it企業(yè)項(xiàng)目管理論文
it企業(yè)項(xiàng)目管理論文
項(xiàng)目管理作為一種國(guó)際化的科學(xué)理論和方法,近年來(lái)在全球得到廣泛推崇,并在我國(guó)眾多行業(yè)和領(lǐng)域得到了廣泛推廣和應(yīng)用。下面是學(xué)習(xí)啦小編為大家整理的it企業(yè)項(xiàng)目管理論文,供大家參考。
it企業(yè)項(xiàng)目管理論文范文一:IT項(xiàng)目管理中的風(fēng)險(xiǎn)研究
摘要:文章指出了影響IT項(xiàng)目管理成功實(shí)施的五個(gè)方面的風(fēng)險(xiǎn)――存在于IT項(xiàng)目管理過(guò)程中的外部風(fēng)險(xiǎn)、成本風(fēng)險(xiǎn)、進(jìn)度風(fēng)險(xiǎn)、技術(shù)風(fēng)險(xiǎn)和運(yùn)營(yíng)風(fēng)險(xiǎn)。在此基礎(chǔ)上,提出了實(shí)施IT項(xiàng)目風(fēng)險(xiǎn)管理的模型并就風(fēng)險(xiǎn)的識(shí)別、評(píng)估、監(jiān)測(cè)和相關(guān)管理計(jì)劃方案的制定展開(kāi)了進(jìn)一步的討論。
關(guān)鍵詞:IT項(xiàng)目;風(fēng)險(xiǎn)識(shí)別;風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)監(jiān)測(cè)
IT項(xiàng)目管理與其他類(lèi)型的項(xiàng)目管理一樣,其立項(xiàng)、設(shè)計(jì)與實(shí)施等都是基于正常的、理想的技術(shù)、管理和組織以及對(duì)將來(lái)情況(政治、經(jīng)濟(jì)、社會(huì)等方面)的預(yù)測(cè)。但是在實(shí)際運(yùn)行的過(guò)程中,這些因素都可能產(chǎn)生變化,而這些變化將可能使原定的目標(biāo)受到干擾甚至無(wú)法實(shí)現(xiàn),因此我們將這些事先不能確定的內(nèi)部和外部的干擾因素稱之為風(fēng)險(xiǎn)。簡(jiǎn)言之,IT項(xiàng)目的風(fēng)險(xiǎn)就是項(xiàng)目中的不可靠因素,如果不能有效地規(guī)避風(fēng)險(xiǎn)就極有可能造成項(xiàng)目的失敗。因此,風(fēng)險(xiǎn)管理已成為IT項(xiàng)目管理中不可或缺的重要環(huán)節(jié)。
一、引入IT項(xiàng)目管理風(fēng)險(xiǎn)研究的必要性和目標(biāo)
(一)必要性
IT項(xiàng)目管理的主要對(duì)象就是與信息技術(shù)緊密相關(guān)的各類(lèi)IT項(xiàng)目,諸如軟件開(kāi)發(fā)、組建計(jì)算機(jī)網(wǎng)絡(luò)和信息系統(tǒng)集成等。隨著建設(shè)環(huán)境的日趨復(fù)雜,IT項(xiàng)目的投資和建設(shè)規(guī)模急劇增加,然而IT項(xiàng)目固有的建設(shè)標(biāo)準(zhǔn)不統(tǒng)一、人員流動(dòng)性強(qiáng)、技術(shù)發(fā)展迅猛等特點(diǎn)決定了它不但要考慮項(xiàng)目管理可能遭遇的一般風(fēng)險(xiǎn),還面臨著其他類(lèi)型項(xiàng)目所不具備的特殊風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)的存在很有可能會(huì)造成數(shù)據(jù)丟失、進(jìn)度延遲、成本增加等不良后果,更為嚴(yán)重的可能會(huì)導(dǎo)致整個(gè)項(xiàng)目的失敗。因此,在IT項(xiàng)目管理中引入風(fēng)險(xiǎn)研究很有必要。
(二)目標(biāo)
IT項(xiàng)目管理中風(fēng)險(xiǎn)研究的目標(biāo)主要在于:識(shí)別可能影響IT項(xiàng)目成功的任何風(fēng)險(xiǎn),提供識(shí)別和評(píng)估風(fēng)險(xiǎn)的標(biāo)準(zhǔn)過(guò)程和方法;通過(guò)適當(dāng)?shù)男袆?dòng)將風(fēng)險(xiǎn)產(chǎn)生的概率或后果壓至最低;實(shí)時(shí)監(jiān)測(cè)和報(bào)告風(fēng)險(xiǎn),為制定防范和應(yīng)對(duì)風(fēng)險(xiǎn)的措施提供決策依據(jù)。
