安全服务项目管理(上)

5条评论 / 技术 / 作者: / 2019-07-26
打印 .PDF 电子书

本文为笔者工程硕士毕业论文,是从事安全服务10几年的心得体会,可供新入行的安全从业者参考。(本文将分上中下三篇进行介绍)

1.信息安全服务项目管理概述

1.1信息安全服务概述

信息安全服务是由供应商、组织机构和人员所执行的一个安全过程和任务。[13]信息安全服务也指适应整个安全管理的需要,为企业、政府提供全面或部分信息安全解决方案的服务。信息安全服务提供包含从高端的全面安全体系到细节的技术解决措施。[5]安全服务是安全控制的综合,可以划分为关注于程序与风险的管理的安全管理类服务、关注于由人员来实施并实现安全控制措施的安全运行类服务和关注于具体安全控制措施的安全技术类服务。[2]信息安全服务是指由经验丰富的安全专家高度参与,通过最佳实践与客户差异分析,形成信息安全解决方案,为技术力量不是很强的用户提供专业的技术支持,如风险分析、策略优化、应急处理、渗透测试、技术培训等,目的是发挥安全产品的效能、确保业务的安全运营。

通常信息安全服务围绕业务服务,以“最佳实践”(Best Practice)作为信息安全工作的落脚点,通过有效的安全服务,让安全技术有效地发挥作用。在信息系统的全生命周期中,涉及的信息安全服务,具体内容如图2-1所示。

201601png

 

图 2‑1  围绕信息系统开展的信息安全服务

上图中体现了信息安全服务的最佳实践,以业务系统(信息系统)为中心,在信息系统的全生命周期中提供规划、设计、开发、实施部署、运行维护、系统度弃等环 节中提供信息安全保障的服务,其主要内包括:信息安全规划、信息安全风险评估、技术设施安全检查、技术设施安全加固、标准规划的合规性咨询、标准规划的合 规性整改、信息系统安全运维、行业标准化安全服务以及客户自定义的安全服务。

信息安全工作本身是一个过程,它的本质是风险的管理,因为信息安全风险永远存在,信息安全产品不能解决所有的问题,所以信息安全服务已经成为信息安全工作 的核心内容。在关注业务安全的大背景下,从立体层面针对客户业务系统进行管理、技术、应用系统三方面的评估、咨询,可以帮助客户全面认知自身风险,为客户 提供更完善更有针对性的安全解决方案。

我国信息安全产业针对各类网络威胁行为已经具备了一定的防护、监管、控制能力,市场开发潜力得到不断提升。[26]在 市场需求方面,政府、电信、银行、能源、军队等仍然是信息安全企业关注的重点行业,证券、交通、教育、制造等新兴市场需求强劲,为信息安全产品市场注入了 新的活力。在IT较为发达的国家,安全服务多数要占到信息安全行业市场的一半以上,但我国普遍的信息安全投入占IT整体投入比重仅在1%-2%之间,而欧 美国家这一比例普遍达到8%-12%,因此国内信息安全市场随着应用环境和用户需求的不断成熟,存在较大的提升空间。近年来,互联网渗透率持续提高,互联 网商务化趋势明显,而信息安全形势的不断恶化使得企业对于信息安全的投入意愿加强,行业发展面临机遇。预计2012-2015年,中国信息安全市场整体仍 将保持20%以上的年均增长率,至2015年,行业市场规模有望达到294.27亿元。[20]

1.2项目与项目管理概述

项目是为创造独特的产品、服务或成果而进行的临时性工作。项目的“临时性”是指项目有明确的起点和终点。当项目目标达成时,或当项目因不会或不能达到目标 而中止时,或当项目需求不复存在时,项目就结束了。如果客户(顾客、发起人或项目倡导者)希望终止项目,那么项目也可能被终止。临时性并不一定意味着项目 的持续时间短,它是指项目的参与程度及其长度。项目所创造的产品、服务或成果一般不具有临时性。大多数项目都是为了创造持久性的结果。例如,国家纪念碑建 设项目就是要创造一个流传百世的成果。项目所产生的社会、经济和环境影响,也往往比项目本身长久得多。

项目管理就是将知识、技能、工具与技术应用于项目活动,以满足项目的要求。在项目的启动、规划、执行、监控、收尾五大过程中合理运用与整合47个项目管理过程得以实现。[23]项目管理的五大过程涉及的管理内容如表2-1所示。

