2020年关于信息安全风险评估项目管理的论文

《2020年关于信息安全风险评估项目管理的论文》由会员分享，可在线阅读，更多相关《2020年关于信息安全风险评估项目管理的论文（13页珍藏版）》请在金锄头文库上搜索。

1、关于信息安全风险评估项目管理的论文 1前言 查找信息资产存在的漏洞结合现有控制措施分析这些威胁被利用的可能性和造成的影响根据可能性和影响评估风险的大小提出风险控制措施的过程国家信息化领导小组关于加强信息安全保障工作的意见在年9月被提上日程（简称27号文）提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”为了贯彻27号文的精神进一步识别信息系统存在的风险并对其进行控制很多单位启动了风险评估项目而风险评估项目又不同于一般的IT项目有其自身的特点 2信息安全风险评估项目的过程管理 可以从五个方面解释信息安全风险评估项目的生命周期即数据收集、计划准备、数据分析、项目验收、报告撰写其中一三五是

2、风险评估的主要实施阶段 2.1计划准备阶段 （1）制定项目章程在信息安全风险评估项目中应尽早确认并任命项目经理最好在制定项目章程时就任命项目经理的职责首先就在于应该参与制定项目章程而该章程则具有授权的作用即它能够使得经理能够运用组织资源来进行项目的实施显而易见项目经理是被授权的一方必然不能成为授权项目运行有效的一方授权项目启动的人一般而言能够提供实施项目所需要的资金等资源他们能够参与章程的编制 （2）确定风险评估范围确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等甚至一些人为的因素也是重要的参考 （3）明确风

3、险评估成果在信息安全风险评估项目中应该在项目开始之前与客户将项目提交的成果及要求确定下来明确风险评估成果之后在项目执行过程中该目标也应该作为项目验收的标准 （4）制定项目实施方案项目实施方案是项目活动实施的具体流程主要用来为项目实施提供技术指导 （5）制定项目管理计划如果想要计划实施过程一切顺利或者说对定义等计划行动的过程需要记录的话就会需要制定一个项目管理计划项目管理计划需要通过不断更新来渐进明细项目管理计划不能冗余相反应该极其精炼但是精炼并不意味着简单相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件 （6）组建项目团队一个优秀的项目团队是完成项目所必不可少的是一种必须的人力资源

4、在项目开始时一般而言由项目经理来决定优秀团队的组成并且在组建团队时应该注意谈判技巧 （7）召开项目启动会项目启动会代表着一个项目从此开始了正式的运作是一个项目的启动阶段在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题 （8）风险评估培训风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训以便项目能顺利实施 2.2数据收集阶段 主要包括收集资料、现场技术评估、现场管理评估三项任务 （1）收集资料数据收集阶段最开始的步骤肯定是收集资料简而言之收集资料就是采取一切可行的方法尽可能详细地获得和项目相关的一些信息例如客户的行为习惯、客户业务相

5、关的文档甚至信息安全系统、信息化流程等信息都要尽量详细化 （2）现场技术评估现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估 （3）现场管理评估现场管理评估是最后一个步骤但是却非常重要它不仅关系着此次项目运行成功与否还关系到以后项目效率的改进现场评估需要对项目进展的流程进行综合分析找出不足之处寻出与优秀的项目管理之间的差距归纳总结从而完善管理程序 2.3数据分析阶段 收集数据阶段已经收集了很多的数据存量想要发现数据的内在规律从而发现有用的东西就必须对数据进行详细分析只有仔细分析数据才能够发现项目的风险所在从而确定风险的大小找出其资产、弱点、风险

6、2.4报告撰写阶段 对收集到的数据进行了详细分析得到初步的结论以后就到了报告撰写阶段即在数据分析的基础上制作一份报告论述项目的风险问题 （1）撰写风险评估报告风险评估报告应该将风险分析的结果直观地、形象地表达出来让管理层清楚地了解当前信息系统存在的风险 （2）撰写整改报告整改报告则是根据风险评估的结果提出对风险进行管理与控制的过程可分为安全加固建议、安全体系结构建议、安全管理建议三种 2.5项目验收阶段 在完成了以上的步骤以后理论上就可以对项目进行验收了项目验收即对前期风险评估成果的检验一般包括三项内容即报告的评审、组织会议讨论验收事宜以及内部项目总结 （1）报告评审报告评审就是对风险评估报告

7、及整改报告进行评审 （2）召开项目验收会即对项目的成果进行汇报 （3）内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾还是一个经验总结的过程回顾过去把握现在争取在以后的项目中不再犯同样的错误 3信息安全风险评估项目的重点领域管理 信息安全问题影响深远其风险评估应根据项目的特点及具体过程且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理 3.1项目沟通管理 为了达到项目目标项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持；其次为了获得客户的支持与配合提高项目满意度项目经理必须与客户进行有效沟通项目的最终目标是满足或者超过干系人的需求与期望要满足或者超过

8、干系人的需求与期望首先应该识别干系人识别他们的需求与期望制定沟通计划在项目实施过程中管理干系人的需求与期望 （1）识别干系人很显然与项目的相关程度不同不同的人对项目信息安全风险具有不同的影响作为客户方与项目实施方其公司企业的信息安全风险是不一样的一般而言客户方具有最大的影响力公司方则次之干系人对项目的态度也是影响项目信息安全风险的重要因素态度一般分为无关、支持和反对三个 （3）制定沟通计划信息安全风险评估项目需要沟通所以需要制定一个有效的沟通计划信息安全风险评估项目不能够随意地制定沟通计划而应该详细地分析相关的影响因素重点关注利益相关者的沟通情况从而降低影响提高效率 （4）管理干系人的需求与期

9、望干系人的期望与需求也应该得到恰当的管理最重要的是要明确期望与需求进行类别的划分可分为A、B、C三类：A类：必须做（need）这一类如不做将难以通过验收；B类：应该做（want）这一类如不做会影响验收效果；C类：可以做（wish）这一类是可做可不做的做了客户会更加满意不做也不会影响验收其次在管理干系人的需求与期望时应该遵循80/20规则即完成20%的任务实现80%的价值这部分任务必须作为重点另外可能还有20%的任务花费80%的成本在资源及时间允许的情况下处理此类需求与期望再次在管理干系人的需求与期望时也可以根据干系人的职权（权力）进行管理在第一象限中的干系人权力高但对项目关注程度低采用令其满意

10、的管理策略在第二象限中的干系人权力高且对项目关注程度高要对其重点管理优先满足其需要与期望第三象限的人员对项目关注程度高但权力较低采用随时告知的策略尽量不要影响其个人利益第四象限的人权力低且对项目不关注要监督他们对项目的反应不引起负面影响最后为了满足干系人的需求与期望需要在项目范围、项目时间、项目成本、项目质量之间做好平衡 3.2项目范围管理 范围是一个空间的范畴一个项目管理的范围规定了一个项目的权限范围规定了项目可以做些事情而些事情是不能做的实际上是对必要工作的坚持和对不必要工作的摒弃 （1）明确风险评估范围项目计划准备时就要考虑风险评估范围在这一阶段就应该定义项目范围的广泛性以及纵深等内容并

11、且考虑客户的需求从而明确项目管理范围项目范围的确定不是一方所能够决定的相反这是一个博弈的过程应该照顾各方的利益制定出一个符合各方利益的项目管理范围 （2）明确风险评估成果应该在项目开始之前与客户将项目提交的成果及要求确定下来一是在项目执行过程中以此为目标；二是设定一个验收项目的标准 （3）创建工作分解结构顾名思义创建工作分解结构即将解构分解即把项目的最后结果和其工作流程明细化从而使得每一步变得简单更加容易操作在信息安全风险评估项目中第一层一般就放置项目成果而第二层则更加侧重中间成果显而易见分解工作结构并不是一件简单的事情也不是只有一种方法各层次都是可以相互变化的 （4）风险评估范围控制范围是所

12、有计划的基础对待客户提出范围变更应该遵循以下流程：首先不能明确拒绝然后要分析客户变更的原因及目的快速反应变更所需要的人工及预算对时间和质量的影响然后再做出决定 （5）风险评估成果核实风险评估成果核实过程应该严谨而且细心因为这是一个正式验收项目的过程需要由客户和项目的执行人一起认真核实项目的最终结果 （6）取得干系人对项目范围正式认可它要求审查可交付成果和工作结果以保证一切均已正确无误且令人满意地完成 3.3项目时间管理 时间管理至关重要因为优秀的时间管理保证项目能够不延期交付 （1）定义活动定义活动从字面上理解就是一个识别的过程定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤它是在工

13、作分解结构的基础上进行细化而完成的 （2）排列活动顺序活动顺序涉及到的是一个排列的问题指的是一种依赖关系即识别和记录项目活动的依赖关系是一种逻辑的过程一般而言这里所指的依赖关系指的是信息安全风险评估项目中各个活动之间所具有的特性如强制性、选择性和外部依赖性确定完活动之间的依赖关系就可以对他们进行排序了可以采用网络图的方法来表达他们之间的顺序常有三种关系即完成开始开始开始结束结束 （3）估算活动持续时间估算活动持续时间是一个时间上的范畴指的是估计资源运用和消耗以及估计完成一项活动所需工时的过程需要根据活动的具体情况、负责活动的人员情况来进行估算估算不能随意应该具有严格的依据工时估算时常采用三点估

14、算法即估算工时=（最乐观时间+4最可能时间+最悲观时间）/6制定进度计划制定进度计划首先需要对所掌握的信息进行深入分析从而确定活动的顺序并且在时间和空间上确定一个相对准确的点估算对资源的需求以及项目实施流程制定一个有效的进度计划并不是件简单的事情而是极其复杂的过程在这期间需要一遍又一遍分析从而确定一个合适的时间跨度并且对项目结果有一个合适的预期即使制订了进度计划也不是一成不变的而是要根据相关审查部门的意见适当地修改计划从而使得计划在时间和资源应用上更加合理只有审查通过以后这个进度计划才可以说是确定下来了信息安全风险评估项目极其复杂很多因素无论是内部的还是外部的都对项目有很大的影响并且鉴于有限的

15、项目组成员所以需要采用一个更加合适的进度计划形式控制进度控制进度的同时也是一个对项目监督管理的过程这一过程根据进度计划的基准不断地调整项目的进程进度控制程序：一般分为四个步骤即先要分析一个项目所散发的状态信息；然后如果需要调整进度就要调整影响进度的相关参数；再次分析以后要确定一个项目是否在原定的轨道上；如果进度脱离了轨道就要进行相应的管理 3.4项目成本管理 成本管理包括估算成本、制定预算、控制成本三项任务 （1）估算成本对成本的估算需要囊括整个项目的进程时间跨度和空间跨度上均要全面成本估算是在某特定时点根据已知信息所做出的成本预测信息安全风险评估项目的主要成本是人工成本及实施直接成本因为人工成本占了所有成本的一大部分所以精确地估算人工成本是成本估算最基础的一面估算人工成本有个前提即进度计划是准确的从而对团队成员的人工估算做到精确项目成本即使估算出来了也不一定是准确的需要时时修正因为越到了项目的后期需要估计的越少影响估算准确性的因素也越少所以