6.3 项目管理在网络安全企业中的应用
6.3.1 网络安全企业应用项目管理的需要及必要性
1. 背景
随着新兴技术的不断发展,网络安全在国家安全、社会经济及其他行业中的影响也越发重要。一方面,在国家层面,与网络安全相关的政策法规日益完善;另一方面,社会对网络安全的推广也日益普及。因此,网络安全产品在加快市场扩张速度的同时,也需要保证项目完成的质量,以满足经济社会发展的需求。
网络安全产业分为安全硬件、安全软件、安全服务等,项目是网络安全企业业务驱动的主要方式之一,项目对网络安全的价值主要有以下几个方面:
首先,项目可以帮助网络安全企业快速发展。网络安全企业是需要快速适应顾客需求的知识型企业,其成长需要项目的支撑,而并非日常的运作,项目是企业利润的重要来源,也是企业发展的主要推动力。
其次,项目可以帮助企业塑造良好的企业安全形象,成功的大型项目运作不仅可以吸引更多的潜在客户,也可以通过宣传帮助企业提升企业形象,是企业的无形资产。
与此同时,项目是帮助网络安全从业者发挥其才能的有效舞台,也是衡量企业管理人员业绩的重要指标,更能帮助技术人员创造价值。技术人员是网络安全企业重要的附加价值,对于企业技术人员而言,稳定的管理岗位不一定适合其发展,但是项目经理这个职位可以实现技术和管理能力的同时成长。
2. 必要性
企业建立项目管理流程取决于项目管理流程能否为企业组织带来效益。如果企业利润的主要来源是项目,那么组织就需要建立专门的项目管理流程。网络安全企业是以项目为基础的企业,其业务主要是为不同的客户指定不同系统的整体安全解决方案。
从网络安全的客户群体来看,网络安全企业的客户主要集中在政府、金融、运营商、教育、医疗等领域,而网络安全企业的业务是为行业客户提供系统整体的安全解决方案。不同的客户其行业属性存在一定的差异,但这些项目的管理也会存在一定的共性。因此,网络安全企业建立正式的管理流程很有必要,而且通过项目的成功管理可以实现企业的整体目标。
项目管理是一种管理的思路和方法,对于企业组织的日常工作,以项目的角度来看也有助于日常各项工作的开展。网络安全企业用项目管理的方式处理工作有以下几个优势:
(1)提升项目的经济效益。企业可持续性发展的前提条件是能够持续盈利,以项目为主要的推动力可以帮助企业通过控制项目成本来高效调配项目资源从而提高项目的生产效率。
(2)以项目管理方式进行交付,可以通过完善项目管理体系增强客户对项目的信心,成功的项目实施可以提高客户对项目甚至是对企业整体的满意度。高质量的项目不仅能创造再次合作的可能性,同时以重要、优质的项目塑造的品牌形象可以为企业创造更大的潜在商机。
(3)通过项目管理的方式能提升项目成员的综合素质,在项目实施过程中对项目成员进行高效的管理,在挖掘项目成员潜力优势的同时,也能为项目成员的技能发展创造机会,有助于创造员工的个人职业价值。整体而言,采用项目管理的方式有利于企业提升整体实力和市场竞争力。
6.3.2 项目管理作为技术与方法在网络安全企业中的应用
6.3.2.1 网络安全企业项目管理基础
网络安全企业项目管理是以美国项目管理协会(Project Management Institute,PMI)的项目管理体系和系统安全工程能力成熟度模型(Systems Security Engineering Capability Maturity Model,SSE-CMM)为基础的,这两种体系对项目管理有极大的支撑作用。
PMI的项目管理体系将项目划分到范围管理、时间管理、成本管理、质量管理、人力资源管理、风险管理、采购管理、交流管理和整合管理知识领域内。PMI知识体系为网络安全企业的项目管理提供了方向指引。
SSE-CMM模型的目标是通过成熟、完善的模型建立可度量的安全工程。SSE-CMM模型定义了安全工程进程中应有的特点,且以此作为完整的安全工程的前提。其模型对于所有工程活动都进行了清晰明确的定义,能管理、能测量、可控制和有效是模型在项目工程中的明显优势。SSE-CMM模型及其评定方式汇总了行业内常见的实施方法,为业界提供了完整的标准体系,让项目在软件、硬件系统和其他安全工程项目实施后可获得完整的安全结果。
6.3.2.2 构建网络安全企业项目管理体系
1. 项目管理的目标和原则
网络安全企业构建项目管理体系的主要目标在于提高企业运营效率,明确指定企业运作流程,通过现有的资源为企业创造更高的价值。项目管理是在现有资源的条件下,满足时间、成本和绩效的制约,最终实现最优客户关系的管理过程。
在网络安全企业构建的项目管理流程中需要注意:流程的规范需要灵活调整;项目管理流程在时间和条件的变化中保持更新,确保流程不会影响项目的执行;流程的建立和推广是从上至下的,管理层的支持可以让流程的应用得到广泛的推广和使用。
