• 1、專案管理
  • 1.1、專案管理概述
  • 1.2、專案管理知識體系
  • 1.3、專案計劃的編制方法及工具（管理資訊系統）
• 2、安全管理
  • 2.1、管理資訊系統安全問題概述
  • 2.2、管理資訊系統安全防範體系
  • 2.3、管理資訊系統安全控制措施
• 3、質量管理
  • 3.1、質量管理
  • 3.2、管理資訊系統的質量管理
• 4、風險管理
  • 4.1、風險管理
    • 4.1.1、風險概述
    • 4.1.2、風險分類
    • 4.1.3、風險的相對性
    • 4.1.4、風險識別的主要方法
    • 4.1.5、風險分析主要方法
    • 4.1.6、風險規劃主要方法
    • 4.1.7、風險監控
  • 4.2、管理資訊系統的風險管理
    • 4.2.1、資訊系統的風險
    • 4.2.2、資訊系統開發風險管理

1、專案管理

專案管理包括範圍管理、進度管理、成本管理、質量管理、採購管理、人力資源管理、溝通管理、風險管理、干係人管理及整體管理。

1.1、專案管理概述

專案作為一類特殊的活動所表現出來的區別於其他活動的特徵：

• 專案是一次性任務
• 人類有組織的活動都有目的性。專案作為一類特別的活動，更有明確的目標
• 專案是為實現目標而開展的任務的集合，它不是一項孤立的活動，而是一系列活動有機組合而形成的一個完整過程

專案管理 是以專案為物件的系統管理方法，通過一個臨時性的專門的柔性組織，對專案進行高效率的計劃、組織、指導和控制，以實現專案全過程的動態管理和專案目標的綜合協調與優化。

專案管理的特徵：需要通過一個專門的組織實施；規劃資源。

1.2、專案管理知識體系

專案管理知識體系由美國專案管理學會首先提出，經過幾次修正，將專案管理知識劃分成十大領域：

• 範圍管理

  專案範圍是指為了成功達到專案目標，所必須完成的工作。

  確定專案範圍：為專案界定一個界限，劃定哪些方面是屬於專案應該做的，哪些是不應該包括在專案之內的。

  包括：定義專案管理的工作邊界；確定專案的目標；確定主要的專案可交付成果。

• 進度管理

  作用是保證在規定時間內完成專案。

  專案進度管理包括的過程有：

  • 活動定義： 確定為完成專案所需的各種特定活動
  • 活動排序：確定活動之間的時間依賴關係並整理成檔案
  • 活動工期估算：估算為完成各項活動所需工時單位數
  • 進度安排：分析活動順序、活動工期、資源需求及進度制約因素，以便制定專案進度表
  • 進度控制：控制專案進度表變更

• 成本管理

  包括的過程有：

  • 資源計劃：確定為執行專案活動所需要的物理資源及其數量
  • 成本估計：估算出為完成專案活動所需資源的成本的近似值
  • 成本預算：將估算出的成本分配到各專案活動上，用以建立費用基準，用來監控專案進度
  • 成本控制：影響造成費用偏差的因素，控制專案預算的變更

• 質量管理

  專案質量管理過程包括：

  • 質量規劃： 判斷哪些質量標準與本專案有關，並決定應如何達到這些質量標準
  • 實施質量保證：開展規劃確定的系統的質量活動，確保專案實施滿足要求所需的所有過程
  • 實施質量控制：監控專案的具體結果，判斷它們是否符全相關質量標準，並給出消除偏差的方法

• 採購管理

• 人力資源管理

• 溝通管理

• 風險管理

  風險管理過程包括：

  • 風險管理規劃
  • 風險識別
  • 定性風險分析
  • 定量風險分析
  • 風險應對規劃
  • 風險監控

• 干係人管理

• 整體管理

  專案整體管理過程包括：

  • 專案計劃制訂
  • 專案計劃執行
  • 總體變更控制
  • 專案收尾

1.3、專案計劃的編制方法及工具（管理資訊系統）

• 甘特圖

  又稱條線圖或橫道圖，主要用於專案的計劃和專案進度的安排。

  甘特圖是一個二維平面圖，橫向表示進度或活動時間；縱向表示工作包的內容。

• 專案管理軟體------Microsoft Project

  Microsoft Project是微軟開發的一種專案管理軟體

• 其他專案管理軟體

  常用的開源專案管理軟體：TaskJuggler, ConsultComm, OpenGoo, Collabtive, Redmine

2、安全管理

2.1、管理資訊系統安全問題概述

安全威脅分類：

• 物理安全威脅

  指對系統所用裝置的威脅，包括自然災害、電源故障、作業系統引導失敗、裝置被盜等

• 通訊鏈路安全威脅

  指在傳輸線路上安裝竊聽裝置或對通訊鏈路進行干擾

• 網路系統安全威脅

  網際網路的開放性、國際性與無安全管理性對內部網路形成嚴重的安全威脅

• 作業系統安全威脅

  對系統平臺最危險的威脅是在系統軟體或硬體晶片中植入威脅

• 應用系統安全威脅

  指對於網路服務或使用者業務系統安全的威脅

• 管理系統安全威脅

  指人員管理上的安全漏洞

常見的安全威脅：

• 非法使用（非授權訪問）：某一資源被某一非授權的人或以非授權的方式使用
• 破壞資訊的完整性：資料被非授權地進行增刪、修改或破壞而受到損失
• 拒絕服務：對資訊或其他資源的合法訪問被無條件地阻止
• 陷阱門：在某個系統或某個部件中設定了“機關”，使和當提供特定的輸入資料時，允許違反安全策略
• 特洛伊木馬：軟體中含有一個察覺不出的或無害的程式段，當它被執行時，會破壞使用者安全。
• 旁路控制：攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權
• 假冒
• 重放：所截獲的某次合法的通訊資料備份，出於非法的目的而被重新發送
• 抵賴：否認自已曾經發布過的某條訊息、偽造一份對方來信等
• 業務欺騙：某一偽系統或系統部件欺騙合法的使用者或系統自願放棄敏感資訊

2.2、管理資訊系統安全防範體系

安全防範體系劃分為如下：

• 物理層安全
• 系統層安全
• 網路層安全
• 應用層安全
• 安全管理

2.3、管理資訊系統安全控制措施

針對日益嚴峻的資訊系統安全威脅，可以從安全技術和安全管理兩個方面進行安全防護

安全技術：

• 安全協議：如資料加密技術、HTTPS、安全套接層協議等來保證資料傳輸的安全
• 漏洞掃描和修補
• 入侵檢測：是一種主動的安全防護技術

安全管理：

• 規章制度
• 應急預案
• 加強宣傳和培訓工作

3、質量管理

3.1、質量管理

質量是依靠特定的或暗指的能力滿足特定需要的產品或服務的全部功能和特徵。

質量管理是一個複雜的系統工程。

PDCA（Plan-Do-Check-Action）：是典型的質量控制方法，是計劃-處理-檢查-執行措施4個步驟的迴圈迭代過程，是一個不斷能提高產品效能的過程。

質量管理的發展歷程：

• 以產品為中心的質量檢驗 和統計質量控制階段（18世紀---1950年）

• 以顧客為中心的質量保證階段（1950年---1987年）

• 強調持續改進的質量管理階段（1987年---現在）

• 全面質量管理階段（TQM)

  TQM強調以客戶為中心，關注客戶的需要、組織的需要，成本經濟效益和成本繫結；

  強調全員參與、以過程為中心，強調文化、技能和制度等多方面全面考慮。

• 質量鑑別

  在全面質量管理基礎上形成的質量管理手段，是立足於使用者需求，由買方主導型的質量管理，它具有國際通用性。

資訊系統質量管理的方法主要分成兩種：工程的方法；統計控制的方法。

3.2、管理資訊系統的質量管理

標準化是資訊系統質量管理的基礎，是實現大範圍資訊資源交流與共享的必要條件。

目前應用最廣泛的是國際標準組織ISO制定的ISO9000標準。我國對應的標準是GB/T9000。

ISO9000標準系列是一個大的家族，它由5部分組成：質量術語標準；質量保證標準；質量管理標準；

質量管理和質量保證標準的選用和實施指南；支援性技術標準。

ISO 9000系列的核心內容是質量保證標準，它是質量體系認證的依據。

CMM（Capability Maturity Model for Software): 軟體能力成熟度模型

CMMI（Capability Maturity Model Integration for Software）： 軟體能力成熟度整合模型

管理資訊系統質量保證計劃

（1） 質量法則

• 預防
• 獨立的檢查和確認（質量控制）
• 技術審查
• 測試

（2）質量保證的行為

• 管理
• 文件
• 標準和實踐
• 審查和稽核
• 測試
• 編碼、文件和媒介控制

4、風險管理

4.1、風險管理

4.1.1、風險概述

風險：是由於人事某項選定活動過程中存在的不確定性而產生的經濟或財務損失、自然破壞或損傷的可能性。

風險是一種概率事件，它可能發生也可能不發生。

風險的基本性質：客觀性、不確定性（隨機性）、不利性、可變性、相對性、風險和利益的對稱性（共存性）。

4.1.2、風險分類

• 按風險後果：分為純粹風險和投機風險
• 按風險來源：分為自然風險和人為風險
• 按風險影響後果：分為政府風險、專案業主風險、承包商風險等。
• 按風險可預測性：分為已知風險、可預測風險和不可預測風險
• 按原因角度：分為商業風險、技術風險、管理風險等。

4.1.3、風險的相對性

不同的人和組織對於風險的承受能力不同。

按對待風險的態度劃分，分成風險的規避者、風險中立者和冒險者。

風險管理是指在專案的執行過程中，持續不斷地進行風險識別、分析、策略制定和監控風險執行情況的過程；

它是為了將風險控制在最低限度而進行的各項管理工作總和；是一系列對未來的預測，然後又採取一系列措施來減少風險對專案的影響的活動。

4.1.4、風險識別的主要方法

風險識別的主要方法:

4.1.5、風險分析主要方法

4.1.6、風險規劃主要方法

對於專案中的機會，也就是正向風險，則應該採取開拓、分享、強大的策略。

對專案產生負面影響及威脅的風險主要採取減輕、預防、轉移、迴避及自留等策略。

風險規劃採取的主要策略：

• 減輕風險：降低風險發生可能性，或減少不利影響。

• 預防風險：提高專案各組成部分可靠性，減少風險發生可能性。

• 風險轉移：將損失的一部分轉移到第三方身上。

• 風險迴避：主動放棄原專案或改變專案目標與行動方案，以迴避風險。

• 風險自留：風險的損失較小，業主自身能承擔，風險就可以留給自己承擔。

4.1.7、風險監控

風險監控概念：通過對風險的規劃和對專案全過程的控制，保證風險管理達到預期的目標。

風險監控作用：跟蹤已識別的風險，監測殘餘風險和識別新的風險，保證風險計劃的執行，並評價這些計劃對減輕風險的有效性。

4.2、管理資訊系統的風險管理

4.2.1、資訊系統的風險

4.2.2、資訊系統開發風險管理