一、等级保护、风险评估和安全测评的概念和提出背景
1、等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织和公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的安全产品实行按等级管理,对信息系统中发生的信息安全事件进行等级响应、处置。
注意:这里所指的信息系统,是指由计算机及其相关、配套的设备和设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络。信息则是指在信息系统中存储、传输、处理的数字化信息。
提出背景:
1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
1999年,公安部组织起草了《计算机信息系统安全保护等级划分准则》(GB 17859-1999),规定了计算机信息系统安全保护能力的五个等级,即第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。GB17859中的分级是一种技术的分级,即对系统客观上具备的安全保护技术能力等级的划分。
2002年7月18日,公安部在GB17859的基础上,又发布实施了五个GA新标准,分别是:GA/T 387-2002《计算机信息系统安全等级保护网络技术要求》、GA 388-2002 《计算机信息系统安全等级保护 *** 作系统技术要求》、GA/T 389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》、GA/T 390-2002《计算机信息系统安全等级保护通用技术要求》、GA 391-2002 《计算机信息系统安全等级保护管理要求》。这些标准是我国计算机信息系统安全保护等级系列标准的一部分。
2004年,在《关于信息安全等级保护工作的实施意见的通知》(简称66号文)中,信息和信息系统的安全保护等级被划分为五级,即第一级:自主保护级;第二级:指导保护级;第三级:监督保护级;第四级:强制保护级;第五级:专控保护级。特别强调的是,66号文中的分级主要是从信息和信息系统的业务重要性及遭受破坏后的影响出发的,是系统从应用需求出发必须纳入的安全业务等级,而不是GB17859中定义的系统已具备的安全技术等级。
2、风险评估
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
提出背景:
风险评估不是一个新概念,金融、电子商务等许多领域都有风险及风险评估需求的存在。当风险评估应用于IT领域时,就是对信息安全的风险评估。国内这几年对信息安全风险评估的研究进展较快,具体的评估方法也在不断改进。风险评估也从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术 *** 作,逐渐过渡到目前普遍采用BS7799、OCTAVE、NIST SP800-26、NIST SP800-30、AS/NZS4360、SSE-CMM等方法,充分体现以资产为出发点、以威胁为触发、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及 *** 作模型。
2004年,国务院信息化工作办公室组织完成了《信息安全风险评估指南》及《信息安全风险管理指南》标准草案的制定,并在其中规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则,这对规范我国信息安全风险评估的做法具有很好的指导意义。
3、系统安全测评
由具备检验技术能力和政府授权资格的权威机构,依据国家标准、行业标准、地方标准或相关技术规范,按照严格程序对信息系统的安全保障能力进行的科学公正的综合测试评估活动,以帮助系统运行单位分析系统当前的安全运行状况、查找存在的安全问题,并提供安全改进建议,从而最大程度地降低系统的安全风险。
注意:认证则是对测评活动是否符合标准化要求和质量管理要求所作的确认,认证以标准和测评的结果作为依据。
提出背景:
我国的系统认证虽然起步较早,但由于认证周期、建设差异等多方面的原因,目前的系统认证数量还非常少。在我国,中国信息安全产品测评认证中心(简称CNITSEC)是较早并较有影响力的开展有关系统安全测评认证的机构。
国家认监委等8部委联合下发的《关于建立国家信息安全产品认证认可体系的通知》(简称57号文)明确规定,对信息安全产品进行“统一标准、技术规范与合格评定程序;统一认证目录;统一认证标志;统一收费标准”的“四统一”的认证要求。在国家认监委对信息系统的安全认证相关具体意见尚未出台前,多数情况下,系统安全测评的结果可直接作为主管部门对系统安全认可的依据。
二、三者的联系和区别
等级保护是指导我国信息安全保障体系建设的一项基础管理制度,而风险评估、系统测评则是在等级保护制度下,对信息及信息系统安全性进行评价的两种特定的、有所区分但又有所联系的的不同的研究、分析方法。从这个意义上讲,等级保护要高于风险评估和系统测评。
打个比方:如果说等级保护是指导信息安全建设的宪法,风险评估和安全测评则是针对系统安全性评估或合格判定方面的专项法律。
it系统属于风险管理基础设施,但数据不是,这个说法是错误的。
数据和IT系统都属于银行的风险管理基础设施。
风险管理政策是一些列风险管理制度规定,作用:确保银行的风险识别、计量、缓释、和监控能力与银行的规模、复杂性即风险状况相匹配。其中风险识别应涵盖所有重大风险。
风险管理政策应包括全面风险管理的方法,风险定性管理和定量管理的方法,风险管理报告,压力测试安排,新产品、重大业务和机构变更的风险评估,资本和流动性充足情况评估,应急计划和恢复计划。
识别和分析风险并不是软件风险管理的最终目标。针对所发现的每一个软件风险,尤其是高危险度的软件风险,风险管理还需要对它们进行有效的控制,包括:(1) 制定风险管理计划:针对各个重要风险制定风险管理计划,并确保它们的一致性;(2)化解风险:执行风险管理计划,以缓解或消除风险;(3)监控风险:监控风险化解的过程。n�0�2�0�2�0�2�0�2�0�2�0�2 制定风险管理计划针对每一个重要的软件风险,制定相应的处理该软件风险的计划。风险管理计划主要描述有关软件风险处理的以下内容-�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 软件风险名称-�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 软件风险由谁引起-�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 软件风险发生后的处理措施n�0�2�0�2�0�2�0�2�0�2�0�2 风险化解方式执行风险管理计划,以缓解或消除风险。一般地,软件风险化解有以下几种方式。-�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 避免风险采取主动和积极的措施来规避软件风险,将软件风险发生的概率控制为零。例如针对用户可能没有时间参加需求评审这一软件风险,项目组可以考虑选择用户方便的时间来进行需求评审,这样“用户不能出席需求评审会”这一软件风险就不会发生。-�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 转移风险将可能或者潜在的软件风险转移给其它的单位或个人,从而使得自己不再承担该软件风险。例如如果开发某个子系统存在技术和人力资源方面的风险,可以考虑将它外包给其它软件开发公司,从而将该软件风险从项目中转移出去。-�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2�0�2 消除发生软件风险的根源如果知道导致软件风险发生的因素,那么针对这些因素,采取手段消除软件风险发生的根源。例如如果发现导致小刘离开项目组的主要原因是薪酬太低,那么可以通过给小刘增加薪酬来消除发生软件风险的根源。�0�2n�0�2�0�2�0�2�0�2�0�2�0�2 风险监控在风险评估和控制过程中,项目组人员和负责人必须对软件风险的化解程度及其变化(如发生概率、可能导致的损失和危险度)进行检查和监控,并对收集到的有关软件风险信息进行记录,以促进对软件风险的持续管理。风险监控的主要内容包括:监控和跟踪重要软件风险,记录这些软件风险危险度的变化以及软件风险化解的进展,确认软件风险是否已经得到化解和消除,是否有新的软件风险发生等等。
Risk management in the IT industry
Every organization has a mission In this digital era, as organizations use automated information technology (IT) systems to process their information for better support of their missions, risk management plays a critical role in protecting an organization’s information assets, and therefore its mission, from IT-related risk
Risk management is the process that allows IT managers to balance the operational and economic costs of protective measures and achieve gains in mission capability by protecting the IT systems and data that support their organizations’ missions This process is not unique to the IT environment; indeed it pervades decision-making in all areas of our daily lives
