3.5 项目管理基础
3.5.1 项目管理概述
信息安全风险管理活动通常以项目管理的方式进行。本节以信息安全风险评估项目为例,说明项目管理的相关定义、十大知识领域、生命周期和管理过程等项目管理的基本概念。
3.5.1.1 项目管理定义
1.项目的定义和特征
美国项目管理协会(PMI)在其出版的《项目管理知识体系指南》(Project Management Body of Knowledge,简称 PMBOK)中为项目所做的定义是:项目是为创造独特的产品、服务或成果而进行的临时性工作。例如:开发一项新产品、计划举行一项大型活动,以及开展一次信息安全风险评估等。
项目的基本特征表现在:有一个明确的目标;由一系列互相关联的任务构成,是有组织的整体;具有有限的资源(比如时间、人力和成本等)和生命周期;是一次性、独特性和不确定性的活动。
一个项目无论大小、特点如何,一般包括下列要素:具体交付的结果(产品或成果);明确的开始与结束日期(项目开始日期及其结束日期);既定的预算(包括人员、资金、设备、设施和资料等的限额)等。
2.管理的定义和特征
广义的管理是指运用科学的手段安排组织社会活动,使其有序进行,对应的英文是Administration或Regulation;狭义的管理是指为保证一个单位全部业务活动而实施的一系列计划、组织、协调、控制和决策的活动,对应的英文是Manage或Run。
管理通常包括五个要素:管理主体、管理客体、管理目标、管理方法和管理理论。此外,管理还有五大职能,分别为:计划、组织、指挥、监督和调节,其中计划是最基本职能。
3.项目管理的定义和分类
所谓项目管理,是指项目的管理者在有限的资源约束下,运用系统的观点、方法和理论,对项目涉及的全部工作进行有效的管理,即从项目的投资决策开始到项目结束的全过程进行计划、组织、指挥、协调、控制和评价,以实现项目的目标[14]。因此,项目具有一个包含四个阶段的生命周期——开始项目、组织与准备、执行项目、结束项目。
根据不同的运用领域,项目管理可以划分成三类,分别是信息项目管理、工程项目管理和投资项目管理,比如信息安全风险评估项目就是信息项目管理。
人类数千年来进行的组织工作和团队活动,都可以视为项目管理行为。但项目管理被发展、提炼成一种具有普遍科学规律的理论模式,却只是近几十年来的事。项目管理发展史研究专家以20世纪80年代为界,把项目管理划分为两个阶段:早期项目管理阶段和现代项目管理阶段。
3.5.1.2 项目管理发展历史与现状
1.早期项目管理阶段
项目管理最早起源于美国。在1950年至1980年期间,应用项目管理的主要是国防建设部门和建筑公司。传统的观点认为,项目管理者的工作就是单纯地完成既定的任务。有代表性的项目管理技术比如甘特图(Gantt Chart)、CPM(Critical Path Method,关键路径法)和PERT(Program Evaluation and Review Technique,计划评审技术),它们是三种分别独立发展起来的技术。甘特图又叫横道图、条状图。它是用条形图显示项目及其进度的标志系统。CPM假设每项活动的作业时间是确定值,重点在于费用和成本的控制。PERT是用概率的方法进行估计的估算值,另外,它也并不十分关心项目费用和成本,重点在于时间控制,主要应用于含有大量不确定因素的大规模开发研究项目。随后CPM和PERT常常被结合使用,以求得时间和费用的最佳控制。关键链是传统CPM的最新扩充。工作分解结构(简称WBS)则扩展了PERT。20世纪60年代,项目管理的应用范围还只是局限于建筑、国防和航天等少数领域。项目管理因为在美国的阿波罗登月项目中取得巨大成功而风靡全球,国际上许多人开始对项目管理产生了浓厚的兴趣,并逐渐形成了两大项目管理体系。其一是以欧洲为代表的国际项目管理协会(IPMA);另一个是以美国为代表的美国项目管理协会(PMI)。二者为市场经济体系积累了大量的市场经验和管理经验。
2.现代项目管理阶段
现代项目管理发展阶段通常被认为始于20世纪80年代。项目管理的应用逐渐扩展到其他工业领域或行业,如制药行业、通信业、软件开发业等。项目管理者也不再被认为仅仅是项目的执行者,还需要能胜任各个领域的更为广泛的工作,同时具有一定的经营技巧。1987年,美国项目管理学会推出了一套项目管理知识体系(PMBOK),这是项目管理领域的一个里程碑。PMBOK是指任何可用于项目管理过程中并能使项目合理、有效运行的知识、方法和工具。国际标准化组织以PMBOK为框架,制定了ISO10006项目管理的标准。同时PMI严格按照国际标准化组织的更新要求,每四年更新一次PMBOK,目前已经更新到第6版。PMBOK把项目管理划分为十大知识领域,即:项目范围管理、项目进度管理、项目成本管理、项目质量管理、项目资源管理、项目沟通管理、项目风险管理、项目采购管理、项目整合管理和项目相关方管理。
除了PMBOK,项目管理方法还有个体软件过程(PSP)[15]、团队软件过程(TSP[16])、IBM全球项目管理方法(WWPMM[17])及英国商务部推出的受控环境下的项目管理流程PRINCE2[18]等。这些项目管理知识体系试图把项目开发小组的活动标准化,使其更容易预测、管理和跟踪。
我国项目管理由华罗庚教授于20世纪60年代引进中国,当时的项目管理方法被称为统筹法和优选法,并不断得到发展。20世纪80年代起,在我国部分重点建设项目中开始尝试运用项目管理模式。基于美国PMI和欧洲IPMA的项目管理知识体系,由中国项目管理研究委员会(PMRC)开始建立适合我国国情的中国项目管理知识体系(Chinese Project Management Body of Knowledge,简称C-PMBOK),于2001年5月正式推出了第一版《中国项目管理知识体系》,并发布了符合中国国情的《国际项目管理专业资质认证标准》(C-NCB),促进了我国项目管理学科体系的不断完善。
3.5.2 项目管理的重点知识领域
项目管理知识体系是项目管理中使用的各领域知识的总和,其中范围管理、进度管理、质量管理、成本管理四个知识领域为项目管理知识体系中的核心知识领域,这四个知识领域直接决定项目的成败,需要更多的管理技术。而其他知识领域是项目管理的辅助知识领域[19],对项目的成功起着辅助作用,需要更多的管理艺术。
四个核心知识领域的管理对象,范围、进度、质量和成本,相互制约,形成项目制约因素。在项目执行过程中,项目经理必须平衡范围、进度、质量和成本这四个要素,满足相关方的要求与期望,顺利完成项目。
下面结合信息安全风险评估项目,阐述风险评估项目管理相关的知识要点。
3.5.2.1 项目范围管理