2. 项目管理中的重点领域
项目管理中需要注意的重点区域有制定项目进度计划、进度计划的选择方式、质量管理计划、项目风险管理、项目沟通管理、项目变更管理。
1)制定项目进度计划
项目计划的制定在于把重点工作在短时间内完成,同时找出多活动进行的方式,以这种方式可以缩短整个项目的时间,合理制定项目计划需要项目经理完成项目工作的分解、建立活动的依赖关系、合理安排好人力资源、资源的依赖关系、重叠工作、进度计算的方法。
完整可靠的计划制定需要项目经理完成以下几个方面的工作:
(1)工作分解结构(Work Breakdown Structure,WBS)。项目经理按照一定的原则将项目分解成一个个任务,再将任务分解为一项项工作,根据项目成员的职责进行工作分配,过程是项目—任务—工作—日常工作。
(2)建立活动的相互依赖性。前面的活动确保完成后,再开启下一步的工作内容。前后活动存在一定的逻辑关系。
(3)安排好适当的人力资源。例如,在安排人员工作的时候,需要考虑人员疾病、项目需要人加入等风险因素。
(4)资源间的相互依赖关系。项目组织的资源总有用完的时候,当和其他项目出现资源冲突时,两个活动都将无法进行。例如,当项目经理需要完成当前项目后才能执行下一个项目则表示资源间具有依赖关系。
(5)工作的重叠。大部分情况是某个项目完成到一定的阶段就可以进行下一个项目了,而不是一定要等到这个项目完成,所以项目中也存在依赖关系。
(6)进度计划计算。可以采用正推计算法和逆推计算法等其他算法。
2)进度计划的选择方式
关键路径法(Critical Path Method,CPM)和计划评审技术(Program Evaluation and Review Technique,PERT)是进度计划选择的两种常用方式。如何选择两种方式进行项目计划的制定,需要看系统集成商对项目的认识程度。如果说当前的项目和以往的项目相同,可以采用CPM进行进度计划编制。CPM的项目时长评估是以历史数据为依据的,会以之前项目活动的平均值为依据。当项目没有历史经验数据,且其估算难度大、可信度不能确定时,可以用PERT的方式进行进度计划编制。需要注意的是要以这个活动历时的范围和活动历时在该范围内的概率进行评估,不能假定活动在固定的时间内完成。
3)质量管理计划
项目的后续阶段控制管理和指导的依据是质量计划,正确计划的制定是保障项目后续实施控制的前提条件。在实施前需要针对项目进行精心的策划和周密的计划安排,在项目设计和实施进程中需要充分考虑客户的应用体验,强调项目的质量和效益统一。
4)项目风险管理
项目风险管理需要对大量的风险事件进行管理,在系统集成项目中可能会出现到货延迟或设备模块匹配等问题。将风险事件对项目造成的影响降至最低,是项目风险管理的重要工作。当风险事件无法避免时,需要管理者执行必要的准备措施进行规避,将风险对项目的目标影响降至客户可以接受的程度。
5)项目沟通管理
在项目实施过程中,需要以项目经理为中心,实现全面有效的管理。沟通的内容包含项目经理需要从头到尾把控整个项目,是信息的搜集和传递者;项目经理需要了解项目的相关人员,把项目信息传递给组员;项目经理需要定期组织项目领导小组和监管方召开会议;项目经理需要定期召集组员召开会议,解决项目中遇到的问题;销售和客户需要保持沟通并接受客户反馈的建议。
6)项目变更管理
项目实施过程中,必然会面临各种问题,变更控制关系项目的成功,项目变更策略制定的目的是明确项目变更流程、保证变更得到有效控制。项目变更流程适用于项目实施过程中的各种变更,包括计划变更、需求变更、人员变更和费用变更。项目经理需要掌握项目变更的情况,对于影响到客户的变更需要得到客户的确认后才能发起,对于变更的结果需要客户在《需求变更确认表》上签字。
3. 项目实施的具体流程和方法
网络安全企业的项目工程实施通常是从项目合同正式签订后开始,主要包括前期准备阶段、实施阶段、试运行阶段、验收阶段和售后维护阶段。
1)前期准备阶段
在项目小组成立到项目组实施阶段,包含的工作有计划、勘察、工作文档制定和培训。在计划过程中,项目工程的甲乙双方需要审查合同、方案等,发现问题及时反馈并相互协调。当出现不能确定的因素时,需要以书面报告的方式上报相关部门和领导。针对重要问题需要进行记录并反馈在项目协调会备忘录中;勘察过程中需要对项目的施工现场进行勘察,根据现场的情况,甲方在实施条件或实施环境中需要改进的地方,需要乙方反馈相关实施技术参数和环境要求,甲方需要根据要求实施条件和环境的改进;文档制定需要具体到每个人,文档制定完成后反馈给项目技术顾问进行审核;培训部分需要按照合同内容协调客户及产品供应商,对使用安全产品的甲方工作人员进行培训。
