it企業(yè)項目管理論文
it企業(yè)項目管理論文
項目管理作為一種國際化的科學(xué)理論和方法,近年來在全球得到廣泛推崇,并在我國眾多行業(yè)和領(lǐng)域得到了廣泛推廣和應(yīng)用。下面是學(xué)習(xí)啦小編為大家整理的it企業(yè)項目管理論文,供大家參考。
it企業(yè)項目管理論文范文一:IT項目管理中的風(fēng)險研究
摘要:文章指出了影響IT項目管理成功實施的五個方面的風(fēng)險――存在于IT項目管理過程中的外部風(fēng)險、成本風(fēng)險、進度風(fēng)險、技術(shù)風(fēng)險和運營風(fēng)險。在此基礎(chǔ)上,提出了實施IT項目風(fēng)險管理的模型并就風(fēng)險的識別、評估、監(jiān)測和相關(guān)管理計劃方案的制定展開了進一步的討論。
關(guān)鍵詞:IT項目;風(fēng)險識別;風(fēng)險評估;風(fēng)險監(jiān)測
IT項目管理與其他類型的項目管理一樣,其立項、設(shè)計與實施等都是基于正常的、理想的技術(shù)、管理和組織以及對將來情況(政治、經(jīng)濟、社會等方面)的預(yù)測。但是在實際運行的過程中,這些因素都可能產(chǎn)生變化,而這些變化將可能使原定的目標受到干擾甚至無法實現(xiàn),因此我們將這些事先不能確定的內(nèi)部和外部的干擾因素稱之為風(fēng)險。簡言之,IT項目的風(fēng)險就是項目中的不可靠因素,如果不能有效地規(guī)避風(fēng)險就極有可能造成項目的失敗。因此,風(fēng)險管理已成為IT項目管理中不可或缺的重要環(huán)節(jié)。
一、引入IT項目管理風(fēng)險研究的必要性和目標
(一)必要性
IT項目管理的主要對象就是與信息技術(shù)緊密相關(guān)的各類IT項目,諸如軟件開發(fā)、組建計算機網(wǎng)絡(luò)和信息系統(tǒng)集成等。隨著建設(shè)環(huán)境的日趨復(fù)雜,IT項目的投資和建設(shè)規(guī)模急劇增加,然而IT項目固有的建設(shè)標準不統(tǒng)一、人員流動性強、技術(shù)發(fā)展迅猛等特點決定了它不但要考慮項目管理可能遭遇的一般風(fēng)險,還面臨著其他類型項目所不具備的特殊風(fēng)險。這些風(fēng)險的存在很有可能會造成數(shù)據(jù)丟失、進度延遲、成本增加等不良后果,更為嚴重的可能會導(dǎo)致整個項目的失敗。因此,在IT項目管理中引入風(fēng)險研究很有必要。
(二)目標
IT項目管理中風(fēng)險研究的目標主要在于:識別可能影響IT項目成功的任何風(fēng)險,提供識別和評估風(fēng)險的標準過程和方法;通過適當(dāng)?shù)男袆訉L(fēng)險產(chǎn)生的概率或后果壓至最低;實時監(jiān)測和報告風(fēng)險,為制定防范和應(yīng)對風(fēng)險的措施提供決策依據(jù)。
二、IT項目管理中存在的風(fēng)險
Graham、Beenhakker和Chapman等學(xué)者早就在其著作中提出了項目管理的風(fēng)險問題,在國內(nèi)外學(xué)者研究的基礎(chǔ)上,單就IT項目管理這一特殊領(lǐng)域?qū)⒂绊慖T項目的風(fēng)險定義為以下五個方面:
(一)外部風(fēng)險
外部風(fēng)險主要是指那些超出IT項目經(jīng)理乃至整個項目組織控制范圍的影響項目成功的干擾因素,主要體現(xiàn)在:
1、市場和政策的變化。一方面,市場需求的多變以及新產(chǎn)品、新服務(wù)的不斷更迭可能導(dǎo)致IT項目建設(shè)方向的急劇改變,這對絕大多數(shù)的項目來說都是致命的;另一方面,與IT項目管理相關(guān)的政策從無到有不斷涌現(xiàn),給實施項目的企業(yè)設(shè)置了越來越多的約束。
