信息安全風險評估項目管理

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全風險評估項目管理范文，希望能給你帶來靈感和參考，敬請閱讀。

1前言

查找信息資產存在的漏洞，結合現有控制措施，分析這些威脅被利用的可能性和造成的影響，根據可能性和影響評估風險的大小，提出風險控制措施的過程。《國家信息化領導小組關于加強信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號文），提出了“信息安全風險評估是信息安全保障的重要基礎性工作之一”。為了貫徹27號文的精神，進一步識別信息系統存在的風險，并對其進行控制，很多單位啟動了風險評估項目。而風險評估項目又不同于一般的IT項目，有其自身的特點。

2信息安全風險評估項目的過程管理

可以從五個方面解釋信息安全風險評估項目的生命周期，即數據收集、計劃準備、數據分析、項目驗收、報告撰寫，其中一三五是風險評估的主要實施階段。

2.1計劃準備階段

（1）制定項目章程。在信息安全風險評估項目中，應盡早確認并任命項目經理，最好在制定項目章程時就任命。項目經理的職責首先就在于應該參與制定項目章程，而該章程則具有授權的作用，即它能夠使得經理能夠運用組織資源來進行項目的實施。顯而易見，項目經理是被授權的一方，必然不能成為授權項目運行有效的一方。授權項目啟動的人一般而言能夠提供實施項目所需要的資金等資源，他們能夠參與章程的編制。

（2）確定風險評估范圍。確定風險評估范圍即要了解什么方面或者對象具有風險爆發的可能，例如公司的服務器數目、電腦操作系統的安全性和穩定性、應用的防火墻種類和數目等，甚至一些人為的因素也是重要的參考。

（3）明確風險評估成果。在信息安全風險評估項目中，應該在項目開始之前，與客戶將項目提交的成果及要求確定下來。明確風險評估成果之后，在項目執行過程中，該目標也應該作為項目驗收的標準。

（4）制定項目實施方案。項目實施方案是項目活動實施的具體流程，主要用來為項目實施提供技術指導。

（5）制定項目管理計劃。如果想要計劃實施過程一切順利，或者說對定義等計劃行動的過程需要記錄的話，就會需要制定一個項目管理計劃。項目管理計劃需要通過不斷更新來漸進明細。項目管理計劃不能冗余，相反應該極其精煉，但是精煉并不意味著簡單，相反項目管理計劃應詳細論述和解釋完成這個項目所需要的一些條件。

（6）組建項目團隊。一個優秀的項目團隊是完成項目所必不可少的，是一種必須的人力資源。在項目開始時，一般而言，由項目經理來決定優秀團隊的組成，并且在組建團隊時應該注意談判技巧。

（7）召開項目啟動會。項目啟動會代表著一個項目從此開始了正式的運作，是一個項目的啟動階段，在項目啟動會上需要完成的任務包括分析評估完成項目所需要的方法和成本等問題。

（8）風險評估培訓。風險評估培訓是對項目團隊成員及客戶的項目參與者就風險評估方法、評估過程的相關細節性進行培訓，以便項目能順利實施。

2.2數據收集階段

主要包括收集資料、現場技術評估、現場管理評估三項任務。

（1）收集資料。數據收集階段最開始的步驟肯定是收集資料，簡而言之，收集資料就是采取一切可行的方法，盡可能詳細地獲得和項目相關的一些信息，例如客戶的行為習慣、客戶業務相關的文檔，甚至信息安全系統、信息化流程等信息都要盡量詳細化。

（2）現場技術評估。現場技術評估就是通過漏洞掃描、問卷調查、現場訪談、主機配置審計、現場勘查等手段對評估對象進行評估。

（3）現場管理評估。現場管理評估是最后一個步驟，但是卻非常重要，它不僅關系著此次項目運行成功與否，還關系到以后項目效率的改進，現場評估需要對項目進展的流程進行綜合分析，找出不足之處，尋出與優秀的項目管理之間的差距，歸納總結，從而完善管理程序。

