關(guān)于信息安全風(fēng)險評估項目管理的論文

　　1前言

　　查找信息資產(chǎn)存在的漏洞，結合現有控制措施，分析這些威脅被利用的可能性和造成的影響，根據可能性和影響評估風(fēng)險的大小，提出風(fēng)險控制措施的過(guò)程�！秶�家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見(jiàn)》在2003年9月被提上日程（簡(jiǎn)稱(chēng)27號文），提出了“信息安全風(fēng)險評估是信息安全保障的重要基礎性工作之一”。為了貫徹27號文的精神，進(jìn)一步識別信息系統存在的風(fēng)險，并對其進(jìn)行控制，很多單位啟動(dòng)了風(fēng)險評估項目。而風(fēng)險評估項目又不同于一般的IT項目，有其自身的特點(diǎn)。

　　2信息安全風(fēng)險評估項目的過(guò)程管理

　　可以從五個(gè)方面解釋信息安全風(fēng)險評估項目的生命周期，即數據收集、計劃準備、數據分析、項目驗收、報告撰寫(xiě)，其中一三五是風(fēng)險評估的主要實(shí)施階段。

　　2.1計劃準備階段

　�。�1）制定項目章程。在信息安全風(fēng)險評估項目中，應盡早確認并任命項目經(jīng)理，最好在制定項目章程時(shí)就任命。項目經(jīng)理的職責首先就在于應該參與制定項目章程，而該章程則具有授權的作用，即它能夠使得經(jīng)理能夠運用組織資源來(lái)進(jìn)行項目的實(shí)施。顯而易見(jiàn)，項目經(jīng)理是被授權的一方，必然不能成為授權項目運行有效的一方。授權項目啟動(dòng)的人一般而言能夠提供實(shí)施項目所需要的資金等資源，他們能夠參與章程的編制。

　�。�2）確定風(fēng)險評估范圍。確定風(fēng)險評估范圍即要了解什么方面或者對象具有風(fēng)險爆發(fā)的可能，例如公司的服務(wù)器數目、電腦操作系統的安全性和穩定性、應用的防火墻種類(lèi)和數目等，甚至一些人為的因素也是重要的參考。

　�。�3）明確風(fēng)險評估成果。在信息安全風(fēng)險評估項目中，應該在項目開(kāi)始之前，與客戶(hù)將項目提交的成果及要求確定下來(lái)。明確風(fēng)險評估成果之后，在項目執行過(guò)程中，該目標也應該作為項目驗收的標準。

　�。�4）制定項目實(shí)施方案。項目實(shí)施方案是項目活動(dòng)實(shí)施的具體流程，主要用來(lái)為項目實(shí)施提供技術(shù)指導。

　�。�5）制定項目管理計劃。如果想要計劃實(shí)施過(guò)程一切順利，或者說(shuō)對定義等計劃行動(dòng)的過(guò)程需要記錄的話(huà)，就會(huì )需要制定一個(gè)項目管理計劃。項目管理計劃需要通過(guò)不斷更新來(lái)漸進(jìn)明細。項目管理計劃不能冗余，相反應該極其精煉，但是精煉并不意味著(zhù)簡(jiǎn)單，相反項目管理計劃應詳細論述和解釋完成這個(gè)項目所需要的一些條件。

　�。�6）組建項目團隊。一個(gè)優(yōu)秀的項目團隊是完成項目所必不可少的，是一種必須的人力資源。在項目開(kāi)始時(shí)，一般而言，由項目經(jīng)理來(lái)決定優(yōu)秀團隊的組成，并且在組建團隊時(shí)應該注意談判技巧。

　�。�7）召開(kāi)項目啟動(dòng)會(huì )。項目啟動(dòng)會(huì )代表著(zhù)一個(gè)項目從此開(kāi)始了正式的運作，是一個(gè)項目的啟動(dòng)階段，在項目啟動(dòng)會(huì )上需要完成的任務(wù)包括分析評估完成項目所需要的方法和成本等問(wèn)題。

　�。�8）風(fēng)險評估培訓。風(fēng)險評估培訓是對項目團隊成員及客戶(hù)的項目參與者就風(fēng)險評估方法、評估過(guò)程的相關(guān)細節性進(jìn)行培訓，以便項目能順利實(shí)施。