2、IT行業(yè)的迅猛發(fā)展。IT行業(yè)被稱為朝陽行業(yè)的根本原因就在于這個領(lǐng)域出現(xiàn)的時間不長而發(fā)展又非常迅速,所以,IT項目必然面臨層出不窮的新標準和新趨勢。與此同時,IT業(yè)內(nèi)的競爭與合作也不斷改變著IT企業(yè)或企業(yè)聯(lián)盟的戰(zhàn)略和競爭優(yōu)勢,從而影響IT項目的發(fā)展進程。
3、自然災(zāi)害的出現(xiàn)?;馂?zāi)、洪水、地震等自然災(zāi)害對IT項目的建設(shè)而言是不可忽視的客觀存在,其破壞力之大往往超出人們的想象,而自然災(zāi)害的隨機性使得項目組織一般很難做出預(yù)測。
4、威脅IT項目的安全因素。電力短缺、安全漏洞和黑客攻擊等因素都會對IT項目管理造成重大的損失,這些因素一般也是無法事先控制的。
5、相關(guān)法律問題。法律問題是外部風(fēng)險中容易被忽視的一個重要方面,在IT項目管理中常見的法律問題主要包括項目成果的版權(quán)歸屬、從業(yè)人員的職業(yè)道德約束和項目后期維護的延續(xù)性等。
(二)成本風(fēng)險
成本風(fēng)險指因項目或項目組織的變化或失誤從而影響項目成本控制的隱患,主要包括:
1、項目運營成本溢出。項目運營成本主要是指由項目團隊、項目業(yè)主和項目顧問等涉及項目運營的組織或人員在項目建設(shè)過程中所引發(fā)的成本。由于IT項目的人員組成復(fù)雜且流動性非常強,加上項目運營牽涉的不可控因素較多,因此運營成本溢出的可能性非常大。
2、項目范圍的改變導(dǎo)致成本上升。業(yè)主需求的變化和信息技術(shù)的發(fā)展導(dǎo)致IT項目范圍的改變是項目經(jīng)理經(jīng)常遇到的現(xiàn)象,隨之而來的便是項目成本的不斷上升甚至成倍增長。
3、出現(xiàn)未估算的項目成本。雖然IT項目在進行規(guī)劃時就應(yīng)做出精確的成本估算,但成本估算畢竟是一項預(yù)測性的工作,在實際操作過程中難免會產(chǎn)生錯算、漏算從而導(dǎo)致未估算的成本項目的出現(xiàn),因而影響整個項目管理的成本和績效。
4、項目預(yù)算超支。雖然在IT項目管理中對于成本和費用有嚴格的控制,但人力成本變動、設(shè)備價格上漲、項目工期延誤等無法預(yù)期的特殊情況的出現(xiàn)仍然可能帶來項目預(yù)算的超支。
(三)進度風(fēng)險
進度風(fēng)險指由于錯失或延誤IT項目產(chǎn)品或服務(wù)的市場機會而導(dǎo)致項目失敗的可能性,其直接表現(xiàn):
1、項目進度估計不準確。進度管理雖然是IT項目管理中非常重要的環(huán)節(jié),但項目進度估計與項目成本估算一樣都是前瞻性的工作,因此出現(xiàn)項目進度估計不準也是項目管理中經(jīng)常碰到的棘手問題。
2、過多的技術(shù)、運營和外部問題牽扯項目進程。在IT項目建設(shè)過程中可能出現(xiàn)諸如系統(tǒng)升級、人員變動和標準變更等各種各樣的技術(shù)、運營和外部的問題,而解決這些問題會牽扯項目組織的精力從而導(dǎo)致項目進度的延遲。
3、資源短缺或變更導(dǎo)致項目進度拖延。提供充足的資源保障是如期完成IT項目建設(shè)的必要條件,但實踐經(jīng)驗證明幾乎所有項目都會遇到資源短缺或變更的限制。這里所講的資源不僅指設(shè)備、資金、材料,還包括人力、時間和信息等,諸如人員的調(diào)動、設(shè)備購置差錯和時間安排不當(dāng)?shù)榷紩绊戫椖康倪M程。
(四)技術(shù)風(fēng)險
技術(shù)風(fēng)險指干擾項目達到預(yù)期功能或性能目標或期望的不可靠因子,突出表現(xiàn)在:
1、技術(shù)成熟度不夠。無論是IT項目的業(yè)主還是項目組織都傾向于追求最新的技術(shù),然而現(xiàn)實的情況是新技術(shù)往往不夠成熟,將不成熟的技術(shù)引入IT項目的建設(shè)是極易招致失敗的。
2、開發(fā)與管理工具選擇不當(dāng)。“工欲善其事,必先利其器”凸現(xiàn)了IT項目管理中工具選擇的重要性,能否從眾多的開發(fā)和管理工具中做出正確的選擇與項目的成功也是息息相關(guān)的。
3、項目測試不嚴謹。測試是IT項目實施的重要環(huán)節(jié),由于很多項目未經(jīng)嚴格的測試就投入運行,以致無法提早發(fā)現(xiàn)和修正錯誤導(dǎo)致巨大的損失。此外,試運行環(huán)節(jié)作為連接測試階段與正式運行階段的重要手段也可能未得到重視。
4、軟硬件的集成矛盾。由于IT行業(yè)在很多方面缺乏統(tǒng)一的標準和尺度,致使IT項目中所采用的不同產(chǎn)商的軟件和硬件設(shè)備在集成到一起時可能產(chǎn)生無法預(yù)期的錯誤和沖突,進而影響IT項目的實施效果。
(五)運營風(fēng)險
運營風(fēng)險指項目無法達到預(yù)期收益目標或期望的可能性。
1、對優(yōu)勢和沖突的理解不充分。IT項目組織和項目業(yè)主之間溝通的一個要點就是要確認項目的優(yōu)勢和沖突,從而避免對項目認識和理解上的分歧,以較好地調(diào)和項目的優(yōu)勢和沖突。
2、未指派合理的權(quán)限。在IT項目管理中經(jīng)常強調(diào)的“一把手原則”經(jīng)常在實際工作中被忽視,而不能給關(guān)鍵人物指派合理的權(quán)限的后果是項目管理的混亂。
3、溝通不善。在IT項目管理中,構(gòu)建良好的溝通機制和渠道是項目經(jīng)理的重要職責(zé),但很多項目經(jīng)理忽視了溝通的作用,甚至連基本的溝通計劃都沒有,這不能不說是一種極大的隱患。
4、多項目管理?,F(xiàn)代的項目管理型組織都是以項目為基礎(chǔ),一般來說多個項目同時上馬是家常便飯,然而項目多、資源緊、任務(wù)重所帶來的全面鋪開但是全面滯后甚至全面失敗的結(jié)果也是極有可能發(fā)生的。
三、加強IT項目風(fēng)險管理的思考
Richard Murch、Beenhakker和Chapman等學(xué)者的研究成果充分說明了只要遵循科學(xué)的項目管理原則,風(fēng)險是可以控制的。筆者提出了對IT項目實施風(fēng)險管理的模型,進而探討IT項目中的風(fēng)險管理的幾個要素。
(一)IT項目風(fēng)險管理模型
從圖1的模型來看,在IT項目管理中是完全有可能對風(fēng)險進行管理的。
(二)IT項目風(fēng)險管理計劃的制定
風(fēng)險管理計劃是所有IT項目都必不可少的,它應(yīng)該作為一個獨立的部分納入項目的整體計劃。計劃的制定者可以是項目經(jīng)理也可以是項目風(fēng)險管理的負責(zé)人,在制定計劃時應(yīng)該重點強調(diào)的幾個因素包括:風(fēng)險的識別;確定風(fēng)險管理的范圍;明確風(fēng)險管理的時間要求和階段目標;配置用于風(fēng)險管理的資源;制定風(fēng)險管理應(yīng)急預(yù)案。
(三)IT項目管理中風(fēng)險的識別、評估和檢測
識別IT項目潛在的風(fēng)險是一項非常關(guān)鍵的任務(wù),一般來說,可以采用特爾斐法和頭腦風(fēng)暴法識別可能威脅IT項目成功的絕大部分風(fēng)險。在識別了風(fēng)險以后,可以從風(fēng)險的可能性、嚴重性和可控程度三個方面來評估IT項目管理中的風(fēng)險,使用可能性量表、嚴重性量表和可控性量表工具對風(fēng)險進行定量分析后,可以將其分為高、中、低三類并生成IT項目管理風(fēng)險觀測表。接下來要做的工作便是利用此文件嚴密監(jiān)測項目風(fēng)險并定期召開通氣會或形成報告,一般來說至少每周一次,如果情況特殊,會議和報告的周期還可進一步縮短。