表 2‑1  项目管理过程阶段与管理内容

项目管理过程阶段

涉及的管理内容与步骤

项目启动过程组

  1. 选择项目经理;
  2. 确定公司文化和现存组织形式;
  3. 收集需要的过程、流程和历史信息;
  4. 将大项目划分为阶段;
  5. 识别项目干系人;
  6. 书面记录商业需求;
  7. 确定项目目标;
  8. 书面记录假设和约束;
  9. 制定项目章程;
  10. 制定初步范围说明书。

项目规划过程组

  1. 确定你将如何做计划-作为项目管理计划的一部分
  2. 创建项目范围说明书
  3. 确定项目团队成员
  4. 创建WBS和WBS字典
  5. 创建活动列表
  6. 创建网络图
  7. 估算所需资源
  8. 估算所需时间和成本
  9. 确定关键路径
  10. 编制进度计划
  11. 确定预算
  12. 确定要遵循的质量标准,过程和测量指标
  13. 确定角色和职责
  14. 确定沟通需求 
  15. 风险识别、定性、定量分析和风险应对
  16. 确定需要采购的内容
  17. 准备采购文档(招标文件)

 

项目管理过程阶段

涉及的管理内容与步骤

项目规划过程组

  1. 确定项目管理计划所有方面“执行与控制的方法”
  2. 创建过程改进计划
  3. 完成最终的项目管理计划和绩效测量基线
  4. 获得正式批准
  5. 召开项目启动会

项目执行过程组

  1. 组建最终项目团队
  2. 执行项目管理计划
  3. 完成产品范围
  4. 推荐的变更和纠正行动
  5. 发送和接收信息
  6. 实施批准的变更、缺陷补救、预防和纠正行动
  7. 持续改进
  8. 遵循过程(流程)
  9. 团队建设
  10. 实施奖励和惩罚
  11. 召开项目进展会议
  12. 使用工作验证系统
  13. 获得买方响应
  14. 选择买方

项目监控过程组

  1. 根据绩效基线进行绩效测量
  2. 根据项目管理计划进行绩效测量
  3. 确定偏差和是否需采取纠正行动或变更
  4. 范围核实
  5. 配置管理
  6. 推荐的变更、缺陷补救,预防和纠正措施
  7. 整体变更控制
  8. 批准的变更请求,缺陷补救,预防和纠正措施

 

项目管理过程阶段

涉及的管理内容与步骤

项目监控过程组

  1. 风险审计
  2. 风险再评估、采取权变措施、执行应急计划、制定额外的风险应对计划
  3. 管理储备金
  4. 使用问题日志
  5. 测量团队成员绩效
  6. 报告绩效
  7. 创建预测
  8. 管理合同

项目收尾过程组

  1. 确定收尾过程
  2. 完成合同收尾
  3. 确认已完成的工作符合需求
  4. 获得产品正式的接受
  5. 报告最终的绩效
  6. 建立项目档案
  7. 更新历史信息、风险数据库
  8. 移交完成的最终成果
  9. 更新成员新技能
  10. 举行庆祝会
  11. 解散资源

 

项目集管理是指:在有限的时间内,对相互依赖的项目进行协调和宣贯,以实现其业务目标[1]可以将一个复杂项目分解为若干个小项目,从而从整体上进行项目集管理。

现今的项目管理已成为一种新的管理模式或者说一门新的管理学科的代名词。所以项目管理包含了管理活动与管理学科两层意思。既是一种是有意地按照项目的特 征,对项目进行组织管理的活动,又是一种以项目管理活动为研究对象的一门学科。前者是一种客观实践活动,后者是前者的理论总结;前者以后者为指导,后者以 前者为基础。就其本质而言,二者是统一的。[6]

1.3信息安全服务项目管理难点分析

信息安全服务是围绕信息化类项目产生的以保障信息系统及相关人员在使用信息或数据过程中确保业务系统信息安全的服务。相对于传统的产业,信息化项目有其自身独特点:紧迫性、独特性和不确定性。[7]

目前信息安全服务的政策环境和市场环境还处于“初级阶段”,相对信息化工程的总投入,信息安全的投入无论是建设阶段还是运维阶段,其占比与其重要性是不相匹配的。[21]信 息安全是一门很特殊的领域,信息安全市场随着IT与互联网市场的火爆而扩大。信息安全服务是产品,但用户对安全服务的结果如同雾里看花,大到几千万,小到 几千元的服务项目,用户看到的只是投入的人多少不同,工作的时间长短不同,最后得到的都是一份精美的报告。信息安全在领导的眼里是:说起来重要,做起来次 要,忙起来不要。[28]

项目管理通常是以项目计划、项目组织、进度管理、费用管理、质量管理为基本任务进行开展。有人说一个项目的成功取决于以下十个方面:主管的支持、用户的参 与、有经验的项目经理、清晰的业务目标、最小化的范围、标准的软件结构、严格的基本要求、规范的方法、可靠的估计、其他(小的里程碑、适当的计划、胜任的 员工和所属权)[11]这个结论也基本适用于信息安全服务项目,通常影响信息安全服务提供商取得信息安全服务项目成功的因素包括项目范围不明确、项目进度难控制、实施人员流动快、项目实施所需资源易冲突的特点,这也是信息安全服务项目管理的难点。

1.3.1项目范围不明确

因信息安全服务是一个新生事务,大多数信息安全服务项目需求的发起单位自身对信息安全领域涉足不多、理解不深,很少有专业的技术人员提出明确的项目范围需 求。在项目的实施过程中,项目范围随甲方意愿、用户需求、外部条件、时间因素等影响而变,往往最终交付的成果与项目起初的需求描述存在较大的差异,常常出 现因范围变更导致整体的项目实施成本增加、实施周期变长、有的甚至因甲乙双方对项目范围变更达不成一致而导致项目验收困难。

信息安全服务项目实施范围在服务商和客户双方的衡量尺度在多数项目中是不一致的。在实际的项目管理当中,客户由于缺乏专业的信息安全知识,一般只能根据自己的业务需要提出一个模糊的项目范围。[27]服务提供商根据客户提出的模糊范围提出一个框架性的条目。在保证满足业务的需要和项目质量,同时控制项目实施成本不因范围变更而失控方面上,项目双方往往无法达成一致。

1.3.2项目进度难控制

在某些项目环境中,大多数的工作是知识性的工作,进度计划可能是对项目可交付成果唯一的可视化的形象表述,团队可以用它来管理和追踪项目。[3]

在信息安全服务项目实施过程中,项目进度控制是继项目范围确定后的又一大难题。信息安全服务项目的实施计划随项目实施变化频繁,项目进度控制缺少有效手 段。影响因素主要包括:用户的客观因素,如用户信息系统运行维护计划变更或上级主管、监管机构临时提出新的要求或规范;用户主观因素,如用户对信息安全专 业的理解随信息安全服务项目的实施逐渐清晰后提出范围与需求的变更;信息系统相关的第三方运维、开发厂商的因素影响;特殊时期保障要求影响,如国庆、两 会、大型国内国际会议的召开、敌对势发动攻击等;多项目实施过程中关键路径上的资源冲突;实施过程中项目干系人沟通不畅等众多因素。

要做好项目的进度管理首先要有扎实的项目管理知识和经验,在此基础上要充分从基础理论出发结合项目的实际情况进行灵活变通的应用,制定和采取具体的措施来 控制项目的进度,不能生搬硬套,毕竟项目管理理论是高度总结和抽象化的东西,不是万能公式。解决这一难题需要根据实际情况制订有针对性的解决方案,并在项 目计划制订阶段时充分考虑并预留好保障措施与手段。除此之外,要做好项目的进度管理一定要站在项目整体的角度去考虑问题,项目管理是一个整体的系统工程, 各个领域和方面都是相辅相成的,不能独立存在,需要相互协调与配合。有效的范围管理、沟通管理、人力资源管理、项目集管理能缓解各种主观与客观因素对项目 进度管理的影响。

1.3.3实施人员流动快

人员流动率高是影响信息安全服务项目实施进度与质量的重要原因。信息安全服务项目实施的主力成员以1-3年工作经验的人员为主,此类人员正处于个人职业规 划动荡的不稳定期,加之“互联网+”大潮的影响,整个行业比较浮燥,没有一定的职业规划与定力无法抵挡外界的诱惑。另一方面信息安全服务项目的项目经理一 般是3-5年工作经验的人员为主,此类人员经过一定时期的积累对信息安全行业有一定认识并形成了自己的人脉关系圈,往往有自行或合伙创业的冲动抑或是被行 业猎头公司的追捧而跳槽。

除个人原因外,国内的信息安全服务企业或其信息安全服务部门成立的时间一般都不长,多数还处在企业的发展初期,还存在着许多的管理问题。

主要原因主要表现在:没有成熟的企业文化、缺乏充分的人员沟通、上下级关系等几个方面。企业文化是一个企业的“精神之魂”,企业文化被员工视为判断行为的 准则,它的影响力是巨大的。企业文化对流失的影响是渗透性的、复杂的,又是不可忽略的。发展初期的企业一般都只有规章制度、没有形成自己的企业文化,员工 没有归属感、没有企业主人的责任感,没有难以割舍的感情纽带。因而比较容易产生离职的想法。

