it企业项目管理论文
项目管理作为一种国际化的科学理论和方法,近年来在全球得到广泛推崇,并在我国众多行业和领域得到了广泛推广和应用。下面是小编为大家整理的it企业项目管理论文,供大家参考。
it企业项目管理论文范文一:IT项目管理中的风险研究
摘要:文章指出了影响IT项目管理成功实施的五个方面的风险――存在于IT项目管理过程中的外部风险、成本风险、进度风险、技术风险和运营风险。在此基础上,提出了实施IT项目风险管理的模型并就风险的识别、评估、监测和相关管理计划方案的制定展开了进一步的讨论。
关键词:IT项目;风险识别;风险评估;风险监测
IT项目管理与其他类型的项目管理一样,其立项、设计与实施等都是基于正常的、理想的技术、管理和组织以及对将来情况(政治、经济、社会等方面)的预测。但是在实际运行的过程中,这些因素都可能产生变化,而这些变化将可能使原定的目标受到干扰甚至无法实现,因此我们将这些事先不能确定的内部和外部的干扰因素称之为风险。简言之,IT项目的风险就是项目中的不可靠因素,如果不能有效地规避风险就极有可能造成项目的失败。因此,风险管理已成为IT项目管理中不可或缺的重要环节。
一、引入IT项目管理风险研究的必要性和目标
(一)必要性
IT项目管理的主要对象就是与信息技术紧密相关的各类IT项目,诸如软件开发、组建计算机网络和信息系统集成等。随着建设环境的日趋复杂,IT项目的投资和建设规模急剧增加,然而IT项目固有的建设标准不统一、人员流动性强、技术发展迅猛等特点决定了它不但要考虑项目管理可能遭遇的一般风险,还面临着其他类型项目所不具备的特殊风险。这些风险的存在很有可能会造成数据丢失、进度延迟、成本增加等不良后果,更为严重的可能会导致整个项目的失败。因此,在IT项目管理中引入风险研究很有必要。
(二)目标
IT项目管理中风险研究的目标主要在于:识别可能影响IT项目成功的任何风险,提供识别和评估风险的标准过程和方法;通过适当的行动将风险产生的概率或后果压至最低;实时监测和报告风险,为制定防范和应对风险的措施提供决策依据。
二、IT项目管理中存在的风险
Graham、Beenhakker和Chapman等学者早就在其著作中提出了项目管理的风险问题,在国内外学者研究的基础上,单就IT项目管理这一特殊领域将影响IT项目的风险定义为以下五个方面:
(一)外部风险
外部风险主要是指那些超出IT项目经理乃至整个项目组织控制范围的影响项目成功的干扰因素,主要体现在:
1、市场和政策的变化。一方面,市场需求的多变以及新产品、新服务的不断更迭可能导致IT项目建设方向的急剧改变,这对绝大多数的项目来说都是致命的;另一方面,与IT项目管理相关的政策从无到有不断涌现,给实施项目的企业设置了越来越多的约束。
2、IT行业的迅猛发展。IT行业被称为朝阳行业的根本原因就在于这个领域出现的时间不长而发展又非常迅速,所以,IT项目必然面临层出不穷的新标准和新趋势。与此同时,IT业内的竞争与合作也不断改变着IT企业或企业联盟的战略和竞争优势,从而影响IT项目的发展进程。
3、自然灾害的出现。火灾、洪水、地震等自然灾害对IT项目的建设而言是不可忽视的客观存在,其破坏力之大往往超出人们的想象,而自然灾害的随机性使得项目组织一般很难做出预测。
4、威胁IT项目的安全因素。电力短缺、安全漏洞和黑客攻击等因素都会对IT项目管理造成重大的损失,这些因素一般也是无法事先控制的。
5、相关法律问题。法律问题是外部风险中容易被忽视的一个重要方面,在IT项目管理中常见的法律问题主要包括项目成果的版权归属、从业人员的职业道德约束和项目后期维护的延续性等。
(二)成本风险
成本风险指因项目或项目组织的变化或失误从而影响项目成本控制的隐患,主要包括:
1、项目运营成本溢出。项目运营成本主要是指由项目团队、项目业主和项目顾问等涉及项目运营的组织或人员在项目建设过程中所引发的成本。由于IT项目的人员组成复杂且流动性非常强,加上项目运营牵涉的不可控因素较多,因此运营成本溢出的可能性非常大。
2、项目范围的改变导致成本上升。业主需求的变化和信息技术的发展导致IT项目范围的改变是项目经理经常遇到的现象,随之而来的便是项目成本的不断上升甚至成倍增长。