(四)IT項目風(fēng)險管理資料的收集和整理
在實施IT項目風(fēng)險管理的過程中收集和整理風(fēng)險管理的資料不但有助于建立項目風(fēng)險管理的知識庫和模型庫用于識別和評估風(fēng)險,更重要的是能為項目風(fēng)險管理計劃和項目風(fēng)險應(yīng)急預(yù)案提供反饋以促進其完善。在收集和整理資料時,總結(jié)成功經(jīng)驗固然重要,但更為可貴的是那些失敗的例子和教訓(xùn)。
(五)IT項目管理風(fēng)險應(yīng)急預(yù)案的設(shè)立
IT項目風(fēng)險管理中的風(fēng)險管理計劃以及風(fēng)險的識別、評估和監(jiān)測都不可能完全避免風(fēng)險的產(chǎn)生,因此為那些暫時無法預(yù)料到的特殊風(fēng)險設(shè)立緊急預(yù)案是完全必要的。好的項目管理風(fēng)險應(yīng)急預(yù)案除了應(yīng)該明確風(fēng)險產(chǎn)生后的處理步驟、工作清單和項目團隊所應(yīng)提供的支持資源,還要經(jīng)過徹底和嚴格的測試并確保定期更新。
四、結(jié)論
風(fēng)險管理在IT項目管理中并沒有得到應(yīng)有的重視,因此從事IT項目管理的專業(yè)人員必須通過學(xué)習(xí)或培訓(xùn)了解風(fēng)險管理的重要性并掌握風(fēng)險管理的知識和防范風(fēng)險的方法與手段,也只有將風(fēng)險管理的內(nèi)容納入正規(guī)培訓(xùn)日程才能突顯其重要性。
風(fēng)險在每個IT項目的建設(shè)和管理中都有可能發(fā)生,這與組織和項目規(guī)模大小、項目類型和項目工期都沒有必
然聯(lián)系,因此每個IT項目都必須實施風(fēng)險管理,盡可能地規(guī)避風(fēng)險的影響或者將風(fēng)險產(chǎn)生的影響減至最低限度。
參考文獻:
1、程婷婷,陳偉亞.IT項目管理中制約因素的分析和研究[J].甘肅農(nóng)業(yè),2006(2).
2、林建平.企業(yè)信息化建設(shè)的項目管理[J].中國民用航空,2006(2).
3、劉普.企業(yè)引入項目管理應(yīng)把握的主要問題[J].鐵路工程造價管理,2005(6).
4、Beenhakker, Henri L. Risk Management in Project and Implementation[M].Quorum Books,1997.
5、Murch Richard. Project Management: Best Practices for IT Professionals, First Edition[M].Higher Education Press & Pearson Education,2002.
it企業(yè)項目管理論文范文二:IT項目信息安全管理案例分析
【 摘 要 】 結(jié)合IT項目在涉密工程中的信息安全管理為研究對象,明確信息安全管理的范圍,對信息安全的風(fēng)險進行識別與分析,在此基礎(chǔ)上,制定出信息系統(tǒng)風(fēng)險應(yīng)對的措施,從而進行風(fēng)險控制,降低信息系統(tǒng)風(fēng)險,以保障信息系統(tǒng)的安全。
【 關(guān)鍵詞 】 IT 項目;信息安全管理;措施
The Analysis of Information Safety Management for IT Program
Lin Ting
(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)
【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.