二、IT項(xiàng)目管理中存在的風(fēng)險(xiǎn)
Graham、Beenhakker和Chapman等學(xué)者早就在其著作中提出了項(xiàng)目管理的風(fēng)險(xiǎn)問(wèn)題,在國(guó)內(nèi)外學(xué)者研究的基礎(chǔ)上,單就IT項(xiàng)目管理這一特殊領(lǐng)域?qū)⒂绊慖T項(xiàng)目的風(fēng)險(xiǎn)定義為以下五個(gè)方面:
(一)外部風(fēng)險(xiǎn)
外部風(fēng)險(xiǎn)主要是指那些超出IT項(xiàng)目經(jīng)理乃至整個(gè)項(xiàng)目組織控制范圍的影響項(xiàng)目成功的干擾因素,主要體現(xiàn)在:
1、市場(chǎng)和政策的變化。一方面,市場(chǎng)需求的多變以及新產(chǎn)品、新服務(wù)的不斷更迭可能導(dǎo)致IT項(xiàng)目建設(shè)方向的急劇改變,這對(duì)絕大多數(shù)的項(xiàng)目來(lái)說(shuō)都是致命的;另一方面,與IT項(xiàng)目管理相關(guān)的政策從無(wú)到有不斷涌現(xiàn),給實(shí)施項(xiàng)目的企業(yè)設(shè)置了越來(lái)越多的約束。
2、IT行業(yè)的迅猛發(fā)展。IT行業(yè)被稱為朝陽(yáng)行業(yè)的根本原因就在于這個(gè)領(lǐng)域出現(xiàn)的時(shí)間不長(zhǎng)而發(fā)展又非常迅速,所以,IT項(xiàng)目必然面臨層出不窮的新標(biāo)準(zhǔn)和新趨勢(shì)。與此同時(shí),IT業(yè)內(nèi)的競(jìng)爭(zhēng)與合作也不斷改變著IT企業(yè)或企業(yè)聯(lián)盟的戰(zhàn)略和競(jìng)爭(zhēng)優(yōu)勢(shì),從而影響IT項(xiàng)目的發(fā)展進(jìn)程。
3、自然災(zāi)害的出現(xiàn)?;馂?zāi)、洪水、地震等自然災(zāi)害對(duì)IT項(xiàng)目的建設(shè)而言是不可忽視的客觀存在,其破壞力之大往往超出人們的想象,而自然災(zāi)害的隨機(jī)性使得項(xiàng)目組織一般很難做出預(yù)測(cè)。
4、威脅IT項(xiàng)目的安全因素。電力短缺、安全漏洞和黑客攻擊等因素都會(huì)對(duì)IT項(xiàng)目管理造成重大的損失,這些因素一般也是無(wú)法事先控制的。
5、相關(guān)法律問(wèn)題。法律問(wèn)題是外部風(fēng)險(xiǎn)中容易被忽視的一個(gè)重要方面,在IT項(xiàng)目管理中常見(jiàn)的法律問(wèn)題主要包括項(xiàng)目成果的版權(quán)歸屬、從業(yè)人員的職業(yè)道德約束和項(xiàng)目后期維護(hù)的延續(xù)性等。
(二)成本風(fēng)險(xiǎn)
成本風(fēng)險(xiǎn)指因項(xiàng)目或項(xiàng)目組織的變化或失誤從而影響項(xiàng)目成本控制的隱患,主要包括:
1、項(xiàng)目運(yùn)營(yíng)成本溢出。項(xiàng)目運(yùn)營(yíng)成本主要是指由項(xiàng)目團(tuán)隊(duì)、項(xiàng)目業(yè)主和項(xiàng)目顧問(wèn)等涉及項(xiàng)目運(yùn)營(yíng)的組織或人員在項(xiàng)目建設(shè)過(guò)程中所引發(fā)的成本。由于IT項(xiàng)目的人員組成復(fù)雜且流動(dòng)性非常強(qiáng),加上項(xiàng)目運(yùn)營(yíng)牽涉的不可控因素較多,因此運(yùn)營(yíng)成本溢出的可能性非常大。
2、項(xiàng)目范圍的改變導(dǎo)致成本上升。業(yè)主需求的變化和信息技術(shù)的發(fā)展導(dǎo)致IT項(xiàng)目范圍的改變是項(xiàng)目經(jīng)理經(jīng)常遇到的現(xiàn)象,隨之而來(lái)的便是項(xiàng)目成本的不斷上升甚至成倍增長(zhǎng)。
3、出現(xiàn)未估算的項(xiàng)目成本。雖然IT項(xiàng)目在進(jìn)行規(guī)劃時(shí)就應(yīng)做出精確的成本估算,但成本估算畢竟是一項(xiàng)預(yù)測(cè)性的工作,在實(shí)際操作過(guò)程中難免會(huì)產(chǎn)生錯(cuò)算、漏算從而導(dǎo)致未估算的成本項(xiàng)目的出現(xiàn),因而影響整個(gè)項(xiàng)目管理的成本和績(jī)效。
