關(guān)于信息安全風(fēng)險評估項(xiàng)目管理的論文

　　1前言

　　查找信息資產(chǎn)存在的漏洞，結(jié)合現(xiàn)有控制措施，分析這些威脅被利用的可能性和造成的影響，根據(jù)可能性和影響評估風(fēng)險的大小，提出風(fēng)險控制措施的過程�！秶�家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號文），提出了“信息安全風(fēng)險評估是信息安全保障的重要基礎(chǔ)性工作之一”。為了貫徹27號文的精神，進(jìn)一步識別信息系統(tǒng)存在的風(fēng)險，并對其進(jìn)行控制，很多單位啟動了風(fēng)險評估項(xiàng)目。而風(fēng)險評估項(xiàng)目又不同于一般的IT項(xiàng)目，有其自身的特點(diǎn)。

　　2信息安全風(fēng)險評估項(xiàng)目的過程管理

　　可以從五個方面解釋信息安全風(fēng)險評估項(xiàng)目的生命周期，即數(shù)據(jù)收集、計(jì)劃準(zhǔn)備、數(shù)據(jù)分析、項(xiàng)目驗(yàn)收、報告撰寫，其中一三五是風(fēng)險評估的主要實(shí)施階段。

　　2.1計(jì)劃準(zhǔn)備階段

　�。�1）制定項(xiàng)目章程。在信息安全風(fēng)險評估項(xiàng)目中，應(yīng)盡早確認(rèn)并任命項(xiàng)目經(jīng)理，最好在制定項(xiàng)目章程時就任命。項(xiàng)目經(jīng)理的職責(zé)首先就在于應(yīng)該參與制定項(xiàng)目章程，而該章程則具有授權(quán)的作用，即它能夠使得經(jīng)理能夠運(yùn)用組織資源來進(jìn)行項(xiàng)目的實(shí)施。顯而易見，項(xiàng)目經(jīng)理是被授權(quán)的一方，必然不能成為授權(quán)項(xiàng)目運(yùn)行有效的一方。授權(quán)項(xiàng)目啟動的人一般而言能夠提供實(shí)施項(xiàng)目所需要的資金等資源，他們能夠參與章程的編制。

　�。�2）確定風(fēng)險評估范圍。確定風(fēng)險評估范圍即要了解什么方面或者對象具有風(fēng)險爆發(fā)的可能，例如公司的服務(wù)器數(shù)目、電腦操作系統(tǒng)的安全性和穩(wěn)定性、應(yīng)用的防火墻種類和數(shù)目等，甚至一些人為的因素也是重要的參考。

　　（3）明確風(fēng)險評估成果。在信息安全風(fēng)險評估項(xiàng)目中，應(yīng)該在項(xiàng)目開始之前，與客戶將項(xiàng)目提交的成果及要求確定下來。明確風(fēng)險評估成果之后，在項(xiàng)目執(zhí)行過程中，該目標(biāo)也應(yīng)該作為項(xiàng)目驗(yàn)收的標(biāo)準(zhǔn)。

　�。�4）制定項(xiàng)目實(shí)施方案。項(xiàng)目實(shí)施方案是項(xiàng)目活動實(shí)施的具體流程，主要用來為項(xiàng)目實(shí)施提供技術(shù)指導(dǎo)。

　�。�5）制定項(xiàng)目管理計(jì)劃。如果想要計(jì)劃實(shí)施過程一切順利，或者說對定義等計(jì)劃行動的過程需要記錄的話，就會需要制定一個項(xiàng)目管理計(jì)劃。項(xiàng)目管理計(jì)劃需要通過不斷更新來漸進(jìn)明細(xì)。項(xiàng)目管理計(jì)劃不能冗余，相反應(yīng)該極其精煉，但是精煉并不意味著簡單，相反項(xiàng)目管理計(jì)劃應(yīng)詳細(xì)論述和解釋完成這個項(xiàng)目所需要的一些條件。

　　（6）組建項(xiàng)目團(tuán)隊(duì)。一個優(yōu)秀的項(xiàng)目團(tuán)隊(duì)是完成項(xiàng)目所必不可少的，是一種必須的人力資源。在項(xiàng)目開始時，一般而言，由項(xiàng)目經(jīng)理來決定優(yōu)秀團(tuán)隊(duì)的組成，并且在組建團(tuán)隊(duì)時應(yīng)該注意談判技巧。