2)实施阶段
实施阶段主要是指从项目工程实施到项目工程结束期间,工程施工需要按照计划进行,当不能及时完成时需要通知项目总负责人并说明具体原因,反馈在《项目变更通知》中。项目组需要在《工程开工通知》中说明要求的时间到指定的地点按照《工程实施计划》进行施工。在子系统实施前提交实施通知单,之后再通知客户相关的注意事项。甲方和相关部门进行不定期的项目进度和质量检查。项目实施阶段需要协调各方会议,并形成项目协调会议记录。施工期间关于设备的账号、口令等需求,需要在项目的总负责人同意后和数据中心签订移交记录,口令的归还需要双方签字确认,口令及时归还也需要做记录。
3)试运行阶段
试运行阶段从系统调试开始,此阶段非常重要,乙方需要发送试运行通知书给各部门进行调试;当试运行阶段出现问题时,甲乙双方排除故障后进行备案;试运行结束后,乙方需要填写试运行结束通知书通知各方,各方签字确认后试运行阶段结束,并进入验收阶段。
4)验收阶段
乙方向甲方提交竣工通知及项目验收申请,项目验收测试通过后双方共同编写终验报告,项目总负责人向客户提交项目工程移交方案,该方案包含各种口令和维护文档、配置文档等,双方盖章签字,项目总负责人向技术支持小组提交项目工程移交报告。
5)售后维护阶段
项目工程验收后,需要对项目工程进行维护。售后工作分为以主动和被动两种方式掌握安全问题。出现安全问题后,安全服务人员需要在承诺的时间内完成以下步骤:①项目验收完成后,项目工程小组需要向维护小组转换;②在指定时间内向客户提供售后维护说明和售后维护名单;③根据所签订合同中的售后服务条款,对各种安全产品进行维护,并在每次维护后反馈在维护记录中,针对运营阶段当中出现的重大病毒暴发提供应急响应服务,定期进行病毒库升级等相关工作。
6.3.3 项目管理作为管理理念在网络安全企业中的应用
管理学的分支包括项目管理和传统管理,管理的效果和效率是其所追求的。在传统的项目管理中,项目没有被看作特殊的管理对象,但是项目和日常的工作有很大的区别。
项目管理是以项目为中心,以整个项目团队作为基本单位进行组织协调管理,项目经理和直线经理建立分工协作的监督机制,而且对预算的管理更为有效,项目的组织管理、经费管理、风险管理和沟通管理使整个项目形成完整的体系,而且风险管理可以使项目的运作规避风险。
项目管理需要关注整体,其管理理念具有前瞻性,可以提升项目成员的创新力,在项目中可以配备合适、优质的资源,这样效率会更高。
项目管理需要将时间、成本和范围贯穿于企业管理中,以非项目和准项目进行管理,让项目管理的效率更高。网络安全企业的经营活动可以分为项目和日常工作,日常工作具有重复性,和项目有一定的区别。但项目的要素包括范围、时间和成本。鉴于此,日常工作也可以看成项目。
也有一部分网络安全企业业务内容既无法看作项目,也不能看成准项目,这部分内容就是运营部门的工作,而且可以看成项目的附件,项目管理的理念是有效地完成工作。企业定期经营会议上的经营分析报告通常是以企业项目作为经营分析内容的主要内容。经营分析内容就是将项目管理做回顾、分析和总结。项目管理已经贯穿于企业决策、执行和控制的多个方面,项目管理的方法和理念已经成为企业实用性极强的管理工具。
6.3.4 项目管理在网络安全企业中应用的优势
随着网络技术的不断发展、科学技术的不断进步,网络安全企业的项目管理工作不仅能帮助企业更好地完成项目拓展,也能保证项目信息的可持续性和安全性,从而强化动态管理。
项目管理的应用为网络安全企业带来的好处有以下几点:首先,应用项目管理可以描述和界定项目的范围,让项目的工作任务更加明确,各项目工作可以责任到人;其次,项目管理可以预估项目完成所需要的时间和资源,项目管理可以解决好这些资源的配置优化;再次,项目管理中的风险管理非常重要,当有问题出现时也会有相应的处置措施,对于项目中出现的不确定因素,项目管理计划可以针对不同的风险问题进行预防;最后,项目管理可以在预算的范围内完成项目目标,对项目过程中的关键点可以及时进行检查,保证项目的跟踪计划,控制项目的各种成本,确保能按照进度成功交付项目。
网络安全企业的项目管理工作可以帮助国内的项目管理工作更为科学化地进行,并以此形成规范化的方式进行推广。规范化的项目管理方式和管理手段能以科学化的数据为基础进行更好的管理,在保证数据的真实性、可靠性的同时,也保证了整个项目的质量。高效的管理工作可以加快信息处理和分析的速度,规避了不安全的因素出现。除此之外,网络安全企业项目管理工作的优化可以用严谨科学的方式处理网络安全企业中存在的问题,让管理工作更加规范化。