4、項(xiàng)目預(yù)算超支。雖然在IT項(xiàng)目管理中對(duì)于成本和費(fèi)用有嚴(yán)格的控制,但人力成本變動(dòng)、設(shè)備價(jià)格上漲、項(xiàng)目工期延誤等無(wú)法預(yù)期的特殊情況的出現(xiàn)仍然可能帶來(lái)項(xiàng)目預(yù)算的超支。
(三)進(jìn)度風(fēng)險(xiǎn)
進(jìn)度風(fēng)險(xiǎn)指由于錯(cuò)失或延誤IT項(xiàng)目產(chǎn)品或服務(wù)的市場(chǎng)機(jī)會(huì)而導(dǎo)致項(xiàng)目失敗的可能性,其直接表現(xiàn):
1、項(xiàng)目進(jìn)度估計(jì)不準(zhǔn)確。進(jìn)度管理雖然是IT項(xiàng)目管理中非常重要的環(huán)節(jié),但項(xiàng)目進(jìn)度估計(jì)與項(xiàng)目成本估算一樣都是前瞻性的工作,因此出現(xiàn)項(xiàng)目進(jìn)度估計(jì)不準(zhǔn)也是項(xiàng)目管理中經(jīng)常碰到的棘手問(wèn)題。
2、過(guò)多的技術(shù)、運(yùn)營(yíng)和外部問(wèn)題牽扯項(xiàng)目進(jìn)程。在IT項(xiàng)目建設(shè)過(guò)程中可能出現(xiàn)諸如系統(tǒng)升級(jí)、人員變動(dòng)和標(biāo)準(zhǔn)變更等各種各樣的技術(shù)、運(yùn)營(yíng)和外部的問(wèn)題,而解決這些問(wèn)題會(huì)牽扯項(xiàng)目組織的精力從而導(dǎo)致項(xiàng)目進(jìn)度的延遲。
3、資源短缺或變更導(dǎo)致項(xiàng)目進(jìn)度拖延。提供充足的資源保障是如期完成IT項(xiàng)目建設(shè)的必要條件,但實(shí)踐經(jīng)驗(yàn)證明幾乎所有項(xiàng)目都會(huì)遇到資源短缺或變更的限制。這里所講的資源不僅指設(shè)備、資金、材料,還包括人力、時(shí)間和信息等,諸如人員的調(diào)動(dòng)、設(shè)備購(gòu)置差錯(cuò)和時(shí)間安排不當(dāng)?shù)榷紩?huì)影響項(xiàng)目的進(jìn)程。
(四)技術(shù)風(fēng)險(xiǎn)
技術(shù)風(fēng)險(xiǎn)指干擾項(xiàng)目達(dá)到預(yù)期功能或性能目標(biāo)或期望的不可靠因子,突出表現(xiàn)在:
1、技術(shù)成熟度不夠。無(wú)論是IT項(xiàng)目的業(yè)主還是項(xiàng)目組織都傾向于追求最新的技術(shù),然而現(xiàn)實(shí)的情況是新技術(shù)往往不夠成熟,將不成熟的技術(shù)引入IT項(xiàng)目的建設(shè)是極易招致失敗的。
2、開(kāi)發(fā)與管理工具選擇不當(dāng)。“工欲善其事,必先利其器”凸現(xiàn)了IT項(xiàng)目管理中工具選擇的重要性,能否從眾多的開(kāi)發(fā)和管理工具中做出正確的選擇與項(xiàng)目的成功也是息息相關(guān)的。
3、項(xiàng)目測(cè)試不嚴(yán)謹(jǐn)。測(cè)試是IT項(xiàng)目實(shí)施的重要環(huán)節(jié),由于很多項(xiàng)目未經(jīng)嚴(yán)格的測(cè)試就投入運(yùn)行,以致無(wú)法提早發(fā)現(xiàn)和修正錯(cuò)誤導(dǎo)致巨大的損失。此外,試運(yùn)行環(huán)節(jié)作為連接測(cè)試階段與正式運(yùn)行階段的重要手段也可能未得到重視。
4、軟硬件的集成矛盾。由于IT行業(yè)在很多方面缺乏統(tǒng)一的標(biāo)準(zhǔn)和尺度,致使IT項(xiàng)目中所采用的不同產(chǎn)商的軟件和硬件設(shè)備在集成到一起時(shí)可能產(chǎn)生無(wú)法預(yù)期的錯(cuò)誤和沖突,進(jìn)而影響IT項(xiàng)目的實(shí)施效果。
(五)運(yùn)營(yíng)風(fēng)險(xiǎn)
運(yùn)營(yíng)風(fēng)險(xiǎn)指項(xiàng)目無(wú)法達(dá)到預(yù)期收益目標(biāo)或期望的可能性。
1、對(duì)優(yōu)勢(shì)和沖突的理解不充分。IT項(xiàng)目組織和項(xiàng)目業(yè)主之間溝通的一個(gè)要點(diǎn)就是要確認(rèn)項(xiàng)目的優(yōu)勢(shì)和沖突,從而避免對(duì)項(xiàng)目認(rèn)識(shí)和理解上的分歧,以較好地調(diào)和項(xiàng)目的優(yōu)勢(shì)和沖突。
