|
引言转自项目管理者联盟
风险是以一定的发生概率的潜在危机形式存在的可能性,而不是已经存在的客观结果或既定事实。风险管理是通过对风险的识别、衡量和控制,以最小的成本将风险导致的各种损失结果减少到最小的管理方法。项目经理圈子
信息系统项目过程中存在各类风险,这些风险有着自身的特点,对项目的影响也随项目的不同阶段而不同。其中信息安全风险是指系统本身的脆弱性在来自环境的威胁下而产生的风险,这些风险会对项目造成延期、降低质量、成本上升等后果。
对信息安全风险的评估是进行有效风险管理的基础,是对后续风险计划和风险控制过程的有力支撑,进而确保完成项目的投资、工期、质量总目标。如果应用项目风险识别过程或工具对信息安全风险进行评估,会遇到难以量化风险的难题。项目管理者联盟
而成熟的信息安全评估过程由于不是面向项目、适用于大型组织以及持续时间长等原因无法应用到项目管理中。本文通过对信息安全风险评估在项目风险评估管理过程中的应用这一问题的研究,结合笔者的工作实践努力去寻找一个适合在项目中运用的评估方法。项目经理圈子
目前,信息系统项目的安全风险评估方面,国内尚未有系统的理论研究成果,也无统一的模型和流程。希望笔者所做的工作能为信息系统项目信息安全风险管理的理论研究和实践工作提供一定的参考。项目管理者联盟
l 信息系统项目风险管理转自项目管理者联盟
在这里,项目所面对的信息系统并不局限于计算机软硬件设备构成的系统、网络、平台或环境,它还包括人和信息在内的广义的大系统。信息系统项目,无论其规模大小,必然会为被实施方(用户)在管理、业务经营等多方面带来变革,这就使项目必然具有高风险性的特点。项目管理者联盟
特别是当项目在人和计算机网络空间里展开时,所面临的威胁和风险呈现出多样性。近年来,企业信息化项目的广泛实施,一方面为众多的企业带来了管理、经营方面的革新,而另一方面,夭折、中断、失败的项目也不在少数。项目管理论坛
因此,如何在项目管理中有效地管理风险、控制风险,已经成为了项目成功的必要条件。根据PMI项目管理手册的定义:项目风险是一种不确定的事件或状况,一旦发生,会对至少一个项目目标如时间、费用、范围或质量目标产生积极或者消极影响。bbs.mypm.net
风险的起因可能是一种或多种,风险一旦发生,会产生一项或多项影响。风险管理包括项目风险管理规划、风险识别、分析、应对和监控的过程。项目风险管理的目标在于增加积极事件的概率和影响,降低项目消极事件的概率和影响。项目管理者联盟
其中风险识别和风险量化常被视做一个程序,称为风险评估。项目管理者联盟
2 项目的信息安全风险项目管理论坛
信息系统项目的信息安全风险指信息系统在项目的生命周期中其安全属性面临的危害发生的可能性,指的是由于系统存在的脆弱性,人为或自然的威胁导致信息安全事件发生的可能性及其造成的影响。项目管理者联盟
具体来说是信息系统在存储、传输和处理信息时,信息的安全属性如保密性、完整性、可用性及其他属性(真实性、可核查性、防抵赖性等)受到的挑战。项目管理者联盟
(1)保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。blog.mypm.net
(2)完整性:保证数据的一致性,防止数据被非法用户篡改。项目管理者联盟
(3)可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。信息安全风险可以用信息安全事件发生的可能性及其造成的影响或危害这两个指标来衡量。项目经理博客
危害不仅取决于灾害性事故的发生频率,而且与事故造成的后果大小有关。目前对系统某一事件的风险R通常用时间发生的概率尸和事件产生的后果幅值C这两个指标来表示。这一对指标并不代表简单的数学运算、一个矢量或标量,而是表示某一事件的发生概率与产生的预期后果的对应关系。项目管理者联盟
(3)确定风险和评级:为已确定的风险评级。风险评估的输出结果是一份确定了优先级的风险列表,该列表向后续的风险应对和监控过程提供输入资料来源。项目管理者联盟
评估过程由一系列循序渐进的讨论会组成,其核心是自主原则,指的是由组织内部的人员来管理和指导组织的信息安全评估工作。项目管理者联盟
3 项目的风险评估过程项目管理论坛
3.1评估规划blog.mypm.net
(1)建立评估团队。评估风险在整个过程中需要跨部门的合作,要求不同的风险承担者负责相应的任务。评估团队的成员不但需要来自不同部门,而且需要团队成员中存在一定的级别差异。目的在于分析和评估风险对于组织的任务和业务目标的影响。
这就需要来自管理层、业务部门和技术部门的成员。他们可以不需要非常丰富的仃知识,但必须对自己的业务非常了解。PgMp.mypm.net
|