其次,员工之间的沟通少。由于平时的沟通少,所以员工反映“感觉不到公司的气氛”;员工和直接上司之间的沟通是非常重要的,相互之间不沟通,就没有办法相 互了解,会影响到其它方面;同时,管理高层和基层员工的沟通也是很重要的。管理高层往往站在战略的角度看公司的发展,提出的方针具有前瞻性。但是基层员工 多数看的是现在怎么样。公司的沟通中往往是中层知道高层做什么,但是基层的人员就不了解了,有的不理解高层的做法,对企业的前景不看好。[15]

最后是认同感不够,职业发展的道路不畅。员工没有感到被管理层是重视。例如有的骨干员工流失了,管理层没有什么表示,员工会觉得自己在管理层的眼中是无关 紧要的;反馈度不够,员工感到自己的努力没有得到承认,看不到自己努力的结果;角色匹配的问题。员工觉得自己的能力很强了,但是自己的角色又用不到这种能 力。由于公司相关的职位有限,每个人的发展空间是有限的;由于工作压力大,有时虽然有培训的机会,但也不得不放弃,这使得员工在很长时间感觉不到发展。[12]

综上所述,要解决人员流动快给信息安全服务项目管理带来麻烦的现状,除了在项目计划制订阶段充分考虑人员变更的风险因素外,还需要从公司管理层面出发,配合公司文化建设、职业规划、人员晋升通道建设等多方面进行有效补充。

1.3.4内部资源易冲突

对于一个信息安全服务提供商,其信息全服务的团队人员数量是固定的,经常因为内部资源的冲突导致信息安全服务项目实施质量、进度、成本与原计划有较大的出 入。比如在信息安全服务项目实施过程中经常出现因为特殊时期(国庆、两会、大型国内国际会议的召开、敌对势发动攻击、信息系统应急故障启动应急预案)的信 息安全保障需求导致突发性申请公司内部资源;因公司承接多个同类型的项目并且在关键路径上的同时需要实施导致并发性申请资源(人员、工具)的现象出现。

要解决资源冲突的问题,除应用常规的加班、并行实施、外包等手段外,还需要根据每个公司的实际情况,建立一套资源冲突解决机制,来应对项目实施过程的资源冲突问题。

 

参考文献:

[1]Dragan Z.Milosevic,Russ J. Martinelli, and James M. Waddell. Program Management for Improved Business Results [M]. 2007, P.6

[2]NIST SP800-35 http://csrc.nist.gov/publications/nistpubs/800-35/NIST-SP800-35.pdf,P.21

[3](美)埃瑟德 (Athayde,W.P.)等著.焦英博,崔克家译.项目管理精要(第3版).北京:中国电力出版社,2015:78.

[5]百度百科.信息安全服务.http://baike.baidu.com/view/5202610.htm .2015

[7]杜依兵. 基于云计算的企业信息化项目管理应用研究[J]. 商.2013(8):155

[11](美)哈斯(Hass,K.B.)著,李永奎等译. 复杂项目管量:一个新的模型[M].北京:科学出版社, 2014:P6

[12]郭兆辉. IT企业如何应对员工流失 [J].电子商务. 2002(7):45-46

[13]刘香,罗峥和江雷.信息安全服务的概念与分类[J].信息安全与通信保密. 2015(4):62-65

[15](美)罗德(Roeder T)著,邓伟升,汪小金译. 项目干系人管理[M].北京:中国电力出版社, 2014.5:211

[20]前瞻产业研究院. 《2015-2020年中国信息安全行业发展前景与投资战略规划分析报告》[R]. 2015

[21]邬敏华.信息安全服务的实践与反思[J].信息安全与通信保密,2011(5):15-16

[23](美)威索基(Wysocki,R.K.)著,姜宁康,毛宏燕译. 经理人项目管理知识读本[M].北京:电子工业出版社, 2013.1:24-27

[26]余雪杰.项目部岗位职责与考核精细化管理[M].北京:人民邮电出版社,2014.

[27]杨波.浅谈信息安全[J].数字技术与应用,2013(3):198-199

[28]翟胜军. 信息安全服务市场的怪圈现象思考[J]. 中国信息安全,2013(12):107.

5人评论了“安全服务项目管理(上)”

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注