所谓项目范围管理,就是为了实现项目的目标,对项目的工作内容进行控制的管理过程。它通常包括范围的界定、范围的规划和范围的调整等。项目范围管理包括为成功完成项目所需要的一系列过程,以确保项目包含且仅仅只包含项目所必须完成的工作。范围管理主要包括明确范围、确定成果、任务分解、范围控制和成果核实等过程。对信息安全风险评估项目,应从广度、深度、位置和手段等方面与客户确定项目范围,创建WBS,并控制好评估范围的变更。
1.明确范围
信息安全风险评估是技术服务产业,它不同于产品类项目,一般在合同中对范围规定得比较模糊,因此,在项目计划准备阶段首先应从广度、深度、位置、手段四个方面跟客户进一步确定项目范围。广度方面应该落实到具体的被评估对象,如某项具体业务、OA系统、ERP系统等;深度方面应该落实到物理、网络、系统及应用各层面,确定是否包括安全管理方面的评估;对于跨地域的被评估对象,应该确定其具体的实施位置;另外,还应该对风险评估所采用的手段进行规定。项目范围的确定是一个谈判的过程,要本着双赢的原则,以实现客户等关键相关方的需求与期望为目标。
2.确定成果
应在信息安全风险评估项目开始之前,与客户将项目提交的成果及要求确定下来。确定成果的目的,一是在项目执行过程中以此成果为目标,二是将此成果作为项目验收的交付标准。对于信息安全风险评估项目来说,最主要的成果应是风险评估报告。
3.创建WBS
创建WBS的目的是把项目可交付成果和项目工作分解成较小的、更易于管理的组成部分。WBS是以可交付成果为导向的工作层级分解。计划要完成的工作包含在WBS底层组成部分中,这些组成部分被称为“工作包”。在信息安全风险评估项目中,WBS层级以二到三级、工作包以单人能完成、时间控制在一周之内为宜。表3-6给出了一个信息安全风险评估项目创建WBS的例子。
表3-6 信息安全风险评估项目创建WBS示例
4.范围控制
范围是所有计划的基础,如果范围发生变化,势必会引起时间、成本、质量和计划等的连锁反应,因此要控制风险评估范围的变更。对于信息安全风险评估项目,在委托评估的情况下,对于来自客户的范围变更一定要谨慎对待。首先不能明确拒绝,然后要分析客户变更的原因及目的,尽快估计出变更所需人工及预算,以及对时间和质量的影响,再做决定。如果变更所需费用在预算承受范围内,对时间和质量影响不大,可以接受客户的范围变更的请求,并考虑让客户在其他方面进行补偿。这些仍应按照变更管理流程,由客户提出书面的变更申请,经相关领导审批之后再执行。如果客户要求的变更,对项目的预算、时间影响比较大,这种变更原则上不能接受,但也不能直接拒绝,可与客户协商,通过另外的项目来达到客户提出的要求,必要时可请商务部门出面协调。
5.成果核实
成果核实是正式验收项目已完成可交付成果的过程,对信息安全风险评估项目而言就是对风险评估报告评审的过程。通过该过程,取得关键相关方对项目范围的最终认可。它要求审查可交付成果和工作结果,以保证一切工作均已正确无误且令人满意地完成。如不能满足验收标准,则提交变更申请进行变更。
3.5.2.2 项目进度管理
项目进度管理是为了确保项目最终按时完成而进行的一系列管理过程。它包括活动排序、时间估计、进度安排及时间控制等工作。
在考虑进度安排时要把人员的工作量与花费的时间联系起来,合理分配工作量,并利用进度安排的有效分析方法来严密监视项目的进展情况,以使项目的进度不被拖延。信息安全风险评估项目通常是通过项目团队成员的技术能力为客户提供安全服务的,以人天为单位计算工作量,因此更应该做好进度管理。在信息安全风险评估项目中,应通过定义活动、活动排序、估算工期等过程,使用甘特图或关键链等进度编制工具来制定项目进度计划,并严格控制项目进度。
信息安全风险评估项目的进度管理包括以下几个方面。
1.制定进度管理计划
为制定进度管理计划,项目团队成员要进行详细的项目结构分析,系统剖析整个项目的结构,包括实施过程和细节;将项目分解为内容单一的、相对独立的、易于成本核算与检查的项目活动(实施项目时安排工作的最基本的工作单元)。
制定项目计划是一个反复多次的过程,项目计划至少包含以下内容:要进行的项目工作;项目过程所需进行的各项活动;为了保证项目质量所需进行的各项活动;开展各项活动所需的资源与实践,以及对各项目团队成员的要求;各项活动之间的依赖关系;与提供信息和服务相关的外部依赖关系;活动的开始时间和结束时间;监督、控制项目进展的监控点;认可的允许偏差等。
2.定义活动
活动(或称为任务)是项目实施期间所需要完成的工作包或工作包的集合。定义活动就是在WBS基础上,识别和确定为完成项目可交付成果所需要进行的所有具体活动的过程。如,为完成脆弱性识别,需要进行漏洞扫描、主机配置检查、管理制度审查等工作。
3.活动排序
活动排序是识别项目活动清单中各项活动的相互关联与依赖关系,并据此安排和确定项目各项活动先后顺序的过程。活动之间有强制、自由和外部三种依赖关系。在信息安全风险评估项目中,强制依赖关系(也称为硬逻辑关系)就是依据合同要求开展的、由内在本质联系所决定的依赖关系。如,进行漏洞扫描活动之前必须先提交申请,那么提交申请与漏洞扫描之间就是一种强制依赖关系。自由依赖关系(也称为软逻辑关系)是由项目团队根据最佳实践来决定的依赖关系,如文档审查与现场访谈就是一种自由依赖关系。外部依赖关系是项目与非项目活动之间的依赖关系,如漏洞扫描与外部供应商能否及时交付扫描器之间的关系。确定了活动之间的依赖关系后,可对之排序。排序关系有四种,最常见的是完成—开始(FS),其他还包括:开始—开始(SS)、完成—完成(FF)和开始—完成(SF)。其中,“完成—开始”关系指的是一项活动(A)必须先完成,另外一项活动(B)才能开始,例如:组建风险评估团队活动完成后才能开始调研分析;“开始—开始”关系指的是一项活动(A)开始前另一项活动(B)不能先开始,例如:资产识别活动与脆弱性识别活动可相继开始,但资产识别活动开始前脆弱性识别活动不能先开始;“完成—完成”关系指的是一项活动(A)完成前,另一项活动不能先完成(B),例如:选定评估工具活动与制定评估方案活动可相继完成,但选定评估工具活动完成前制定评估方案活动不能先完成;“开始—完成”关系则较少使用。
4.项目活动时间估算
项目活动时间估算是根据对开展活动所需资源的估计,估算完成单项活动所需时间的过程。在信息安全风险评估项目中,需根据活动的具体情况、负责活动的人员情况来进行估算。如在做被评估对象调研或漏洞扫描等项目活动时,应将协调客户的时间计算在内。项目活动时间估算常采用三点估算法(即PERT,计划评审技术)的计算公式估算:
项目活动时间=(悲观估计时间+4×最大可能估计时间+乐观估计时间)/6
5.进度安排
