都不符合招标要求的，可以否决所有投标，重新招标
• 中标人确定后，招标人应当向中标人发出中标通知书，并同时将中标结果通知所有投标人
• 招标人应当收到评标报告之日起3日内公示中标候选人，中标候选人不应超过3个，且应表明排序
• 招标人和中标人应当自中标通知书发出之日起30日内，签订书面合同
• 依法必须进行招标的项目，招标人应当自确定中标人之日起15日内，向有关行政监督部门提交招投标情况的书面报告

中标人的投标应满足以下两个条件之一

• 能够最大限度地满足招标文件中的各项评价标准
• 能够满足招标文件的实质要求，并且经评审的投标价格最低。投标价格低于成本的除外

政府采购

• 政府采购的主要方式是公开招标
• 采购纳入集中采购目录的政府采购项目，必须委托集中采购机构代理采购
• 集中采购机构进行政府采购活动，采购价格应当低于市场平均价格
• 需要采用不可替代的专利或者专有技术、可自行生产时，可以不进行招标
• 招标项目按照国家有关规定需要履行项目审批手续的，须在招标前审批
• 采购文件保存期限为从采购结束之日起至少保存15年

合同法

• 当事人订立合同，应当具有相应的民事权利能力和民事行为能力
• 当事人订立合同，有书面形式、口头形式和其他形式
• 合同内容一般包括：当事人名称、标的、数量、质量、价款、履行期限、违约责任、解决争议的办法
• 格式条款和非格式条款不一致的，采用非格式条款

要约和要约邀请的区别

• 要约是当事人希望和他人订立合同的意思表示，以订立合同为直接目的；要约邀请是希望对方向自己发出要约的意思表示。
• 要约大多数是针对特定人的，采用对话和信函的方式；而要约邀请一般是针对不特定人的，往往通过电视、报刊等媒介手段。
• 要约的内容必须具备足以使合同成立的主要条件，如明确的标的额、标的物数量、质量、价款报酬、履行期限等；而要约邀请则不具备这些条件。

著作权

• 著作权包括人身权和财产权：发表权、署名权、修改权、保护作品完整权、使用许可权和获取报酬权
• 署名权、修改权、保护作品完整权的保护期不受限制，财产权保护期为作者终生及其死后50年，截止于作者死后第50年的12月31日

国家标准

• GB：强制性国家标准
• GB/T：推荐性国家标准
• GB/Z：国家标准化指导性技术文件
• 国家标准有效期一般为5年
• 标准的主标题说明了标准化的对象，是不可省略的
• 国家标准的制定包括前期准备、立项、起草、征求意见、审查、批准、出版、复审、废止9个阶段

过程质量有助于提高产品质量，而产品质量有助于提高用户使用质量。

6个质量特性（功能靠用小护翼）

1. 功能性：准确性、互用性、安全性
2. 可靠性：容错性、可恢复性
3. 可用性：可理解性、易学性、可操作性
4. 效率：时间特性、资源特性
5. 可维护性：可分析性、可修改性、可测试性
6. 可移植性：易安装性、移植性、可替换性

27、管理科学基础知识

• 最小生成树
• 最短路径
• 网络最大流量
• 不确定性决策：乐观主义准则（大中取大），悲观主义准则（小中取大），后悔值准则（计算后悔值矩阵，选择最小后悔值）
• 图解法：线性规划
• 活动排序

28、案例分析

• 华为引进IBM项目管理体系的过程
• 僵化：站在巨人肩膀上削足适履
• 优化：改良主义和自我批判
• 固化：规范创新、夯实基础、管理进步（例行化、规范化）

• 控制账户是一种管理控制点，在该控制点上，把范围、预算、实际成本和进度加以整合，并与挣值比较，以测量绩效
• 选择合作伙伴的标准应建立在总成本最小化、敏捷性强、风险最小化的原则之上
• 当各干系人的利益出现不可协调的冲突时，通常按照有利于客户的原则处理，如有多个客户，应以最终端客户的利益至上
• 信息系统的安全空间包括安全机制、网络参考模型、安全服务三个维度
• https协议默认的端口号是443，http协议默认端口号是80。http协议是明文传输协议，无法防止中间人盗取、篡改信息等，https存在一个SSL加密/身份验证层，能有效地进行身份验证和加密传输，保护网站安全
• 使用结构化方法进行需求分析，其建立的模型的核心是数据字典。使用实体联系图表示数据模型，使用数据流图表示功能模型，使用状态转换图表示行为模型
• 项目活动之间的依赖关系：强制性依赖、选择性依赖、外部依赖、内部依赖
• 进度纠偏措施

• 赶工，投入更多资源或增加工作时间，以缩短关键活动工期
• 快速跟进，并行施工，以缩短关键路径长度
• 使用高素质的资源或经验丰富的人员
• 改进方法或技术，以提高生产效率
• 缩小活动范围或降低活动要求
• 加强质量管理，及时发现问题，减少返工，以缩短工期
• 加强与客户沟通，使项目交付物和阶段成果及时得到客户确认

• 成本纠偏措施
• 关注成本超支严重的工作
• 对成本超支活动进行细化分析，找出成本超支原因
• 针对不同原因，采取对应措施，如减少不必要工作、优化工作流程、削减不必要资源
• 定期对项目成本绩效进行评估，及时调整
• 加强质量管理，减少返工，以节约成本
• 必要时调整成本基准
• 项目/项目集/项目组合
• 项目管理是把各种知识、技能、工具和技术应用于项目活动中，以达到项目的要求
• 项目集管理是综合应用各种知识、技能、工具和技术对其所包含的项目进行管理，以便满足项目集的需求，并能获取采用单一项目管理方式达不到的收益和控制
• 项目组合管理是将项目、项目集，以及其他方面的工作组合起来进行有效管理，以便满足组织的战略性业务目标
• 稳定性/可靠性/可用性
• 稳定性：在一定时间内不出故障的概率
• 可靠性：在一定时间内正常执行任务的概率
• 可用性：随时可以正常使用的概率
• 老、新七种质量工具：因流核帕直控散，亲过关树优活阵
• 变更分类
• 根据变更性质分为：一般变更、重要变更、重大变更，通过不同的审批权限控制
• 根据变更紧迫性分为：紧急变更、非紧急变更，通过不同变更处理流程进行
• ISO 9000质量管理原则
• 以顾客为中心
• 领导作用
• 全员参与
• 过程方法
• 管理的系统方法
• 持续改进
• 基于事实的决策方法
• 与供方互利的关系
• 生产要素：土地、劳动力、资本、技术、数据
• 四控三管一协调：四控是质量控制、变更控制、进度控制、投资控制；三管是合同管理、信息管理、安全管理；一协调是协调业主、施工方、供应商之间的关系
• 新型基础设施
• 信息基础设施：技术新，如5G、物联网、工业互联网等通信网络基础设施，人工智能、云计算、区块链的新技术基础设施，数据中心、智能计算中心的算力基础设施
• 融合基础设施：应用新，如智能交通基础设施、智慧能源基础设施
• 创新基础设施：平台新，如重大科技基础设施、科教基础设施、产业技术创新基础设施