【 Keywords 】 IT program; information safety management; measurement
1 引言
公司與軍方合作比較廣泛,有一個關(guān)于武器設(shè)計的項目。由于項目的特殊性,整個項目的安全要求高,本著“安全第一,應(yīng)用第二”的原則,對內(nèi)部網(wǎng)絡(luò)的建設(shè)從發(fā)展的眼光出發(fā),將前瞻性與實用性相結(jié)合,在分析信息系統(tǒng)風(fēng)險的基礎(chǔ)上,制定出信息系統(tǒng)風(fēng)險應(yīng)對措施,進行風(fēng)險控制,降低信息系統(tǒng)的風(fēng)險,保障信息系統(tǒng)的安全。
2 安全需求分析
2.1 信息安全范圍需求
確保整個系統(tǒng)在建設(shè)之中和建設(shè)之后的維護的安全性同,所涉及的范圍包括內(nèi)容有:1)信息,包括數(shù)據(jù)、資料等; 2)硬件、軟件;3)環(huán)境及支持設(shè)備;4)參與人員的管理;5)網(wǎng)絡(luò)通訊設(shè)備;6)存儲設(shè)備。
2.2 信息安全優(yōu)先級需求
按由高到低的順序,依次是關(guān)鍵崗位人員的管理、重要涉密信息、存儲涉密信息的存儲設(shè)備、網(wǎng)絡(luò)通訊設(shè)備、服務(wù)、軟件、硬件、環(huán)境支持設(shè)備。
3 風(fēng)險識別與分析
風(fēng)險識別與分析從潛在的危險和系統(tǒng)的安全威脅等方面進行。
3.1 潛在的威脅
潛在威脅主要來自內(nèi)部和外部。其中來自內(nèi)部的犯罪主要是其一:純粹出于經(jīng)濟目的,或其他目的,利用自己可能的手段竊取信息,破壞信息系統(tǒng);其二則是在外部罪犯的指使、收買下,在可能獲得外部技術(shù)支持的情況下,對信息系統(tǒng)實施攻擊。信息網(wǎng)絡(luò)系統(tǒng)對兩種內(nèi)部人員的犯罪都應(yīng)有所防備;該項目信息安全保密實施的重點是防止系統(tǒng)的破壞和信息的損失。
3.2 系統(tǒng)的安全威脅
該單位系統(tǒng)與外界是物理隔離,所以通信數(shù)據(jù)被竊聽的概率很小。但仍然存在如下威脅:非法訪問、電磁泄漏、假冒;抵賴、破壞網(wǎng)絡(luò)的可用性、失誤操作、病毒侵害、自然災(zāi)害和環(huán)境事故、電力中斷。
4 風(fēng)險響應(yīng)規(guī)劃
根據(jù)上面風(fēng)險識別與風(fēng)險分析結(jié)果,制定以下風(fēng)險應(yīng)對措施。
4.1 涉密信息傳輸與存儲方案
該單位信息網(wǎng)絡(luò)系統(tǒng)是一個涉密級別達到機密級的信息網(wǎng)絡(luò),因此,按照國家保密局的規(guī)定,秘密、機密信息在所科研區(qū)等封閉區(qū)域內(nèi)的傳輸可采用光纜或屏蔽電纜,如果采用非屏蔽電纜而又不能滿足與其他并行線的線間距要求時,必須采用遠程加密傳輸。該單位的信息加密必須采用國家指定的算法,不得使用國外算法;該單位的信息加密可采用密文存儲和存取控制兩種方式;加密算法每三年必須更換,算法提供單位必須是同一家單位。
4.2 物理安全管理方案
對于出入存放機密級和機密級以上信息的設(shè)備地方,必須建立嚴格的審查登記制度,保證所有出入存放地的人員必須留有書面紀錄,包括姓名,證件,部門,進入時間和離開時間;
處理機密級和機密級以上信息的設(shè)備必須放在有鐵門、鐵窗、鐵柜的“三鐵”保護措施的地方:涉密系統(tǒng)中心機房應(yīng)采取安全防范措施,確保非授權(quán)人員無法進入。處理秘密級、機密級信息的系統(tǒng)中心機房應(yīng)采用有效的電子門控系統(tǒng)。處理絕密級信息和重要信息的系統(tǒng)中心機房門控系統(tǒng)應(yīng)進行身份鑒別,應(yīng)有電視監(jiān)視系統(tǒng),并建立磁屏蔽區(qū)域保護設(shè)施。