进度安排是完成定义活动、活动排序、估算项目活动时间等时间管理过程的结果,是编制项目进度计划的过程。可使用进度计划编制工具来确定项目活动的计划开始日期与计划完成日期,以及相应的里程碑,制定出有效可行的项目进度计划。信息安全风险评估项目常使用甘特图工具来做进度安排,但由于受到多种外部因素制约,且项目组成员有限,在此推荐采用关键链进度编制技术制定项目进度计划。首先,根据活动排序、项目活动时间估算来绘制项目进度网络图;然后计算关键路径,在确定了关键路径之后,将资源的有无和多寡情况考虑进去,制定出资源约束进度表,资源约束的关键路径就是关键链;最后,在网络图中增加作为“非工作进度活动”的持续时间缓冲,用来应对不确定性。放置在关键链末端的缓冲称为项目缓冲,用来保证项目不因关键链的延误而延误。放置在非关键链与关键链的结合点的缓冲为接驳缓冲,则用来保护关键链不受非关键链延误的影响。这两种缓冲都是加入计划的一段额外的时间,这样,如果前面任务发生一定程度的延期,首先会侵占这段额外的时间,只要延期不超出这段额外的时间,就不会推迟后面任务,或者不会推迟项目交付时间。
下面以风险评估准备项目进度安排为例,看一下如何采用关键链法呈现项目进度,如图3-5所示。
图3-5 关键链法呈现项目进度
6.进度控制
进度控制是监督项目状态进展、管理进度计划变更的过程。进度控制是实施整体变更控制过程的一个组成部分。进度控制的主要内容是:判断项目进度的当前状态,对引起进度变更的因素施加影响,确定项目进度是否已经发生变更,在变更实际发生时对进度进行管理。
3.5.2.3 项目成本管理
项目成本管理是指在项目的实施过程中,为了保证完成项目所花费的实际成本不超过其预算成本而展开的项目成本估算、项目预算编制和项目成本控制等方面的管理活动。项目成本是评价一个项目是否成功的关键因素之一。
1.项目成本估算
项目成本估算是对完成项目活动所需资金进行近似估算的过程。成本估算是在某个特定时间点,根据已知信息所做出的成本预测。成本估算的依据主要有项目章程、项目范围说明书、项目计划、WBS、进度管理计划、员工管理计划、风险事件、环境和组织因素。
信息安全风险评估项目的主要成本是人工成本及实施直接成本(包括差旅费、会务费、评审费、培训费、资料费等),其中人工成本是主要部分,需要重点做出估算。在估算人工成本时,需要根据进度计划估算项目团队成员的人工工时。各团队成员的人工工时乘以相应的工时费率,然后相加即可得到人工成本的估算成本。
2.项目预算编制
项目预算编制是汇总所有单个活动或工作包的估算成本,建立一个经批准的成本基准的过程。成本基准中包括所有经批准的预算。项目预算决定了被批准用于项目的资金。根据批准的预算,考核项目成本绩效。
3.项目成本控制
项目成本控制是监督项目状态以更新项目预算、管理成本基准变更的过程。更新项目预算需要记录截至目前的实际成本。只有经过对实施整体变更控制过程的批准,才可以增加预算。在成本控制中,应重点分析项目资金支出与相应完成的实体工作之间的关系。有效成本控制的关键在于,对经批准的成本绩效基准及其变更进行管理。
在信息安全风险评估项目中,项目成本控制实施内容有:对造成成本基准变更的因素施加影响;确保所有的变更请求都获得及时响应;当变更实际发生时,管理这些变更;确保成本支出不超过批准的资金限额,包括阶段限额和项目总限额;监督成本绩效,找出并分析与成本基准间的偏差;对照资金支出,监督工作绩效;防止在成本或资源使用报告中出现未经批准的变更;向相关方报告所有经批准的变更及其相关成本;设法把预期的成本超支控制在可接受的范围内;在项目成本控制中,设法弄清引起正面和负面偏差的原因。虽然各个过程是彼此独立、相互间有明确界限的组成部分,但在实践中它们可能会交叉重叠、相互影响,同时与其他知识领域的过程也相互作用。为保证项目能够完成预定目标,必须加强对项目实际发生成本的控制,一旦项目成本失控,就很难在预算内完成项目。不良的成本控制常常会使项目处于超出预算的危险境地。
项目成本预算是进行项目成本控制的基础。它是一项将项目的成本估算分配到项目的各项具体工作上,以确定项目各项工作和活动的成本定额、制定项目成本的控制标准、规定项目以外成本划分与使用规则的项目管理工作。有效成本控制的关键是经常及时地分析成本绩效,尽早发现成本差异和成本执行的效率,以便在情况变坏之前能够及时采取纠正措施。一旦项目成本失控,要在预算内完成项目是非常困难的。如果没有额外的资金支持,那么成本超支的后果有三种,要么推迟项目工期;要么降低项目的质量标准;要么缩小项目工作范围。这三种情况都将导致项目质量严重下降。
3.5.2.4 项目质量管理
项目质量管理是为了确保项目达到客户规定的质量要求所实施的一系列管理过程。它包括质量计划、质量控制和质量保证等。
1.制定质量计划
制定质量计划的主要目的是确保项目的质量标准能够实现,其关键是确保项目按期完成,同时要处理与其他项目计划之间的关系。
质量计划确定将使用的质量技术与标准,并决定如何满足这些标准。同时应确定包括项目经理及项目团队成员所承担的质量职责。依据质量方针、项目范围、项目成果、标准规范等制定出质量管理计划、质量度量标准,以及一系列质量检查表格。质量计划必须综合考虑成本效益,达到高产出、低支出及增加客户满意度等要求。信息安全风险评估项目来说,制定质量计划主要包括以下内容。
(1)编制目的;
(2)适用范围;
(3)编制依据与原则;
(4)风险评估项目概况;
(5)质量目标;
(6)质量管理分工与职责(可按风险评估团队的组成进行分工);
(7)质量控制措施(分评估前、评估过程中和评估完成三个阶段进行质量控制);
(8)质量检验或验收措施(可实行分阶段和分项检验或验收);
(9)不合格结果处理程序;
(10)质量保证措施(分为评估方法工具、评估实施人员素质和评估操作过程的质量保证措施等);
(11)记录或文档的收集、维护与保存。
2.质量保证
质量保证贯穿于项目实施的全过程之中,是所有计划和工作达到质量规划要求的基础,为项目质量系统的正常运转提供可靠的保证。它是在质量体系内实施并按需证实的有计划的系统性活动,提供质量保证表明项目能够满足质量要求。它是质量管理的一个更高层次,是对质量规划、质量控制过程的控制。项目质量保证包括制定质量标准、设计质量控制流程及建立质量保证体系。在信息安全风险评估项目中,质量保证实施内容有:确定评估目标与质量标准;为在连续改进的评估周期中使用数据编制计划;为建立和维持绩效评估编制计划;质量审核;提出质量改进措施,提高项目的效能和效率。质量审核是确定风险评估活动和结果是否符合评估计划安排,以及这些安排是否有效贯彻并达到目标的系统且独立的审查。通过质量审核,评价风险评估过程和结果是否符合目标的要求,并确定是否需采取改进措施或重新进行风险评估。
