第8章 信息系统项目管理与安全

chinasll

目录

· 1、项目管理

o 1.1、项目管理概述

o 1.2、项目管理知识体系

o 1.3、项目计划的编制方法及工具（管理信息系统）

· 2、安全管理

o 2.1、管理信息系统安全问题概述

o 2.2、管理信息系统安全防范体系

o 2.3、管理信息系统安全控制措施

· 3、质量管理

o 3.1、质量管理

o 3.2、管理信息系统的质量管理

· 4、风险管理

o 4.1、风险管理

§ 4.1.1、风险概述

§ 4.1.2、风险分类

§ 4.1.3、风险的相对性

§ 4.1.4、风险识别的主要方法

§ 4.1.5、风险分析主要方法

§ 4.1.6、风险规划主要方法

§ 4.1.7、风险监控

o 4.2、管理信息系统的风险管理

§ 4.2.1、信息系统的风险

§ 4.2.2、信息系统开发风险管理

1、项目管理

项目管理包括范围管理、进度管理、成本管理、质量管理、采购管理、人力资源管理、沟通管理、风险管理、干系人管理及整体管理。

1.1、项目管理概述

项目作为一类特殊的活动所表现出来的区别于其他活动的特征：

· 项目是一次性任务

· 人类有组织的活动都有目的性。项目作为一类特别的活动，更有明确的目标

· 项目是为实现目标而开展的任务的集合，它不是一项孤立的活动，而是一系列活动有机组合而形成的一个完整过程

项目管理 是以项目为对象的系统管理方法，通过一个临时性的专门的柔性组织，对项目进行高效率的计划、组织、指导和控制，以实现项目全过程的动态管理和项目目标的综合协调与优化。