2、未指派合理的權(quán)限。在IT項(xiàng)目管理中經(jīng)常強(qiáng)調(diào)的“一把手原則”經(jīng)常在實(shí)際工作中被忽視,而不能給關(guān)鍵人物指派合理的權(quán)限的后果是項(xiàng)目管理的混亂。
3、溝通不善。在IT項(xiàng)目管理中,構(gòu)建良好的溝通機(jī)制和渠道是項(xiàng)目經(jīng)理的重要職責(zé),但很多項(xiàng)目經(jīng)理忽視了溝通的作用,甚至連基本的溝通計(jì)劃都沒(méi)有,這不能不說(shuō)是一種極大的隱患。
4、多項(xiàng)目管理?,F(xiàn)代的項(xiàng)目管理型組織都是以項(xiàng)目為基礎(chǔ),一般來(lái)說(shuō)多個(gè)項(xiàng)目同時(shí)上馬是家常便飯,然而項(xiàng)目多、資源緊、任務(wù)重所帶來(lái)的全面鋪開(kāi)但是全面滯后甚至全面失敗的結(jié)果也是極有可能發(fā)生的。
三、加強(qiáng)IT項(xiàng)目風(fēng)險(xiǎn)管理的思考
Richard Murch、Beenhakker和Chapman等學(xué)者的研究成果充分說(shuō)明了只要遵循科學(xué)的項(xiàng)目管理原則,風(fēng)險(xiǎn)是可以控制的。筆者提出了對(duì)IT項(xiàng)目實(shí)施風(fēng)險(xiǎn)管理的模型,進(jìn)而探討IT項(xiàng)目中的風(fēng)險(xiǎn)管理的幾個(gè)要素。
(一)IT項(xiàng)目風(fēng)險(xiǎn)管理模型
從圖1的模型來(lái)看,在IT項(xiàng)目管理中是完全有可能對(duì)風(fēng)險(xiǎn)進(jìn)行管理的。
(二)IT項(xiàng)目風(fēng)險(xiǎn)管理計(jì)劃的制定
風(fēng)險(xiǎn)管理計(jì)劃是所有IT項(xiàng)目都必不可少的,它應(yīng)該作為一個(gè)獨(dú)立的部分納入項(xiàng)目的整體計(jì)劃。計(jì)劃的制定者可以是項(xiàng)目經(jīng)理也可以是項(xiàng)目風(fēng)險(xiǎn)管理的負(fù)責(zé)人,在制定計(jì)劃時(shí)應(yīng)該重點(diǎn)強(qiáng)調(diào)的幾個(gè)因素包括:風(fēng)險(xiǎn)的識(shí)別;確定風(fēng)險(xiǎn)管理的范圍;明確風(fēng)險(xiǎn)管理的時(shí)間要求和階段目標(biāo);配置用于風(fēng)險(xiǎn)管理的資源;制定風(fēng)險(xiǎn)管理應(yīng)急預(yù)案。
(三)IT項(xiàng)目管理中風(fēng)險(xiǎn)的識(shí)別、評(píng)估和檢測(cè)
識(shí)別IT項(xiàng)目潛在的風(fēng)險(xiǎn)是一項(xiàng)非常關(guān)鍵的任務(wù),一般來(lái)說(shuō),可以采用特爾斐法和頭腦風(fēng)暴法識(shí)別可能威脅IT項(xiàng)目成功的絕大部分風(fēng)險(xiǎn)。在識(shí)別了風(fēng)險(xiǎn)以后,可以從風(fēng)險(xiǎn)的可能性、嚴(yán)重性和可控程度三個(gè)方面來(lái)評(píng)估IT項(xiàng)目管理中的風(fēng)險(xiǎn),使用可能性量表、嚴(yán)重性量表和可控性量表工具對(duì)風(fēng)險(xiǎn)進(jìn)行定量分析后,可以將其分為高、中、低三類(lèi)并生成IT項(xiàng)目管理風(fēng)險(xiǎn)觀測(cè)表。接下來(lái)要做的工作便是利用此文件嚴(yán)密監(jiān)測(cè)項(xiàng)目風(fēng)險(xiǎn)并定期召開(kāi)通氣會(huì)或形成報(bào)告,一般來(lái)說(shuō)至少每周一次,如果情況特殊,會(huì)議和報(bào)告的周期還可進(jìn)一步縮短。
(四)IT項(xiàng)目風(fēng)險(xiǎn)管理資料的收集和整理