3.质量控制
质量控制是对项目实施过程中的工作进行持续不断的检查、度量、评价和调整,保证项目实施过程满足质量目标的活动。质量控制同样贯穿于信息安全风险评估项目实施的全过程。在这个过程中,项目管理人员需持续采取有效措施,监督项目的具体实施结果,判别它们是否符合有关的项目质量标准,并确定控制途径以保证项目目标的顺利实现。项目质量控制活动一般包括保证由内部或外部机构进行监测管理的一致性、发现与质量标准的差异、审查质量标准以确定可达到的目标及成本效益问题,并且在需要时还可以修订项目的质量标准或项目的具体目标。
在信息安全风险评估项目中,质量控制实施内容有:选择控制点;为提供可能的正确行动决策设定标准;建立度量方法;将实际结果与质量标准进行对比;通过收集信息,将非一致性的过程和材料统一到标准上来;管理和校准测量工具。在质量管理中广泛应用的工具包括直方图、控制图、因果图、排列图、散点图、核对表和趋势分析等。
此外,质量审查技术也广泛应用于质量控制过程。质量审查技术用于评价项目质量是否符合预期目的或符合要求。首先要确定与正在审查中的项目质量有关的所有项目相关方。其次,精心组织会议讨论要审查的项目质量要求,以及审查者的意见。项目相关方对项目的任何必要变更应达成一致意见,同时贯彻执行必要的行动方案。最后,完成所有必要的变更,项目最终被正式签署验收后,质量审查工作才告结束。这代表本次项目满足规定的质量标准,并被批准通过验收。
4.质量验收
信息安全风险评估项目的质量验收包括以下内容。
(1)文档类交付物验收
文档类交付物是指在工作说明书中明确列出需要交付的文档;当风险评估实施组织完成项目过程中必须提交文档类交付物的复制文档(包括pdf、excel、ppt等可编辑、可打印、可摘录的格式);被评估对象所在组织相关部门对交付物进行审核或提出修改意见,在5个工作日内对可交付物进行反馈,如超过5个工作日没有响应则视为通过验收。
(2)事件类交付物验收
事件类交付物是指为达成信息安全风险评估项目目标,而组织的项目协调会议(包括项目启动会或研讨会、审议会等,但不包括例行项目进展通报会或项目管理例会等)、访谈、研讨会和培训等活动。事件类交付物在事件完成时即被视为验收。
(3)项目质量验收标准
按照项目计划组织并完成项目实施,提交项目检测评估报告,得到被评估对象所在组织的风险评估领导组签字确认,完成项目验收。当以上“事件类交付物”和“文档类交付物”全部通过验收且符合项目质量验收标准后,本项目视为通过验收。
3.5.2.5 项目团队管理
项目团队管理是为了保证所有项目关系人的能力和积极性都得到最有效的发挥和利用所做的一系列管理措施。它包括组织的规划、团队的建设、人员的选聘和项目的团队建设等一系列工作。换言之,项目团队管理就是要在对项目目标、规划、任务、进展及各种变量进行合理、有序的分析、规划和统筹的基础上,对项目过程中的所有人员,包括项目经理、项目团队其他成员、项目发起方、投资方、项目业主及项目客户等给予有效的协调、控制和管理,使他们能够与项目团队紧密配合,尽可能地适合项目发展的需要,最大可能地挖掘人才潜力,最终实现项目目标。
1.编制人员计划
编制人员计划是指识别和记录项目角色,人员职责、所需技能及报告关系,并编制人员配备和管理计划的过程。通过编制人员计划,识别和确定那些拥有项目所需技能的人力资源。在人员计划中,应该包含项目角色与职责记录、项目组织结构图。有些执行时间比较长的信息安全风险评估项目,可能还包含培训需求、团队建设策略、认可与奖励计划、合规性考虑及安全问题等。项目团队可采用责任分配矩阵(RAM)显示工作包或活动与项目团队成员之间的联系。责任分配矩阵能反映与每个人相关的所有活动,以及与每项活动相关的所有人员,可确保任何一项任务都只有一个人负责,从而避免混乱。在一些大的风险评估项目中,可在多个层次上制定责任分配矩阵。例如,高层次的责任分配矩阵可定义项目团队中各小组分别负责WBS中的对应工作包,而低层次的责任分配矩阵则可在各小组内为具体活动分配角色、职责和职权。
2.建设项目团队
团队建设是一个持续的过程,对项目成功至关重要。对于信息安全风险评估项目而言,需要评估方与被评估方密切合作,共同组建项目团队,合力实现项目目标,因此需要持续不断地开展团队建设。项目经理应该持续地监督团队机能和绩效,确定是否需要采取措施来预防或纠正各种团队问题。团队建设通常经过五个阶段,分别是:形成阶段,团队成员开始相互认识,并了解项目情况,以及他们在项目中的正式角色与职责,这时的团队成员倾向于相互独立,不怎么开诚布公;震荡阶段,团队开始从事项目工作,制定技术决策和讨论项目管理方法,如果团队成员对不同观点和意见不能采取合作和开放的态度,团队环境可能恶化并具有破坏性;规范阶段,团队成员开始协同工作,并按团队的需要来调整各自的工作习惯和行为,团队成员开始相互信任;成熟阶段,进入这一阶段后,团队就像一个组织有序的单位那样工作,团队成员之间相互依靠,平稳高效地解决问题;解散阶段,团队完成所有工作,团队成员离开项目。某个阶段持续时间的长短,取决于团队活力、团队规模和团队领导力。
3.管理项目团队
无论是项目计划的实施还是控制、调整,最终都要落实到具体的人员。信息安全风险评估项目特别依赖项目团队成员的能力与态度,因此管好项目团队尤其重要。管理项目团队的目标具体包括:提高团队成员的知识和技能,增强他们完成项目可交付成果的能力,并降低成本、缩短工期和提高质量;增进团队成员之间的信任和认同感,提振士气、减少冲突和增进团队协作;创建富有生气和凝聚力的团队文化,以提高个人和团队生产率,鼓励团队成员之间的交叉培训和辅导,并互相分享知识和经验。
为保障项目的顺利进行,参与项目实施的人员还必须遵守相关管理制度,如:履行服务义务、严守商业道德、规范日常行为和遵守安全保密规定等。
3.5.2.6 项目沟通管理
项目沟通管理是为了确保项目信息的合理收集和传输所需要实施的一系列措施,包括沟通规划、信息传输和进度报告等。沟通的主旨在于互动双方建立彼此相互了解的关系,相互回应关切,并且期待能经由沟通的行为与过程相互接纳以达成共识。沟通管理也是项目成功的关键因素之一。
项目沟通管理包括以下内容。
1.制定沟通管理计划
首先,项目沟通需要明确项目的相关方或称为利益相关方;其次,需要掌握项目相关方的信息和沟通需求,例如:哪些人是项目的相关方、他们对该项目的收益水平和影响程度如何、谁需要什么样的信息、何时需要,以及应怎样分发给他们等;最后,基于5W,即根据WHO(谁)、WHAT(什么)、WHEN(何时)、WHERE(何地)、WHY(为何)来制定沟通管理计划。
(1)识别相关方
对于信息安全风险评估项目而言,相关方一般可分为项目实施方、客户方及第三方三类。其中客户方的相关方对项目成功的影响最大。例如,在银行系统中,客户方的相关方一般包括信息科技部相关领导、安全处处长及安全管理员、综合处处长及相关人员、运维处处长及相关管理员、信息中心相关人员、研发中心相关人员等。在识别出客户方的项目相关方之后,还应分析他们之间的关系。可以从汇报关系和内部关系两个方面进行相关方之间关系分析。汇报关系是组织内部职权设置的直接体现,内部关系则是指组织成员工作之外的关系,如由于共同爱好等形成的朋友关系。识别出相关方之间关系之后,就可以有针对性地研究沟通策略,在项目实施过程中平衡他们之间的需求与期望。实施方的相关方,主要包括项目发起者、商务(或销售)部门等。项目发起者是最主要的相关方,对项目的整体成功负责,并帮助协调安排相关项目组成员,协调与公司内部高层领导的关系。另外,商务部门也是项目实施单位的相关方,项目的成功与否直接影响其利益,并且在必要的时候协调跟客户的关系。
(2)掌握相关方需求与期望
项目团队应在充分了解项目背景的基础上,运用一定的方法与技巧掌握相关方的需求与期望,了解项目背景。可以通过向咨询顾问、商务人员或直接向客户方项目相关方询问、查阅招标书或投标书或利用网络信息搜索等方法了解项目背景。咨询顾问或者商务人员参与项目较早,相对清楚项目背景,向他们咨询是一条比较简捷的途径。招标书或者投标书一般都有项目背景介绍,通过这些文件也可以了解到相关项目背景。网络信息搜索可能会得到一些项目的真实背景。如果是比较熟悉的客户,也可直接询问客户有关项目的真实背景。风险评估项目的项目背景一般包含:有关法规或监管要求、内部出现安全事件、自身安全建设需要、其他项目引出的需求等。掌握相关方需求与期望的方法,可以应用马斯洛需求层次理论来了解相关方需求与期望。该理论将人的需求分为生理需要、安全需要、社会需要、尊重需要、自我实现需要五个层次,依次由低层次到高层次阶梯排列。通过马斯洛层次理论可以大致了解相关方的需求,然后通过换位思考、沟通交流等手段,进一步确认相关方的期望。
(3)制定沟通计划
项目沟通可提炼为5W。WHO是指与谁沟通,即相关方;WHAT即沟通什么内容,要确定向谁发布哪些信息或者需要从何处获得什么信息;WHEN指的是在何时进行沟通,应保证沟通的及时性;WHERE是指在何处进行沟通,应以方便沟通为原则;WHY是指沟通的方式,应该选择相关方喜欢的方式,如果项目相关方偏爱听取汇报,就应采取汇报的方式进行沟通。对于信息安全风险评估项目来说,可采用5W工具表制定一个规范的沟通计划。
2.管理沟通
管理沟通旨在以合适的方式或方法及时向项目相关方提供所需信息。在项目沟通中,不同信息的沟通需要采取不同的沟通方式,根据沟通的严肃性程度分为正式沟通和非正式沟通;根据沟通的方向分为单向沟通和双向沟通,横向沟通和纵向沟通;根据沟通的工具分为书面沟通和口头沟通等。
影响选择沟通方式的因素主要有以下几个方面。
(1)沟通需求的紧迫程度;
(2)沟通方式的有效性;
(3)项目相关人员的能力和习惯;
(4)项目本身的规模等。
具体沟通方式可采用以下几种。
会议:如每周例会、每月汇报会、每季度和每半年总结会、不定期会议。会议内容包括:技术交流、业务培训、专题研讨、沟通协调和成果汇报等。
电话或短信:在项目启动阶段,搜集确认项目双方任务组各成员的联系电话,制作成通信录并发送给每位任务组成员,确保遇到紧急问题时双方可,以及时交流、协调,尽快解决问题。
电子邮件:在项目启动阶段,搜集确认项目双方任务组各成员的电子邮箱,制作成通信录并发送给每位任务组成员,服务方任务组可通过发送电子邮件的方式每日、每周汇报项目进展情况,双方可利用电子邮件发布项目相关信息。
社交软件:在项目启动阶段,在微信、QQ或MSN等主流网络社交软件上建立项目组的沟通群,可以保证项目实施过程中双方任务组成员可及时沟通讨论工作内容,提高工作效率。
3.监督沟通
监督沟通旨在收集并分发有关项目绩效的信息,包括状态、进度报告和预测等。在项目实施过程中,监督沟通重点应关注:是否确保评估方与被评估方及时交流项目进展情况、是否解决实际问题、是否采用多种交流方式和工具加强双方之间的沟通协作,同时监督交流过程中的信息的扩散范围,加强信息保密管理。
3.5.2.7 项目风险管理
信息安全风险评估项目与其他经济活动一样带有风险,可能遇到各种不确定因素。要避免和减少损失,将危险转化为机会,项目主体就必须了解和掌握项目风险的来源、性质和发生规律,进而施行有效的管理。
项目风险管理的目标在于提高项目积极事件发生的概率和影响,降低项目消极事件发生的概率和影响。信息安全风险评估项目的规模相对较小,其风险管理流程需根据具体项目实际情况定制或简化,一般可采用风险识别、风险评价、风险处置和持续监控四个过程,相应的措施包括:准备应急预案、风险处置措施实施前测试、保密管理等。
1.项目风险管理过程
(1)风险识别
风险识别是判断哪些风险会影响项目,提前防范和记录其特征的过程。针对信息安全风险评估项目,重点应识别项目引入的威胁和脆弱性。例如,检测工具使用的检测方式不应对被评估对象造成不正常影响。风险评估实施组织应对检测识别工具进行核查,在进行脆弱性识别前,应做好应急预案准备。另外,可采用核对表的方式进行风险识别,并根据以往类似项目或从其他渠道积累的历史信息与知识,编制风险识别核对表。
(2)风险分析与评价
对于信息安全风险评估项目而言,只需要进行定性分析和评价即可。实施定性风险分析,就是根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响,以及其他因素(如风险应对的时间要求,与项目成本、进度、范围和质量等制约因素相关的风险承受力等)来评估已识别风险的优先级。
(3)风险处置
规划风险处置是针对项目目标制定提高积极风险、降低消极风险的方案和措施的过程。对于消极风险,一般有规避、转移、降低、保留四种方式;对于积极风险,通常有开拓、分享、提高、接受四种方式。风险处置措施测试是降低风险处置过程风险的有效方法。在风险处置措施正式实施前,项目实施人员在选择风险处置的关键措施时(尤其实施对象是在线生产系统时),应进行测试以验证风险处置措施是否符合风险处置目标、判断措施的实施是否会引入新的风险,同时检验应急恢复方案是否有效。
(4)持续监控
持续监控是在整个项目中,循环监控风险处置计划实施、跟踪已识别风险变化、监测残余风险、识别新风险和评估风险处置有效性的过程。
2.强化保密管理
为了加强项目执行过程中的保密管理,妥善保护交换的保密信息,防止数据泄露,需明确保密内容、保密义务和保密要求,不断强化人员保密管理责任,严格遵守保密规定。不管信息安全风险评估采取委托评估还是自评估的方式进行,只要是风险评估实施和参与人员都有义务对所接触到的信息保密。
(1)确定保密协调责任人
保密协调责任人是对保密信息的传授和接受等事宜进行协调的首要责任人。
(2)保密信息的内容和确定方式
保密信息是指在信息安全风险评估过程中涉及的所有的商业秘密、技术秘密或与本项目相关的其他保密信息,无论是书面的、口头的、图形的、电子的或其他任何形式的信息,包括但不限于数据、模型、样品、草案、技术、方法、设备和其他信息。
a)内部信息数据,是指国家有关主管部门、监管部门、信息数据产生部门规定应保密的数据,以及泄露后影响风险评估相关组织核心竞争力和信誉的数据。主要包括组织信息、网络设备、业务系统密钥和口令、业务和管理数据、应用系统源代码和技术文档等。
b)信息系统安全中所涵盖的计算机体系结构、网络结构、应用结构之策略、功能、管理、维护和检测等信息。
c)信息安全风险评估项目总体计划、实施进度及结果等有关技术服务情况。
d)安全检测服务过程中涉及的数据结构、网络结构、技术细节、实现方式、设备参数配置、IP地址、操作监控手段、数据加解密算法、源代码、系统日志等与信息安全相关的技术文档和技术档案等。
e)载有保密信息和关键数据的各类载体等。
对于书面的或其他有形的信息,在交付时必须标明专有或秘密信息,并注明秘密信息的所有者。
对于口头信息,在透露给接收方前必须声明是专有或秘密信息,进行书面记录,并注明专有或秘密信息的所有者。
(3)保密义务
所有风险评估实施和参与人员应保证严格控制保密信息,未经书面许可,不以任何方式向与本项目无关的他方透露安全保密信息,并保证采取所有必要的方法对安全保密信息进行保密,包括但不限于执行和坚持适当的监督程序来避免非授权透露、使用或复制安全保密信息。
所有风险评估实施和参与人员应保证项目涉及的各项内容,仅限于本项目相关人员(包括参与本项目人员及有必要了解保密信息的其他员工)知悉。信息安全风险评估实施组织应向所有相关人员明示本项目的保密性和应承担的保密义务,并与相关人员签署内部保密协议。信息安全风险评估实施组织应保证参与本项目人员的相对稳定,如需更换人员应报管理层批准,并按前述做好保密教育及政审工作。根据项目参与人员权限不同,本着“最小知情权”原则,按照权限不同分别履行保密义务和责任。
在安全检测服务过程中,当信息安全风险评估实施人员无法独立完成任务需要后备技术力量支持时,需经管理层书面同意并批准后,方可将相关信息透露给后备技术支持人员,同时提供后备技术人员名单,以及签订的有关保密协议书。
信息安全风险评估实施组织应保证在保密期限内,不向与本项目无关的他方及不参与本项目工作的其他员工透露本协议的存在或本协议的任何内容,未经双方书面许可,参与安全检测服务人员不得以任何方式向本项目无关的他方透露整个安全检测服务过程和安全检测服务结果。
(4)使用方式和责任
信息安全风险评估实施组织只能为本项目服务而使用相关的安全保密信息,不得将安全保密信息的全部或部分进行复制。风险评估实施组织应告知并以适当方式要求参与本项目工作的人员遵守本协议规定。若参与本项目工作的人员违反本协议规定,违约方应承担责任。
(5)保密信息的交回
在委托评估的情况下,还涉及保密信息的交回。首先,当一方以书面形式要求另一方交回安全保密信息时,接受方应当立即交回所有书面的或其他介质的安全保密信息,以及所有描述和概括该安全保密信息的文件,不得留有备份;其次,没有书面许可,任何一方不得擅自丢弃和处理任何书面的或其他介质的安全保密信息;第三,安全检测服务结束后,带入工作环境的介质经核实并认可后方可带出,其余进行销毁或删除处理。
3.5.2.8 项目采购管理
项目采购管理是为了从项目实施组织之外获得所需资源或服务所采取的一系列管理措施。它包括采购计划、采购与征购、资源的选择及合同的管理等项目工作。
项目采购管理是项目执行的关键性工作,是做好项目的重要方面,项目采购管理的模式在某种程度上决定了项目管理的模式,对项目整体管理起着决定性作用。采购工作又是项目执行的物质基础和主要内容。规范的项目采购管理要兼顾经济性、合理性和有效性,有效降低项目成本,促进项目顺利实现各项目标,成功完成项目。
为项目所采购的物资或技术资源必须符合项目设计和计划要求,如果采购的产品或服务不符合设计要求,到货或服务周期无法满足工期需求,将会直接影响项目的质量,甚至导致项目的失败。根据不同种类的项目和项目特点,项目采购及其管理的类型、方式也有所不同。
对于信息安全风险评估项目来说,采购管理不仅能让项目团队获得所需的产品或服务,而且由于绝大多数客户也会采用同样的方式来采购风险评估服务,掌握项目采购管理也能够有助于项目经理管理好这个项目。采购管理包括编制采购计划、编制询价计划、询价招投标、供方选择、合同管理和收尾等过程。
1.编制采购计划
编制采购计划是指在明确项目采购目标后确定采购方法、流程、潜在的卖方、采购数量、采购时间等的过程。项目采购计划与进度计划会相互影响。编制采购计划需考虑每一个“自制/外购”决定的风险,还要考虑采用哪种类型的合同以降低风险或转移风险。
2.编制询价计划
编制询价计划过程为下一步招标所需要的文件做准备,并确定选择供方所需要的评定标准。要为每一个采购对象制定工作说明书,以确定其使用时机和各项指标。编制询价计划过程应与项目进度计划有良好的协调。常见的询价文件有方案邀请书(Request For Proposal,RFP)、报价邀请书(Request For Quoting,RFQ)、征求供应商意见书(Request ForInformation,RFI)、投标邀请书(Invitation for Bid,IFB)、招标通知、洽谈邀请或承包商初始建议征求书等。
3.询价招投标
询价过程是从潜在的卖方处获取如何满足项目需求的答复,如投标书和建议书。通常在这个过程中由潜在的卖方完成大部分实际工作,项目或买方无须支付直接费用。招投标过程涵盖了询价计划编制过程、询价过程和供方选择过程。招标人依照《中华人民共和国招标投标法》规定提出招标项目、进行招标。招标人有权自行选择招标代理机构,委托其办理招标事宜。由招标人主持开标。招标人根据评标委员会提出的书面评估报告和推荐的中标候选人确定中标人。
4.供方选择
供方选择过程是接受多个潜在的卖方的标书或建议书,并运用评估标准选择一个或多个合适的卖方。询价计划编制过程为供方选择过程提供了评估标准。除了使用采购成本或价格,这个过程也会使用综合评价标准。对于那些关键性采购,应采用多种渠道以规避风险(如送货不及时、不符合质量要求等)。但是,多渠道可能带来更高的采购成本。
5.合同管理和收尾
买卖双方均需要确保对方能正常履约,以维护其合法权利,这就需要对合同进行管理。合同管理过程依据合同和认可的合同变更,审查并记录卖方执行合同的绩效。合同收尾过程也包含管理活动,如更新记录以反映最终结果、存档信息以便将来使用。在合同的条款与条件中,通常明确规定对合同正式收尾的要求,如,对项目可交付物正式验收的要求,以及如何处理不符合要求的项目可交付物的程序。应详细记录相关经验教训,以利于未来采购管理过程的改进。
3.5.2.9 项目变更管理
项目变更管理指的是信息安全风险评估实施组织审查所有变更请求,批准变更,管理对可交付成果、单位过程资产、项目文件和项目管理计划的变更,并对变更处理结果进行沟通的过程。该过程贯穿项目始终,重点加强问题管理和遵守变更流程。
1.问题管理
信息安全风险评估实施组织应捕获、记录所有项目问题,并将项目问题进行分类,确定项目问题后计入问题记录单中。在项目的任何时间点,任何与项目或项目成果有利益关系的人都可以提出项目问题。
项目问题是指对项目产生影响作用的任何事情(包括危害性的问题和有益的问题)。项目问题包括:需求上的变化、项目环境的变化、项目过程中未预料的问题、项目过程中预料到但又无法避免的问题、项目过程中发生的问题或差错,以及对项目任何方面提出的疑问。
项目问题确认后,应就问题的性质进行初步评价。除一般性问题或疑问外,还有两类具体的变更,分别为:
(1)变更申请。无论何种原因,会引起项目规范要求或验收标准的变更;
(2)不合格项。包括已完成或计划未来执行的工作中的差错或遗漏。
2.变更流程
当实施计划被要求变更时,必须根据以下详细流程进行:
信息安全风险评估项目实施团队提交项目变更申请,申请人需识别项目中任何方面的变更需求(如范围、可交付成果、时限、组织等),填写变更申请表,并呈交给项目经理,必须说明变更内容、变更原因、变更成本及变更将会对项目产生的影响。
项目经理审查提出的变更申请,并确定是否将变更申请送交信息安全风险评估实施组织的管理层。
管理层将审核提议的变更申请,识别变更可行性,确保对所有的变更可选项进行调查,包含以下内容:变更需求、变更内容、变更成本及利益、变更风险及事项、变更带来的影响、变更的建议和计划。
审核变更申请大致可参照以下标准:
(1)实施变更给项目带来的风险;
(2)不实施变更给项目带来的风险;
(3)实施变更对项目产生的影响(时间、资源、财务、质量方面)。
管理层经过审核后决定批准或拒绝变更,也可要求提供与变更相关的更多信息。在委托评估的情况下,变更申请由评估方提出,经由评估与被评估双方共同审议决定批准或拒绝变更。
3.5.2.10 项目相关方管理
相关方是积极参与项目或受项目影响的一群人或组织,是一般项目管理中的习惯称谓,在信息安全风险管理中即指利益相关方,如:项目发起者、客户方、项目团队和供应商等。
项目相关方管理用于开展下列工作的各个过程:识别能影响项目或受项目影响的全部人员、群体和组织;分析相关方对项目的期望和影响;制定适合的管理策略来有效调动相关方参与项目决策和执行。相关方管理还关注与相关方保持持续沟通,以便了解相关方的需要和期望,管理利益冲突,解决实际发生问题,同时应该把相关方满意度作为一个关键的项目目标进行管理。项目相关方管理包含的项目管理过程有:
1.识别相关方
识别相关方能影响信息安全风险评估项目或受项目影响的全部人员、群体和组织,以及对风险评估项目决策、活动或结果影响的人、群体或组织,并在此基础上定义组织内、外部各方的角色和职责,建立信息安全组织架构。
2.制定相关方参与计划
基于对相关方需求、利益及对项目成功的潜在影响的分析,制定合适的管理策略,以有效调动相关方参与整个项目生命周期的过程。
3.管理相关方参与
在整个信息安全风险评估项目周期中,在组织和相关方之间建立必要的联系,与相关方进行沟通和协作,以满足其需求与期望,解决实际出现的问题,并促进相关方合理参与项目活动的过程。
4.监督相关方参与
全面监督项目相关方之间的关系,调整策略和计划,以调动相关方参与的过程。
对于信息安全风险评估项目,项目经理在定义基本总则时需要考虑相关方的期望、认知和利益;在沟通管理中,要与决策者、其他相关方进行交换和共享有关风险的信息……总之,项目经理正确识别并合理管理相关方的能力,是决定项目成败的重要因素。
3.5.3 项目生命周期
项目的生命周期是描述项目从开始到结束所经历的各个阶段,一般的划分是将项目分为“开始项目、组织与准备、执行项目、结束项目”四个阶段。在实际工作中,项目的生命周期根据不同领域或不同方法可进行具体的划分。如信息安全风险评估项目生命周期通常包括:项目获取、项目准备、项目执行和项目结束四个阶段,如图3-6所示。
图3-6 信息安全风险评估项目管理生命周期
1.项目获取
项目生命周期的第一阶段是定义需求和需求分析阶段。针对信息安全风险评估项目,项目获取是项目的开始阶段,通常以商务沟通和商务文件的往来为主。首先,客户向承约商发出招标文书,征询信息安全风险评估需求建议;其次,承约商信息安全风险评估项目团队对客户提出的需求进行分析、评估,明确项目目标、范围、要求和预期结果等,并开展商业论证,形成可行性分析报告和需求分析报告。
2.项目准备
项目生命周期的第二个阶段是提出需求解决方案的阶段。在此阶段,项目团队制定开展信息安全风险评估项目的解决方案并向客户提交申请文书,描述并估计所需资源的种类、数量,设计执行解决方案所需花费的资金、时间等。所有的承约商都把书面申请书提交给客户,在客户评估了申请书并选出中标者后,将与中标客户签署项目合同和保密协议。承约商项目团队最终取得项目执行权,并正式任命项目经理或成立项目领导组,组建项目实施团队,同时结合信息安全风险评估环境建立过程的要求和步骤,开展评估准备工作。例如,明确信息安全风险评估范围和边界、进行系统调研、准备评估工具、制定评估计划、召开风险评估启动会议,在双方充分沟通的基础上获得决策和管理层的支持来启动信息安全风险评估项目。
3.项目执行
项目生命周期的第三个阶段是执行信息安全风险评估方案和计划的阶段。此阶段开始于客户已决定了哪个解决方案将能最好地满足需求,客户与提交方案申请的承约商之间已签订了合同后,此阶段即进入执行项目阶段,包括为项目制定详细的项目管理计划,然后执行计划以实现项目目标。这个阶段的重点任务是完成信息安全风险评估的几个主要环节风险识别、风险分析和风险评价,并由此而进行的项目范围管理、进度管理、成本管理、质量管理、资源管理、沟通管理、采购管理、整合管理和项目相关方管理等。
4.项目结束
项目生命周期的最后阶段是结束项目阶段,一般包括竣工验收、文件归档、培训移交等工作。当信息安全风险评估项目结束时,某些后续的活动仍需执行。这一阶段的一个重要任务就是评审风险评估项目质量和绩效,以便从中得知该在哪些方面需要改进,迭代地进行信息安全风险评估。这一阶段应当涉及从客户那里获取反馈,以查明客户满意度和项目是否达到了客户的期望等活动。同样也应从项目团队那里得到反馈,以便得到有关未来项目绩效改善方面的建议。
项目生命周期的长度依项目内容、复杂性和规模而定。而且,并不是所有项目都必然经历项目生命周期的四个阶段。一般来说,当项目在商业环境中执行时,项目生命周期会以更正式、更完整的流程展开。当项目由私人或志愿者执行时,项目生命周期则趋向于较随便、不太正式的简化方式展开。
3.5.4 项目管理过程
所谓过程就是基于一定输入,采用相关工具和技术,产生一定输出的活动集合。项目是由各种过程组成的,这些过程可分为两类:
(1)与项目管理有关的过程,涉及项目组织和管理;
(2)与产品有关的过程,涉及具体的项目产品生成。
项目管理知识领域主要讨论的是项目管理过程。根据重要程度,项目管理知识领域把项目管理过程分为核心过程和辅助过程两类。核心过程指那些大多数项目都必须具有的项目管理过程,这些过程具有明显的依赖性,在项目中的执行顺序也基本相同。辅助过程指那些是项目实际情况可取舍的项目管理过程。
如果按时间逻辑,项目管理知识领域把项目管理分为五个过程:
(1)启动。成立项目组开始项目或进入项目的新阶段。启动是一种认可过程,用来正式认可一个新项目或新阶段的存在。
(2)规划。定义和评估项目目标,选择实现项目目标的最佳策略,制定项目计划。
(3)执行。调动资源,执行项目计划。
(4)监控。监控和评估项目偏差,必要时采取纠正行动,保证项目计划的执行,实现项目目标。
(5)收尾。正式验收项目或阶段,使其按程序结束。
每个管理过程包括输入、输出、所需工具和技术。各个过程通过各自的输入和输出相互联系,构成整个项目管理活动。
3.5.4.1 项目启动
项目启动是一个过程,它始于某个触发条件(如信息安全风险评估需求等)而结束于在项目目标的明确或量化。通常该阶段会持续比较长的时间用于论证,以免给投资人造成损失。而在项目目标达成一致后,项目经理或项目管理机构也会被委任或建立,并带领项目实施团队开展各项计划工作。
1.项目启动标志
项目正式开始有两个明确的标志。一是任命项目经理或建立风险评估项目管理团队,二是项目章程的批准。项目经理的选择和领导组的组建是项目启动的关键环节,强有力的领导是优秀项目管理的必要组成部分。项目经理必须领导项目成员,处理好与关键项目相关方的关系,理解项目的商业需求,准备可行的项目计划。同时项目章程的批准标志着正式批准项目或项目的正式启动。所谓项目章程是由项目发起人发布、授权项目经理运用组织资源开展项目活动的文件。
2.主要任务
项目启动是指成功启动一个项目的过程,项目启动最主要的目的是为了获得对项目的授权。项目启动意味着开始定义一个项目的所有参数,以及开始计划针对项目的目标和最终成果的各种管理行为。项目启动过程也是由项目团队和项目利益相关者共同参与的一个过程,在项目启动阶段主要包括以下任务。
制定项目目标;
(1)项目的合理性说明;
(2)项目范围的初步说明;
(3)确定项目的可交付成果;
(4)预计项目的持续时间及所需要的资源;
(5)确定高层管理者在项目中的角色和义务等。
3.评估项目启动会议
为保障风险评估工作的顺利开展,确立工作目标、统一思想、协调各方资源,应召开风险评估项目启动会议。启动会一般由风险评估领导组负责人组织召开,参与人员应该包括评估实施团队全体成员、被评估方相关业务部门主要负责人,如有必要还可邀请相关专家成员参加。
启动会主要内容包括:被评估组织领导宣布此次评估工作的意义、目的;确定目标范围、开展前期调研和需求分析;确定双方对接人员及评估工作中的责任分工;被评估组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事项;评估团队项目组长介绍评估工作一般性方法和工作内容等。
通过启动会可对被评估组织参与评估人员及其他相关人员进行评估方法和技术培训,使全体人员了解和理解评估工作的重要性,以及各工作阶段所需配合的工作内容,双方对提交的计划等内容进行确认。
3.5.4.2 项目规划
项目规划包括以下项目管理中的子过程:项目整合管理中的制定项目管理计划;项目范围管理中的规划范围管理、收集需求、定义范围、创建WBS等;项目进度管理中的规划进度管理、定义活动、估算活动持续时间、排列活动顺序和制定进展计划;项目成本管理中的规划成本管理、估算成本、编制预算;项目质量管理中的规划质量管理;项目资源管理中的规划资源管理、估算活动资源;项目沟通管理中的规划沟通管理;项目风险管理中的规划风险管理、识别风险、实施定性风险分析、实施定量风险分析、规划风险处置;项目采购管理中的规划采购管理;项目相关方管理中的规划利益相关方管理等。
3.5.4.3 项目执行
项目执行包括以下项目管理中的子过程:项目整合管理中的指导与管理项目工作、管理项目知识;项目质量管理中的管理质量;项目资源管理中的获取资源、建设团队、管理团队,项目沟通管理中的管理沟通;项目风险管理中的实施风险应对;项目采购管理中的实施采购;项目相关方管理中的管理利益相关方参与等。
3.5.4.4 项目监控
项目监控是跟踪、审查和报告项目的启动、规划、执行和结束,以实现项目管理计划中确定的绩效目标的过程。其主要作用是,让相关方了解项目的当前状态、已采取的步骤,以及对范围、进度和成本的预测。监督是贯穿于整个项目周期的项目管理活动之一,包括收集、测量和发布绩效信息,分析测量结果和预测趋势,以便推动过程改进。持续的监督使项目管理团队能洞察项目的健康状况,并识别须特别关注的任何方面。控制包括制定纠正或预防的措施,或者重新规划,并跟踪行动计划实施过程,以确保它们能有效解决问题。
如果按照项目管理的知识领域,项目监控包括以下项目管理中的子过程:项目范围管理中的确认范围、控制范围,项目进度管理中的控制进度,项目成本管理中的控制成本,项目质量管理中的控制质量,项目资源管理中的控制资源,项目沟通管理中的监督沟通,项目风险管理中的监督风险,项目采购管理中的控制采购,项目变更管理中的实施整体变更控制,项目相关方管理中的监督利益相关方参与等。
3.5.4.5 项目收尾
项目收尾和评价是项目收尾中的工作重点,指对已完成项目的目的、执行过程、效益、作用和影响所进行的系统、客观的分析。委托方通过填写满意度调查表评价受委托方项目工作情况,受委托方通过对项目活动的检查总结,确定项目预期目标是否达到,项目规划是否合理,项目的主要效益指标是否实现。通过分析评价找出成功或失败的原因,总结经验教训;同时,通过及时有效的信息反馈,为未来项目的顺利进行和项目管理水平提出建议。