　　2.2數據收集階段

　　主要包括收集資料、現場(chǎng)技術(shù)評估、現場(chǎng)管理評估三項任務(wù)。

　�。�1）收集資料。數據收集階段最開(kāi)始的步驟肯定是收集資料，簡(jiǎn)而言之，收集資料就是采取一切可行的方法，盡可能詳細地獲得和項目相關(guān)的一些信息，例如客戶(hù)的行為習慣、客戶(hù)業(yè)務(wù)相關(guān)的文檔，甚至信息安全系統、信息化流程等信息都要盡量詳細化。

　�。�2）現場(chǎng)技術(shù)評估�，F場(chǎng)技術(shù)評估就是通過(guò)漏洞掃描、問(wèn)卷調查、現場(chǎng)訪(fǎng)談、主機配置審計、現場(chǎng)勘查等手段對評估對象進(jìn)行評估。

　�。�3）現場(chǎng)管理評估�，F場(chǎng)管理評估是最后一個(gè)步驟，但是卻非常重要，它不僅關(guān)系著(zhù)此次項目運行成功與否，還關(guān)系到以后項目效率的改進(jìn)，現場(chǎng)評估需要對項目進(jìn)展的流程進(jìn)行綜合分析，找出不足之處，尋出與優(yōu)秀的項目管理之間的差距，歸納總結，從而完善管理程序。

　　2.3數據分析階段

　　收集數據階段已經(jīng)收集了很多的數據存量，想要發(fā)現數據的內在規律，從而發(fā)現有用的東西，就必須對數據進(jìn)行詳細分析，只有仔細分析數據，才能夠發(fā)現項目的風(fēng)險所在，從而確定風(fēng)險的大小，找出其資產(chǎn)、弱點(diǎn)、風(fēng)險。

　　2.4報告撰寫(xiě)階段

　　對收集到的數據進(jìn)行了詳細分析，得到初步的結論以后，就到了報告撰寫(xiě)階段，即在數據分析的基礎上，制作一份報告，論述項目的風(fēng)險問(wèn)題。

　�。�1）撰寫(xiě)風(fēng)險評估報告。風(fēng)險評估報告應該將風(fēng)險分析的結果直觀(guān)地、形象地表達出來(lái)，讓管理層清楚地了解當前信息系統存在的風(fēng)險。

　�。�2）撰寫(xiě)整改報告。整改報告則是根據風(fēng)險評估的結果，提出對風(fēng)險進(jìn)行管理與控制的過(guò)程�？煞譃榘踩�加固建議、安全體系結構建議、安全管理建議三種。

　　2.5項目驗收階段

　　在完成了以上的步驟以后，理論上就可以對項目進(jìn)行驗收了，項目驗收即對前期風(fēng)險評估成果的檢驗，一般包括三項內容，即報告的評審、組織會(huì )議討論驗收事宜以及內部項目總結。

　�。�1）報告評審報告評審就是對風(fēng)險評估報告及整改報告進(jìn)行評審。

　�。�2）召開(kāi)項目驗收會(huì )即對項目的成果進(jìn)行匯報。

　�。�3）內部項目總結不僅僅是單純的對項目實(shí)施過(guò)程的一次簡(jiǎn)單的回顧，還是一個(gè)經(jīng)驗總結的過(guò)程，回顧過(guò)去，把握現在，爭取在以后的項目中不再犯同樣的錯誤。

　　3信息安全風(fēng)險評估項目的重點(diǎn)領(lǐng)域管理

　　信息安全問(wèn)題影響深遠，其風(fēng)險評估應根據項目的特點(diǎn)及具體過(guò)程，且應在評估中重點(diǎn)加強溝通、范圍、時(shí)間、成本、風(fēng)險、人力資源等幾個(gè)領(lǐng)域的管理。

　　3.1項目溝通管理

　　為了達到項目目標，項目經(jīng)理首先必須通過(guò)溝通談判從本公司獲得相應的人力資源等支持；其次，為了獲得客戶(hù)的支持與配合，提高項目滿(mǎn)意度，項目經(jīng)理必須與客戶(hù)進(jìn)行有效溝通。項目的最終目標是滿(mǎn)足或者超過(guò)干系人的需求與期望。要滿(mǎn)足或者超過(guò)干系人的需求與期望，首先應該識別干系人，識別他們的需求與期望，制定溝通計劃，在項目實(shí)施過(guò)程中管理干系人的需求與期望。

　�。�1）識別干系人。很顯然，與項目的相關(guān)程度不同，不同的人對項目信息安全風(fēng)險具有不同的影響，作為客戶(hù)方與項目實(shí)施方，其公司企業(yè)的信息安全風(fēng)險是不一樣的，一般而言客戶(hù)方具有最大的影響力，公司方則次之，干系人對項目的態(tài)度也是影響項目信息安全風(fēng)險的重要因素，態(tài)度一般分為無(wú)關(guān)、支持和反對三個(gè)。

　�。�2）了解干系人的需求與期望。應該在充分了解項目背景的基礎上，運用一定的方法與技巧了解干系人的需求與期望。①了解項目背景�？梢宰稍�(xún)售前顧問(wèn)、銷(xiāo)售人員或者查閱招標時(shí)的招標書(shū)，甚至可以通過(guò)互聯(lián)網(wǎng)獲得相關(guān)信息。風(fēng)險評估項目的項目背景也是復雜的，一般而言會(huì )分成很多的情況，比較常見(jiàn)的有項目本身實(shí)施過(guò)程中出現的信息安全事件、監管機制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過(guò)馬期洛需求層次理論可以大致了解干系人的需求，然后通過(guò)換位思考、溝通交流等手段，進(jìn)一步確認干系人的需求與期望。

　�。�3）制定溝通計劃。信息安全風(fēng)險評估項目需要溝通，所以需要制定一個(gè)有效的溝通計劃。信息安全風(fēng)險評估項目不能夠隨意地制定溝通計劃，而應該詳細地分析相關(guān)的影響因素，重點(diǎn)關(guān)注利益相關(guān)者的溝通情況，從而降低影響，提高效率。

　�。�4）管理干系人的需求與期望。干系人的期望與需求也應該得到恰當的管理，最重要的是要明確期望與需求，進(jìn)行類(lèi)別的劃分�？煞譃锳、B、C三類(lèi)：A類(lèi)：必須做（need），這一類(lèi)如不做，將難以通過(guò)驗收；B類(lèi)：應該做（want），這一類(lèi)如不做，會(huì )影響驗收效果；C類(lèi)：可以做（wish），這一類(lèi)是可做可不做的，做了客戶(hù)會(huì )更加滿(mǎn)意，不做也不會(huì )影響驗收。其次，在管理干系人的需求與期望時(shí)，應該遵循80/20規則，即完成20%的任務(wù)實(shí)現80%的價(jià)值，這部分任務(wù)必須作為重點(diǎn)。另外，可能還有20%的任務(wù)花費80%的成本，在資源及時(shí)間允許的情況下處理此類(lèi)需求與期望。再次，在管理干系人的需求與期望時(shí)也可以根據干系人的職權（權力）進(jìn)行管理。①在第一象限中的干系人權力高，但對項目關(guān)注程度低，采用令其滿(mǎn)意的管理策略。②在第二象限中的干系人權力高，且對項目關(guān)注程度高，要對其重點(diǎn)管理，優(yōu)先滿(mǎn)足其需要與期望。③第三象限的人員對項目關(guān)注程度高，但權力較低，采用隨時(shí)告知的策略，盡量不要影響其個(gè)人利益。④第四象限的人權力低，且對項目不關(guān)注，要監督他們對項目的反應，不引起負面影響。最后，為了滿(mǎn)足干系人的需求與期望，需要在項目范圍、項目時(shí)間、項目成本、項目質(zhì)量之間做好平衡。

　　3.2項目范圍管理

　　范圍是一個(gè)空間的范疇，一個(gè)項目管理的范圍規定了一個(gè)項目的權限范圍，規定了項目可以做哪些事情，而哪些事情是不能做的，實(shí)際上是對必要工作的堅持和對不必要工作的摒棄。

　�。�1）明確風(fēng)險評估范圍。項目計劃準備時(shí)就要考慮風(fēng)險評估范圍，在這一階段就應該定義項目范圍的廣泛性以及縱深等內容，并且考慮客戶(hù)的需求，從而明確項目管理范圍。項目范圍的確定不是一方所能夠決定的，相反這是一個(gè)博弈的過(guò)程，應該照顧各方的利益，制定出一個(gè)符合各方利益的項目管理范圍。

　�。�2）明確風(fēng)險評估成果。應該在項目開(kāi)始之前，與客戶(hù)將項目提交的成果及要求確定下來(lái)。一是在項目執行過(guò)程中，以此為目標；二是設定一個(gè)驗收項目的標準。

　�。�3）創(chuàng )建工作分解結構。顧名思義，創(chuàng )建工作分解結構即將解構分解，即把項目的最后結果和其工作流程明細化，從而使得每一步變得簡(jiǎn)單，更加容易操作。在信息安全風(fēng)險評估項目中，第一層一般就放置項目成果，而第二層則更加側重中間成果。顯而易見(jiàn)，分解工作結構并不是一件簡(jiǎn)單的事情，也不是只有一種方法，各層次都是可以相互變化的。

　�。�4）風(fēng)險評估范圍控制。范圍是所有計劃的基礎。對待客戶(hù)提出范圍變更應該遵循以下流程：首先不能明確拒絕，然后要分析客戶(hù)變更的原因及目的，快速反應變更所需要的人工及預算對時(shí)間和質(zhì)量的影響，然后再做出決定。

　�。�5）風(fēng)險評估成果核實(shí)。風(fēng)險評估成果核實(shí)過(guò)程應該嚴謹而且細心，因為這是一個(gè)正式驗收項目的過(guò)程，需要由客戶(hù)和項目的執行人一起認真核實(shí)項目的最終結果。

　�。�6）取得干系人對項目范圍正式認可。它要求審查可交付成果和工作結果，以保證一切均已正確無(wú)誤且令人滿(mǎn)意地完成。

　　3.3項目時(shí)間管理

　　時(shí)間管理至關(guān)重要，因為優(yōu)秀的時(shí)間管理保證項目能夠不延期交付。

　�。�1）定義活動(dòng)。定義活動(dòng)從字面上理解就是一個(gè)識別的過(guò)程，定義識別的是在項目的實(shí)施過(guò)程中需要采取的一切實(shí)施方法和步驟。它是在工作分解結構的基礎上進(jìn)行細化而完成的。

　�。�2）排列活動(dòng)順序�；顒�(dòng)順序涉及到的是一個(gè)排列的問(wèn)題，指的是一種依賴(lài)關(guān)系，即識別和記錄項目活動(dòng)的依賴(lài)關(guān)系，是一種邏輯的過(guò)程。一般而言，這里所指的依賴(lài)關(guān)系指的是信息安全風(fēng)險評估項目中，各個(gè)活動(dòng)之間所具有的特性，如強制性、選擇性和外部依賴(lài)性。確定完活動(dòng)之間的依賴(lài)關(guān)系，就可以對他們進(jìn)行排序了，可以采用網(wǎng)絡(luò )圖的方法來(lái)表達他們之間的順序，常有三種關(guān)系，即完成-開(kāi)始，開(kāi)始-開(kāi)始，結束-結束。

　�。�3）估算活動(dòng)持續時(shí)間。估算活動(dòng)持續時(shí)間是一個(gè)時(shí)間上的范疇，指的是估計資源運用和消耗，以及估計完成一項活動(dòng)所需工時(shí)的過(guò)程。需要根據活動(dòng)的具體情況、負責活動(dòng)的人員情況來(lái)進(jìn)行估算。估算不能隨意，應該具有嚴格的依據。工時(shí)估算時(shí)，常采用三點(diǎn)估算法。即估算工時(shí)=（最樂(lè )觀(guān)時(shí)間+4×最可能時(shí)間+最悲觀(guān)時(shí)間）/6。①制定進(jìn)度計劃。制定進(jìn)度計劃首先需要對所掌握的信息進(jìn)行深入分析，從而確定活動(dòng)的順序，并且在時(shí)間和空間上確定一個(gè)相對準確的點(diǎn)，估算對資源的需求以及項目實(shí)施流程。制定一個(gè)有效的進(jìn)度計劃并不是件簡(jiǎn)單的事情，而是極其復雜的過(guò)程，在這期間需要一遍又一遍分析，從而確定一個(gè)合適的時(shí)間跨度，并且對項目結果有一個(gè)合適的預期。即使制訂了進(jìn)度計劃，也不是一成不變的，而是要根據相關(guān)審查部門(mén)的意見(jiàn)適當地修改計劃，從而使得計劃在時(shí)間和資源應用上更加合理。只有審查通過(guò)以后，這個(gè)進(jìn)度計劃才可以說(shuō)是確定下來(lái)了。信息安全風(fēng)險評估項目極其復雜，很多因素無(wú)論是內部的還是外部的，都對項目有很大的影響，并且鑒于有限的項目組成員，所以需要采用一個(gè)更加合適的進(jìn)度計劃形式。②控制進(jìn)度�？刂七M(jìn)度的同時(shí)也是一個(gè)對項目監督管理的過(guò)程，這一過(guò)程根據進(jìn)度計劃的基準不斷地調整項目的進(jìn)程。進(jìn)度控制程序：一般分為四個(gè)步驟，即先要分析一個(gè)項目所散發(fā)的狀態(tài)信息；然后如果需要調整進(jìn)度，就要調整影響進(jìn)度的相關(guān)參數；再次分析以后，要確定一個(gè)項目是否在原定的軌道上；如果進(jìn)度脫離了軌道，就要進(jìn)行相應的管理。

　　3.4項目成本管理

　　成本管理包括估算成本、制定預算、控制成本三項任務(wù)。

　�。�1）估算成本。對成本的估算需要囊括整個(gè)項目的進(jìn)程，時(shí)間跨度和空間跨度上均要全面。成本估算是在某特定時(shí)點(diǎn)，根據已知信息所做出的成本預測。信息安全風(fēng)險評估項目的主要成本是人工成本及實(shí)施直接成本，因為人工成本占了所有成本的一大部分，所以精確地估算人工成本是成本估算最基礎的一面。估算人工成本有個(gè)前提，即進(jìn)度計劃是準確的，從而對團隊成員的人工估算做到精確。項目成本即使估算出來(lái)了，也不一定是準確的，需要時(shí)時(shí)修正，因為越到了項目的后期，需要估計的越少，影響估算準確性的因素也越少，所以成本估算需要不斷進(jìn)行。

　�。�2）制定預算。制定預算也是一個(gè)估算的過(guò)程，是對一個(gè)項目的所有方面進(jìn)行一個(gè)全面的評估，從而為以后資金的撥付制訂了基礎和基準。只有制定預算，才能夠根據預算的需求來(lái)劃撥資金，并且影響到了項目的實(shí)施全過(guò)程和成果評估部分。

　�。�3）控制成本。成本的控制一般而言指的是成本不應該超出預算，控制成本是一個(gè)動(dòng)態(tài)的過(guò)程，是監督項目狀態(tài)，從而獲得有用信息以更新項目預算。項目成本控制包括：找出影響項目成本的因素，并作相應的修改；保證修改項目參數能夠成功；在修改成功以后，要隨時(shí)動(dòng)態(tài)地監督；控制成本，使得成本控制在預算的范圍之內，甚至應該精確到每一項開(kāi)支；分析成本與預算成本基準之間的差距；對照資金支出，監督工作績(jì)效；嚴格禁止不相關(guān)的支出，使得每一項成本都合情合理；向有關(guān)干系人匯報項目進(jìn)展和成本控制的工作；即使項目超支了，也要盡量減少成本。

　　3.5人力資源管理

　　人力資源管理在一個(gè)項目執行時(shí)包括很多方面的內容，例如管理組織一個(gè)實(shí)施團隊、人員分工等。

　�。�1）制定人力資源計劃。制定人力資源計劃是在項目實(shí)施之前對實(shí)施項目的團隊、人員、職務(wù)、報酬等方面的規劃，并且對各個(gè)人和團隊的責任進(jìn)行詳細劃分。人力資源計劃包含項目角色與職責記錄、分成的各個(gè)部門(mén)等。一些信息安全風(fēng)險評估項目執行時(shí)間比較長(cháng)，因此需要更加有效的團隊，這就需要對人員進(jìn)行培訓以及制定團隊建設策略等。風(fēng)險評估項目的責任分配并不復雜，可采用責任分配矩陣（RAM），這個(gè)矩陣能夠顯示工作包或活動(dòng)與項目團隊成員之間的聯(lián)系。并且根據需求的不同，制定不同層次的矩陣。

　�。�2）組建項目團隊。組建項目團隊實(shí)際上是對人力資源使用和分配的過(guò)程，需要了解人力資源的各種特性，從而組建最合適的管理團隊，在組建團隊時(shí)需要注意：項目經(jīng)理所要做的是積極地與人力資源人員進(jìn)行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時(shí)候項目經(jīng)理并不能總是如愿地獲得自己想要的人力資源，而是會(huì )受到如經(jīng)濟等其他項目對資源的占用等因素的影響，從而制約了項目的實(shí)施，作為替代，項目經(jīng)理可能不可避免地使用不合適的人力資源。

　�。�3）管理項目團隊。管理項目團隊是選出來(lái)運營(yíng)項目的人所組成的團隊，他們具有多樣化的目標，例如繼續學(xué)習，提高團隊成員的專(zhuān)業(yè)技能，增強團隊的執行能力從而保證項目結果的按時(shí)交付；以最低的成本完成最高質(zhì)量的項目；按時(shí)完成項目，團隊成員之間相互協(xié)作，增加團隊效率，豐富團隊成員的知識，增強其跨學(xué)科運作能力，提高團隊的凝聚力，無(wú)論整體上還是個(gè)人上都有效率的提升等。項目經(jīng)理在期間應該全權負責項目團隊的管理運作，增加項目績(jì)效，在團隊出現問(wèn)題時(shí)，分析導致問(wèn)題的原因，然后解決問(wèn)題。團隊建設一般要經(jīng)過(guò)5個(gè)階段：

　�、傩纬呻A段，這個(gè)階段是團隊形成的最初階段，團隊成員只是互相認識，并沒(méi)有相應的合作。

　�、谡鹗庪A段，指的是團隊已經(jīng)開(kāi)始運作，但是成員之間需要磨合的階段。

　�、垡幏峨A段，過(guò)了磨合期以后，團隊成員彼此之間逐漸適應了彼此的節奏，能夠進(jìn)行初步合作了，團隊開(kāi)始有成為一個(gè)有效整體的趨向。

　�、艹墒祀A段，這一階段團隊成員之間已經(jīng)能夠精誠合作，互補余缺，相互學(xué)習，團隊效率較高。

　�、萁馍㈦A段，即當項目完成以后，各成員完成了職責，從而脫離團隊。因為各種各樣的原因，例如缺乏充足的資金、進(jìn)度安排不合理、團隊成員之間缺乏配合等，會(huì )造成項目環(huán)境的沖突。如果項目經(jīng)理能有效管理，則意見(jiàn)分歧能夠轉變?yōu)閳F隊的多樣化管理，不僅能夠提高團隊創(chuàng )造力還有利于做出更好的決策。如果管理不當，團隊之間的分歧沒(méi)有得到解決，就可能會(huì )加大團隊成員之間的鴻溝，從而對項目的實(shí)施產(chǎn)生負面的影響。要建設高效的項目團隊，項目經(jīng)理需要獲得高層管理者的支持，獲得團隊成員的承諾，采用適當的獎勵和認可機制，創(chuàng )建團隊認同感，有效管理沖突，團隊成員間增進(jìn)信任和開(kāi)放式溝通，特別是要有良好的團隊領(lǐng)導力。項目團隊管理的一些工具與技術(shù)包括：

　�、偃穗H關(guān)系技能。通過(guò)了解項目團隊成員的感情來(lái)預測其行動(dòng)，了解其后顧之憂(yōu)，并盡力幫助解決問(wèn)題，項目管理團隊可大大減少麻煩并促進(jìn)合作。

　�、谂嘤�。旨在提高項目團隊成員能力的全部活動(dòng)，培訓可以是正式或非正式的。應該按人力資源計劃中的安排來(lái)實(shí)施預定的培訓。

　�、壑贫ü芾硪幏�，對項目團隊成員的可接受行為做出明確規定。盡早制定并遵守明確的規則，可減少誤解，提高生產(chǎn)力。規則一旦建立，全體項目團隊成員都必須遵守。

　�、苷J可與獎勵。如果想要提高項目團隊的效率，使得每個(gè)人更加盡心和更加富有責任感，就應在團隊建設過(guò)程中引進(jìn)相應的激勵機制，在制定項目計劃時(shí)就應該考慮到團隊成員的獎懲問(wèn)題。在管理項目團隊的過(guò)程中，團隊成員的獎勵不是隨意而發(fā)的，而是通過(guò)項目績(jì)效評價(jià)，以正式或非正式的方式做出獎勵決定。只有優(yōu)良行為才能得到獎勵。

　　3.6項目風(fēng)險管理

　　項目風(fēng)險管理旨在降低風(fēng)險，或者把風(fēng)險控制在可控范圍之內。其目標是盡力使得項目運行向著(zhù)有利的方面轉化，對消極負面的一部分則注意防范。信息安全風(fēng)險評估項目不屬于特別大的項目，所以一般分為識別風(fēng)險、評價(jià)風(fēng)險、規劃風(fēng)險應對、監控風(fēng)險四個(gè)過(guò)程。

　�。�1）識別風(fēng)險。識別風(fēng)險是風(fēng)險管理的前提，是一個(gè)信息處理的過(guò)程，在這個(gè)過(guò)程中判斷分析什么樣的風(fēng)險會(huì )影響項目�？刹捎煤藢Ρ淼姆绞竭M(jìn)行風(fēng)險識別。

　�。�2）評價(jià)風(fēng)險。對于信息安全風(fēng)險評估項目，評價(jià)風(fēng)險只需要定性評價(jià)即可。實(shí)施定性風(fēng)險分析根據風(fēng)險發(fā)生的相對概率或可能性、風(fēng)險發(fā)生后對項目目標的相應影響以及其他因素來(lái)評估已識別風(fēng)險的優(yōu)先級。

　�。�3）規劃風(fēng)險應對。規劃風(fēng)險應對是風(fēng)險管理最重要的步驟，其規劃的是項目的目標及降低風(fēng)險的步驟。對于消極風(fēng)險，常有回避、轉移、減輕、接受四種方式；對于積極風(fēng)險，常有開(kāi)拓、分享、提高、接受四種方式。

　�。�4）監控風(fēng)險。監控風(fēng)險是風(fēng)險管理的最后一步，也是第一步，因為它是貫穿在整個(gè)項目之中，是一個(gè)制定風(fēng)險應對計劃、監控已知風(fēng)險、加強管理以解決風(fēng)險以及發(fā)現新風(fēng)險的過(guò)程。

　　4結語(yǔ)

　　信息安全風(fēng)險評估項目是個(gè)新興的行業(yè)，整體項目管理水平有待提高。在進(jìn)行項目管理時(shí)，需要結合項目特點(diǎn)靈活運用項目管理的知識，有些知識領(lǐng)域應該重點(diǎn)加強，有些知識領(lǐng)域可以適當忽略，按時(shí)、合格地完成項目，得到滿(mǎn)意的項目結果，符合干系人的預期。

【信息安全風(fēng)險評估項目管理的論文】相關(guān)文章：

部隊信息安全保密風(fēng)險管理探究論文06-04

學(xué)校安全風(fēng)險評估報告06-03

學(xué)校安全風(fēng)險評估報告11-25

信息系統安全風(fēng)險評估報告（通用17篇）11-19

學(xué)校機房信息安全風(fēng)險評估報告范文（通用13篇）12-22

信息系統安全風(fēng)險評估報告范文（精選5篇）08-14

安全隱患風(fēng)險評估報告10-12

信息安全管理論文06-20

信息安全管理論文11-10

風(fēng)險評估方案09-24