在實(shí)施IT項(xiàng)目風(fēng)險(xiǎn)管理的過(guò)程中收集和整理風(fēng)險(xiǎn)管理的資料不但有助于建立項(xiàng)目風(fēng)險(xiǎn)管理的知識(shí)庫(kù)和模型庫(kù)用于識(shí)別和評(píng)估風(fēng)險(xiǎn),更重要的是能為項(xiàng)目風(fēng)險(xiǎn)管理計(jì)劃和項(xiàng)目風(fēng)險(xiǎn)應(yīng)急預(yù)案提供反饋以促進(jìn)其完善。在收集和整理資料時(shí),總結(jié)成功經(jīng)驗(yàn)固然重要,但更為可貴的是那些失敗的例子和教訓(xùn)。
(五)IT項(xiàng)目管理風(fēng)險(xiǎn)應(yīng)急預(yù)案的設(shè)立
IT項(xiàng)目風(fēng)險(xiǎn)管理中的風(fēng)險(xiǎn)管理計(jì)劃以及風(fēng)險(xiǎn)的識(shí)別、評(píng)估和監(jiān)測(cè)都不可能完全避免風(fēng)險(xiǎn)的產(chǎn)生,因此為那些暫時(shí)無(wú)法預(yù)料到的特殊風(fēng)險(xiǎn)設(shè)立緊急預(yù)案是完全必要的。好的項(xiàng)目管理風(fēng)險(xiǎn)應(yīng)急預(yù)案除了應(yīng)該明確風(fēng)險(xiǎn)產(chǎn)生后的處理步驟、工作清單和項(xiàng)目團(tuán)隊(duì)所應(yīng)提供的支持資源,還要經(jīng)過(guò)徹底和嚴(yán)格的測(cè)試并確保定期更新。
四、結(jié)論
風(fēng)險(xiǎn)管理在IT項(xiàng)目管理中并沒(méi)有得到應(yīng)有的重視,因此從事IT項(xiàng)目管理的專(zhuān)業(yè)人員必須通過(guò)學(xué)習(xí)或培訓(xùn)了解風(fēng)險(xiǎn)管理的重要性并掌握風(fēng)險(xiǎn)管理的知識(shí)和防范風(fēng)險(xiǎn)的方法與手段,也只有將風(fēng)險(xiǎn)管理的內(nèi)容納入正規(guī)培訓(xùn)日程才能突顯其重要性。
風(fēng)險(xiǎn)在每個(gè)IT項(xiàng)目的建設(shè)和管理中都有可能發(fā)生,這與組織和項(xiàng)目規(guī)模大小、項(xiàng)目類(lèi)型和項(xiàng)目工期都沒(méi)有必
然聯(lián)系,因此每個(gè)IT項(xiàng)目都必須實(shí)施風(fēng)險(xiǎn)管理,盡可能地規(guī)避風(fēng)險(xiǎn)的影響或者將風(fēng)險(xiǎn)產(chǎn)生的影響減至最低限度。
參考文獻(xiàn):
1、程婷婷,陳偉亞.IT項(xiàng)目管理中制約因素的分析和研究[J].甘肅農(nóng)業(yè),2006(2).
2、林建平.企業(yè)信息化建設(shè)的項(xiàng)目管理[J].中國(guó)民用航空,2006(2).
3、劉普.企業(yè)引入項(xiàng)目管理應(yīng)把握的主要問(wèn)題[J].鐵路工程造價(jià)管理,2005(6).
4、Beenhakker, Henri L. Risk Management in Project and Implementation[M].Quorum Books,1997.
5、Murch Richard. Project Management: Best Practices for IT Professionals, First Edition[M].Higher Education Press & Pearson Education,2002.
it企業(yè)項(xiàng)目管理論文范文二:IT項(xiàng)目信息安全管理案例分析
【 摘 要 】 結(jié)合IT項(xiàng)目在涉密工程中的信息安全管理為研究對(duì)象,明確信息安全管理的范圍,對(duì)信息安全的風(fēng)險(xiǎn)進(jìn)行識(shí)別與分析,在此基礎(chǔ)上,制定出信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對(duì)的措施,從而進(jìn)行風(fēng)險(xiǎn)控制,降低信息系統(tǒng)風(fēng)險(xiǎn),以保障信息系統(tǒng)的安全。
【 關(guān)鍵詞 】 IT 項(xiàng)目;信息安全管理;措施
The Analysis of Information Safety Management for IT Program
Lin Ting
(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)
【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.
