一、题目描述
试题一论信息系统项目的风险管理与安全管理
项目风险是一种不确定事件和条件,对项目目标产生某种正面或负面的影响。信息系统安全策略是指针对信息系统的安全风险进行有效的识别和评估后,所采取的各种措施和手段,以及建立的各种管理制度和规章等。
请以“论信息系统项目的风险管理与安全管理”为题,分别从以下三个方面进行论述:
1、概要叙述你参与管理过的信息系统项目(项目的青景、项目规模、发起单位、目的、项目内容、组织结构、项目周期、交付的成果等),并说明你在其中承担的工作。
2、结合项目管理实际情况并围绕以下要点论述你对信息系统项目风险管理和安全管理的认识。
(1)项目风险管理和安全管理的联系和区别。
(2)项目风险管理的主要过程和方法。
(3)请解释适度安全、木桶效应这两个常见的安全管理中的概念,并说明安全与应用之间的关系。
3、请结合论文中所提到的信息系统项目,介绍在该项目中是如何进行风险管理和安全管理的(可叙述具体做法),并总结你的心得体会。
二、写作分析
该论文考查的是考生对信息系统项目风险管理和安全管理的认识和理解。根据题目要求论述的三个方面,本论文需要描述“我”所管理的项目的基本情况和“我”在项目中所承担的角色和主要工作,需要从“项目风险管理和安全管理的联系和区别”、“项目风险管理的主要过程和方法”以及“解释适度安全和木桶效应、说明安全与应用之间的关系”这三个方面论述“我”对信息系统项目风险管理和安全管理的认识,同时还需要结合具体的项目论述“我”是如何进行风险管理和安全管理的。从出题要求来分析,笔者认为,本论文的重点应该是响应子标题2:结合项目管理实际情况从三个方面论述你对项目风险管理和安全管理的认识以及子标题3:结合项目实际情况说明在该项目中你是如何进行风险管理和安全管理的(可叙述具体做法),并总结你的心得体会。(这是自年信息系统项目管理师开考以来,第一次出现论文中要论述两个领域,这也意味着信息系统管理师的考试难度有加大的趋势。论文写作难度:★★★★★★)
三、范文
(该摘要共个字符)
本文讨论了ⅹⅹ省社保系统民政统一软件开发这一大型信息系统项目的风险管理和安全管理。该项目是在国家大社会保险政策指导下于年10月份正式启动的。该系统为用户提供了优抚安置、救灾救济等十大主要业务功能。在本文中首先结合该项目论述了项目风险管理和安全管理的联系和区别;接着描述了该项目风险管理中涉及到的主要过程和方法;然后解释了适度安全和木桶效应的基本概念,并说明了安全与应用之间的关系;紧接着阐述了在本项目中我是如何进行风险管理和安全管理的;最后总结了我在该项目风险管理和安全管理方面的四点经验和两点不足。在本项目建设过程中,本人担任项目经理。本系统已于年12月4日成功上线并顺利通过了用户验收,目前运行状况良好,得到了用户的高度评价。
(考生可以把论文大纲先写在草稿纸上,用于写作论文时扩展和引导自己的写作思路)
该篇论文,编者把正文分为七段。
第一段:响应子标题1,概要叙述我参与管理过的信息系统项目(项目的青景、项目规模、发起单位、目的、项目内容、组织结构、项目周期、交付的成果等),我的职责,并切入论文的论题——项目的风险管理和安全管理。
第二段:响应子标题2的第(1)小问,阐述项目风险管理和安全管理的联系和区别。
第三段:响应子标题2的第(2)小问,描述该在项目风险管理中涉及到的主要过程和方法。
第四段:响应子标题2的第(3)小问,解释适度安全、木桶效应这两个常见的安全管理中的概念,并说明安全与应用之间的关系。
第五段:响应标题3,具体阐述在本项目中我是如何进行风险管理和安全管理的。
第六段:总结本项目通过有效的项目管理所取得的实际效果。
第七段:论文总结,在项目风险管理和安全管理方面哪些做得好(四点经验)、哪些需要改进(两点不足)。
(该正文共个字符)