3、出现未估算的项目成本。虽然IT项目在进行规划时就应做出精确的成本估算,但成本估算毕竟是一项预测性的工作,在实际操作过程中难免会产生错算、漏算从而导致未估算的成本项目的出现,因而影响整个项目管理的成本和绩效。
4、项目预算超支。虽然在IT项目管理中对于成本和费用有严格的控制,但人力成本变动、设备价格上涨、项目工期延误等无法预期的特殊情况的出现仍然可能带来项目预算的超支。
(三)进度风险
进度风险指由于错失或延误IT项目产品或服务的市场机会而导致项目失败的可能性,其直接表现:
1、项目进度估计不准确。进度管理虽然是IT项目管理中非常重要的环节,但项目进度估计与项目成本估算一样都是前瞻性的工作,因此出现项目进度估计不准也是项目管理中经常碰到的棘手问题。
2、过多的技术、运营和外部问题牵扯项目进程。在IT项目建设过程中可能出现诸如系统升级、人员变动和标准变更等各种各样的技术、运营和外部的问题,而解决这些问题会牵扯项目组织的精力从而导致项目进度的延迟。
3、资源短缺或变更导致项目进度拖延。提供充足的资源保障是如期完成IT项目建设的必要条件,但实践经验证明几乎所有项目都会遇到资源短缺或变更的限制。这里所讲的资源不仅指设备、资金、材料,还包括人力、时间和信息等,诸如人员的调动、设备购置差错和时间安排不当等都会影响项目的进程。
(四)技术风险
技术风险指干扰项目达到预期功能或性能目标或期望的不可靠因子,突出表现在:
1、技术成熟度不够。无论是IT项目的业主还是项目组织都倾向于追求最新的技术,然而现实的情况是新技术往往不够成熟,将不成熟的技术引入IT项目的建设是极易招致失败的。
2、开发与管理工具选择不当。“工欲善其事,必先利其器”凸现了IT项目管理中工具选择的重要性,能否从众多的开发和管理工具中做出正确的选择与项目的成功也是息息相关的。
3、项目测试不严谨。测试是IT项目实施的重要环节,由于很多项目未经严格的测试就投入运行,以致无法提早发现和修正错误导致巨大的损失。此外,试运行环节作为连接测试阶段与正式运行阶段的重要手段也可能未得到重视。
4、软硬件的集成矛盾。由于IT行业在很多方面缺乏统一的标准和尺度,致使IT项目中所采用的不同产商的软件和硬件设备在集成到一起时可能产生无法预期的错误和冲突,进而影响IT项目的实施效果。
(五)运营风险
运营风险指项目无法达到预期收益目标或期望的可能性。
1、对优势和冲突的理解不充分。IT项目组织和项目业主之间沟通的一个要点就是要确认项目的优势和冲突,从而避免对项目认识和理解上的分歧,以较好地调和项目的优势和冲突。
2、未指派合理的权限。在IT项目管理中经常强调的“一把手原则”经常在实际工作中被忽视,而不能给关键人物指派合理的权限的后果是项目管理的混乱。
3、沟通不善。在IT项目管理中,构建良好的沟通机制和渠道是项目经理的重要职责,但很多项目经理忽视了沟通的作用,甚至连基本的沟通计划都没有,这不能不说是一种极大的隐患。
4、多项目管理。现代的项目管理型组织都是以项目为基础,一般来说多个项目同时上马是家常便饭,然而项目多、资源紧、任务重所带来的全面铺开但是全面滞后甚至全面失败的结果也是极有可能发生的。
三、加强IT项目风险管理的思考
Richard Murch、Beenhakker和Chapman等学者的研究成果充分说明了只要遵循科学的项目管理原则,风险是可以控制的。笔者提出了对IT项目实施风险管理的模型,进而探讨IT项目中的风险管理的几个要素。
(一)IT项目风险管理模型
从图1的模型来看,在IT项目管理中是完全有可能对风险进行管理的。
(二)IT项目风险管理计划的制定
风险管理计划是所有IT项目都必不可少的,它应该作为一个独立的部分纳入项目的整体计划。计划的制定者可以是项目经理也可以是项目风险管理的负责人,在制定计划时应该重点强调的几个因素包括:风险的识别;确定风险管理的范围;明确风险管理的时间要求和阶段目标;配置用于风险管理的资源;制定风险管理应急预案。
(三)IT项目管理中风险的识别、评估和检测
识别IT项目潜在的风险是一项非常关键的任务,一般来说,可以采用特尔斐法和头脑风暴法识别可能威胁IT项目成功的绝大部分风险。在识别了风险以后,可以从风险的可能性、严重性和可控程度三个方面来评估IT项目管理中的风险,使用可能性量表、严重性量表和可控性量表工具对风险进行定量分析后,可以将其分为高、中、低三类并生成IT项目管理风险观测表。接下来要做的工作便是利用此文件严密监测项目风险并定期召开通气会或形成报告,一般来说至少每周一次,如果情况特殊,会议和报告的周期还可进一步缩短。
(四)IT项目风险管理资料的收集和整理
在实施IT项目风险管理的过程中收集和整理风险管理的资料不但有助于建立项目风险管理的知识库和模型库用于识别和评估风险,更重要的是能为项目风险管理计划和项目风险应急预案提供反馈以促进其完善。在收集和整理资料时,总结成功经验固然重要,但更为可贵的是那些失败的例子和教训。
(五)IT项目管理风险应急预案的设立
IT项目风险管理中的风险管理计划以及风险的识别、评估和监测都不可能完全避免风险的产生,因此为那些暂时无法预料到的特殊风险设立紧急预案是完全必要的。好的项目管理风险应急预案除了应该明确风险产生后的处理步骤、工作清单和项目团队所应提供的支持资源,还要经过彻底和严格的测试并确保定期更新。
四、结论
风险管理在IT项目管理中并没有得到应有的重视,因此从事IT项目管理的专业人员必须通过学习或培训了解风险管理的重要性并掌握风险管理的知识和防范风险的方法与手段,也只有将风险管理的内容纳入正规培训日程才能突显其重要性。
风险在每个IT项目的建设和管理中都有可能发生,这与组织和项目规模大小、项目类型和项目工期都没有必
然联系,因此每个IT项目都必须实施风险管理,尽可能地规避风险的影响或者将风险产生的影响减至最低限度。
参考文献:
1、程婷婷,陈伟亚.IT项目管理中制约因素的分析和研究[J].甘肃农业,2006(2).
2、林建平.企业信息化建设的项目管理[J].中国民用航空,2006(2).
3、刘普.企业引入项目管理应把握的主要问题[J].铁路工程造价管理,2005(6).
4、Beenhakker, Henri L. Risk Management in Project and Implementation[M].Quorum Books,1997.
5、Murch Richard. Project Management: Best Practices for IT Professionals, First Edition[M].Higher Education Press & Pearson Education,2002.
it企业项目管理论文范文二:IT项目信息安全管理案例分析
【 摘 要 】 结合IT项目在涉密工程中的信息安全管理为研究对象,明确信息安全管理的范围,对信息安全的风险进行识别与分析,在此基础上,制定出信息系统风险应对的措施,从而进行风险控制,降低信息系统风险,以保障信息系统的安全。
【 关键词 】 IT 项目;信息安全管理;措施
The Analysis of Information Safety Management for IT Program
Lin Ting
(Chaina Unionpay Data Services Co.,Ltd Shanghai 200001)
【 Abstract 】 Based on the information safety management of IT program in the confidential engineering, the analysis scope of information safety is defined, and the risk of the program is researched. According to the study, the control measurement is established so that it is effective to control and reduce the risk for the safety of information system.
【 Keywords 】 IT program; information safety management; measurement
1 引言
公司与军方合作比较广泛,有一个关于武器设计的项目。由于项目的特殊性,整个项目的安全要求高,本着“安全第一,应用第二”的原则,对内部网络的建设从发展的眼光出发,将前瞻性与实用性相结合,在分析信息系统风险的基础上,制定出信息系统风险应对措施,进行风险控制,降低信息系统的风险,保障信息系统的安全。
2 安全需求分析
2.1 信息安全范围需求
确保整个系统在建设之中和建设之后的维护的安全性同,所涉及的范围包括内容有:1)信息,包括数据、资料等; 2)硬件、软件;3)环境及支持设备;4)参与人员的管理;5)网络通讯设备;6)存储设备。
2.2 信息安全优先级需求
按由高到低的顺序,依次是关键岗位人员的管理、重要涉密信息、存储涉密信息的存储设备、网络通讯设备、服务、软件、硬件、环境支持设备。
3 风险识别与分析
风险识别与分析从潜在的危险和系统的安全威胁等方面进行。
3.1 潜在的威胁
潜在威胁主要来自内部和外部。其中来自内部的犯罪主要是其一:纯粹出于经济目的,或其他目的,利用自己可能的手段窃取信息,破坏信息系统;其二则是在外部罪犯的指使、收买下,在可能获得外部技术支持的情况下,对信息系统实施攻击。信息网络系统对两种内部人员的犯罪都应有所防备;该项目信息安全保密实施的重点是防止系统的破坏和信息的损失。
3.2 系统的安全威胁
该单位系统与外界是物理隔离,所以通信数据被窃听的概率很小。但仍然存在如下威胁:非法访问、电磁泄漏、假冒;抵赖、破坏网络的可用性、失误操作、病毒侵害、自然灾害和环境事故、电力中断。
4 风险响应规划
根据上面风险识别与风险分析结果,制定以下风险应对措施。
4.1 涉密信息传输与存储方案
该单位信息网络系统是一个涉密级别达到机密级的信息网络,因此,按照国家保密局的规定,秘密、机密信息在所科研区等封闭区域内的传输可采用光缆或屏蔽电缆,如果采用非屏蔽电缆而又不能满足与其他并行线的线间距要求时,必须采用远程加密传输。该单位的信息加密必须采用国家指定的算法,不得使用国外算法;该单位的信息加密可采用密文存储和存取控制两种方式;加密算法每三年必须更换,算法提供单位必须是同一家单位。
4.2 物理安全管理方案
对于出入存放机密级和机密级以上信息的设备地方,必须建立严格的审查登记制度,保证所有出入存放地的人员必须留有书面纪录,包括姓名,证件,部门,进入时间和离开时间;
处理机密级和机密级以上信息的设备必须放在有铁门、铁窗、铁柜的“三铁”保护措施的地方:涉密系统中心机房应采取安全防范措施,确保非授权人员无法进入。处理秘密级、机密级信息的系统中心机房应采用有效的电子门控系统。处理绝密级信息和重要信息的系统中心机房门控系统应进行身份鉴别,应有电视监视系统,并建立磁屏蔽区域保护设施。
4.3 信息涉密级别管理方案
所有信息处理、传输、存储、输入、输出设备均应按照保密部门所规定的密级确定相应的最高涉密级别。密级的变化由保密部门确定后及时通知网管中心。设备的使用人必须清楚了解该级别的规定,并熟悉对该级别信息处理的要求。
4.4 涉密介质安全使用管理方案
U盘、硬盘、光盘、磁带等涉密介质应标明级别,并按相应密级管理。存储过涉密信息的介质不能降低密级使用。不再使用的介质应及时销毁。涉密介质的维修应保证所存储的涉密信息不被泄露,维修应在本单位进行,维修点需由单位保密委员会指定或认可;必须在单位外维修的,必须指派专人全程跟踪负责,保证所存储的涉密信息不被泄露。
4.5 身份管理方案
处理秘密级信息的涉密系统可采用口令进行身份鉴别,口令长度不得少于8个字符,口令更换周期不得长于一个月;处理机密级信息的涉密系统应采用IC卡(或USB-KEY)进行身份鉴别,也可采用口令或其他措施加口令的方式进行身份鉴别,口令长度不得少于10个字符,口令更换周期不得长于一周:涉密系统所使用的口令不得由用户产生,应当由系统安全管理员集中产生供用户选用,并且应当有口令更换记录;应采用组成复杂、不易猜测的口令,一般应是大小写英文字母、数字、特殊字符中两者以上的组合。
4.6 数据备份与恢复方案
在内部网络系统中,主要设备、软件、数据、电源等应有备份,并具有在较短时间内恢复系统运行的能力。该单位信息系统中关键服务器系统均需要进行系统备份,尽量在系统崩溃以后能快速、简单、完全地恢复系统的运行。进行备份的最有效的方法是只备份那些对于系统崩溃恢复所必需的数据。核心服务器上的数据文件必须每周备份,而且必须每天进行文件增量备份;每天业务结束时进行增量备份。周备份的介质必须实行异地存储。异地存储要求包含多种备份介质。
4.7 防黑客方案
防火墙是用在网络出入口上的一种访问控制技术,是对付黑客的一种主要手段。防火墙技术的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。
防火墙在内部网络中发挥上述作用主要是通过两个层次的访问控制实现的,一个是由状态包过滤提供的基于IP地址的访问控制功能,另一个是由代理防火墙提供的基于应用协议的访问控制功能。另外,部分防火墙还提供地址映射服务,以隔离高涉密子网。
4.8 事故应急方案
该单位制定了在该所内部网络发生安全事故时的应急响应步骤。安全事故包括失窃、用户口令丢失、可疑的系统访问(包括共享口令)、内部网络的入侵行为、计算机病毒等。以上安全事故被分为三个级别:
(1)一级安全事故损失最小,事故发生后需要在一个工作日内得到控制。此类安全事故只需与网络管理中心联系即可。该类事故包括:个人口令丢失或遗忘、可疑的共享行为等;(2)二级安全事故损失稍大,事故发生后需要在2h-4h内得到控制;此类安全事故需要通知所网络管理中心和所安全保密办公室。该类事故包括:可疑人员进入涉密机房,使用涉密计算机(或本所职工出现可疑行为);未授权的访问等;(3)三级安全事故发生后,必须立即防止事故危害扩散,同时必须立即通知所保密办、保密委,并视情况严重程度逐级上报。
4.9 风险监控的策略
(1)建立合理的、科学的信息安全工作体系:设立所决策层、管理层、执行层三层组织机构,制定各种管理制度与流程,采取相应的信息安全技术措施。
(2)风险控制主要途径:根据控制成本与风险平衡的原则,通过以下途径及主要措施将风险控制在可接受的范围。
1)避免风险:所内部网络与其他网络物理隔离,可以避免所内涉密信息系统遭受来自外部的威胁。在公共信息网上采取适当的安全措施,降低来自外部的威胁。严禁在公共信息网上处理涉密信息,降低外部威胁对所信息资产的影响;2)减少威胁:通过身份认证、访问控制、网络监控、入侵监测、审计和安装防病毒软件等技术措施,建立黑客防范系统和恶意代码防范系统,减少信息系统受到内部员工黑客行为和恶意代码攻击的机会;3)减少薄弱点:通过教育和培训强化员工的安全意识和安全操作技能;建立和完善信息安全管理制度,强化安全制度的检查和落实;4)减少威胁可能的影响程度:应用密码技术对信息的存储和传输进行加密处理;建立并实时业务系统的应急响应计划,此计划包括备份保护、应急响应、测试维护等活动的安全要求。
(3)安全解决方案动态调整:安全解决方案的基础是风险分析,应该根据风险的变化,进行动态调整。风险的变化来自两个方面:一是信息系统的脆弱性以及威胁技术发生变化;二是信息系统发生变更后可能产生的新的安全风险和风险变化。一成不变的静态风险管理,在风险发生变化时不仅起不到应有的安全作用,相反会产生负面影响。因此,风险管理应该动态进行,达到风险预测、实时响应、降低风险的良性循环能力。
5 案例实施结果
已经完成的项目的每一个阶段,实施风险措施后,进行动态监测,发现新的风险,及时调整风险应对措施,实施措施后,动态监测。如此反复循坏,达到了降低风险,减少威胁的目的,项目进展顺利,初步实现项目的目标。
参考文献
[1] 罗布・托姆塞特.极限项目管理.电子工业出版社,2005.
[2] 索威基.有效的项目管理.电子工业出版社,2002.1.
[3] 拉里・康斯坦丁.超越混沌:有效管理软件开发项目.电子工业出版社,2002.4.
it企业项目管理论文相关文章:
1.企业项目管理论文范文
2.关于it项目管理成功案例
3.it项目管理成功案例
4.it项目管理成功案例分析
5.it项目范围管理论文
6.it项目成本管理论文
7.项目管理论文精选范文