　�。�7）召開項(xiàng)目啟動會。項(xiàng)目啟動會代表著一個項(xiàng)目從此開始了正式的運(yùn)作，是一個項(xiàng)目的啟動階段，在項(xiàng)目啟動會上需要完成的任務(wù)包括分析評估完成項(xiàng)目所需要的方法和成本等問題。

　　（8）風(fēng)險評估培訓(xùn)。風(fēng)險評估培訓(xùn)是對項(xiàng)目團(tuán)隊(duì)成員及客戶的項(xiàng)目參與者就風(fēng)險評估方法、評估過程的相關(guān)細(xì)節(jié)性進(jìn)行培訓(xùn)，以便項(xiàng)目能順利實(shí)施。

　　2.2數(shù)據(jù)收集階段

　　主要包括收集資料、現(xiàn)場技術(shù)評估、現(xiàn)場管理評估三項(xiàng)任務(wù)。

　�。�1）收集資料。數(shù)據(jù)收集階段最開始的步驟肯定是收集資料，簡而言之，收集資料就是采取一切可行的方法，盡可能詳細(xì)地獲得和項(xiàng)目相關(guān)的一些信息，例如客戶的行為習(xí)慣、客戶業(yè)務(wù)相關(guān)的文檔，甚至信息安全系統(tǒng)、信息化流程等信息都要盡量詳細(xì)化。

　�。�2）現(xiàn)場技術(shù)評估�，F(xiàn)場技術(shù)評估就是通過漏洞掃描、問卷調(diào)查、現(xiàn)場訪談、主機(jī)配置審計(jì)、現(xiàn)場勘查等手段對評估對象進(jìn)行評估。

　�。�3）現(xiàn)場管理評估�，F(xiàn)場管理評估是最后一個步驟，但是卻非常重要，它不僅關(guān)系著此次項(xiàng)目運(yùn)行成功與否，還關(guān)系到以后項(xiàng)目效率的改進(jìn)，現(xiàn)場評估需要對項(xiàng)目進(jìn)展的流程進(jìn)行綜合分析，找出不足之處，尋出與優(yōu)秀的項(xiàng)目管理之間的差距，歸納總結(jié)，從而完善管理程序。

　　2.3數(shù)據(jù)分析階段

　　收集數(shù)據(jù)階段已經(jīng)收集了很多的數(shù)據(jù)存量，想要發(fā)現(xiàn)數(shù)據(jù)的內(nèi)在規(guī)律，從而發(fā)現(xiàn)有用的東西，就必須對數(shù)據(jù)進(jìn)行詳細(xì)分析，只有仔細(xì)分析數(shù)據(jù)，才能夠發(fā)現(xiàn)項(xiàng)目的風(fēng)險所在，從而確定風(fēng)險的大小，找出其資產(chǎn)、弱點(diǎn)、風(fēng)險。

　　2.4報告撰寫階段

　　對收集到的數(shù)據(jù)進(jìn)行了詳細(xì)分析，得到初步的結(jié)論以后，就到了報告撰寫階段，即在數(shù)據(jù)分析的基礎(chǔ)上，制作一份報告，論述項(xiàng)目的風(fēng)險問題。

　�。�1）撰寫風(fēng)險評估報告。風(fēng)險評估報告應(yīng)該將風(fēng)險分析的結(jié)果直觀地、形象地表達(dá)出來，讓管理層清楚地了解當(dāng)前信息系統(tǒng)存在的風(fēng)險。

　�。�2）撰寫整改報告。整改報告則是根據(jù)風(fēng)險評估的結(jié)果，提出對風(fēng)險進(jìn)行管理與控制的過程�？煞譃榘踩�加固建議、安全體系結(jié)構(gòu)建議、安全管理建議三種。

　　2.5項(xiàng)目驗(yàn)收階段

　　在完成了以上的步驟以后，理論上就可以對項(xiàng)目進(jìn)行驗(yàn)收了，項(xiàng)目驗(yàn)收即對前期風(fēng)險評估成果的檢驗(yàn)，一般包括三項(xiàng)內(nèi)容，即報告的評審、組織會議討論驗(yàn)收事宜以及內(nèi)部項(xiàng)目總結(jié)。

　　（1）報告評審報告評審就是對風(fēng)險評估報告及整改報告進(jìn)行評審。

　　（2）召開項(xiàng)目驗(yàn)收會即對項(xiàng)目的成果進(jìn)行匯報。

　�。�3）內(nèi)部項(xiàng)目總結(jié)不僅僅是單純的對項(xiàng)目實(shí)施過程的一次簡單的回顧，還是一個經(jīng)驗(yàn)總結(jié)的過程，回顧過去，把握現(xiàn)在，爭取在以后的項(xiàng)目中不再犯同樣的錯誤。

　　3信息安全風(fēng)險評估項(xiàng)目的重點(diǎn)領(lǐng)域管理

　　信息安全問題影響深遠(yuǎn)，其風(fēng)險評估應(yīng)根據(jù)項(xiàng)目的特點(diǎn)及具體過程，且應(yīng)在評估中重點(diǎn)加強(qiáng)溝通、范圍、時間、成本、風(fēng)險、人力資源等幾個領(lǐng)域的管理。

　　3.1項(xiàng)目溝通管理

　　為了達(dá)到項(xiàng)目目標(biāo)，項(xiàng)目經(jīng)理首先必須通過溝通談判從本公司獲得相應(yīng)的人力資源等支持；其次，為了獲得客戶的支持與配合，提高項(xiàng)目滿意度，項(xiàng)目經(jīng)理必須與客戶進(jìn)行有效溝通。項(xiàng)目的最終目標(biāo)是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望，首先應(yīng)該識別干系人，識別他們的需求與期望，制定溝通計(jì)劃，在項(xiàng)目實(shí)施過程中管理干系人的需求與期望。

　　（1）識別干系人。很顯然，與項(xiàng)目的相關(guān)程度不同，不同的人對項(xiàng)目信息安全風(fēng)險具有不同的影響，作為客戶方與項(xiàng)目實(shí)施方，其公司企業(yè)的信息安全風(fēng)險是不一樣的，一般而言客戶方具有最大的影響力，公司方則次之，干系人對項(xiàng)目的態(tài)度也是影響項(xiàng)目信息安全風(fēng)險的重要因素，態(tài)度一般分為無關(guān)、支持和反對三個。

　�。�2）了解干系人的需求與期望。應(yīng)該在充分了解項(xiàng)目背景的基礎(chǔ)上，運(yùn)用一定的方法與技巧了解干系人的需求與期望。①了解項(xiàng)目背景。可以咨詢售前顧問、銷售人員或者查閱招標(biāo)時的招標(biāo)書，甚至可以通過互聯(lián)網(wǎng)獲得相關(guān)信息。風(fēng)險評估項(xiàng)目的項(xiàng)目背景也是復(fù)雜的，一般而言會分成很多的情況，比較常見的有項(xiàng)目本身實(shí)施過程中出現(xiàn)的信息安全事件、監(jiān)管機(jī)制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求，然后通過換位思考、溝通交流等手段，進(jìn)一步確認(rèn)干系人的需求與期望。

　�。�3）制定溝通計(jì)劃。信息安全風(fēng)險評估項(xiàng)目需要溝通，所以需要制定一個有效的溝通計(jì)劃。信息安全風(fēng)險評估項(xiàng)目不能夠隨意地制定溝通計(jì)劃，而應(yīng)該詳細(xì)地分析相關(guān)的影響因素，重點(diǎn)關(guān)注利益相關(guān)者的溝通情況，從而降低影響，提高效率。

　　（4）管理干系人的需求與期望。干系人的期望與需求也應(yīng)該得到恰當(dāng)?shù)墓芾恚�最重要的是要明確期望與需求，進(jìn)行類別的劃分�？煞譃锳、B、C三類：A類：必須做（need），這一類如不做，將難以通過驗(yàn)收；B類：應(yīng)該做（want），這一類如不做，會影響驗(yàn)收效果；C類：可以做（wish），這一類是可做可不做的，做了客戶會更加滿意，不做也不會影響驗(yàn)收。其次，在管理干系人的需求與期望時，應(yīng)該遵循80/20規(guī)則，即完成20%的任務(wù)實(shí)現(xiàn)80%的價值，這部分任務(wù)必須作為重點(diǎn)。另外，可能還有20%的任務(wù)花費(fèi)80%的成本，在資源及時間允許的情況下處理此類需求與期望。再次，在管理干系人的需求與期望時也可以根據(jù)干系人的職權(quán)（權(quán)力）進(jìn)行管理。①在第一象限中的干系人權(quán)力高，但對項(xiàng)目關(guān)注程度低，采用令其滿意的管理策略。②在第二象限中的干系人權(quán)力高，且對項(xiàng)目關(guān)注程度高，要對其重點(diǎn)管理，優(yōu)先滿足其需要與期望。③第三象限的人員對項(xiàng)目關(guān)注程度高，但權(quán)力較低，采用隨時告知的策略，盡量不要影響其個人利益。④第四象限的人權(quán)力低，且對項(xiàng)目不關(guān)注，要監(jiān)督他們對項(xiàng)目的反應(yīng)，不引起負(fù)面影響。最后，為了滿足干系人的需求與期望，需要在項(xiàng)目范圍、項(xiàng)目時間、項(xiàng)目成本、項(xiàng)目質(zhì)量之間做好平衡。

　　3.2項(xiàng)目范圍管理

　　范圍是一個空間的范疇，一個項(xiàng)目管理的范圍規(guī)定了一個項(xiàng)目的權(quán)限范圍，規(guī)定了項(xiàng)目可以做哪些事情，而哪些事情是不能做的，實(shí)際上是對必要工作的堅(jiān)持和對不必要工作的摒棄。

　�。�1）明確風(fēng)險評估范圍。項(xiàng)目計(jì)劃準(zhǔn)備時就要考慮風(fēng)險評估范圍，在這一階段就應(yīng)該定義項(xiàng)目范圍的廣泛性以及縱深等內(nèi)容，并且考慮客戶的需求，從而明確項(xiàng)目管理范圍。項(xiàng)目范圍的確定不是一方所能夠決定的，相反這是一個博弈的過程，應(yīng)該照顧各方的利益，制定出一個符合各方利益的項(xiàng)目管理范圍。

　�。�2）明確風(fēng)險評估成果。應(yīng)該在項(xiàng)目開始之前，與客戶將項(xiàng)目提交的成果及要求確定下來。一是在項(xiàng)目執(zhí)行過程中，以此為目標(biāo)；二是設(shè)定一個驗(yàn)收項(xiàng)目的標(biāo)準(zhǔn)。

　�。�3）創(chuàng)建工作分解結(jié)構(gòu)。顧名思義，創(chuàng)建工作分解結(jié)構(gòu)即將解構(gòu)分解，即把項(xiàng)目的最后結(jié)果和其工作流程明細(xì)化，從而使得每一步變得簡單，更加容易操作。在信息安全風(fēng)險評估項(xiàng)目中，第一層一般就放置項(xiàng)目成果，而第二層則更加側(cè)重中間成果。顯而易見，分解工作結(jié)構(gòu)并不是一件簡單的事情，也不是只有一種方法，各層次都是可以相互變化的。

　�。�4）風(fēng)險評估范圍控制。范圍是所有計(jì)劃的基礎(chǔ)。對待客戶提出范圍變更應(yīng)該遵循以下流程：首先不能明確拒絕，然后要分析客戶變更的原因及目的，快速反應(yīng)變更所需要的人工及預(yù)算對時間和質(zhì)量的影響，然后再做出決定。

　�。�5）風(fēng)險評估成果核實(shí)。風(fēng)險評估成果核實(shí)過程應(yīng)該嚴(yán)謹(jǐn)而且細(xì)心，因?yàn)檫@是一個正式驗(yàn)收項(xiàng)目的過程，需要由客戶和項(xiàng)目的執(zhí)行人一起認(rèn)真核實(shí)項(xiàng)目的最終結(jié)果。

　　（6）取得干系人對項(xiàng)目范圍正式認(rèn)可。它要求審查可交付成果和工作結(jié)果，以保證一切均已正確無誤且令人滿意地完成。

　　3.3項(xiàng)目時間管理

　　時間管理至關(guān)重要，因?yàn)閮?yōu)秀的時間管理保證項(xiàng)目能夠不延期交付。

　　（1）定義活動。定義活動從字面上理解就是一個識別的過程，定義識別的是在項(xiàng)目的實(shí)施過程中需要采取的一切實(shí)施方法和步驟。它是在工作分解結(jié)構(gòu)的基礎(chǔ)上進(jìn)行細(xì)化而完成的。

　�。�2）排列活動順序。活動順序涉及到的是一個排列的問題，指的是一種依賴關(guān)系，即識別和記錄項(xiàng)目活動的依賴關(guān)系，是一種邏輯的過程。一般而言，這里所指的依賴關(guān)系指的是信息安全風(fēng)險評估項(xiàng)目中，各個活動之間所具有的特性，如強(qiáng)制性、選擇性和外部依賴性。確定完活動之間的依賴關(guān)系，就可以對他們進(jìn)行排序了，可以采用網(wǎng)絡(luò)圖的方法來表達(dá)他們之間的順序，常有三種關(guān)系，即完成-開始，開始-開始，結(jié)束-結(jié)束。

　　（3）估算活動持續(xù)時間。估算活動持續(xù)時間是一個時間上的范疇，指的是估計(jì)資源運(yùn)用和消耗，以及估計(jì)完成一項(xiàng)活動所需工時的過程。需要根據(jù)活動的具體情況、負(fù)責(zé)活動的人員情況來進(jìn)行估算。估算不能隨意，應(yīng)該具有嚴(yán)格的依據(jù)。工時估算時，常采用三點(diǎn)估算法。即估算工時=（最樂觀時間+4×最可能時間+最悲觀時間）/6。①制定進(jìn)度計(jì)劃。制定進(jìn)度計(jì)劃首先需要對所掌握的信息進(jìn)行深入分析，從而確定活動的順序，并且在時間和空間上確定一個相對準(zhǔn)確的點(diǎn)，估算對資源的需求以及項(xiàng)目實(shí)施流程。制定一個有效的進(jìn)度計(jì)劃并不是件簡單的事情，而是極其復(fù)雜的過程，在這期間需要一遍又一遍分析，從而確定一個合適的時間跨度，并且對項(xiàng)目結(jié)果有一個合適的預(yù)期。即使制訂了進(jìn)度計(jì)劃，也不是一成不變的，而是要根據(jù)相關(guān)審查部門的意見適當(dāng)?shù)匦薷挠?jì)劃，從而使得計(jì)劃在時間和資源應(yīng)用上更加合理。只有審查通過以后，這個進(jìn)度計(jì)劃才可以說是確定下來了。信息安全風(fēng)險評估項(xiàng)目極其復(fù)雜，很多因素?zé)o論是內(nèi)部的還是外部的，都對項(xiàng)目有很大的影響，并且鑒于有限的項(xiàng)目組成員，所以需要采用一個更加合適的進(jìn)度計(jì)劃形式。②控制進(jìn)度�？刂七M(jìn)度的同時也是一個對項(xiàng)目監(jiān)督管理的過程，這一過程根據(jù)進(jìn)度計(jì)劃的基準(zhǔn)不斷地調(diào)整項(xiàng)目的進(jìn)程。進(jìn)度控制程序：一般分為四個步驟，即先要分析一個項(xiàng)目所散發(fā)的狀態(tài)信息；然后如果需要調(diào)整進(jìn)度，就要調(diào)整影響進(jìn)度的相關(guān)參數(shù)；再次分析以后，要確定一個項(xiàng)目是否在原定的軌道上；如果進(jìn)度脫離了軌道，就要進(jìn)行相應(yīng)的管理。

　　3.4項(xiàng)目成本管理

　　成本管理包括估算成本、制定預(yù)算、控制成本三項(xiàng)任務(wù)。

　�。�1）估算成本。對成本的估算需要囊括整個項(xiàng)目的進(jìn)程，時間跨度和空間跨度上均要全面。成本估算是在某特定時點(diǎn)，根據(jù)已知信息所做出的成本預(yù)測。信息安全風(fēng)險評估項(xiàng)目的主要成本是人工成本及實(shí)施直接成本，因?yàn)槿斯こ杀菊剂怂�有成本的一大部分，所以精確地估算人工成本是成本估算最基礎(chǔ)的一面。估算人工成本有個前提，即進(jìn)度計(jì)劃是準(zhǔn)確的，從而對團(tuán)隊(duì)成員的人工估算做到精確。項(xiàng)目成本即使估算出來了，也不一定是準(zhǔn)確的，需要時時修正，因?yàn)樵降搅隧?xiàng)目的后期，需要估計(jì)的越少，影響估算準(zhǔn)確性的因素也越少，所以成本估算需要不斷進(jìn)行。

　�。�2）制定預(yù)算。制定預(yù)算也是一個估算的過程，是對一個項(xiàng)目的所有方面進(jìn)行一個全面的評估，從而為以后資金的撥付制訂了基礎(chǔ)和基準(zhǔn)。只有制定預(yù)算，才能夠根據(jù)預(yù)算的需求來劃撥資金，并且影響到了項(xiàng)目的實(shí)施全過程和成果評估部分。

　�。�3）控制成本。成本的控制一般而言指的是成本不應(yīng)該超出預(yù)算，控制成本是一個動態(tài)的過程，是監(jiān)督項(xiàng)目狀態(tài)，從而獲得有用信息以更新項(xiàng)目預(yù)算。項(xiàng)目成本控制包括：找出影響項(xiàng)目成本的因素，并作相應(yīng)的修改；保證修改項(xiàng)目參數(shù)能夠成功；在修改成功以后，要隨時動態(tài)地監(jiān)督；控制成本，使得成本控制在預(yù)算的范圍之內(nèi)，甚至應(yīng)該精確到每一項(xiàng)開支；分析成本與預(yù)算成本基準(zhǔn)之間的差距；對照資金支出，監(jiān)督工作績效；嚴(yán)格禁止不相關(guān)的支出，使得每一項(xiàng)成本都合情合理；向有關(guān)干系人匯報項(xiàng)目進(jìn)展和成本控制的工作；即使項(xiàng)目超支了，也要盡量減少成本。

　　3.5人力資源管理

　　人力資源管理在一個項(xiàng)目執(zhí)行時包括很多方面的內(nèi)容，例如管理組織一個實(shí)施團(tuán)隊(duì)、人員分工等。

　　（1）制定人力資源計(jì)劃。制定人力資源計(jì)劃是在項(xiàng)目實(shí)施之前對實(shí)施項(xiàng)目的團(tuán)隊(duì)、人員、職務(wù)、報酬等方面的規(guī)劃，并且對各個人和團(tuán)隊(duì)的責(zé)任進(jìn)行詳細(xì)劃分。人力資源計(jì)劃包含項(xiàng)目角色與職責(zé)記錄、分成的各個部門等。一些信息安全風(fēng)險評估項(xiàng)目執(zhí)行時間比較長，因此需要更加有效的團(tuán)隊(duì)，這就需要對人員進(jìn)行培訓(xùn)以及制定團(tuán)隊(duì)建設(shè)策略等。風(fēng)險評估項(xiàng)目的責(zé)任分配并不復(fù)雜，可采用責(zé)任分配矩陣（RAM），這個矩陣能夠顯示工作包或活動與項(xiàng)目團(tuán)隊(duì)成員之間的聯(lián)系。并且根據(jù)需求的不同，制定不同層次的矩陣。

　�。�2）組建項(xiàng)目團(tuán)隊(duì)。組建項(xiàng)目團(tuán)隊(duì)實(shí)際上是對人力資源使用和分配的過程，需要了解人力資源的各種特性，從而組建最合適的管理團(tuán)隊(duì)，在組建團(tuán)隊(duì)時需要注意：項(xiàng)目經(jīng)理所要做的是積極地與人力資源人員進(jìn)行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時候項(xiàng)目經(jīng)理并不能總是如愿地獲得自己想要的人力資源，而是會受到如經(jīng)濟(jì)等其他項(xiàng)目對資源的占用等因素的影響，從而制約了項(xiàng)目的實(shí)施，作為替代，項(xiàng)目經(jīng)理可能不可避免地使用不合適的人力資源。

　�。�3）管理項(xiàng)目團(tuán)隊(duì)。管理項(xiàng)目團(tuán)隊(duì)是選出來運(yùn)營項(xiàng)目的人所組成的團(tuán)隊(duì)，他們具有多樣化的目標(biāo)，例如繼續(xù)學(xué)習(xí)，提高團(tuán)隊(duì)成員的專業(yè)技能，增強(qiáng)團(tuán)隊(duì)的執(zhí)行能力從而保證項(xiàng)目結(jié)果的按時交付；以最低的成本完成最高質(zhì)量的項(xiàng)目；按時完成項(xiàng)目，團(tuán)隊(duì)成員之間相互協(xié)作，增加團(tuán)隊(duì)效率，豐富團(tuán)隊(duì)成員的知識，增強(qiáng)其跨學(xué)科運(yùn)作能力，提高團(tuán)隊(duì)的凝聚力，無論整體上還是個人上都有效率的提升等。項(xiàng)目經(jīng)理在期間應(yīng)該全權(quán)負(fù)責(zé)項(xiàng)目團(tuán)隊(duì)的管理運(yùn)作，增加項(xiàng)目績效，在團(tuán)隊(duì)出現(xiàn)問題時，分析導(dǎo)致問題的原因，然后解決問題。團(tuán)隊(duì)建設(shè)一般要經(jīng)過5個階段：

　�、傩纬呻A段，這個階段是團(tuán)隊(duì)形成的最初階段，團(tuán)隊(duì)成員只是互相認(rèn)識，并沒有相應(yīng)的合作。

　　②震蕩階段，指的是團(tuán)隊(duì)已經(jīng)開始運(yùn)作，但是成員之間需要磨合的階段。

　�、垡�(guī)范階段，過了磨合期以后，團(tuán)隊(duì)成員彼此之間逐漸適應(yīng)了彼此的節(jié)奏，能夠進(jìn)行初步合作了，團(tuán)隊(duì)開始有成為一個有效整體的趨向。

　�、艹墒祀A段，這一階段團(tuán)隊(duì)成員之間已經(jīng)能夠精誠合作，互補(bǔ)余缺，相互學(xué)習(xí)，團(tuán)隊(duì)效率較高。

　　⑤解散階段，即當(dāng)項(xiàng)目完成以后，各成員完成了職責(zé)，從而脫離團(tuán)隊(duì)。因?yàn)楦鞣N各樣的原因，例如缺乏充足的資金、進(jìn)度安排不合理、團(tuán)隊(duì)成員之間缺乏配合等，會造成項(xiàng)目環(huán)境的沖突。如果項(xiàng)目經(jīng)理能有效管理，則意見分歧能夠轉(zhuǎn)變?yōu)閳F(tuán)隊(duì)的多樣化管理，不僅能夠提高團(tuán)隊(duì)創(chuàng)造力還有利于做出更好的決策。如果管理不當(dāng)，團(tuán)隊(duì)之間的分歧沒有得到解決，就可能會加大團(tuán)隊(duì)成員之間的鴻溝，從而對項(xiàng)目的實(shí)施產(chǎn)生負(fù)面的影響。要建設(shè)高效的項(xiàng)目團(tuán)隊(duì)，項(xiàng)目經(jīng)理需要獲得高層管理者的支持，獲得團(tuán)隊(duì)成員的承諾，采用適當(dāng)?shù)莫剟詈驼J(rèn)可機(jī)制，創(chuàng)建團(tuán)隊(duì)認(rèn)同感，有效管理沖突，團(tuán)隊(duì)成員間增進(jìn)信任和開放式溝通，特別是要有良好的團(tuán)隊(duì)領(lǐng)導(dǎo)力。項(xiàng)目團(tuán)隊(duì)管理的一些工具與技術(shù)包括：

　�、偃穗H關(guān)系技能。通過了解項(xiàng)目團(tuán)隊(duì)成員的感情來預(yù)測其行動，了解其后顧之憂，并盡力幫助解決問題，項(xiàng)目管理團(tuán)隊(duì)可大大減少麻煩并促進(jìn)合作。

　�、谂嘤�(xùn)。旨在提高項(xiàng)目團(tuán)隊(duì)成員能力的全部活動，培訓(xùn)可以是正式或非正式的。應(yīng)該按人力資源計(jì)劃中的安排來實(shí)施預(yù)定的培訓(xùn)。

　�、壑贫ü芾硪�(guī)范，對項(xiàng)目團(tuán)隊(duì)成員的可接受行為做出明確規(guī)定。盡早制定并遵守明確的規(guī)則，可減少誤解，提高生產(chǎn)力。規(guī)則一旦建立，全體項(xiàng)目團(tuán)隊(duì)成員都必須遵守。

　�、苷J(rèn)可與獎勵。如果想要提高項(xiàng)目團(tuán)隊(duì)的效率，使得每個人更加盡心和更加富有責(zé)任感，就應(yīng)在團(tuán)隊(duì)建設(shè)過程中引進(jìn)相應(yīng)的激勵機(jī)制，在制定項(xiàng)目計(jì)劃時就應(yīng)該考慮到團(tuán)隊(duì)成員的獎懲問題。在管理項(xiàng)目團(tuán)隊(duì)的過程中，團(tuán)隊(duì)成員的獎勵不是隨意而發(fā)的，而是通過項(xiàng)目績效評價，以正式或非正式的方式做出獎勵決定。只有優(yōu)良行為才能得到獎勵。

　　3.6項(xiàng)目風(fēng)險管理

　　項(xiàng)目風(fēng)險管理旨在降低風(fēng)險，或者把風(fēng)險控制在可控范圍之內(nèi)。其目標(biāo)是盡力使得項(xiàng)目運(yùn)行向著有利的方面轉(zhuǎn)化，對消極負(fù)面的一部分則注意防范。信息安全風(fēng)險評估項(xiàng)目不屬于特別大的項(xiàng)目，所以一般分為識別風(fēng)險、評價風(fēng)險、規(guī)劃風(fēng)險應(yīng)對、監(jiān)控風(fēng)險四個過程。

　　（1）識別風(fēng)險。識別風(fēng)險是風(fēng)險管理的前提，是一個信息處理的過程，在這個過程中判斷分析什么樣的風(fēng)險會影響項(xiàng)目�？刹捎煤藢Ρ淼姆绞竭M(jìn)行風(fēng)險識別。

　�。�2）評價風(fēng)險。對于信息安全風(fēng)險評估項(xiàng)目，評價風(fēng)險只需要定性評價即可。實(shí)施定性風(fēng)險分析根據(jù)風(fēng)險發(fā)生的相對概率或可能性、風(fēng)險發(fā)生后對項(xiàng)目目標(biāo)的相應(yīng)影響以及其他因素來評估已識別風(fēng)險的優(yōu)先級。

　�。�3）規(guī)劃風(fēng)險應(yīng)對。規(guī)劃風(fēng)險應(yīng)對是風(fēng)險管理最重要的步驟，其規(guī)劃的是項(xiàng)目的目標(biāo)及降低風(fēng)險的步驟。對于消極風(fēng)險，常有回避、轉(zhuǎn)移、減輕、接受四種方式；對于積極風(fēng)險，常有開拓、分享、提高、接受四種方式。

　�。�4）監(jiān)控風(fēng)險。監(jiān)控風(fēng)險是風(fēng)險管理的最后一步，也是第一步，因?yàn)樗�是貫穿在整個項(xiàng)目之中，是一個制定風(fēng)險應(yīng)對計(jì)劃、監(jiān)控已知風(fēng)險、加強(qiáng)管理以解決風(fēng)險以及發(fā)現(xiàn)新風(fēng)險的過程。

　　4結(jié)語

　　信息安全風(fēng)險評估項(xiàng)目是個新興的行業(yè)，整體項(xiàng)目管理水平有待提高。在進(jìn)行項(xiàng)目管理時，需要結(jié)合項(xiàng)目特點(diǎn)靈活運(yùn)用項(xiàng)目管理的知識，有些知識領(lǐng)域應(yīng)該重點(diǎn)加強(qiáng)，有些知識領(lǐng)域可以適當(dāng)忽略，按時、合格地完成項(xiàng)目，得到滿意的項(xiàng)目結(jié)果，符合干系人的預(yù)期。

【信息安全風(fēng)險評估項(xiàng)目管理的論文】相關(guān)文章：

部隊(duì)信息安全保密風(fēng)險管理探究論文06-04

學(xué)校安全風(fēng)險評估報告06-03

學(xué)校安全風(fēng)險評估報告11-25

信息系統(tǒng)安全風(fēng)險評估報告（通用17篇）11-19

學(xué)校機(jī)房信息安全風(fēng)險評估報告范文（通用13篇）12-22

信息系統(tǒng)安全風(fēng)險評估報告范文（精選5篇）08-14

安全隱患風(fēng)險評估報告10-12

信息安全管理論文06-20

信息安全管理論文11-10

風(fēng)險評估方案09-24