2.3數據分析階段

收集數據階段已經收集了很多的數據存量，想要發現數據的內在規律，從而發現有用的東西，就必須對數據進行詳細分析，只有仔細分析數據，才能夠發現項目的風險所在，從而確定風險的大小，找出其資產、弱點、風險。

2.4報告撰寫階段

對收集到的數據進行了詳細分析，得到初步的結論以后，就到了報告撰寫階段，即在數據分析的基礎上，制作一份報告，論述項目的風險問題。

（1）撰寫風險評估報告。風險評估報告應該將風險分析的結果直觀地、形象地表達出來，讓管理層清楚地了解當前信息系統存在的風險。

（2）撰寫整改報告。整改報告則是根據風險評估的結果，提出對風險進行管理與控制的過程。可分為安全加固建議、安全體系結構建議、安全管理建議三種。

2.5項目驗收階段

在完成了以上的步驟以后，理論上就可以對項目進行驗收了，項目驗收即對前期風險評估成果的檢驗，一般包括三項內容，即報告的評審、組織會議討論驗收事宜以及內部項目總結。

（1）報告評審報告評審就是對風險評估報告及整改報告進行評審。

（2）召開項目驗收會即對項目的成果進行匯報。

（3）內部項目總結不僅僅是單純的對項目實施過程的一次簡單的回顧，還是一個經驗總結的過程，回顧過去，把握現在，爭取在以后的項目中不再犯同樣的錯誤。

3信息安全風險評估項目的重點領域管理

信息安全問題影響深遠，其風險評估應根據項目的特點及具體過程，且應在評估中重點加強溝通、范圍、時間、成本、風險、人力資源等幾個領域的管理。

3.1項目溝通管理

為了達到項目目標，項目經理首先必須通過溝通談判從本公司獲得相應的人力資源等支持；其次，為了獲得客戶的支持與配合，提高項目滿意度，項目經理必須與客戶進行有效溝通。項目的最終目標是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望，首先應該識別干系人，識別他們的需求與期望，制定溝通計劃，在項目實施過程中管理干系人的需求與期望。

（1）識別干系人。很顯然，與項目的相關程度不同，不同的人對項目信息安全風險具有不同的影響，作為客戶方與項目實施方，其公司企業的信息安全風險是不一樣的，一般而言客戶方具有最大的影響力，公司方則次之，干系人對項目的態度也是影響項目信息安全風險的重要因素，態度一般分為無關、支持和反對三個。

（2）了解干系人的需求與期望。應該在充分了解項目背景的基礎上，運用一定的方法與技巧了解干系人的需求與期望。①了解項目背景。可以咨詢售前顧問、銷售人員或者查閱招標時的招標書，甚至可以通過互聯網獲得相關信息。風險評估項目的項目背景也是復雜的，一般而言會分成很多的情況，比較常見的有項目本身實施過程中出現的信息安全事件、監管機制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求，然后通過換位思考、溝通交流等手段，進一步確認干系人的需求與期望。

（3）制定溝通計劃。信息安全風險評估項目需要溝通，所以需要制定一個有效的溝通計劃。信息安全風險評估項目不能夠隨意地制定溝通計劃，而應該詳細地分析相關的影響因素，重點關注利益相關者的溝通情況，從而降低影響，提高效率。

（4）管理干系人的需求與期望。干系人的期望與需求也應該得到恰當的管理，最重要的是要明確期望與需求，進行類別的劃分。可分為A、B、C三類：A類：必須做（need），這一類如不做，將難以通過驗收；B類：應該做（want），這一類如不做，會影響驗收效果；C類：可以做（wish），這一類是可做可不做的，做了客戶會更加滿意，不做也不會影響驗收。其次，在管理干系人的需求與期望時，應該遵循80/20規則，即完成20%的任務實現80%的價值，這部分任務必須作為重點。另外，可能還有20%的任務花費80%的成本，在資源及時間允許的情況下處理此類需求與期望。再次，在管理干系人的需求與期望時也可以根據干系人的職權（權力）進行管理。①在第一象限中的干系人權力高，但對項目關注程度低，采用令其滿意的管理策略。②在第二象限中的干系人權力高，且對項目關注程度高，要對其重點管理，優先滿足其需要與期望。③第三象限的人員對項目關注程度高，但權力較低，采用隨時告知的策略，盡量不要影響其個人利益。④第四象限的人權力低，且對項目不關注，要監督他們對項目的反應，不引起負面影響。最后，為了滿足干系人的需求與期望，需要在項目范圍、項目時間、項目成本、項目質量之間做好平衡。