项目管理的特征：需要通过一个专门的组织实施；规划资源。

1.2、项目管理知识体系

项目管理知识体系由美国项目管理学会首先提出，经过几次修正，将项目管理知识划分成十大领域：

· 范围管理

项目范围是指为了成功达到项目目标，所必须完成的工作。

确定项目范围：为项目界定一个界限，划定哪些方面是属于项目应该做的，哪些是不应该包括在项目之内的。

包括：定义项目管理的工作边界；确定项目的目标；确定主要的项目可交付成果。

· 进度管理

作用是保证在规定时间内完成项目。

项目进度管理包括的过程有：

o 活动定义： 确定为完成项目所需的各种特定活动

o 活动排序：确定活动之间的时间依赖关系并整理成文件

o 活动工期估算：估算为完成各项活动所需工时单位数

o 进度安排：分析活动顺序、活动工期、资源需求及进度制约因素，以便制定项目进度表

o 进度控制：控制项目进度表变更

· 成本管理

包括的过程有：

o 资源计划：确定为执行项目活动所需要的物理资源及其数量

o 成本估计：估算出为完成项目活动所需资源的成本的近似值

o 成本预算：将估算出的成本分配到各项目活动上，用以建立费用基准，用来监控项目进度

o 成本控制：影响造成费用偏差的因素，控制项目预算的变更

· 质量管理

项目质量管理过程包括：

o 质量规划： 判断哪些质量标准与本项目有关，并决定应如何达到这些质量标准

o 实施质量保证：开展规划确定的系统的质量活动，确保项目实施满足要求所需的所有过程

o 实施质量控制：监控项目的具体结果，判断它们是否符全相关质量标准，并给出消除偏差的方法

· 采购管理

· 人力资源管理

· 沟通管理

· 风险管理

风险管理过程包括：

o 风险管理规划

o 风险识别

o 定性风险分析

o 定量风险分析

o 风险应对规划

o 风险监控

· 干系人管理

· 整体管理

项目整体管理过程包括：

o 项目计划制订

o 项目计划执行

o 总体变更控制

o 项目收尾

1.3、项目计划的编制方法及工具（管理信息系统）

· 甘特图

又称条线图或横道图，主要用于项目的计划和项目进度的安排。

甘特图是一个二维平面图，横向表示进度或活动时间；纵向表示工作包的内容。

· 项目管理软件------Microsoft Project

Microsoft Project是微软开发的一种项目管理软件

· 其他项目管理软件

常用的开源项目管理软件：TaskJuggler, ConsultComm, OpenGoo, Collabtive, Redmine

2、安全管理2.1、管理信息系统安全问题概述

安全威胁分类：

· 物理安全威胁

指对系统所用设备的威胁，包括自然灾害、电源故障、操作系统引导失败、设备被盗等

· 通信链路安全威胁

指在传输线路上安装窃听装置或对通信链路进行干扰

· 网络系统安全威胁

互联网的开放性、国际性与无安全管理性对内部网络形成严重的安全威胁

· 操作系统安全威胁

对系统平台最危险的威胁是在系统软件或硬件芯片中植入威胁

· 应用系统安全威胁

指对于网络服务或用户业务系统安全的威胁

· 管理系统安全威胁

指人员管理上的安全漏洞

常见的安全威胁：

· 非法使用（非授权访问）：某一资源被某一非授权的人或以非授权的方式使用

· 破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失

· 拒绝服务：对信息或其他资源的合法访问被无条件地阻止

· 陷阱门：在某个系统或某个部件中设置了“机关”，使和当提供特定的输入数据时，允许违反安全策略

· 特洛伊木马：软件中含有一个察觉不出的或无害的程序段，当它被执行时，会破坏用户安全。

· 旁路控制：攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权

· 假冒

· 重放：所截获的某次合法的通信数据备份，出于非法的目的而被重新发送

· 抵赖：否认自已曾经发布过的某条消息、伪造一份对方来信等

· 业务欺骗：某一伪系统或系统部件欺骗合法的用户或系统自愿放弃敏感信息

2.2、管理信息系统安全防范体系

安全防范体系划分为如下：

· 物理层安全

· 系统层安全

· 网络层安全

· 应用层安全

· 安全管理

2.3、管理信息系统安全控制措施

针对日益严峻的信息系统安全威胁，可以从安全技术和安全管理两个方面进行安全防护

安全技术：

· 安全协议：如数据加密技术、HTTPS、安全套接层协议等来保证数据传输的安全

· 漏洞扫描和修补

· 入侵检测：是一种主动的安全防护技术

安全管理：

· 规章制度

· 应急预案

· 加强宣传和培训工作

3、质量管理3.1、质量管理

质量是依靠特定的或暗指的能力满足特定需要的产品或服务的全部功能和特征。

质量管理是一个复杂的系统工程。

PDCA（Plan-Do-Check-Action）：是典型的质量控制方法，是计划-处理-检查-执行措施4个步骤的循环迭代过程，是一个不断能提高产品性能的过程。

质量管理的发展历程：

file:///C:\Users\Sue\AppData\Local\Temp\ksohtml4496\wps1.jpg

· 以产品为中心的质量检验 和统计质量控制阶段（18世纪---1950年）

· 以顾客为中心的质量保证阶段（1950年---1987年）

· 强调持续改进的质量管理阶段（1987年---现在）

· 全面质量管理阶段（TQM)

TQM强调以客户为中心，关注客户的需要、组织的需要，成本经济效益和成本绑定；

· 强调全员参与、以过程为中心，强调文化、技能和制度等多方面全面考虑。

· 质量鉴别

在全面质量管理基础上形成的质量管理手段，是立足于用户需求，由买方主导型的质量管理，它具有国际通用性。

信息系统质量管理的方法主要分成两种：工程的方法；统计控制的方法。

3.2、管理信息系统的质量管理

标准化是信息系统质量管理的基础，是实现大范围信息资源交流与共享的必要条件。

目前应用最广泛的是国际标准组织ISO制定的ISO9000标准。我国对应的标准是GB/T9000。

ISO9000标准系列是一个大的家族，它由5部分组成：质量术语标准；质量保证标准；质量管理标准；

质量管理和质量保证标准的选用和实施指南；支持性技术标准。

ISO 9000系列的核心内容是质量保证标准，它是质量体系认证的依据。

CMM（Capability Maturity Model for Software): 软件能力成熟度模型

CMMI（Capability Maturity Model Integration for Software）： 软件能力成熟度集成模型

管理信息系统质量保证计划

（1） 质量法则

· 预防

· 独立的检查和确认（质量控制）

· 技术审查

· 测试

（2）质量保证的行为

· 管理

· 文档

· 标准和实践

· 审查和稽核

· 测试

· 编码、文档和媒介控制

4、风险管理4.1、风险管理4.1.1、风险概述

风险：是由于人事某项选定活动过程中存在的不确定性而产生的经济或财务损失、自然破坏或损伤的可能性。

风险是一种概率事件，它可能发生也可能不发生。

风险的基本性质：客观性、不确定性（随机性）、不利性、可变性、相对性、风险和利益的对称性（共存性）。

4.1.2、风险分类

· 按风险后果：分为纯粹风险和投机风险

· 按风险来源：分为自然风险和人为风险

· 按风险影响后果：分为政府风险、项目业主风险、承包商风险等。

· 按风险可预测性：分为已知风险、可预测风险和不可预测风险

· 按原因角度：分为商业风险、技术风险、管理风险等。

4.1.3、风险的相对性

不同的人和组织对于风险的承受能力不同。

按对待风险的态度划分，分成风险的规避者、风险中立者和冒险者。

风险管理是指在项目的执行过程中，持续不断地进行风险识别、分析、策略制定和监控风险执行情况的过程；

它是为了将风险控制在最低限度而进行的各项管理工作总和；是一系列对未来的预测，然后又采取一系列措施来减少风险对项目的影响的活动。

4.1.4、风险识别的主要方法

file:///C:\Users\Sue\AppData\Local\Temp\ksohtml4496\wps2.jpg

风险识别的主要方法:

德尔菲法（Delphi）	又称专家调查法，专家意见趋于一致时即可得出最后结论
头脑风暴法（Brain Storming）	通过专家会议，在许多专家间广发言论，激起灵感，诱发专家们产生思维共振，以获取更多信息来源预测问题
鱼刺图	又称因果分析表、流程图、石川图，用于确定风险的起因

4.1.5、风险分析主要方法

定性分析	针对风险概率及其后果进行定性评估	包括历史资料法、概率分布法、风险后果估计法等
定量分析	一种广泛使用的管理决策支持技术	包括访谈、盈亏平衡分析、决策树分析、AHP法（层次分析）、模拟法

4.1.6、风险规划主要方法

对于项目中的机会，也就是正向风险，则应该采取开拓、分享、强大的策略。

对项目产生负面影响及威胁的风险主要采取减轻、预防、转移、回避及自留等策略。

风险规划采取的主要策略：

· 减轻风险：降低风险发生可能性，或减少不利影响。

· 预防风险：提高项目各组成部分可靠性，减少风险发生可能性。

· 风险转移：将损失的一部分转移到第三方身上。

· 风险回避：主动放弃原项目或改变项目目标与行动方案，以回避风险。

· 风险自留：风险的损失较小，业主自身能承担，风险就可以留给自己承担。

4.1.7、风险监控

风险监控概念：通过对风险的规划和对项目全过程的控制，保证风险管理达到预期的目标。

风险监控作用：跟踪已识别的风险，监测残余风险和识别新的风险，保证风险计划的执行，并评价这些计划对减轻风险的有效性。

风险管理	风险识别	常用的方法是建立“风险条目检查表”，利用一组提问来帮助项目风险管理者了解在项目和技术方面有哪些风险
	风险分析	主要是针对风险概率及其后果进行定性的评估
	风险规划	对于项目中的机会，也就是正向风险，则应该采取开拓、分享、强大的策略。对项目产生负面影响及威胁的风险主要采取减轻、预防、转移、回避及自留等策略
	风险监控	通过对风险的规划和对项目全过程的控制，保证风险管理达到预期的目标

4.2、管理信息系统的风险管理4.2.1、信息系统的风险

file:///C:\Users\Sue\AppData\Local\Temp\ksohtml4496\wps3.jpg

4.2.2、信息系统开发风险管理

file:///C:\Users\Sue\AppData\Local\Temp\ksohtml4496\wps4.jpg