【 Keywords 】 IT program; information safety management; measurement
1 引言
公司與軍方合作比較廣泛,有一個(gè)關(guān)于武器設(shè)計(jì)的項(xiàng)目。由于項(xiàng)目的特殊性,整個(gè)項(xiàng)目的安全要求高,本著“安全第一,應(yīng)用第二”的原則,對(duì)內(nèi)部網(wǎng)絡(luò)的建設(shè)從發(fā)展的眼光出發(fā),將前瞻性與實(shí)用性相結(jié)合,在分析信息系統(tǒng)風(fēng)險(xiǎn)的基礎(chǔ)上,制定出信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對(duì)措施,進(jìn)行風(fēng)險(xiǎn)控制,降低信息系統(tǒng)的風(fēng)險(xiǎn),保障信息系統(tǒng)的安全。
2 安全需求分析
2.1 信息安全范圍需求
確保整個(gè)系統(tǒng)在建設(shè)之中和建設(shè)之后的維護(hù)的安全性同,所涉及的范圍包括內(nèi)容有:1)信息,包括數(shù)據(jù)、資料等; 2)硬件、軟件;3)環(huán)境及支持設(shè)備;4)參與人員的管理;5)網(wǎng)絡(luò)通訊設(shè)備;6)存儲(chǔ)設(shè)備。
2.2 信息安全優(yōu)先級(jí)需求
按由高到低的順序,依次是關(guān)鍵崗位人員的管理、重要涉密信息、存儲(chǔ)涉密信息的存儲(chǔ)設(shè)備、網(wǎng)絡(luò)通訊設(shè)備、服務(wù)、軟件、硬件、環(huán)境支持設(shè)備。
3 風(fēng)險(xiǎn)識(shí)別與分析
風(fēng)險(xiǎn)識(shí)別與分析從潛在的危險(xiǎn)和系統(tǒng)的安全威脅等方面進(jìn)行。
3.1 潛在的威脅
潛在威脅主要來(lái)自內(nèi)部和外部。其中來(lái)自內(nèi)部的犯罪主要是其一:純粹出于經(jīng)濟(jì)目的,或其他目的,利用自己可能的手段竊取信息,破壞信息系統(tǒng);其二則是在外部罪犯的指使、收買(mǎi)下,在可能獲得外部技術(shù)支持的情況下,對(duì)信息系統(tǒng)實(shí)施攻擊。信息網(wǎng)絡(luò)系統(tǒng)對(duì)兩種內(nèi)部人員的犯罪都應(yīng)有所防備;該項(xiàng)目信息安全保密實(shí)施的重點(diǎn)是防止系統(tǒng)的破壞和信息的損失。
3.2 系統(tǒng)的安全威脅
該單位系統(tǒng)與外界是物理隔離,所以通信數(shù)據(jù)被竊聽(tīng)的概率很小。但仍然存在如下威脅:非法訪問(wèn)、電磁泄漏、假冒;抵賴、破壞網(wǎng)絡(luò)的可用性、失誤操作、病毒侵害、自然災(zāi)害和環(huán)境事故、電力中斷。
4 風(fēng)險(xiǎn)響應(yīng)規(guī)劃
根據(jù)上面風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)分析結(jié)果,制定以下風(fēng)險(xiǎn)應(yīng)對(duì)措施。
4.1 涉密信息傳輸與存儲(chǔ)方案
該單位信息網(wǎng)絡(luò)系統(tǒng)是一個(gè)涉密級(jí)別達(dá)到機(jī)密級(jí)的信息網(wǎng)絡(luò),因此,按照國(guó)家保密局的規(guī)定,秘密、機(jī)密信息在所科研區(qū)等封閉區(qū)域內(nèi)的傳輸可采用光纜或屏蔽電纜,如果采用非屏蔽電纜而又不能滿足與其他并行線的線間距要求時(shí),必須采用遠(yuǎn)程加密傳輸。該單位的信息加密必須采用國(guó)家指定的算法,不得使用國(guó)外算法;該單位的信息加密可采用密文存儲(chǔ)和存取控制兩種方式;加密算法每三年必須更換,算法提供單位必須是同一家單位。
4.2 物理安全管理方案
對(duì)于出入存放機(jī)密級(jí)和機(jī)密級(jí)以上信息的設(shè)備地方,必須建立嚴(yán)格的審查登記制度,保證所有出入存放地的人員必須留有書(shū)面紀(jì)錄,包括姓名,證件,部門(mén),進(jìn)入時(shí)間和離開(kāi)時(shí)間;
處理機(jī)密級(jí)和機(jī)密級(jí)以上信息的設(shè)備必須放在有鐵門(mén)、鐵窗、鐵柜的“三鐵”保護(hù)措施的地方:涉密系統(tǒng)中心機(jī)房應(yīng)采取安全防范措施,確保非授權(quán)人員無(wú)法進(jìn)入。處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)中心機(jī)房應(yīng)采用有效的電子門(mén)控系統(tǒng)。處理絕密級(jí)信息和重要信息的系統(tǒng)中心機(jī)房門(mén)控系統(tǒng)應(yīng)進(jìn)行身份鑒別,應(yīng)有電視監(jiān)視系統(tǒng),并建立磁屏蔽區(qū)域保護(hù)設(shè)施。