3.2項目范圍管理

范圍是一個空間的范疇，一個項目管理的范圍規定了一個項目的權限范圍，規定了項目可以做哪些事情，而哪些事情是不能做的，實際上是對必要工作的堅持和對不必要工作的摒棄。

（1）明確風險評估范圍。項目計劃準備時就要考慮風險評估范圍，在這一階段就應該定義項目范圍的廣泛性以及縱深等內容，并且考慮客戶的需求，從而明確項目管理范圍。項目范圍的確定不是一方所能夠決定的，相反這是一個博弈的過程，應該照顧各方的利益，制定出一個符合各方利益的項目管理范圍。

（2）明確風險評估成果。應該在項目開始之前，與客戶將項目提交的成果及要求確定下來。一是在項目執行過程中，以此為目標；二是設定一個驗收項目的標準。

（3）創建工作分解結構。顧名思義，創建工作分解結構即將解構分解，即把項目的最后結果和其工作流程明細化，從而使得每一步變得簡單，更加容易操作。在信息安全風險評估項目中，第一層一般就放置項目成果，而第二層則更加側重中間成果。顯而易見，分解工作結構并不是一件簡單的事情，也不是只有一種方法，各層次都是可以相互變化的。

（4）風險評估范圍控制。范圍是所有計劃的基礎。對待客戶提出范圍變更應該遵循以下流程：首先不能明確拒絕，然后要分析客戶變更的原因及目的，快速反應變更所需要的人工及預算對時間和質量的影響，然后再做出決定。

（5）風險評估成果核實。風險評估成果核實過程應該嚴謹而且細心，因為這是一個正式驗收項目的過程，需要由客戶和項目的執行人一起認真核實項目的最終結果。

（6）取得干系人對項目范圍正式認可。它要求審查可交付成果和工作結果，以保證一切均已正確無誤且令人滿意地完成。

3.3項目時間管理

時間管理至關重要，因為優秀的時間管理保證項目能夠不延期交付。

（1）定義活動。定義活動從字面上理解就是一個識別的過程，定義識別的是在項目的實施過程中需要采取的一切實施方法和步驟。它是在工作分解結構的基礎上進行細化而完成的。

（2）排列活動順序。活動順序涉及到的是一個排列的問題，指的是一種依賴關系，即識別和記錄項目活動的依賴關系，是一種邏輯的過程。一般而言，這里所指的依賴關系指的是信息安全風險評估項目中，各個活動之間所具有的特性，如強制性、選擇性和外部依賴性。確定完活動之間的依賴關系，就可以對他們進行排序了，可以采用網絡圖的方法來表達他們之間的順序，常有三種關系，即完成-開始，開始-開始，結束-結束。

（3）估算活動持續時間。估算活動持續時間是一個時間上的范疇，指的是估計資源運用和消耗，以及估計完成一項活動所需工時的過程。需要根據活動的具體情況、負責活動的人員情況來進行估算。估算不能隨意，應該具有嚴格的依據。工時估算時，常采用三點估算法。即估算工時=（最樂觀時間+4×最可能時間+最悲觀時間）/6。①制定進度計劃。制定進度計劃首先需要對所掌握的信息進行深入分析，從而確定活動的順序，并且在時間和空間上確定一個相對準確的點，估算對資源的需求以及項目實施流程。制定一個有效的進度計劃并不是件簡單的事情，而是極其復雜的過程，在這期間需要一遍又一遍分析，從而確定一個合適的時間跨度，并且對項目結果有一個合適的預期。即使制訂了進度計劃，也不是一成不變的，而是要根據相關審查部門的意見適當地修改計劃，從而使得計劃在時間和資源應用上更加合理。只有審查通過以后，這個進度計劃才可以說是確定下來了。信息安全風險評估項目極其復雜，很多因素無論是內部的還是外部的，都對項目有很大的影響，并且鑒于有限的項目組成員，所以需要采用一個更加合適的進度計劃形式。②控制進度。控制進度的同時也是一個對項目監督管理的過程，這一過程根據進度計劃的基準不斷地調整項目的進程。進度控制程序：一般分為四個步驟，即先要分析一個項目所散發的狀態信息；然后如果需要調整進度，就要調整影響進度的相關參數；再次分析以后，要確定一個項目是否在原定的軌道上；如果進度脫離了軌道，就要進行相應的管理。

3.4項目成本管理

成本管理包括估算成本、制定預算、控制成本三項任務。

（1）估算成本。對成本的估算需要囊括整個項目的進程，時間跨度和空間跨度上均要全面。成本估算是在某特定時點，根據已知信息所做出的成本預測。信息安全風險評估項目的主要成本是人工成本及實施直接成本，因為人工成本占了所有成本的一大部分，所以精確地估算人工成本是成本估算最基礎的一面。估算人工成本有個前提，即進度計劃是準確的，從而對團隊成員的人工估算做到精確。項目成本即使估算出來了，也不一定是準確的，需要時時修正，因為越到了項目的后期，需要估計的越少，影響估算準確性的因素也越少，所以成本估算需要不斷進行。

（2）制定預算。制定預算也是一個估算的過程，是對一個項目的所有方面進行一個全面的評估，從而為以后資金的撥付制訂了基礎和基準。只有制定預算，才能夠根據預算的需求來劃撥資金，并且影響到了項目的實施全過程和成果評估部分。

（3）控制成本。成本的控制一般而言指的是成本不應該超出預算，控制成本是一個動態的過程，是監督項目狀態，從而獲得有用信息以更新項目預算。項目成本控制包括：找出影響項目成本的因素，并作相應的修改；保證修改項目參數能夠成功；在修改成功以后，要隨時動態地監督；控制成本，使得成本控制在預算的范圍之內，甚至應該精確到每一項開支；分析成本與預算成本基準之間的差距；對照資金支出，監督工作績效；嚴格禁止不相關的支出，使得每一項成本都合情合理；向有關干系人匯報項目進展和成本控制的工作；即使項目超支了，也要盡量減少成本。

3.5人力資源管理

人力資源管理在一個項目執行時包括很多方面的內容，例如管理組織一個實施團隊、人員分工等。

（1）制定人力資源計劃。制定人力資源計劃是在項目實施之前對實施項目的團隊、人員、職務、報酬等方面的規劃，并且對各個人和團隊的責任進行詳細劃分。人力資源計劃包含項目角色與職責記錄、分成的各個部門等。一些信息安全風險評估項目執行時間比較長，因此需要更加有效的團隊，這就需要對人員進行培訓以及制定團隊建設策略等。風險評估項目的責任分配并不復雜，可采用責任分配矩陣（RAM），這個矩陣能夠顯示工作包或活動與項目團隊成員之間的聯系。并且根據需求的不同，制定不同層次的矩陣。

（2）組建項目團隊。組建項目團隊實際上是對人力資源使用和分配的過程，需要了解人力資源的各種特性，從而組建最合適的管理團隊，在組建團隊時需要注意：項目經理所要做的是積極地與人力資源人員進行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時候項目經理并不能總是如愿地獲得自己想要的人力資源，而是會受到如經濟等其他項目對資源的占用等因素的影響，從而制約了項目的實施，作為替代，項目經理可能不可避免地使用不合適的人力資源。

（3）管理項目團隊。管理項目團隊是選出來運營項目的人所組成的團隊，他們具有多樣化的目標，例如繼續學習，提高團隊成員的專業技能，增強團隊的執行能力從而保證項目結果的按時交付；以最低的成本完成最高質量的項目；按時完成項目，團隊成員之間相互協作，增加團隊效率，豐富團隊成員的知識，增強其跨學科運作能力，提高團隊的凝聚力，無論整體上還是個人上都有效率的提升等。項目經理在期間應該全權負責項目團隊的管理運作，增加項目績效，在團隊出現問題時，分析導致問題的原因，然后解決問題。團隊建設一般要經過5個階段：①形成階段，這個階段是團隊形成的最初階段，團隊成員只是互相認識，并沒有相應的合作。②震蕩階段，指的是團隊已經開始運作，但是成員之間需要磨合的階段。③規范階段，過了磨合期以后，團隊成員彼此之間逐漸適應了彼此的節奏，能夠進行初步合作了，團隊開始有成為一個有效整體的趨向。④成熟階段，這一階段團隊成員之間已經能夠精誠合作，互補余缺，相互學習，團隊效率較高。⑤解散階段，即當項目完成以后，各成員完成了職責，從而脫離團隊。因為各種各樣的原因，例如缺乏充足的資金、進度安排不合理、團隊成員之間缺乏配合等，會造成項目環境的沖突。如果項目經理能有效管理，則意見分歧能夠轉變為團隊的多樣化管理，不僅能夠提高團隊創造力還有利于做出更好的決策。如果管理不當，團隊之間的分歧沒有得到解決，就可能會加大團隊成員之間的鴻溝，從而對項目的實施產生負面的影響。要建設高效的項目團隊，項目經理需要獲得高層管理者的支持，獲得團隊成員的承諾，采用適當的獎勵和認可機制，創建團隊認同感，有效管理沖突，團隊成員間增進信任和開放式溝通，特別是要有良好的團隊領導力。項目團隊管理的一些工具與技術包括：①人際關系技能。通過了解項目團隊成員的感情來預測其行動，了解其后顧之憂，并盡力幫助解決問題，項目管理團隊可大大減少麻煩并促進合作。②培訓。旨在提高項目團隊成員能力的全部活動，培訓可以是正式或非正式的。應該按人力資源計劃中的安排來實施預定的培訓。③制定管理規范，對項目團隊成員的可接受行為做出明確規定。盡早制定并遵守明確的規則，可減少誤解，提高生產力。規則一旦建立，全體項目團隊成員都必須遵守。④認可與獎勵。如果想要提高項目團隊的效率，使得每個人更加盡心和更加富有責任感，就應在團隊建設過程中引進相應的激勵機制，在制定項目計劃時就應該考慮到團隊成員的獎懲問題。在管理項目團隊的過程中，團隊成員的獎勵不是隨意而發的，而是通過項目績效評價，以正式或非正式的方式做出獎勵決定。只有優良行為才能得到獎勵。

3.6項目風險管理

項目風險管理旨在降低風險，或者把風險控制在可控范圍之內。其目標是盡力使得項目運行向著有利的方面轉化，對消極負面的一部分則注意防范。信息安全風險評估項目不屬于特別大的項目，所以一般分為識別風險、評價風險、規劃風險應對、監控風險四個過程。

（1）識別風險。識別風險是風險管理的前提，是一個信息處理的過程，在這個過程中判斷分析什么樣的風險會影響項目。可采用核對表的方式進行風險識別。

（2）評價風險。對于信息安全風險評估項目，評價風險只需要定性評價即可。實施定性風險分析根據風險發生的相對概率或可能性、風險發生后對項目目標的相應影響以及其他因素來評估已識別風險的優先級。

（3）規劃風險應對。規劃風險應對是風險管理最重要的步驟，其規劃的是項目的目標及降低風險的步驟。對于消極風險，常有回避、轉移、減輕、接受四種方式；對于積極風險，常有開拓、分享、提高、接受四種方式。

（4）監控風險。監控風險是風險管理的最后一步，也是第一步，因為它是貫穿在整個項目之中，是一個制定風險應對計劃、監控已知風險、加強管理以解決風險以及發現新風險的過程。

4結語

信息安全風險評估項目是個新興的行業，整體項目管理水平有待提高。在進行項目管理時，需要結合項目特點靈活運用項目管理的知識，有些知識領域應該重點加強，有些知識領域可以適當忽略，按時、合格地完成項目，得到滿意的項目結果，符合干系人的預期。

作者：李永波 單位：甘肅農業大學 麗水職業技術學院