信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目管理范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

1前言

查找信息資產(chǎn)存在的漏洞，結(jié)合現(xiàn)有控制措施，分析這些威脅被利用的可能性和造成的影響，根據(jù)可能性和影響評(píng)估風(fēng)險(xiǎn)的大小，提出風(fēng)險(xiǎn)控制措施的過程。《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號(hào)文），提出了“信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障的重要基礎(chǔ)性工作之一”。為了貫徹27號(hào)文的精神，進(jìn)一步識(shí)別信息系統(tǒng)存在的風(fēng)險(xiǎn)，并對(duì)其進(jìn)行控制，很多單位啟動(dòng)了風(fēng)險(xiǎn)評(píng)估項(xiàng)目。而風(fēng)險(xiǎn)評(píng)估項(xiàng)目又不同于一般的IT項(xiàng)目，有其自身的特點(diǎn)。

2信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的過程管理

可以從五個(gè)方面解釋信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的生命周期，即數(shù)據(jù)收集、計(jì)劃準(zhǔn)備、數(shù)據(jù)分析、項(xiàng)目驗(yàn)收、報(bào)告撰寫，其中一三五是風(fēng)險(xiǎn)評(píng)估的主要實(shí)施階段。

2.1計(jì)劃準(zhǔn)備階段

（1）制定項(xiàng)目章程。在信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目中，應(yīng)盡早確認(rèn)并任命項(xiàng)目經(jīng)理，最好在制定項(xiàng)目章程時(shí)就任命。項(xiàng)目經(jīng)理的職責(zé)首先就在于應(yīng)該參與制定項(xiàng)目章程，而該章程則具有授權(quán)的作用，即它能夠使得經(jīng)理能夠運(yùn)用組織資源來進(jìn)行項(xiàng)目的實(shí)施。顯而易見，項(xiàng)目經(jīng)理是被授權(quán)的一方，必然不能成為授權(quán)項(xiàng)目運(yùn)行有效的一方。授權(quán)項(xiàng)目啟動(dòng)的人一般而言能夠提供實(shí)施項(xiàng)目所需要的資金等資源，他們能夠參與章程的編制。

（2）確定風(fēng)險(xiǎn)評(píng)估范圍。確定風(fēng)險(xiǎn)評(píng)估范圍即要了解什么方面或者對(duì)象具有風(fēng)險(xiǎn)爆發(fā)的可能，例如公司的服務(wù)器數(shù)目、電腦操作系統(tǒng)的安全性和穩(wěn)定性、應(yīng)用的防火墻種類和數(shù)目等，甚至一些人為的因素也是重要的參考。

（3）明確風(fēng)險(xiǎn)評(píng)估成果。在信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目中，應(yīng)該在項(xiàng)目開始之前，與客戶將項(xiàng)目提交的成果及要求確定下來。明確風(fēng)險(xiǎn)評(píng)估成果之后，在項(xiàng)目執(zhí)行過程中，該目標(biāo)也應(yīng)該作為項(xiàng)目驗(yàn)收的標(biāo)準(zhǔn)。

（4）制定項(xiàng)目實(shí)施方案。項(xiàng)目實(shí)施方案是項(xiàng)目活動(dòng)實(shí)施的具體流程，主要用來為項(xiàng)目實(shí)施提供技術(shù)指導(dǎo)。

（5）制定項(xiàng)目管理計(jì)劃。如果想要計(jì)劃實(shí)施過程一切順利，或者說對(duì)定義等計(jì)劃行動(dòng)的過程需要記錄的話，就會(huì)需要制定一個(gè)項(xiàng)目管理計(jì)劃。項(xiàng)目管理計(jì)劃需要通過不斷更新來漸進(jìn)明細(xì)。項(xiàng)目管理計(jì)劃不能冗余，相反應(yīng)該極其精煉，但是精煉并不意味著簡單，相反項(xiàng)目管理計(jì)劃應(yīng)詳細(xì)論述和解釋完成這個(gè)項(xiàng)目所需要的一些條件。

（6）組建項(xiàng)目團(tuán)隊(duì)。一個(gè)優(yōu)秀的項(xiàng)目團(tuán)隊(duì)是完成項(xiàng)目所必不可少的，是一種必須的人力資源。在項(xiàng)目開始時(shí)，一般而言，由項(xiàng)目經(jīng)理來決定優(yōu)秀團(tuán)隊(duì)的組成，并且在組建團(tuán)隊(duì)時(shí)應(yīng)該注意談判技巧。

（7）召開項(xiàng)目啟動(dòng)會(huì)。項(xiàng)目啟動(dòng)會(huì)代表著一個(gè)項(xiàng)目從此開始了正式的運(yùn)作，是一個(gè)項(xiàng)目的啟動(dòng)階段，在項(xiàng)目啟動(dòng)會(huì)上需要完成的任務(wù)包括分析評(píng)估完成項(xiàng)目所需要的方法和成本等問題。

（8）風(fēng)險(xiǎn)評(píng)估培訓(xùn)。風(fēng)險(xiǎn)評(píng)估培訓(xùn)是對(duì)項(xiàng)目團(tuán)隊(duì)成員及客戶的項(xiàng)目參與者就風(fēng)險(xiǎn)評(píng)估方法、評(píng)估過程的相關(guān)細(xì)節(jié)性進(jìn)行培訓(xùn)，以便項(xiàng)目能順利實(shí)施。

2.2數(shù)據(jù)收集階段

主要包括收集資料、現(xiàn)場技術(shù)評(píng)估、現(xiàn)場管理評(píng)估三項(xiàng)任務(wù)。

（1）收集資料。數(shù)據(jù)收集階段最開始的步驟肯定是收集資料，簡而言之，收集資料就是采取一切可行的方法，盡可能詳細(xì)地獲得和項(xiàng)目相關(guān)的一些信息，例如客戶的行為習(xí)慣、客戶業(yè)務(wù)相關(guān)的文檔，甚至信息安全系統(tǒng)、信息化流程等信息都要盡量詳細(xì)化。

（2）現(xiàn)場技術(shù)評(píng)估?，F(xiàn)場技術(shù)評(píng)估就是通過漏洞掃描、問卷調(diào)查、現(xiàn)場訪談、主機(jī)配置審計(jì)、現(xiàn)場勘查等手段對(duì)評(píng)估對(duì)象進(jìn)行評(píng)估。

（3）現(xiàn)場管理評(píng)估?，F(xiàn)場管理評(píng)估是最后一個(gè)步驟，但是卻非常重要，它不僅關(guān)系著此次項(xiàng)目運(yùn)行成功與否，還關(guān)系到以后項(xiàng)目效率的改進(jìn)，現(xiàn)場評(píng)估需要對(duì)項(xiàng)目進(jìn)展的流程進(jìn)行綜合分析，找出不足之處，尋出與優(yōu)秀的項(xiàng)目管理之間的差距，歸納總結(jié)，從而完善管理程序。

2.3數(shù)據(jù)分析階段

收集數(shù)據(jù)階段已經(jīng)收集了很多的數(shù)據(jù)存量，想要發(fā)現(xiàn)數(shù)據(jù)的內(nèi)在規(guī)律，從而發(fā)現(xiàn)有用的東西，就必須對(duì)數(shù)據(jù)進(jìn)行詳細(xì)分析，只有仔細(xì)分析數(shù)據(jù)，才能夠發(fā)現(xiàn)項(xiàng)目的風(fēng)險(xiǎn)所在，從而確定風(fēng)險(xiǎn)的大小，找出其資產(chǎn)、弱點(diǎn)、風(fēng)險(xiǎn)。

2.4報(bào)告撰寫階段

對(duì)收集到的數(shù)據(jù)進(jìn)行了詳細(xì)分析，得到初步的結(jié)論以后，就到了報(bào)告撰寫階段，即在數(shù)據(jù)分析的基礎(chǔ)上，制作一份報(bào)告，論述項(xiàng)目的風(fēng)險(xiǎn)問題。

（1）撰寫風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)該將風(fēng)險(xiǎn)分析的結(jié)果直觀地、形象地表達(dá)出來，讓管理層清楚地了解當(dāng)前信息系統(tǒng)存在的風(fēng)險(xiǎn)。

（2）撰寫整改報(bào)告。整改報(bào)告則是根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，提出對(duì)風(fēng)險(xiǎn)進(jìn)行管理與控制的過程。可分為安全加固建議、安全體系結(jié)構(gòu)建議、安全管理建議三種。

2.5項(xiàng)目驗(yàn)收階段

在完成了以上的步驟以后，理論上就可以對(duì)項(xiàng)目進(jìn)行驗(yàn)收了，項(xiàng)目驗(yàn)收即對(duì)前期風(fēng)險(xiǎn)評(píng)估成果的檢驗(yàn)，一般包括三項(xiàng)內(nèi)容，即報(bào)告的評(píng)審、組織會(huì)議討論驗(yàn)收事宜以及內(nèi)部項(xiàng)目總結(jié)。

（1）報(bào)告評(píng)審報(bào)告評(píng)審就是對(duì)風(fēng)險(xiǎn)評(píng)估報(bào)告及整改報(bào)告進(jìn)行評(píng)審。

（2）召開項(xiàng)目驗(yàn)收會(huì)即對(duì)項(xiàng)目的成果進(jìn)行匯報(bào)。

（3）內(nèi)部項(xiàng)目總結(jié)不僅僅是單純的對(duì)項(xiàng)目實(shí)施過程的一次簡單的回顧，還是一個(gè)經(jīng)驗(yàn)總結(jié)的過程，回顧過去，把握現(xiàn)在，爭取在以后的項(xiàng)目中不再犯同樣的錯(cuò)誤。

3信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的重點(diǎn)領(lǐng)域管理

信息安全問題影響深遠(yuǎn)，其風(fēng)險(xiǎn)評(píng)估應(yīng)根據(jù)項(xiàng)目的特點(diǎn)及具體過程，且應(yīng)在評(píng)估中重點(diǎn)加強(qiáng)溝通、范圍、時(shí)間、成本、風(fēng)險(xiǎn)、人力資源等幾個(gè)領(lǐng)域的管理。

3.1項(xiàng)目溝通管理

為了達(dá)到項(xiàng)目目標(biāo)，項(xiàng)目經(jīng)理首先必須通過溝通談判從本公司獲得相應(yīng)的人力資源等支持；其次，為了獲得客戶的支持與配合，提高項(xiàng)目滿意度，項(xiàng)目經(jīng)理必須與客戶進(jìn)行有效溝通。項(xiàng)目的最終目標(biāo)是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望，首先應(yīng)該識(shí)別干系人，識(shí)別他們的需求與期望，制定溝通計(jì)劃，在項(xiàng)目實(shí)施過程中管理干系人的需求與期望。

（1）識(shí)別干系人。很顯然，與項(xiàng)目的相關(guān)程度不同，不同的人對(duì)項(xiàng)目信息安全風(fēng)險(xiǎn)具有不同的影響，作為客戶方與項(xiàng)目實(shí)施方，其公司企業(yè)的信息安全風(fēng)險(xiǎn)是不一樣的，一般而言客戶方具有最大的影響力，公司方則次之，干系人對(duì)項(xiàng)目的態(tài)度也是影響項(xiàng)目信息安全風(fēng)險(xiǎn)的重要因素，態(tài)度一般分為無關(guān)、支持和反對(duì)三個(gè)。

（2）了解干系人的需求與期望。應(yīng)該在充分了解項(xiàng)目背景的基礎(chǔ)上，運(yùn)用一定的方法與技巧了解干系人的需求與期望。①了解項(xiàng)目背景。可以咨詢售前顧問、銷售人員或者查閱招標(biāo)時(shí)的招標(biāo)書，甚至可以通過互聯(lián)網(wǎng)獲得相關(guān)信息。風(fēng)險(xiǎn)評(píng)估項(xiàng)目的項(xiàng)目背景也是復(fù)雜的，一般而言會(huì)分成很多的情況，比較常見的有項(xiàng)目本身實(shí)施過程中出現(xiàn)的信息安全事件、監(jiān)管機(jī)制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求，然后通過換位思考、溝通交流等手段，進(jìn)一步確認(rèn)干系人的需求與期望。

（3）制定溝通計(jì)劃。信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目需要溝通，所以需要制定一個(gè)有效的溝通計(jì)劃。信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目不能夠隨意地制定溝通計(jì)劃，而應(yīng)該詳細(xì)地分析相關(guān)的影響因素，重點(diǎn)關(guān)注利益相關(guān)者的溝通情況，從而降低影響，提高效率。

（4）管理干系人的需求與期望。干系人的期望與需求也應(yīng)該得到恰當(dāng)?shù)墓芾?，最重要的是要明確期望與需求，進(jìn)行類別的劃分。可分為A、B、C三類：A類：必須做（need），這一類如不做，將難以通過驗(yàn)收；B類：應(yīng)該做（want），這一類如不做，會(huì)影響驗(yàn)收效果；C類：可以做（wish），這一類是可做可不做的，做了客戶會(huì)更加滿意，不做也不會(huì)影響驗(yàn)收。其次，在管理干系人的需求與期望時(shí)，應(yīng)該遵循80/20規(guī)則，即完成20%的任務(wù)實(shí)現(xiàn)80%的價(jià)值，這部分任務(wù)必須作為重點(diǎn)。另外，可能還有20%的任務(wù)花費(fèi)80%的成本，在資源及時(shí)間允許的情況下處理此類需求與期望。再次，在管理干系人的需求與期望時(shí)也可以根據(jù)干系人的職權(quán)（權(quán)力）進(jìn)行管理。①在第一象限中的干系人權(quán)力高，但對(duì)項(xiàng)目關(guān)注程度低，采用令其滿意的管理策略。②在第二象限中的干系人權(quán)力高，且對(duì)項(xiàng)目關(guān)注程度高，要對(duì)其重點(diǎn)管理，優(yōu)先滿足其需要與期望。③第三象限的人員對(duì)項(xiàng)目關(guān)注程度高，但權(quán)力較低，采用隨時(shí)告知的策略，盡量不要影響其個(gè)人利益。④第四象限的人權(quán)力低，且對(duì)項(xiàng)目不關(guān)注，要監(jiān)督他們對(duì)項(xiàng)目的反應(yīng)，不引起負(fù)面影響。最后，為了滿足干系人的需求與期望，需要在項(xiàng)目范圍、項(xiàng)目時(shí)間、項(xiàng)目成本、項(xiàng)目質(zhì)量之間做好平衡。

3.2項(xiàng)目范圍管理

范圍是一個(gè)空間的范疇，一個(gè)項(xiàng)目管理的范圍規(guī)定了一個(gè)項(xiàng)目的權(quán)限范圍，規(guī)定了項(xiàng)目可以做哪些事情，而哪些事情是不能做的，實(shí)際上是對(duì)必要工作的堅(jiān)持和對(duì)不必要工作的摒棄。

（1）明確風(fēng)險(xiǎn)評(píng)估范圍。項(xiàng)目計(jì)劃準(zhǔn)備時(shí)就要考慮風(fēng)險(xiǎn)評(píng)估范圍，在這一階段就應(yīng)該定義項(xiàng)目范圍的廣泛性以及縱深等內(nèi)容，并且考慮客戶的需求，從而明確項(xiàng)目管理范圍。項(xiàng)目范圍的確定不是一方所能夠決定的，相反這是一個(gè)博弈的過程，應(yīng)該照顧各方的利益，制定出一個(gè)符合各方利益的項(xiàng)目管理范圍。

（2）明確風(fēng)險(xiǎn)評(píng)估成果。應(yīng)該在項(xiàng)目開始之前，與客戶將項(xiàng)目提交的成果及要求確定下來。一是在項(xiàng)目執(zhí)行過程中，以此為目標(biāo)；二是設(shè)定一個(gè)驗(yàn)收項(xiàng)目的標(biāo)準(zhǔn)。

（3）創(chuàng)建工作分解結(jié)構(gòu)。顧名思義，創(chuàng)建工作分解結(jié)構(gòu)即將解構(gòu)分解，即把項(xiàng)目的最后結(jié)果和其工作流程明細(xì)化，從而使得每一步變得簡單，更加容易操作。在信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目中，第一層一般就放置項(xiàng)目成果，而第二層則更加側(cè)重中間成果。顯而易見，分解工作結(jié)構(gòu)并不是一件簡單的事情，也不是只有一種方法，各層次都是可以相互變化的。

（4）風(fēng)險(xiǎn)評(píng)估范圍控制。范圍是所有計(jì)劃的基礎(chǔ)。對(duì)待客戶提出范圍變更應(yīng)該遵循以下流程：首先不能明確拒絕，然后要分析客戶變更的原因及目的，快速反應(yīng)變更所需要的人工及預(yù)算對(duì)時(shí)間和質(zhì)量的影響，然后再做出決定。

（5）風(fēng)險(xiǎn)評(píng)估成果核實(shí)。風(fēng)險(xiǎn)評(píng)估成果核實(shí)過程應(yīng)該嚴(yán)謹(jǐn)而且細(xì)心，因?yàn)檫@是一個(gè)正式驗(yàn)收項(xiàng)目的過程，需要由客戶和項(xiàng)目的執(zhí)行人一起認(rèn)真核實(shí)項(xiàng)目的最終結(jié)果。

（6）取得干系人對(duì)項(xiàng)目范圍正式認(rèn)可。它要求審查可交付成果和工作結(jié)果，以保證一切均已正確無誤且令人滿意地完成。

3.3項(xiàng)目時(shí)間管理

時(shí)間管理至關(guān)重要，因?yàn)閮?yōu)秀的時(shí)間管理保證項(xiàng)目能夠不延期交付。

（1）定義活動(dòng)。定義活動(dòng)從字面上理解就是一個(gè)識(shí)別的過程，定義識(shí)別的是在項(xiàng)目的實(shí)施過程中需要采取的一切實(shí)施方法和步驟。它是在工作分解結(jié)構(gòu)的基礎(chǔ)上進(jìn)行細(xì)化而完成的。

（2）排列活動(dòng)順序?；顒?dòng)順序涉及到的是一個(gè)排列的問題，指的是一種依賴關(guān)系，即識(shí)別和記錄項(xiàng)目活動(dòng)的依賴關(guān)系，是一種邏輯的過程。一般而言，這里所指的依賴關(guān)系指的是信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目中，各個(gè)活動(dòng)之間所具有的特性，如強(qiáng)制性、選擇性和外部依賴性。確定完活動(dòng)之間的依賴關(guān)系，就可以對(duì)他們進(jìn)行排序了，可以采用網(wǎng)絡(luò)圖的方法來表達(dá)他們之間的順序，常有三種關(guān)系，即完成-開始，開始-開始，結(jié)束-結(jié)束。

（3）估算活動(dòng)持續(xù)時(shí)間。估算活動(dòng)持續(xù)時(shí)間是一個(gè)時(shí)間上的范疇，指的是估計(jì)資源運(yùn)用和消耗，以及估計(jì)完成一項(xiàng)活動(dòng)所需工時(shí)的過程。需要根據(jù)活動(dòng)的具體情況、負(fù)責(zé)活動(dòng)的人員情況來進(jìn)行估算。估算不能隨意，應(yīng)該具有嚴(yán)格的依據(jù)。工時(shí)估算時(shí)，常采用三點(diǎn)估算法。即估算工時(shí)=（最樂觀時(shí)間+4×最可能時(shí)間+最悲觀時(shí)間）/6。①制定進(jìn)度計(jì)劃。制定進(jìn)度計(jì)劃首先需要對(duì)所掌握的信息進(jìn)行深入分析，從而確定活動(dòng)的順序，并且在時(shí)間和空間上確定一個(gè)相對(duì)準(zhǔn)確的點(diǎn)，估算對(duì)資源的需求以及項(xiàng)目實(shí)施流程。制定一個(gè)有效的進(jìn)度計(jì)劃并不是件簡單的事情，而是極其復(fù)雜的過程，在這期間需要一遍又一遍分析，從而確定一個(gè)合適的時(shí)間跨度，并且對(duì)項(xiàng)目結(jié)果有一個(gè)合適的預(yù)期。即使制訂了進(jìn)度計(jì)劃，也不是一成不變的，而是要根據(jù)相關(guān)審查部門的意見適當(dāng)?shù)匦薷挠?jì)劃，從而使得計(jì)劃在時(shí)間和資源應(yīng)用上更加合理。只有審查通過以后，這個(gè)進(jìn)度計(jì)劃才可以說是確定下來了。信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目極其復(fù)雜，很多因素?zé)o論是內(nèi)部的還是外部的，都對(duì)項(xiàng)目有很大的影響，并且鑒于有限的項(xiàng)目組成員，所以需要采用一個(gè)更加合適的進(jìn)度計(jì)劃形式。②控制進(jìn)度?？刂七M(jìn)度的同時(shí)也是一個(gè)對(duì)項(xiàng)目監(jiān)督管理的過程，這一過程根據(jù)進(jìn)度計(jì)劃的基準(zhǔn)不斷地調(diào)整項(xiàng)目的進(jìn)程。進(jìn)度控制程序：一般分為四個(gè)步驟，即先要分析一個(gè)項(xiàng)目所散發(fā)的狀態(tài)信息；然后如果需要調(diào)整進(jìn)度，就要調(diào)整影響進(jìn)度的相關(guān)參數(shù)；再次分析以后，要確定一個(gè)項(xiàng)目是否在原定的軌道上；如果進(jìn)度脫離了軌道，就要進(jìn)行相應(yīng)的管理。

3.4項(xiàng)目成本管理

成本管理包括估算成本、制定預(yù)算、控制成本三項(xiàng)任務(wù)。

（1）估算成本。對(duì)成本的估算需要囊括整個(gè)項(xiàng)目的進(jìn)程，時(shí)間跨度和空間跨度上均要全面。成本估算是在某特定時(shí)點(diǎn)，根據(jù)已知信息所做出的成本預(yù)測。信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目的主要成本是人工成本及實(shí)施直接成本，因?yàn)槿斯こ杀菊剂怂谐杀镜囊淮蟛糠?，所以精確地估算人工成本是成本估算最基礎(chǔ)的一面。估算人工成本有個(gè)前提，即進(jìn)度計(jì)劃是準(zhǔn)確的，從而對(duì)團(tuán)隊(duì)成員的人工估算做到精確。項(xiàng)目成本即使估算出來了，也不一定是準(zhǔn)確的，需要時(shí)時(shí)修正，因?yàn)樵降搅隧?xiàng)目的后期，需要估計(jì)的越少，影響估算準(zhǔn)確性的因素也越少，所以成本估算需要不斷進(jìn)行。

（2）制定預(yù)算。制定預(yù)算也是一個(gè)估算的過程，是對(duì)一個(gè)項(xiàng)目的所有方面進(jìn)行一個(gè)全面的評(píng)估，從而為以后資金的撥付制訂了基礎(chǔ)和基準(zhǔn)。只有制定預(yù)算，才能夠根據(jù)預(yù)算的需求來劃撥資金，并且影響到了項(xiàng)目的實(shí)施全過程和成果評(píng)估部分。

（3）控制成本。成本的控制一般而言指的是成本不應(yīng)該超出預(yù)算，控制成本是一個(gè)動(dòng)態(tài)的過程，是監(jiān)督項(xiàng)目狀態(tài)，從而獲得有用信息以更新項(xiàng)目預(yù)算。項(xiàng)目成本控制包括：找出影響項(xiàng)目成本的因素，并作相應(yīng)的修改；保證修改項(xiàng)目參數(shù)能夠成功；在修改成功以后，要隨時(shí)動(dòng)態(tài)地監(jiān)督；控制成本，使得成本控制在預(yù)算的范圍之內(nèi)，甚至應(yīng)該精確到每一項(xiàng)開支；分析成本與預(yù)算成本基準(zhǔn)之間的差距；對(duì)照資金支出，監(jiān)督工作績效；嚴(yán)格禁止不相關(guān)的支出，使得每一項(xiàng)成本都合情合理；向有關(guān)干系人匯報(bào)項(xiàng)目進(jìn)展和成本控制的工作；即使項(xiàng)目超支了，也要盡量減少成本。

3.5人力資源管理

人力資源管理在一個(gè)項(xiàng)目執(zhí)行時(shí)包括很多方面的內(nèi)容，例如管理組織一個(gè)實(shí)施團(tuán)隊(duì)、人員分工等。

（1）制定人力資源計(jì)劃。制定人力資源計(jì)劃是在項(xiàng)目實(shí)施之前對(duì)實(shí)施項(xiàng)目的團(tuán)隊(duì)、人員、職務(wù)、報(bào)酬等方面的規(guī)劃，并且對(duì)各個(gè)人和團(tuán)隊(duì)的責(zé)任進(jìn)行詳細(xì)劃分。人力資源計(jì)劃包含項(xiàng)目角色與職責(zé)記錄、分成的各個(gè)部門等。一些信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目執(zhí)行時(shí)間比較長，因此需要更加有效的團(tuán)隊(duì)，這就需要對(duì)人員進(jìn)行培訓(xùn)以及制定團(tuán)隊(duì)建設(shè)策略等。風(fēng)險(xiǎn)評(píng)估項(xiàng)目的責(zé)任分配并不復(fù)雜，可采用責(zé)任分配矩陣（RAM），這個(gè)矩陣能夠顯示工作包或活動(dòng)與項(xiàng)目團(tuán)隊(duì)成員之間的聯(lián)系。并且根據(jù)需求的不同，制定不同層次的矩陣。

（2）組建項(xiàng)目團(tuán)隊(duì)。組建項(xiàng)目團(tuán)隊(duì)實(shí)際上是對(duì)人力資源使用和分配的過程，需要了解人力資源的各種特性，從而組建最合適的管理團(tuán)隊(duì)，在組建團(tuán)隊(duì)時(shí)需要注意：項(xiàng)目經(jīng)理所要做的是積極地與人力資源人員進(jìn)行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時(shí)候項(xiàng)目經(jīng)理并不能總是如愿地獲得自己想要的人力資源，而是會(huì)受到如經(jīng)濟(jì)等其他項(xiàng)目對(duì)資源的占用等因素的影響，從而制約了項(xiàng)目的實(shí)施，作為替代，項(xiàng)目經(jīng)理可能不可避免地使用不合適的人力資源。

（3）管理項(xiàng)目團(tuán)隊(duì)。管理項(xiàng)目團(tuán)隊(duì)是選出來運(yùn)營項(xiàng)目的人所組成的團(tuán)隊(duì)，他們具有多樣化的目標(biāo)，例如繼續(xù)學(xué)習(xí)，提高團(tuán)隊(duì)成員的專業(yè)技能，增強(qiáng)團(tuán)隊(duì)的執(zhí)行能力從而保證項(xiàng)目結(jié)果的按時(shí)交付；以最低的成本完成最高質(zhì)量的項(xiàng)目；按時(shí)完成項(xiàng)目，團(tuán)隊(duì)成員之間相互協(xié)作，增加團(tuán)隊(duì)效率，豐富團(tuán)隊(duì)成員的知識(shí)，增強(qiáng)其跨學(xué)科運(yùn)作能力，提高團(tuán)隊(duì)的凝聚力，無論整體上還是個(gè)人上都有效率的提升等。項(xiàng)目經(jīng)理在期間應(yīng)該全權(quán)負(fù)責(zé)項(xiàng)目團(tuán)隊(duì)的管理運(yùn)作，增加項(xiàng)目績效，在團(tuán)隊(duì)出現(xiàn)問題時(shí)，分析導(dǎo)致問題的原因，然后解決問題。團(tuán)隊(duì)建設(shè)一般要經(jīng)過5個(gè)階段：①形成階段，這個(gè)階段是團(tuán)隊(duì)形成的最初階段，團(tuán)隊(duì)成員只是互相認(rèn)識(shí)，并沒有相應(yīng)的合作。②震蕩階段，指的是團(tuán)隊(duì)已經(jīng)開始運(yùn)作，但是成員之間需要磨合的階段。③規(guī)范階段，過了磨合期以后，團(tuán)隊(duì)成員彼此之間逐漸適應(yīng)了彼此的節(jié)奏，能夠進(jìn)行初步合作了，團(tuán)隊(duì)開始有成為一個(gè)有效整體的趨向。④成熟階段，這一階段團(tuán)隊(duì)成員之間已經(jīng)能夠精誠合作，互補(bǔ)余缺，相互學(xué)習(xí)，團(tuán)隊(duì)效率較高。⑤解散階段，即當(dāng)項(xiàng)目完成以后，各成員完成了職責(zé)，從而脫離團(tuán)隊(duì)。因?yàn)楦鞣N各樣的原因，例如缺乏充足的資金、進(jìn)度安排不合理、團(tuán)隊(duì)成員之間缺乏配合等，會(huì)造成項(xiàng)目環(huán)境的沖突。如果項(xiàng)目經(jīng)理能有效管理，則意見分歧能夠轉(zhuǎn)變?yōu)閳F(tuán)隊(duì)的多樣化管理，不僅能夠提高團(tuán)隊(duì)創(chuàng)造力還有利于做出更好的決策。如果管理不當(dāng)，團(tuán)隊(duì)之間的分歧沒有得到解決，就可能會(huì)加大團(tuán)隊(duì)成員之間的鴻溝，從而對(duì)項(xiàng)目的實(shí)施產(chǎn)生負(fù)面的影響。要建設(shè)高效的項(xiàng)目團(tuán)隊(duì)，項(xiàng)目經(jīng)理需要獲得高層管理者的支持，獲得團(tuán)隊(duì)成員的承諾，采用適當(dāng)?shù)莫?jiǎng)勵(lì)和認(rèn)可機(jī)制，創(chuàng)建團(tuán)隊(duì)認(rèn)同感，有效管理沖突，團(tuán)隊(duì)成員間增進(jìn)信任和開放式溝通，特別是要有良好的團(tuán)隊(duì)領(lǐng)導(dǎo)力。項(xiàng)目團(tuán)隊(duì)管理的一些工具與技術(shù)包括：①人際關(guān)系技能。通過了解項(xiàng)目團(tuán)隊(duì)成員的感情來預(yù)測其行動(dòng)，了解其后顧之憂，并盡力幫助解決問題，項(xiàng)目管理團(tuán)隊(duì)可大大減少麻煩并促進(jìn)合作。②培訓(xùn)。旨在提高項(xiàng)目團(tuán)隊(duì)成員能力的全部活動(dòng)，培訓(xùn)可以是正式或非正式的。應(yīng)該按人力資源計(jì)劃中的安排來實(shí)施預(yù)定的培訓(xùn)。③制定管理規(guī)范，對(duì)項(xiàng)目團(tuán)隊(duì)成員的可接受行為做出明確規(guī)定。盡早制定并遵守明確的規(guī)則，可減少誤解，提高生產(chǎn)力。規(guī)則一旦建立，全體項(xiàng)目團(tuán)隊(duì)成員都必須遵守。④認(rèn)可與獎(jiǎng)勵(lì)。如果想要提高項(xiàng)目團(tuán)隊(duì)的效率，使得每個(gè)人更加盡心和更加富有責(zé)任感，就應(yīng)在團(tuán)隊(duì)建設(shè)過程中引進(jìn)相應(yīng)的激勵(lì)機(jī)制，在制定項(xiàng)目計(jì)劃時(shí)就應(yīng)該考慮到團(tuán)隊(duì)成員的獎(jiǎng)懲問題。在管理項(xiàng)目團(tuán)隊(duì)的過程中，團(tuán)隊(duì)成員的獎(jiǎng)勵(lì)不是隨意而發(fā)的，而是通過項(xiàng)目績效評(píng)價(jià)，以正式或非正式的方式做出獎(jiǎng)勵(lì)決定。只有優(yōu)良行為才能得到獎(jiǎng)勵(lì)。

3.6項(xiàng)目風(fēng)險(xiǎn)管理

項(xiàng)目風(fēng)險(xiǎn)管理旨在降低風(fēng)險(xiǎn)，或者把風(fēng)險(xiǎn)控制在可控范圍之內(nèi)。其目標(biāo)是盡力使得項(xiàng)目運(yùn)行向著有利的方面轉(zhuǎn)化，對(duì)消極負(fù)面的一部分則注意防范。信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目不屬于特別大的項(xiàng)目，所以一般分為識(shí)別風(fēng)險(xiǎn)、評(píng)價(jià)風(fēng)險(xiǎn)、規(guī)劃風(fēng)險(xiǎn)應(yīng)對(duì)、監(jiān)控風(fēng)險(xiǎn)四個(gè)過程。

（1）識(shí)別風(fēng)險(xiǎn)。識(shí)別風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理的前提，是一個(gè)信息處理的過程，在這個(gè)過程中判斷分析什么樣的風(fēng)險(xiǎn)會(huì)影響項(xiàng)目。可采用核對(duì)表的方式進(jìn)行風(fēng)險(xiǎn)識(shí)別。

（2）評(píng)價(jià)風(fēng)險(xiǎn)。對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目，評(píng)價(jià)風(fēng)險(xiǎn)只需要定性評(píng)價(jià)即可。實(shí)施定性風(fēng)險(xiǎn)分析根據(jù)風(fēng)險(xiǎn)發(fā)生的相對(duì)概率或可能性、風(fēng)險(xiǎn)發(fā)生后對(duì)項(xiàng)目目標(biāo)的相應(yīng)影響以及其他因素來評(píng)估已識(shí)別風(fēng)險(xiǎn)的優(yōu)先級(jí)。

（3）規(guī)劃風(fēng)險(xiǎn)應(yīng)對(duì)。規(guī)劃風(fēng)險(xiǎn)應(yīng)對(duì)是風(fēng)險(xiǎn)管理最重要的步驟，其規(guī)劃的是項(xiàng)目的目標(biāo)及降低風(fēng)險(xiǎn)的步驟。對(duì)于消極風(fēng)險(xiǎn)，常有回避、轉(zhuǎn)移、減輕、接受四種方式；對(duì)于積極風(fēng)險(xiǎn)，常有開拓、分享、提高、接受四種方式。

（4）監(jiān)控風(fēng)險(xiǎn)。監(jiān)控風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理的最后一步，也是第一步，因?yàn)樗秦灤┰谡麄€(gè)項(xiàng)目之中，是一個(gè)制定風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃、監(jiān)控已知風(fēng)險(xiǎn)、加強(qiáng)管理以解決風(fēng)險(xiǎn)以及發(fā)現(xiàn)新風(fēng)險(xiǎn)的過程。

4結(jié)語

信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目是個(gè)新興的行業(yè)，整體項(xiàng)目管理水平有待提高。在進(jìn)行項(xiàng)目管理時(shí)，需要結(jié)合項(xiàng)目特點(diǎn)靈活運(yùn)用項(xiàng)目管理的知識(shí)，有些知識(shí)領(lǐng)域應(yīng)該重點(diǎn)加強(qiáng)，有些知識(shí)領(lǐng)域可以適當(dāng)忽略，按時(shí)、合格地完成項(xiàng)目，得到滿意的項(xiàng)目結(jié)果，符合干系人的預(yù)期。

作者：李永波 單位：甘肅農(nóng)業(yè)大學(xué) 麗水職業(yè)技術(shù)學(xué)院