4.3 信息涉密級(jí)別管理方案
所有信息處理、傳輸、存儲(chǔ)、輸入、輸出設(shè)備均應(yīng)按照保密部門(mén)所規(guī)定的密級(jí)確定相應(yīng)的最高涉密級(jí)別。密級(jí)的變化由保密部門(mén)確定后及時(shí)通知網(wǎng)管中心。設(shè)備的使用人必須清楚了解該級(jí)別的規(guī)定,并熟悉對(duì)該級(jí)別信息處理的要求。
4.4 涉密介質(zhì)安全使用管理方案
U盤(pán)、硬盤(pán)、光盤(pán)、磁帶等涉密介質(zhì)應(yīng)標(biāo)明級(jí)別,并按相應(yīng)密級(jí)管理。存儲(chǔ)過(guò)涉密信息的介質(zhì)不能降低密級(jí)使用。不再使用的介質(zhì)應(yīng)及時(shí)銷(xiāo)毀。涉密介質(zhì)的維修應(yīng)保證所存儲(chǔ)的涉密信息不被泄露,維修應(yīng)在本單位進(jìn)行,維修點(diǎn)需由單位保密委員會(huì)指定或認(rèn)可;必須在單位外維修的,必須指派專(zhuān)人全程跟蹤負(fù)責(zé),保證所存儲(chǔ)的涉密信息不被泄露。
4.5 身份管理方案
處理秘密級(jí)信息的涉密系統(tǒng)可采用口令進(jìn)行身份鑒別,口令長(zhǎng)度不得少于8個(gè)字符,口令更換周期不得長(zhǎng)于一個(gè)月;處理機(jī)密級(jí)信息的涉密系統(tǒng)應(yīng)采用IC卡(或USB-KEY)進(jìn)行身份鑒別,也可采用口令或其他措施加口令的方式進(jìn)行身份鑒別,口令長(zhǎng)度不得少于10個(gè)字符,口令更換周期不得長(zhǎng)于一周:涉密系統(tǒng)所使用的口令不得由用戶產(chǎn)生,應(yīng)當(dāng)由系統(tǒng)安全管理員集中產(chǎn)生供用戶選用,并且應(yīng)當(dāng)有口令更換記錄;應(yīng)采用組成復(fù)雜、不易猜測(cè)的口令,一般應(yīng)是大小寫(xiě)英文字母、數(shù)字、特殊字符中兩者以上的組合。
4.6 數(shù)據(jù)備份與恢復(fù)方案
在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中,主要設(shè)備、軟件、數(shù)據(jù)、電源等應(yīng)有備份,并具有在較短時(shí)間內(nèi)恢復(fù)系統(tǒng)運(yùn)行的能力。該單位信息系統(tǒng)中關(guān)鍵服務(wù)器系統(tǒng)均需要進(jìn)行系統(tǒng)備份,盡量在系統(tǒng)崩潰以后能快速、簡(jiǎn)單、完全地恢復(fù)系統(tǒng)的運(yùn)行。進(jìn)行備份的最有效的方法是只備份那些對(duì)于系統(tǒng)崩潰恢復(fù)所必需的數(shù)據(jù)。核心服務(wù)器上的數(shù)據(jù)文件必須每周備份,而且必須每天進(jìn)行文件增量備份;每天業(yè)務(wù)結(jié)束時(shí)進(jìn)行增量備份。周備份的介質(zhì)必須實(shí)行異地存儲(chǔ)。異地存儲(chǔ)要求包含多種備份介質(zhì)。
4.7 防黑客方案
防火墻是用在網(wǎng)絡(luò)出入口上的一種訪問(wèn)控制技術(shù),是對(duì)付黑客的一種主要手段。防火墻技術(shù)的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個(gè)相對(duì)安全的子網(wǎng)環(huán)境。
防火墻在內(nèi)部網(wǎng)絡(luò)中發(fā)揮上述作用主要是通過(guò)兩個(gè)層次的訪問(wèn)控制實(shí)現(xiàn)的,一個(gè)是由狀態(tài)包過(guò)濾提供的基于IP地址的訪問(wèn)控制功能,另一個(gè)是由代理防火墻提供的基于應(yīng)用協(xié)議的訪問(wèn)控制功能。另外,部分防火墻還提供地址映射服務(wù),以隔離高涉密子網(wǎng)。
4.8 事故應(yīng)急方案
該單位制定了在該所內(nèi)部網(wǎng)絡(luò)發(fā)生安全事故時(shí)的應(yīng)急響應(yīng)步驟。安全事故包括失竊、用戶口令丟失、可疑的系統(tǒng)訪問(wèn)(包括共享口令)、內(nèi)部網(wǎng)絡(luò)的入侵行為、計(jì)算機(jī)病毒等。以上安全事故被分為三個(gè)級(jí)別:
(1)一級(jí)安全事故損失最小,事故發(fā)生后需要在一個(gè)工作日內(nèi)得到控制。此類(lèi)安全事故只需與網(wǎng)絡(luò)管理中心聯(lián)系即可。該類(lèi)事故包括:個(gè)人口令丟失或遺忘、可疑的共享行為等;(2)二級(jí)安全事故損失稍大,事故發(fā)生后需要在2h-4h內(nèi)得到控制;此類(lèi)安全事故需要通知所網(wǎng)絡(luò)管理中心和所安全保密辦公室。該類(lèi)事故包括:可疑人員進(jìn)入涉密機(jī)房,使用涉密計(jì)算機(jī)(或本所職工出現(xiàn)可疑行為);未授權(quán)的訪問(wèn)等;(3)三級(jí)安全事故發(fā)生后,必須立即防止事故危害擴(kuò)散,同時(shí)必須立即通知所保密辦、保密委,并視情況嚴(yán)重程度逐級(jí)上報(bào)。
4.9 風(fēng)險(xiǎn)監(jiān)控的策略
(1)建立合理的、科學(xué)的信息安全工作體系:設(shè)立所決策層、管理層、執(zhí)行層三層組織機(jī)構(gòu),制定各種管理制度與流程,采取相應(yīng)的信息安全技術(shù)措施。
(2)風(fēng)險(xiǎn)控制主要途徑:根據(jù)控制成本與風(fēng)險(xiǎn)平衡的原則,通過(guò)以下途徑及主要措施將風(fēng)險(xiǎn)控制在可接受的范圍。
1)避免風(fēng)險(xiǎn):所內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)物理隔離,可以避免所內(nèi)涉密信息系統(tǒng)遭受來(lái)自外部的威脅。在公共信息網(wǎng)上采取適當(dāng)?shù)陌踩胧?,降低?lái)自外部的威脅。嚴(yán)禁在公共信息網(wǎng)上處理涉密信息,降低外部威脅對(duì)所信息資產(chǎn)的影響;2)減少威脅:通過(guò)身份認(rèn)證、訪問(wèn)控制、網(wǎng)絡(luò)監(jiān)控、入侵監(jiān)測(cè)、審計(jì)和安裝防病毒軟件等技術(shù)措施,建立黑客防范系統(tǒng)和惡意代碼防范系統(tǒng),減少信息系統(tǒng)受到內(nèi)部員工黑客行為和惡意代碼攻擊的機(jī)會(huì);3)減少薄弱點(diǎn):通過(guò)教育和培訓(xùn)強(qiáng)化員工的安全意識(shí)和安全操作技能;建立和完善信息安全管理制度,強(qiáng)化安全制度的檢查和落實(shí);4)減少威脅可能的影響程度:應(yīng)用密碼技術(shù)對(duì)信息的存儲(chǔ)和傳輸進(jìn)行加密處理;建立并實(shí)時(shí)業(yè)務(wù)系統(tǒng)的應(yīng)急響應(yīng)計(jì)劃,此計(jì)劃包括備份保護(hù)、應(yīng)急響應(yīng)、測(cè)試維護(hù)等活動(dòng)的安全要求。
(3)安全解決方案動(dòng)態(tài)調(diào)整:安全解決方案的基礎(chǔ)是風(fēng)險(xiǎn)分析,應(yīng)該根據(jù)風(fēng)險(xiǎn)的變化,進(jìn)行動(dòng)態(tài)調(diào)整。風(fēng)險(xiǎn)的變化來(lái)自兩個(gè)方面:一是信息系統(tǒng)的脆弱性以及威脅技術(shù)發(fā)生變化;二是信息系統(tǒng)發(fā)生變更后可能產(chǎn)生的新的安全風(fēng)險(xiǎn)和風(fēng)險(xiǎn)變化。一成不變的靜態(tài)風(fēng)險(xiǎn)管理,在風(fēng)險(xiǎn)發(fā)生變化時(shí)不僅起不到應(yīng)有的安全作用,相反會(huì)產(chǎn)生負(fù)面影響。因此,風(fēng)險(xiǎn)管理應(yīng)該動(dòng)態(tài)進(jìn)行,達(dá)到風(fēng)險(xiǎn)預(yù)測(cè)、實(shí)時(shí)響應(yīng)、降低風(fēng)險(xiǎn)的良性循環(huán)能力。
5 案例實(shí)施結(jié)果
已經(jīng)完成的項(xiàng)目的每一個(gè)階段,實(shí)施風(fēng)險(xiǎn)措施后,進(jìn)行動(dòng)態(tài)監(jiān)測(cè),發(fā)現(xiàn)新的風(fēng)險(xiǎn),及時(shí)調(diào)整風(fēng)險(xiǎn)應(yīng)對(duì)措施,實(shí)施措施后,動(dòng)態(tài)監(jiān)測(cè)。如此反復(fù)循壞,達(dá)到了降低風(fēng)險(xiǎn),減少威脅的目的,項(xiàng)目進(jìn)展順利,初步實(shí)現(xiàn)項(xiàng)目的目標(biāo)。
參考文獻(xiàn)
[1] 羅布・托姆塞特.極限項(xiàng)目管理.電子工業(yè)出版社,2005.
[2] 索威基.有效的項(xiàng)目管理.電子工業(yè)出版社,2002.1.
[3] 拉里・康斯坦丁.超越混沌:有效管理軟件開(kāi)發(fā)項(xiàng)目.電子工業(yè)出版社,2002.4.
it企業(yè)項(xiàng)目管理論文相關(guān)文章: