关于信息安全风险评估项目管理的论文

关于信息安全风险评估项目管理的论文1前言查找信息资产存在的漏洞，结合现有控制措施，分析这些威胁被利用的可能性和造成的影响，根据可能性和影响评估风险的大小，提出风险控制措施的过程。《国家信息化领导小组关于加强信息安全保障工作的意见》在2003年9月被提上日程（简称27号文），提出了“信息安全风险评估是信息安全保障的重要基础性工作之一”。为了贯彻27号文的精神，进一步识别信息系统存在的风险，并对其进行控制，很多单位启动了风险评估项目。而风险评估项目又不同于一般的IT项目，有其自身的特点。2信息安全风险评估项目的过程管理可以从五个方面解释信息安全风险评估项目的生命周期，即数据收集、计划准备、数据分析、项目验收、报告撰写，其中一三五是风险评估的主要实施阶段。2.1计划准备阶段（1）制定项目章程。在信息安全风险评估项目中，应尽早确认并任命项目经理，最好在制定项目章程时就任命。项目经理的职责首先就在于应该参与制定项目章程，而该章程则具有授权的作用，即它能够使得经理能够运用组织资源来进行项目的实施。显而易见，项目经理是被授权的一方，必然不能成为授权项目运行有效的一方。授权项目启动的人一般而言能够提供实施项目所需要的资金等资源，他们能够参与章程的编制。（2）确定风险评估范围。确定风险评估范围即要了解什么方面或者对象具有风险爆发的可能，例如公司的服务器数目、电脑操作系统的安全性和稳定性、应用的防火墙种类和数目等，甚至一些人为的因素也是重要的参考。（3）明确风险评估成果。在信息安全风险评估项目中，应该在项目开始之前，与客户将项目提交的成果及要求确定下来。明确风险评估成果之后，在项目执行过程中，该目标也应该作为项目验收的标准。（4）制定项目实施方案。项目实施方案是项目活动实施的具体流程，主要用来为项目实施提供技术指导。（5）制定项目管理计划。如果想要计划实施过程一切顺利，或者说对定义等计划行动的过程需要记录的话，就会需要制定一个项目管理计划。项目管理计划需要通过不断更新来渐进明细。项目管理计划不能冗余，相反应该极其精炼，但是精炼并不意味着简单，相反项目管理计划应详细论述和解释完成这个项目所需要的一些条件。（6）组建项目团队。一个优秀的项目团队是完成项目所必不可少的，是一种必须的人力资源。在项目开始时，一般而言，由项目经理来决定优秀团队的组成，并且在组建团队时应该注意谈判技巧。（7）召开项目启动会。项目启动会代表着一个项目从此开始了正式的运作，是一个项目的启动阶段，在项目启动会上需要完成的任务包括分析评估完成项目所需要的方法和成本等问题。（8）风险评估培训。风险评估培训是对项目团队成员及客户的项目参与者就风险评估方法、评估过程的相关细节性进行培训，以便项目能顺利实施。2.2数据收集阶段主要包括收集资料、现场技术评估、现场管理评估三项任务。（1）收集资料。数据收集阶段最开始的步骤肯定是收集资料，简而言之，收集资料就是采取一切可行的方法，尽可能详细地获得和项目相关的一些信息，例如客户的行为习惯、客户业务相关的文档，甚至信息安全系统、信息化流程等信息都要尽量详细化。（2）现场技术评估。现场技术评估就是通过漏洞扫描、问卷调查、现场访谈、主机配置审计、现场勘查等手段对评估对象进行评估。（3）现场管理评估。现场管理评估是最后一个步骤，但是却非常重要，它不仅关系着此次项目运行成功与否，还关系到以后项目效率的改进，现场评估需要对项目进展的流程进行综合分析，找出不足之处，寻出与优秀的项目管理之间的差距，归纳总结，从而完善管理程序。2.3数据分析阶段收集数据阶段已经收集了很多的数据存量，想要发现数据的内在规律，从而发现有用的东西，就必须对数据进行详细分析，只有仔细分析数据，才能够发现项目的风险所在，从而确定风险的大小，找出其资产、弱点、风险。2.4报告撰写阶段对收集到的数据进行了详细分析，得到初步的结论以后，就到了报告撰写阶段，即在数据分析的基础上，制作一份报告，论述项目的风险问题。（1）撰写风险评估报告。风险评估报告应该将风险分析的结果直观地、形象地表达出来，让管理层清楚地了解当前信息系统存在的风险。（2）撰写整改报告。整改报告则是根据风险评估的结果，提出对风险进行管理与控制的过程。可分为安全加固建议、安全体系结构建议、安全管理建议三种。2.5项目验收阶段在完成了以上的步骤以后，理论上就可以对项目进行验收了，项目验收即对前期风险评估成果的检验，一般包括三项内容，即报告的评审、组织会议讨论验收事宜以及内部项目总结。（1）报告评审报告评审就是对风险评估报告及整改报告进行评审。（2）召开项目验收会即对项目的成果进行汇报。（3）内部项目总结不仅仅是单纯的对项目实施过程的一次简单的回顾，还是一个经验总结的过程，回顾过去，把握现在，争取在以后的项目中不再犯同样的错误。3信息安全风险评估项目的重点领域管理信息安全问题影响深远，其风险评估应根据项目的特点及具体过程，且应在评估中重点加强沟通、范围、时间、成本、风险、人力资源等几个领域的管理。3.1项目沟通管理为了达到项目目标，项目经理首先必须通过沟通谈判从本公司获得相应的人力资源等支持；其次，为了获得客户的支持与配合，提高项目满意度，项目经理必须与客户进行有效沟通。项目的最终目标是满足或者超过干系人的需求与期望。要满足或者超过干系人的需求与期望，首先应该识别干系人，识别他们的需求与期望，制定沟通计划，在项目实施过程中管理干系人的需求与期望。（1）识别干系人。很显然，与项目的相关程度不同，不同的人对项目信息安全风险具有不同的影响，作为客户方与项目实施方，其公司企业的信息安全风险是不一样的，一般而言客户方具有最大的影响力，公司方则次之，干系人对项目的态度也是影响项目信息安全风险的重要因素，态度一般分为无关、支持和反对三个。（2）了解干系人的需求与期望。应该在充分了解项目背景的基础上，运用一定的方法与技巧了解干系人的需求与期望。①了解项目背景。可以咨询售前顾问、销售人员或者查阅招标时的招标书，甚至可以通过互联网获得相关信息。风险评估项目的项目背景也是复杂的，一般而言会分成很多的情况，比较常见的有项目本身实施过程中出现的信息安全事件、监管机制的不合理等。②了解干系人需求与期望的方法。马期洛需求层次理论可以帮助我们了解干系人需求与期望。通过马期洛需求层次理论可以大致了解干系人的需求，然后通过换位思考、沟通交流等手段，进一步确认干系人的需求与期望。（3）制定沟通计划。信息安全风险评估项目需要沟通，所以需要制定一个有效的沟通计划。信息安全风险评估项目不能够随意地制定沟通计划，而应该详细地分析相关的影响因素，重点关注利益相关者的沟通情况，从而降低影响，提高效率。（4）管理干系人的需求与期望。干系人的期望与需求也应该得到恰当的管理，最重要的是要明确期望与需求，进行类别的划分。可分为A、B、C三类：A类：必须做（need），这一类如不做，将难以通过验收；B类：应该做（want），这一类如不做，会影响验收效果；C类：可以做（wish），这一类是可做可不做的，做了客户会更加满意，不做也不会影响验收。其次，在管理干系人的需求与期望时，应该遵循80/20规则，即完成20%的任务实现80%的价值，这部分任务必须作为重点。另外，可能还有20%的任务花费80%的成本，在资源及时间允许的情况下处理此类需求与期望。再次，在管理干系人的需求与期望时也可以根据干系人的职权（权力）进行管理。①在第一象限中的干系人权力高，但对项目关注程度低，采用令其满意的管理策略。②在第二象限中的干系人权力高，且对项目关注程度高，要对其重点管理，优先满足其需要与期望。③第三象限的人员对项目关注程度高，但权力较低，采用随时告知的策略，尽量不要影响其个人利益。④第四象限的人权力低，且对项目不关注，要监督他们对项目的反应，不引起负面影响。最后，为了满足干系人的需求与期望，需要在项目范围、项目时间、项目成本、项目质量之间做好平衡。3.2项目范围管理范围是一个空间的范畴，一个项目管理的范围规定了一个项目的权限范围，规定了项目可以做哪些事情，而哪些事情是不能做的，实际上是对必要工作的坚持和对不必要工作的摒弃。（1）明确风险评估范围。项目计划准备时就要考虑风险评估范围，在这一阶段就应该定义项目范围的广泛性以及纵深等内容，并且考虑客户的需求，从而明确项目管理范围。项目范围的确定不是一方所能够决定的，相反这是一个博弈的过程，应该照顾各方的利益，制定出一个符合各方利益的项目管理范围。（2）明确风险评估成果。应该在项目开始之前，与客户将项目提交的成果及要求确定下来。一是在项目执行过程中，以此为目标；二是设定一个验收项目的标准。（3）创建工作分解结构。顾名思义，创建工作分解结构即将解构分解，即把项目的最后结果和其工作流程明细化，从而使得每一步变得简单，更加容易操作。在信息安全风险评估项目中，第一层一般就放置项目成果，而第二层则更加侧重中间成果。显而易见，分解工作结构并不是一件简单的事情，也不是只有一种方法，各层次都是可以相互变化的。（4）风险评估范围控制。范围是所有计划的基础。对待客户提出范围变更应该遵循以下流程：首先不能明确拒绝，然后要分析客户变更的原因及目的，快速反应变更所需要的人工及预算对时间和质量的影响，然后再做出决定。（5）风险评估成果核实。风险评估成果核实过程应该严谨而且细心，因为这是一个正式验收项目的过程，需要由客户和项目的执行人一起认真核实项目的最终结果。（6）取得干系人对项目范围正式认可。它要求审查可交付成果和工作结果，以保证一切均已正确无误且令人满意地完成。3.3项目时间管理时间管理至关重要，因为优秀的时间管理保证项目能够不延期交付。（1）定义活动。定义活动从字面上理解就是一个识别的过程，定义识别的是在项目的实施过程中需要采取的一切实施方法和步骤。它是在工作分解结构的基础上进行细化而完成的。（2）排列活动顺序。活动顺序涉及到的是一个排列的问题，指的是一种依赖关系，即识别和记录项目活动的依赖关系，是一种逻辑的过程。一般而言，这里所指的依赖关系指的是信息安全风险评估项目中，各个活动之间所具有的特性，如强制性、选择性和外部依赖性。确定完活动之间的依赖关系，就可以对他们进行排序了，可以采用网络图的方法来表达他们之间的顺序，常有三种关系，即完成-开始，开始-开始，结束-结束。（3）估算活动持续时间。估算活动持续时间是一个时间上的范畴，指的是估计资源运用和消耗，以及估计完成一项活动所需工时的过程。需要根据活动的具体情况、负责活动的人员情况来进行估算。估算不能随意，应该具有严格的依据。工时估算时，常采用三点估算法。即估算工时=（最乐观时间+4×最可能时间+最悲观时间）/6。①制定进度计划。制定进度计划首先需要对所掌握的信息进行深入分析，从而确定活动的顺序，并且在时间和空间上确定一个相对准确的点，估算对资源的需求以及项目实施流程。制定一个有效的进度计划并不是件简单的事情，而是极其复杂的过程，在这期间需要一遍又一遍分析，从而确定一个合适的时间跨度，并且对项目结果有一个合适的预期。即使制订了进度计划，也不是一成不变的，而是要根据相关审查部门的意见适当地修改计划，从而使得计划在时间和资源应用上更加合理。只有审查通过以后，这个进度计划才可以说是确定下来了。信息安全风险评估项目极其复杂，很多因素无论是内部的还是外部的，都对项目有很大的影响，并且鉴于有限的项目组成员，所以需要采用一个更加合适的进度计划形式。②控制进度。控制进度的同时也是一个对项目监督管理的过程，这一过程根据进度计划的基准不断地调整项目的进程。进度控制程序：一般分为四个步骤，即先要分析一个项目所散发的状态信息；然后如果需要调整进度，就要调整影响进度的相关参数；再次分析以后，要确定一个项目是否在原定的轨道上；如果进度脱离了轨道，就要进行相应的管理。3.4项目成本管理成本管理包括估算成本、制定预算、控制成本三项任务。（1）估算成本。对成本的估算需要囊括整个项目的进程，时间跨度和空间跨度上均要全面。成本估算是在某特定时点，根据已知信息所做出的成本预测