ⅹⅹ省社保系统民政统一软件开发项目是在国家大社会保险政策指导下于年10月份正式启动的,合同金额万。该项目由ⅹⅹ省民政厅发起,旨在为全省民政部门提供一套集优抚安置、救灾救济、社会福利、民间组织管理、社区建设、基层政权、社会事务、区划地名、老龄工作和民政事业费管理等十大主要民政业务于一体的全省民政统一软件系统。该系统采用浏览器/web服务器/应用服务器/数据库服务器四层J2EE体系结构,应用服务器(中间件)采用Oracle公司的WebLogic11g,数据库服务器(数据库管理系统)采用Oracle11g,界面层主要采用ExtJs3.3/Ajax/Servlet/JSP,业务逻辑层组件主要采用EJB3.0技术实现。在该项目的建设过程中,本人担任项目经理,负责项目的全面管理。由于系统建设规模大(有1.6万多个功能点)、建设时间紧(用户要求在年12月31日前所有功能子系统都必须全部上线),为了保证项目的如期按质按量完成,我带领项目团队全体成员,通过有效的项目管理取得了可喜的成绩。本文重点论述项目风险管理和安全管理。(本段响应标题1:叙述我参与管理过的信息系统项目,包括项目的背景、项目规模、发起单位、目的、项目内容、项目周期、交付的产品等以及我承担的工作。这句话是让考生理解如何正确地响应题目中的要求。括号中的这段话考试时不用写。)
其实,我们知道,风险管理和安全管理,它们之间是既有联系又有区别的。从本项目的实践经验中,我进一步认识到,安全风险是风险中的一种类别,安全风险和其它风险一样也需要进行识别、评估、规划应对和监控,这就是风险管理和安全管理最主要的联系;然而,风险管理侧重于项目建设过程中(包括信息系统本身)的风险管理,但安全管理不仅仅是项目建设过程中安全风险的管理,还包括项目建成投产后的使用运行安全(如物理安全管理、人员安全管理和应用系统安全管理等),我认为这就是风险管理和安全管理最主要的区别。(本段响应响应子标题2的第(1)小问:项目风险管理和安全管理的联系和区别。括号中的这段话考试时不用写。)
接下来谈谈我对项目风险管理的基本认识。根据本项目的实践,我认为风险管理的基本过程有:规划风险管理、识别风险、实施定性风险分析、实施定量风险分析、规划风险应对和控制风险;规划风险管理过程常用的方法有专家判断、分析技术和会议等,识别风险过程常用的方法有文件审查、信息收集技术、核对单分析和SWOT分析等,实施定性风险分析过程常用的方法有风险概率和影响评估、概率和影响矩阵、风险分类等,实施定量风险分析过程常用的方法有访谈、专家判断和决策树等,规划风险应对过程常用的方法有消极风险或威胁的应对策略、积极风险或机会的应对策略和应急应对策略等,控制风险过程常用的方法有风险再评估、风险审计、偏差和趋势分析等。(本段响应响应子标题的第(2)小问:项目风险管理的主要过程和方法。括号中的这段话考试时不用写。)
需要特别指出的是,在本项目的实施过程中,我们采用了风险管理和安全管理并重的策略。而要能真正做好安全管理,就离不开对适度安全和木桶效应的正确理解以及对安全与应用之间关系的正确认识。我们知道,适度安全就是要控制好安全风险和安全代价之间的平衡,安全代价低、安全风险肯定大,安全风险要降到很低、安全代价肯定大,如果找不到两者的平衡点,不是得不偿失,就是开发出来的应用根本就不敢投入使用。而木桶效应则是说,我们将整个信息系统比作一个木桶,其安全水平由构成木桶最短的那块木板决定。在项目建设过程中,我们努力做到了适度安全和避免了木桶效应的出现。其实,安全和应用既矛盾又统一:没有应用,就不会产生相应的安全需求;而如果发生安全问题,就不能更好地开展应用;应用需要安全、安全为了应用;在本项目系统开发过程中,我们尽量让安全和应用不失偏颇。(本段响应响应子标题的第(3)小问:解释适度安全、木桶效应这两个常见的安全管理中的概念,并说明安全与应用之间的关系。括号中的这段话考试时不用写。)
回到本项目的风险管理和安全管理,具体来说,在风险管理方面,我们首先在项目总体计划的指导下编制出了《项目风险管理计划》,接着在《项目风险管理计划》的指导下进风险识别,把项目中可能存在的所有风险尽可能全部找出来,并形成《风险登记册》(项目从开始到结束,我们一共识别出了12个消极风险);在识别风险之后,我们对这12个风险都进行了定性风险分析,对风险发生的可能性和后果进行了大致评估,把用文字形式表达的风险发生的可能性和后果的大小填入《风险登记册》;然后根据这些风险的特性和我们的现实能力,对其中7个风险预期值最大的风险进行了定量风险分析,即对风险发生的可能性和后果进行了相对精确的评估,把用具体数据表示的风险发生的可能性和后果的大小更新到《风险登记册》之中;接着进行了规划风险应对,即根据风险的性质、现实环境和条件等给已经识别和经过分析的风险制定了应对方案(应对这些风险的方案我们把它们归结为四类:回避、减轻、转移和接受),同时把每一个风险的应对方案都及时更新到了《风险登记册》之中。在项目的执行过程中,我们根据《风险管理计划》和《风险登记册》监控风险,即在项目工作的开展过程中,对风险进行跟踪和施加影响,确保消极风险对项目造成的影响尽可能小并及时处理已经发生的风险;我们会每周把风险监控的结果形成《风险监控报告》,根据《风险监控报告》提出变更请求或修改风险应对预案等。而在安全管理方面,由于篇幅所限,我这里侧重谈两方面的安全管理:一方面是应用系统和数据的安全,我们使用了动态口令、数据传输加密、数据存储加密等相关技术;另一方面是人员安全管理,我们要求凡是参与本项目的任何人员,包括公司内、外部人员都必须经过资格审查并与公司签订保密协议。(本段响应问题3:请结合论文中所提到的信息系统项目,介绍在该项目中是如何进行风险管理和安全管理的。括号中的这段话考试时不用写。)
通过有效的项目管理,项目于年12月4日全部上线并顺利通过了用户验收,在用户期望的日期前三周左右圆满完成了各项任务。项目完成后,我们对项目实际数据进行了统计,发现该项目的实际成本比预算少花了7%,总生产率比公司的标准生产率提高了12%,人月成本也比公司标准人月成本降低了8%,项目中没有出现明显的风险管理和安全管理不到位的问题。(本段总结本项目通过有效的项目管理所取得的实际效果。括号中的这段话考试时不用写。)
ⅹⅹ省社保系统民政统一软件系统自正式上线并顺利通过用户验收至今,运行状况良好,得到了用户的一致好评。在本项目风险管理和安全管理方面,我实践并总结了四条有用的管理经验:
1.风险识别得越充分、识别得越早效果越好。
2.一定要严格按计划和流程来开展风险管理和安全管理。
3.要根据风险性质的不同安排不同专长的人负责跟踪和监控风险。
4.管理要适度。
然而,在本项目的风险管理和安全管理方面,也存在着一些问题,需要我们去不断改进,如:
1.我们对风险的量化水平还不高,导致对有些风险给项目带来的负面影响估计不足。
2.如何提高项目组成员的风险意识和安全意识,还需要开发更有效的方法。(最后是对该项目在风险管理和安全管理方面经验和不足的总结。括号中的这段话考试时不用写。)
End
相关
论文
论信息系统项目的人力资源管理和成本管理(年上半年论题二)
您也可以通过点击“阅读原文”获得此篇论文。
导师简介及已版著作导师简介:项目管理实战导师,启智式项目管理培训创始人,畅销书作者(已出版12部著作,其中《从技术走向管理——李元芳履职记》荣获“年度IT人文类读者最喜爱的图书奖第一名”,《张成功项目管理记》荣获“年度IT人文类读者最喜爱的图书奖第二名”),第16届亚洲运动会火炬手,年度中国强讲师,年“纪念中国培训30年·华誉奖”获得者,年中国百强讲师。主讲《项目管理实战训练营》、《从技术走向管理》、《营造高效团队》、《有效沟通管理》、《中层经理的领导力和执行力》、《打造卓有成效的项目管理办公室(PMO)》、《PMP考前培训》、《“软考”考前培训》等课程。
作为软考辅导专家,王老师拥有11年软考辅导经验,辅导班最高通过率82.5%!辅导过的系统集成项目管理工程师考试的学员中,有一名学员取得过全国第一名的好成绩!
平台简介王树文管理有道鼓励+激励=动力!