An effective risk management process is an important component of a successful IT security program The principal goal of an organization’s risk management process should be to protect the organization and its ability to perform their mission, not just its IT assets Therefore, the risk management process should not be treated primarily as a technical function carried out by the IT experts who operate and manage the IT system, but as an essential management function of the organization
So, who should be involved in risk management of an organization
Personnel who should support and participate in the risk management process are:-
• Senior Management Senior management, under the standard of due care and
ultimate responsibility for mission accomplishment, must ensure that the necessary resources are effectively applied to develop the capabilities needed to accomplish the mission They must also assess and incorporate results of the risk assessment activity into the decision making process An effective risk management program that assesses and mitigates IT-related mission risks requires the support and involvement of senior management
• Chief Information Officer (CIO) The CIO is responsible for the agency’s IT
planning, budgeting, and performance including its information security components Decisions made in these areas should be based on an effective risk management program
• System and Information Owners The system and information owners are responsible for ensuring that proper controls are in place to address integrity, confidentiality, and availability of the IT systems and data they own Typically the system and information owners are responsible for changes to their IT systems The system and information owners must therefore understand their role in the risk management process and fully support this process
• Business and Functional Managers The managers responsible for business
operations and IT procurement process must take an active role in the risk
management process These managers are the individuals with the authority and
responsibility for making the trade-off decisions essential to mission accomplishment Their involvement in the risk management process enables the achievement of proper security for the IT systems, which, if managed properly, will provide mission effectiveness with a minimal expenditure of resources
• ISSO Information System Security Officer and computer security officers are responsible for their organizations’ security programs, including risk management Therefore, they play a leading role in introducing an appropriate, structured methodology to help identify, evaluate, and minimize risks to the IT systems that support their organizations’ missions
• IT Security Practitioners IT security practitioners (eg, network, system,
application, and database administrators; computer specialists; security analysts;
security consultants) are responsible for proper implementation of security
requirements in their IT systems As changes occur in the existing IT system
environment (eg, expansion in network connectivity, changes to the existing
infrastructure and organizational policies, introduction of new technologies), the IT
security practitioners must support or use the risk management process to identify and assess new potential risks and implement new security controls as needed to
safeguard their IT systems
• Security Awareness Trainers (Security/Subject Matter Professionals) The
organization’s personnel are the users of the IT systems Use of the IT systems and
data according to an organization’s policies, guidelines, and rules of behavior is critical to mitigating risk and protecting the organization’s IT resources To minimize risk to the IT systems, it is essential that system and application users be provided with security awareness training Therefore, the IT security trainers or security/subject matter professionals must understand the risk management process so that they can develop appropriate training materials and incorporate risk assessment into training programs to educate the end users
Most organizations have tight budgets for IT security; therefore, IT security spending must be reviewed as thoroughly as other management decisions A well-structured risk management methodology, when used effectively, can help management identify appropriate controls for providing the mission-essential security capabilities
Risk management encompasses three processes: risk assessment, risk mitigation, and evaluation and assessment
Risk assessment is the first process in the risk management methodology Organizations use risk assessment to determine the extent of the potential threat and the risk associated with an IT system throughout its SDLC (System Development Life Cycle) The risk assessment methodology encompasses nine primary steps, which are
• Step 1System Characterization
• Step 2Threat Identification
• Step 3Vulnerability Identification
• Step 4Control Analysis
• Step 5Likelihood Determination
• Step 6Impact Analysis
• Step 7Risk Determination
• Step 8Control Recommendations , and
• Step 9Results Documentation
Risk mitigation, the second process of risk management, involves prioritizing, evaluating, and implementing the appropriate risk-reducing controls recommended from the risk assessment process
When control actions must be taken, the following rule applies:
Address the greatest risks and strive for sufficient risk mitigation at the lowest cost, with minimal impact on other mission capabilities
The following risk mitigation methodology describes the approach to control implementation:
• Step 1Prioritize Actions
Based on the risk levels presented in the risk assessment report, the implementation
actions are prioritized
• Step 2Evaluate Recommended Control Options
The controls recommended in the risk assessment process may not be the most
appropriate and feasible options for a specific organization and IT system The objective is to select the most appropriate control option for minimizing risk
• Step 3Conduct Cost-Benefit Analysis
To aid management in decision making and to identify cost-effective controls, a cost benefit analysis is conducted
• Step 4Select Control
On the basis of the results of the cost-benefit analysis, management determines the
most cost-effective control(s) for reducing risk to the organization’s mission The
controls selected should combine technical, operational, and management control
elements to ensure adequate security for the IT system and the organization
• Step 5Assign Responsibility
Appropriate persons (in-house personnel or external contracting staff) who have the
appropriate expertise and skill-sets to implement the selected control are identified,
and responsibility is assigned
• Step 6Develop a Safeguard Implementation Plan
During this step, a safeguard implementation plan (or action plan) is developed The plan should, at a minimum, contain the following information:
– Risks and associated risk levels
– Recommended controls
– Prioritized actions (with priority given to items with Very High and High risk
levels)
– Selected planned controls (determined on the basis of feasibility, effectiveness,
benefits to the organization, and cost)
– Required resources for implementing the selected planned controls
– Lists of responsible teams and staff
– Start date for implementation
– Target completion date for implementation
–Maintenance requirements
• Step 7Implement Selected Control(s)
Depending on individual situations, the implemented controls may lower the risk
level but not eliminate the risk
In implementing the above recommended controls to mitigate risk, an organization should consider technical, management, and operational security controls, or a combination of such controls, to maximize the effectiveness of controls for their IT systems and organization Security controls, when used appropriately, can prevent, limit, or deter threat-source damage to an organization’s mission
And now we come to the last process but not the least, EVALUATION AND ASSESSMENT
In most organizations, the network itself will continually be expanded and updated, its components changed, and its software applications replaced or updated with newer versions In addition, personnel changes will occur and security policies are likely to change over time These changes mean that new risks will surface and risks previously mitigated may again become a concern Thus, the risk management process is ongoing and evolving
To put in a nutshell, a successful risk management program will rely on
(1) senior management’s commitment;
(2) the full support and participation of the IT team ;
(3) the competence of the risk assessment team, which must have the expertise to apply the risk assessment methodology to a specific site and system, identify mission risks, and provide cost-effective safeguards that meet the needs of the organization;
(4) the awareness and cooperation of members of the user community, who must follow procedures and comply with the implemented controls to safeguard the mission of their organization; and
(5) an ongoing evaluation and assessment of the IT-related mission risks
Thank you very much for your attention!
上述内容的大体意思如下:
1、2、3 段:数字化时代,企业和组织的运作已离不开IT系统,因此对它的风险管理变得非常重要。风险管理就是找到维护系统安全与费用开销平衡的手段。一个有效的风险管理是维护系统的安全 *** 作来完成企业的目标而不是仅仅维护IT资产;因此必须将它视为一个主要的管理功能来对待。
4、5、6段:这里列举与风险管理挂钩的人员与部门,并强调要有良好的方法来发挥有限的管理预算,才能有效地达到目的。
7、8、9、10、11段:IT风险管理涵盖三大步骤:风险评估、风险缓解及评价与判断。风险评估通过9个步骤来判定在IT系统的发展寿命周期中的所有风险和其严重性,然后做出控制选择。风险缓解是阐述如何以最低的花费来达到最高的效果,这里列举了7个步骤。第三就是评价与判断;随着时间的转移,多数企业的网络都会扩容或更新,软硬件也会更换或升级,人员的调整及安全措施的改变,这些都会产生新的风险。因此,风险管理是永无休止和不停进展的。
12段:最后总结,一个成功的风险管理计划有5个重点:1高层的决心;2IT队伍的全力支持及参与;3风险评估队的专业能力;4 使用人员按规定 *** 作;5 不停的对IT风险作评估与判断。
参考资料:
什么是项目管理?
经过人们长期探索总结,项目管理在发达国家中已经逐步发展成为独立的学科体系,成为现代管理学的重要分支,并广泛应用于IT、金融、服务、航空航天以及工程等诸多行业。由于其诱人的高额年薪以及广泛的就业前景,项目管理目前已经成为超越MBA的最炙手可热的“黄金职业”。 项目管理无疑将会是未来二十年中最热门的行业。那么到底什么是项目管理?
项目管理的定义有很多,按照教科书的理解是:项目管理是在运作方式和管理思维模式上最大限度地利用了内外,去完成项目目标。项目管理包含很多层面:团队管理、风险管理、采购管理、流程管理、时间管理、成本管理和质量管理资源等。
笔者的理解是:项目管理,就是通过合理地组织,利用的一切可以利用的资源,按照计划的成本和计划的进度,完成一个计划的目标。在项目实施过程中,目标很可能会发生变更,那么成本和进度都需要做相应的调整。
项目主管如何解决问题?
按照白猫黑猫理论,评价项目管理是否成功的唯一标准就是项目是否保质保量按时完成。现在的项目实施一般都是主管负责制,项目主管重任在肩,要达到项目成功这一目标谈何容易。
在项目管理过程中,笔者就要经常思索以下问题:
如何在选择余地不多的情况下,组建一支得力的项目组?
项目组成员的挑选非常重要,假如在一个关键的岗位安排了一个不合适的人选,这个项目很可能会出师不利。当然在现有的人力资源中,不一定能顺利选到优秀的人才并组建成一只能战斗的队伍。笔者就碰到这种最恶劣的情况:项目组只有主管有经验,别的成员都是刚刚毕业的大学生,那么主管的任务就不仅仅是管理,而且需要花费大量时间精力来培养这些新手,让他们能尽快进入预定的角色。
如何界定项目成员工作的范围和定义他们之间的工作接口?
这个问题就是俗语说的"派活"。要把活分出去可不是一件简单的事情。项目主管首先需要对项目组成员非常了解和熟悉,知道他们的知识结构和能力水平;其次要对项目情况非常清楚,并能对项目实施过程进行划分和功能模块的细化,并结合每个人员的特点指派具体的任务;最后要重点注意的是,尽量让组员之间的工作接口简单和接口定义详尽,避免将来产生互相推诿和扯皮。
如何准确衡量项目成员的工作量?
做过主管的人都碰到过这种问题:分配给甲的工作,要求一周完成,但是一个月过去了,他还没干完;分给乙的工作,要求一周干完,但是他一天就干好了。实际上现在的项目管理中,工作量的衡量往往靠主管的经验来加以主观判断,而且这种判断也不是因人而异的。主观判断会造成较大的误差,这些误差的积累最终导致不可控制的因素增加和项目风险扩大。
如何在不打扰项目组成员工作的情况下,及时进行沟通?
现在很少有单q匹马就能把项目全部搞定,往往需要团队来完成,那么团队的合作精神就显得尤为重要。在一般人的眼里,技术人员都普遍比较孤傲,不好管理。主管不仅仅要掌握良好的沟通技巧,还要擅于感情交流,帮助解决项目组成员工作上和生活上的实际困难,使他们集中精力干好本职工作。良好的上下级和同级关系创造了融洽的工作气氛,项目成功的可能性大大增加。
如何评估项目执行状况,随时掌握项目进展?
在项目运作过程中,如果靠员工的报告来掌握项目进展是不够的。事实上,员工都愿意报喜不报忧,在项目初期就出现的问题苗头,如果不能传递上来,将在后续阶段造成大的纰漏。笔者认为除了要定期听取项目组成员的报告,还要专门有一个品保组来监督项目的执行情况。品保组就像廉政公署一样,不参与项目的具体实施,专门给别人"挑刺",或者写一些测试程序来发现问题。
如何与客户单位沟通与协作?
有时候,项目都已经执行到最后阶段,客户单位突然提出了新的要求,这会让主管非常为难。一方面要尽量满足客户的需求,另一方面又不能对系统做太大的改动,影响进度计划。这种情况往往是与客户的沟通出现了问题,说明在需求阶段做的不够好,同时在实施过程中没有与客户有密切的联系。
如何在诸多不确定因素和限制条件下,按时完成项目任务?
项目成功与否受太多的风险因素影响。所谓“风险”,是损失的不确定性;是给定情况下,一定时期内可能发生的各种结果间的差异。它的两个基本特征是不确定性和损失。项目开发是一项可能损失的活动,不管开发过程如何进行,都有可能超出预算或时间延迟。很少有人能保证开发工作一定成功,都要冒一定的风险,也就需要进行项目风险分析。在进行项目风险分析时,重要的是要量化不确定的程度和每个风险的损失程度。潜在的问题都可能会对项目的计划、成本、技术、产品的质量及团队的士气产生负面的影响。风险管理就是在这些潜在的问题对项目造成破坏之前识别、处理和排除。
如何在完成项目任务同时,保证甚至提高交付结果的质量?
笔者的同事曾经做过一个项目,按计划按预算完成了,但是系统不稳定,某些关键技术指标不能满足国标。造成这种情况的原因有:没有划分清晰功能模块和接口关系,成员相互指责,最终难以定位不稳定的根源,;没有成立质保组,没能很好地实施项目过程控制;过分注重项目的时间进度,忽略或隐瞒了前期的小问题。
如何成为优秀的项目主管?
笔者认为:一个优秀的项目主管首先是一个乐观而自信的人。他凡事都从正面考虑,不把失败当失败,反而将其看作成功之母,吸取经验教训,在那里跌倒又在哪里爬起。优秀的项目主管不一定要很有经验,但是要有强烈的进取心和明确的目标,并能够与他人良好沟通,鼓舞他人为共同的目标一起努力。
IT项目管理的特征探讨
IT项目具有非常明显的特点:紧迫性、独特性和不确定性。下面分别讨论一下这些特点含义和项目管理的相应对策。
紧迫性
IT项目的紧迫性决定了项目的历时有限,具有明确的起点或终点,当实现了目标或被迫终止时,项目即结束。随着信息技术的飞速发展,IT项目的生命周期越来越短。有的项目时间甚至是决定性因素,因为市场时机稍纵即逝,如果项目的实施阶段耗时过长,市场份额将被竞争对手抢走。
在开始一个项目前,主管就必须明白项目的时间约束。具体到每个人、执行项目中的每一个任务都必须明确时间要求。一旦没有按照进度完成,必须要有充分的客观理由,否则就要追究相关人员的责任。
独特性
IT项目的独特性在IT服务领域表现得非常突出,厂商不仅向客户提供产品,更重要是根据其要求提供不同的解决方案。即使有现成的解决方案,也需要根据客户的特殊要求进行一定的客户化工作,因此可以说每个项目都有区别。
项目的这种独特性对实际项目管理有非常重要的指导意义。项目主管必须在项目开始前通过合同(或等同文件)明确地描述或定义最终的产品是什么。如果刚开始要提供什么没能定义清楚,或未达成一致,则最终交付产品或服务时将很容易发生纠纷,造成不必要的商务和名誉损失。即便是定义清楚了项目的目标,但是客户单位仍然会经常调整实现指标,这种变更很难控制,这就需要项目组与客户单位有良好的沟通渠道,否则改来改去,永远改不完。
不确定性
IT项目的不确定性是指项目不可能完全在规定的时间内、按规定的预算由规定的人员完成。这是因为项目计划和预算本质上是一种预测,在执行过程中与实际情况可定会有差异。另外,在执行过程中还会遇到各种始料未及的“风险”,使得项目不能按原有的预测来运行。
针对不确定性,在项目管理中就要注意制定切实可行的计划。笔者在工作中就发现科研工作,特别是国家级的项目,往往有一个“后墙不倒”原则。也就是说,设定一个项目的最终完成时间,具体的实施过程中,时间进度的安排就没有计划。在具体实施中,这种方法的最终结果是要么后墙倒了,要么后墙勉强没倒,做出来的产品满足不了质量要求。
还有一种不好的做法是过度计划,即将项目中非常微小的事情都考虑清楚才动手,但如此“详细的计划”其实是在试图精确地预测未来,也是不切实际的,在执行中会发现难以与实际一致,而不得不频繁地进行调整。具体问题具体分析。尽管有项目计划,执行过程中仍会碰到各种各样意想不到的问题,且往往没有现成的处理方法,这就要求项目经理必须掌握必要的工具方法,掌握整体过程和关键要素,灵活面对,妥善解决。
几个迫切需要重视的问题
项目管理有一些规律,但是还要具体问题具体分析,如果照搬硬套肯定会事倍功半。下面三个案例就是笔者在管理中遇到过的,现在拿出来一起探讨。
管理新手的重要性
一个项目组除了主管,全是新手!其实能有几个项目主管会如此幸运,项目组成员全都身经百战经验丰富。很多人认为,新手加入在短时间内对项目毫无益处,不仅帮不上忙,还需要别人来传帮带。笔者认为恰好相反:新人的加入是将会给整个项目组带来一些新鲜的想法,挖掘和引导这种的想法对新人的培训和很快的上手工作是非常关键的。公司花了钱招来的新人往往经过了人事部门的过滤,都具备了一些基本知识,主管可以先给他们分配一些具体的工作,调动他们的积极性非常关键。
在培训新人时就应该注意:
项目内容培训,让他尽快了解项目组的工作内容,项目的方向、目的,用到的知识、技能;
给他在项目组中的角色做个定位,明确他的职责,并提供必要的支持;
告诉他项目组管理方面须注意的问题,让他尽快融入到项目组里来;
尽量与目前项目组的工作结合起来培训,如让他尽快熟悉项目已经完成的工作,告诉他以后的计划,以及他马上要做的工作等等;
保持良好的沟通,了解他的进展,根据实际情况调整培训计划。
管理文档的重要性
让项目主管最痛苦的事情莫过于:当一个重要成员半途离开项目组时,才发现他根本就没有留下任何可用的文档。天下没有不散的宴席,项目组的成员也是在动态调整中,文档就是成员之间交接的重要工具。很多主管很容易陷quot;重技术实现,轻文档"的误区。他们总是认为项目实施时间紧迫,为了节省时间,可以在项目收尾阶段突击写文档。要是项目周期稍长,到了最后,成员还会记得清清楚楚每个实现细节吗?没有文档的项目铁定是一个失败的项目。
从过程控制的角度看,项目的实施质量控制,最重要的就是文档的管理控制。通过文档来显示表明每个基线,每个成员的工作量和完成质量,达到项目的风险最小化。
管理平台的重要性
笔者最初的几个项目都没有管理平台,所以没有量化的概念,管理手段非常落后。去年笔者在公司率先引入了微软PROJECT2000作为核心的项目管理软件,并根据项目的需求,以现有的计算机网络系统(Network)为基础,建立了内部的INTRANET项目管理平台。经过一年多的使用达到了以下效果:
使用PROJECT2000建立项目计划信息共享门户,使技术人员、主管随时看到与自己相关的任务信息,并通过建立状态报告,达到了解技术人员各自工作完成情况;
利用研发内部网站、电子公告板等共享信息系统,提供有效的信息沟通途径;
根据项目计划,建立动态提醒机制;
建立项目数据管理系统(Data):对与项目有关的数据和与数据有关的过程,进行有效地管理;
电子文档管理系统(Document),对图纸、文件、资料等文档,采用集中管理的方式,进行有序地组织,实现充分的共享和重复使用,实现了通过IE浏览器访问项目文档功能;
建立数据记录体现变更控制记录,项目文档记录。
结束语
就中国现状而言,项目管理还是一个全新的尚待开发的领域,很多项目管理人员和笔者一样都是在实践中不断摸索和思考。
从现实来看,只有那些跨国公司和国内的大型企业才对项目管理提出要求;从教育来看,项目管理的系统教育基本上就是空白,甚至目前中国还没有项目管理这一学科设置。同时,在中国,你所能够获得的有关项目管理的出版物以及资料都极其有限。
好在国内的教育部门已经发现了这个问题,各种PMP的培训班广告也开始出现在各类媒体中。那么我们是否都需要这个一个证书呢?
曾记得庄子在《庄子·养生主》中谈到的解牛的庖丁,在外人看来,技艺高超的庖丁解牛时,一招一式,轻松自如,姿势优美,其节奏如美妙音乐的旋律。而庖丁自己在历经多年的实践后,解释他的高超技艺的境界是:"以神遇而不以目视,官欲止而神欲行,依乎天理,批大隙,导大,因其固然quot;
项目管理还是有"天理"可循,假如有机会还是应该带着实践中的问题多看书多学习,最终会达到所谓的管理艺术。(IT工程技术网)
以下解答摘自谷安天下咨询顾问发表的相关文章:
企业内部控制基本规范包含的五要素框架:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。
相应的,IT内部控制框架也应对于企业内部控制的五要素框架:
(一)IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境,同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。
(二)IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划,IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。
(三)IT控制措施。针对风险评估的结果,在IT方面需要实施具体的IT控制措施,包括IT技术类控制措施,如防火墙、防病毒、入侵检测、身份管理、权限管理等,以及IT管理类控制措施,包括各类IT管控制度与流程,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等。
(四)信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制,建立服务台与事件管理程序,及时传达企业内部层级之间和与企业外部相关的信息。
(五)监督检查。需要建立IT内部控制体系的审核机制,评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等,和管理手段如内部IT审核、管理评审、专项检查等措施,不断改进企业的IT内部控制。
综合分析IT内部控制的组件,谷安天下将IT的控制分为三个层面:
(一)公司层控制。在公司层面建立IT治理架构,完善IT组织与职责,制定IT决策机制,实行IT人员绩效考核,加强IT合规与IT审计。
(二)流程与应用层控制。分析企业业务流程与活动,在企业业务流程、应用系统层面与通用IT流程层面建立控制,重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。
(三)资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源,分析具体每个资源点的风险,建立风险控制措施。
以上就是关于什么是信息安全、等级保护以及风险评估全部的内容,包括:什么是信息安全、等级保护以及风险评估、it系统属于风险管理基础设施,但数据不是、如何对软件项目开发过程中的风险进行风险控制等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)