4.3 信息涉密級別管理方案
所有信息處理、傳輸、存儲、輸入、輸出設(shè)備均應(yīng)按照保密部門所規(guī)定的密級確定相應(yīng)的最高涉密級別。密級的變化由保密部門確定后及時通知網(wǎng)管中心。設(shè)備的使用人必須清楚了解該級別的規(guī)定,并熟悉對該級別信息處理的要求。
4.4 涉密介質(zhì)安全使用管理方案
U盤、硬盤、光盤、磁帶等涉密介質(zhì)應(yīng)標明級別,并按相應(yīng)密級管理。存儲過涉密信息的介質(zhì)不能降低密級使用。不再使用的介質(zhì)應(yīng)及時銷毀。涉密介質(zhì)的維修應(yīng)保證所存儲的涉密信息不被泄露,維修應(yīng)在本單位進行,維修點需由單位保密委員會指定或認可;必須在單位外維修的,必須指派專人全程跟蹤負責(zé),保證所存儲的涉密信息不被泄露。
4.5 身份管理方案
處理秘密級信息的涉密系統(tǒng)可采用口令進行身份鑒別,口令長度不得少于8個字符,口令更換周期不得長于一個月;處理機密級信息的涉密系統(tǒng)應(yīng)采用IC卡(或USB-KEY)進行身份鑒別,也可采用口令或其他措施加口令的方式進行身份鑒別,口令長度不得少于10個字符,口令更換周期不得長于一周:涉密系統(tǒng)所使用的口令不得由用戶產(chǎn)生,應(yīng)當(dāng)由系統(tǒng)安全管理員集中產(chǎn)生供用戶選用,并且應(yīng)當(dāng)有口令更換記錄;應(yīng)采用組成復(fù)雜、不易猜測的口令,一般應(yīng)是大小寫英文字母、數(shù)字、特殊字符中兩者以上的組合。
4.6 數(shù)據(jù)備份與恢復(fù)方案
在內(nèi)部網(wǎng)絡(luò)系統(tǒng)中,主要設(shè)備、軟件、數(shù)據(jù)、電源等應(yīng)有備份,并具有在較短時間內(nèi)恢復(fù)系統(tǒng)運行的能力。該單位信息系統(tǒng)中關(guān)鍵服務(wù)器系統(tǒng)均需要進行系統(tǒng)備份,盡量在系統(tǒng)崩潰以后能快速、簡單、完全地恢復(fù)系統(tǒng)的運行。進行備份的最有效的方法是只備份那些對于系統(tǒng)崩潰恢復(fù)所必需的數(shù)據(jù)。核心服務(wù)器上的數(shù)據(jù)文件必須每周備份,而且必須每天進行文件增量備份;每天業(yè)務(wù)結(jié)束時進行增量備份。周備份的介質(zhì)必須實行異地存儲。異地存儲要求包含多種備份介質(zhì)。
4.7 防黑客方案
防火墻是用在網(wǎng)絡(luò)出入口上的一種訪問控制技術(shù),是對付黑客的一種主要手段。防火墻技術(shù)的核心思想是在不安全的網(wǎng)絡(luò)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。
防火墻在內(nèi)部網(wǎng)絡(luò)中發(fā)揮上述作用主要是通過兩個層次的訪問控制實現(xiàn)的,一個是由狀態(tài)包過濾提供的基于IP地址的訪問控制功能,另一個是由代理防火墻提供的基于應(yīng)用協(xié)議的訪問控制功能。另外,部分防火墻還提供地址映射服務(wù),以隔離高涉密子網(wǎng)。
4.8 事故應(yīng)急方案
該單位制定了在該所內(nèi)部網(wǎng)絡(luò)發(fā)生安全事故時的應(yīng)急響應(yīng)步驟。安全事故包括失竊、用戶口令丟失、可疑的系統(tǒng)訪問(包括共享口令)、內(nèi)部網(wǎng)絡(luò)的入侵行為、計算機病毒等。以上安全事故被分為三個級別:
(1)一級安全事故損失最小,事故發(fā)生后需要在一個工作日內(nèi)得到控制。此類安全事故只需與網(wǎng)絡(luò)管理中心聯(lián)系即可。該類事故包括:個人口令丟失或遺忘、可疑的共享行為等;(2)二級安全事故損失稍大,事故發(fā)生后需要在2h-4h內(nèi)得到控制;此類安全事故需要通知所網(wǎng)絡(luò)管理中心和所安全保密辦公室。該類事故包括:可疑人員進入涉密機房,使用涉密計算機(或本所職工出現(xiàn)可疑行為);未授權(quán)的訪問等;(3)三級安全事故發(fā)生后,必須立即防止事故危害擴散,同時必須立即通知所保密辦、保密委,并視情況嚴重程度逐級上報。
4.9 風(fēng)險監(jiān)控的策略
(1)建立合理的、科學(xué)的信息安全工作體系:設(shè)立所決策層、管理層、執(zhí)行層三層組織機構(gòu),制定各種管理制度與流程,采取相應(yīng)的信息安全技術(shù)措施。
(2)風(fēng)險控制主要途徑:根據(jù)控制成本與風(fēng)險平衡的原則,通過以下途徑及主要措施將風(fēng)險控制在可接受的范圍。
1)避免風(fēng)險:所內(nèi)部網(wǎng)絡(luò)與其他網(wǎng)絡(luò)物理隔離,可以避免所內(nèi)涉密信息系統(tǒng)遭受來自外部的威脅。在公共信息網(wǎng)上采取適當(dāng)?shù)陌踩胧?,降低來自外部的威脅。嚴禁在公共信息網(wǎng)上處理涉密信息,降低外部威脅對所信息資產(chǎn)的影響;2)減少威脅:通過身份認證、訪問控制、網(wǎng)絡(luò)監(jiān)控、入侵監(jiān)測、審計和安裝防病毒軟件等技術(shù)措施,建立黑客防范系統(tǒng)和惡意代碼防范系統(tǒng),減少信息系統(tǒng)受到內(nèi)部員工黑客行為和惡意代碼攻擊的機會;3)減少薄弱點:通過教育和培訓(xùn)強化員工的安全意識和安全操作技能;建立和完善信息安全管理制度,強化安全制度的檢查和落實;4)減少威脅可能的影響程度:應(yīng)用密碼技術(shù)對信息的存儲和傳輸進行加密處理;建立并實時業(yè)務(wù)系統(tǒng)的應(yīng)急響應(yīng)計劃,此計劃包括備份保護、應(yīng)急響應(yīng)、測試維護等活動的安全要求。
(3)安全解決方案動態(tài)調(diào)整:安全解決方案的基礎(chǔ)是風(fēng)險分析,應(yīng)該根據(jù)風(fēng)險的變化,進行動態(tài)調(diào)整。風(fēng)險的變化來自兩個方面:一是信息系統(tǒng)的脆弱性以及威脅技術(shù)發(fā)生變化;二是信息系統(tǒng)發(fā)生變更后可能產(chǎn)生的新的安全風(fēng)險和風(fēng)險變化。一成不變的靜態(tài)風(fēng)險管理,在風(fēng)險發(fā)生變化時不僅起不到應(yīng)有的安全作用,相反會產(chǎn)生負面影響。因此,風(fēng)險管理應(yīng)該動態(tài)進行,達到風(fēng)險預(yù)測、實時響應(yīng)、降低風(fēng)險的良性循環(huán)能力。
5 案例實施結(jié)果
已經(jīng)完成的項目的每一個階段,實施風(fēng)險措施后,進行動態(tài)監(jiān)測,發(fā)現(xiàn)新的風(fēng)險,及時調(diào)整風(fēng)險應(yīng)對措施,實施措施后,動態(tài)監(jiān)測。如此反復(fù)循壞,達到了降低風(fēng)險,減少威脅的目的,項目進展順利,初步實現(xiàn)項目的目標。
參考文獻
[1] 羅布・托姆塞特.極限項目管理.電子工業(yè)出版社,2005.
[2] 索威基.有效的項目管理.電子工業(yè)出版社,2002.1.
[3] 拉里・康斯坦丁.超越混沌:有效管理軟件開發(fā)項目.電子工業(yè)出版社,2002.4.
it企業(yè)項目管理論文相關(guān)文章: