信息安全風(fēng)險評估項目管理

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了信息安全風(fēng)險評估項目管理范文，希望能給你帶來靈感和參考，敬請閱讀。

1前言

查找信息資產(chǎn)存在的漏洞，結(jié)合現(xiàn)有控制措施，分析這些威脅被利用的可能性和造成的影響，根據(jù)可能性和影響評估風(fēng)險的大小，提出風(fēng)險控制措施的過程。《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》在2003年9月被提上日程（簡稱27號文），提出了“信息安全風(fēng)險評估是信息安全保障的重要基礎(chǔ)性工作之一”。為了貫徹27號文的精神，進(jìn)一步識別信息系統(tǒng)存在的風(fēng)險，并對其進(jìn)行控制，很多單位啟動了風(fēng)險評估項目。而風(fēng)險評估項目又不同于一般的IT項目，有其自身的特點。

2信息安全風(fēng)險評估項目的過程管理

可以從五個方面解釋信息安全風(fēng)險評估項目的生命周期，即數(shù)據(jù)收集、計劃準(zhǔn)備、數(shù)據(jù)分析、項目驗收、報告撰寫，其中一三五是風(fēng)險評估的主要實施階段。

2.1計劃準(zhǔn)備階段

（1）制定項目章程。在信息安全風(fēng)險評估項目中，應(yīng)盡早確認(rèn)并任命項目經(jīng)理，最好在制定項目章程時就任命。項目經(jīng)理的職責(zé)首先就在于應(yīng)該參與制定項目章程，而該章程則具有授權(quán)的作用，即它能夠使得經(jīng)理能夠運用組織資源來進(jìn)行項目的實施。顯而易見，項目經(jīng)理是被授權(quán)的一方，必然不能成為授權(quán)項目運行有效的一方。授權(quán)項目啟動的人一般而言能夠提供實施項目所需要的資金等資源，他們能夠參與章程的編制。

（2）確定風(fēng)險評估范圍。確定風(fēng)險評估范圍即要了解什么方面或者對象具有風(fēng)險爆發(fā)的可能，例如公司的服務(wù)器數(shù)目、電腦操作系統(tǒng)的安全性和穩(wěn)定性、應(yīng)用的防火墻種類和數(shù)目等，甚至一些人為的因素也是重要的參考。

（3）明確風(fēng)險評估成果。在信息安全風(fēng)險評估項目中，應(yīng)該在項目開始之前，與客戶將項目提交的成果及要求確定下來。明確風(fēng)險評估成果之后，在項目執(zhí)行過程中，該目標(biāo)也應(yīng)該作為項目驗收的標(biāo)準(zhǔn)。

（4）制定項目實施方案。項目實施方案是項目活動實施的具體流程，主要用來為項目實施提供技術(shù)指導(dǎo)。

（5）制定項目管理計劃。如果想要計劃實施過程一切順利，或者說對定義等計劃行動的過程需要記錄的話，就會需要制定一個項目管理計劃。項目管理計劃需要通過不斷更新來漸進(jìn)明細(xì)。項目管理計劃不能冗余，相反應(yīng)該極其精煉，但是精煉并不意味著簡單，相反項目管理計劃應(yīng)詳細(xì)論述和解釋完成這個項目所需要的一些條件。

（6）組建項目團(tuán)隊。一個優(yōu)秀的項目團(tuán)隊是完成項目所必不可少的，是一種必須的人力資源。在項目開始時，一般而言，由項目經(jīng)理來決定優(yōu)秀團(tuán)隊的組成，并且在組建團(tuán)隊時應(yīng)該注意談判技巧。

（7）召開項目啟動會。項目啟動會代表著一個項目從此開始了正式的運作，是一個項目的啟動階段，在項目啟動會上需要完成的任務(wù)包括分析評估完成項目所需要的方法和成本等問題。

（8）風(fēng)險評估培訓(xùn)。風(fēng)險評估培訓(xùn)是對項目團(tuán)隊成員及客戶的項目參與者就風(fēng)險評估方法、評估過程的相關(guān)細(xì)節(jié)性進(jìn)行培訓(xùn)，以便項目能順利實施。

2.2數(shù)據(jù)收集階段

主要包括收集資料、現(xiàn)場技術(shù)評估、現(xiàn)場管理評估三項任務(wù)。

（1）收集資料。數(shù)據(jù)收集階段最開始的步驟肯定是收集資料，簡而言之，收集資料就是采取一切可行的方法，盡可能詳細(xì)地獲得和項目相關(guān)的一些信息，例如客戶的行為習(xí)慣、客戶業(yè)務(wù)相關(guān)的文檔，甚至信息安全系統(tǒng)、信息化流程等信息都要盡量詳細(xì)化。

（2）現(xiàn)場技術(shù)評估?，F(xiàn)場技術(shù)評估就是通過漏洞掃描、問卷調(diào)查、現(xiàn)場訪談、主機(jī)配置審計、現(xiàn)場勘查等手段對評估對象進(jìn)行評估。

（3）現(xiàn)場管理評估?，F(xiàn)場管理評估是最后一個步驟，但是卻非常重要，它不僅關(guān)系著此次項目運行成功與否，還關(guān)系到以后項目效率的改進(jìn)，現(xiàn)場評估需要對項目進(jìn)展的流程進(jìn)行綜合分析，找出不足之處，尋出與優(yōu)秀的項目管理之間的差距，歸納總結(jié)，從而完善管理程序。

2.3數(shù)據(jù)分析階段

收集數(shù)據(jù)階段已經(jīng)收集了很多的數(shù)據(jù)存量，想要發(fā)現(xiàn)數(shù)據(jù)的內(nèi)在規(guī)律，從而發(fā)現(xiàn)有用的東西，就必須對數(shù)據(jù)進(jìn)行詳細(xì)分析，只有仔細(xì)分析數(shù)據(jù)，才能夠發(fā)現(xiàn)項目的風(fēng)險所在，從而確定風(fēng)險的大小，找出其資產(chǎn)、弱點、風(fēng)險。

2.4報告撰寫階段

對收集到的數(shù)據(jù)進(jìn)行了詳細(xì)分析，得到初步的結(jié)論以后，就到了報告撰寫階段，即在數(shù)據(jù)分析的基礎(chǔ)上，制作一份報告，論述項目的風(fēng)險問題。

（1）撰寫風(fēng)險評估報告。風(fēng)險評估報告應(yīng)該將風(fēng)險分析的結(jié)果直觀地、形象地表達(dá)出來，讓管理層清楚地了解當(dāng)前信息系統(tǒng)存在的風(fēng)險。

（2）撰寫整改報告。整改報告則是根據(jù)風(fēng)險評估的結(jié)果，提出對風(fēng)險進(jìn)行管理與控制的過程?？煞譃榘踩庸探ㄗh、安全體系結(jié)構(gòu)建議、安全管理建議三種。

2.5項目驗收階段

在完成了以上的步驟以后，理論上就可以對項目進(jìn)行驗收了，項目驗收即對前期風(fēng)險評估成果的檢驗，一般包括三項內(nèi)容，即報告的評審、組織會議討論驗收事宜以及內(nèi)部項目總結(jié)。

（1）報告評審報告評審就是對風(fēng)險評估報告及整改報告進(jìn)行評審。

（2）召開項目驗收會即對項目的成果進(jìn)行匯報。

（3）內(nèi)部項目總結(jié)不僅僅是單純的對項目實施過程的一次簡單的回顧，還是一個經(jīng)驗總結(jié)的過程，回顧過去，把握現(xiàn)在，爭取在以后的項目中不再犯同樣的錯誤。

3信息安全風(fēng)險評估項目的重點領(lǐng)域管理

信息安全問題影響深遠(yuǎn)，其風(fēng)險評估應(yīng)根據(jù)項目的特點及具體過程，且應(yīng)在評估中重點加強(qiáng)溝通、范圍、時間、成本、風(fēng)險、人力資源等幾個領(lǐng)域的管理。

3.1項目溝通管理

為了達(dá)到項目目標(biāo)，項目經(jīng)理首先必須通過溝通談判從本公司獲得相應(yīng)的人力資源等支持；其次，為了獲得客戶的支持與配合，提高項目滿意度，項目經(jīng)理必須與客戶進(jìn)行有效溝通。項目的最終目標(biāo)是滿足或者超過干系人的需求與期望。要滿足或者超過干系人的需求與期望，首先應(yīng)該識別干系人，識別他們的需求與期望，制定溝通計劃，在項目實施過程中管理干系人的需求與期望。

（1）識別干系人。很顯然，與項目的相關(guān)程度不同，不同的人對項目信息安全風(fēng)險具有不同的影響，作為客戶方與項目實施方，其公司企業(yè)的信息安全風(fēng)險是不一樣的，一般而言客戶方具有最大的影響力，公司方則次之，干系人對項目的態(tài)度也是影響項目信息安全風(fēng)險的重要因素，態(tài)度一般分為無關(guān)、支持和反對三個。

（2）了解干系人的需求與期望。應(yīng)該在充分了解項目背景的基礎(chǔ)上，運用一定的方法與技巧了解干系人的需求與期望。①了解項目背景?？梢宰稍兪矍邦檰?、銷售人員或者查閱招標(biāo)時的招標(biāo)書，甚至可以通過互聯(lián)網(wǎng)獲得相關(guān)信息。風(fēng)險評估項目的項目背景也是復(fù)雜的，一般而言會分成很多的情況，比較常見的有項目本身實施過程中出現(xiàn)的信息安全事件、監(jiān)管機(jī)制的不合理等。②了解干系人需求與期望的方法。馬期洛需求層次理論可以幫助我們了解干系人需求與期望。通過馬期洛需求層次理論可以大致了解干系人的需求，然后通過換位思考、溝通交流等手段，進(jìn)一步確認(rèn)干系人的需求與期望。

（3）制定溝通計劃。信息安全風(fēng)險評估項目需要溝通，所以需要制定一個有效的溝通計劃。信息安全風(fēng)險評估項目不能夠隨意地制定溝通計劃，而應(yīng)該詳細(xì)地分析相關(guān)的影響因素，重點關(guān)注利益相關(guān)者的溝通情況，從而降低影響，提高效率。

（4）管理干系人的需求與期望。干系人的期望與需求也應(yīng)該得到恰當(dāng)?shù)墓芾?，最重要的是要明確期望與需求，進(jìn)行類別的劃分?？煞譃锳、B、C三類：A類：必須做（need），這一類如不做，將難以通過驗收；B類：應(yīng)該做（want），這一類如不做，會影響驗收效果；C類：可以做（wish），這一類是可做可不做的，做了客戶會更加滿意，不做也不會影響驗收。其次，在管理干系人的需求與期望時，應(yīng)該遵循80/20規(guī)則，即完成20%的任務(wù)實現(xiàn)80%的價值，這部分任務(wù)必須作為重點。另外，可能還有20%的任務(wù)花費80%的成本，在資源及時間允許的情況下處理此類需求與期望。再次，在管理干系人的需求與期望時也可以根據(jù)干系人的職權(quán)（權(quán)力）進(jìn)行管理。①在第一象限中的干系人權(quán)力高，但對項目關(guān)注程度低，采用令其滿意的管理策略。②在第二象限中的干系人權(quán)力高，且對項目關(guān)注程度高，要對其重點管理，優(yōu)先滿足其需要與期望。③第三象限的人員對項目關(guān)注程度高，但權(quán)力較低，采用隨時告知的策略，盡量不要影響其個人利益。④第四象限的人權(quán)力低，且對項目不關(guān)注，要監(jiān)督他們對項目的反應(yīng)，不引起負(fù)面影響。最后，為了滿足干系人的需求與期望，需要在項目范圍、項目時間、項目成本、項目質(zhì)量之間做好平衡。

3.2項目范圍管理

范圍是一個空間的范疇，一個項目管理的范圍規(guī)定了一個項目的權(quán)限范圍，規(guī)定了項目可以做哪些事情，而哪些事情是不能做的，實際上是對必要工作的堅持和對不必要工作的摒棄。

（1）明確風(fēng)險評估范圍。項目計劃準(zhǔn)備時就要考慮風(fēng)險評估范圍，在這一階段就應(yīng)該定義項目范圍的廣泛性以及縱深等內(nèi)容，并且考慮客戶的需求，從而明確項目管理范圍。項目范圍的確定不是一方所能夠決定的，相反這是一個博弈的過程，應(yīng)該照顧各方的利益，制定出一個符合各方利益的項目管理范圍。

（2）明確風(fēng)險評估成果。應(yīng)該在項目開始之前，與客戶將項目提交的成果及要求確定下來。一是在項目執(zhí)行過程中，以此為目標(biāo)；二是設(shè)定一個驗收項目的標(biāo)準(zhǔn)。

（3）創(chuàng)建工作分解結(jié)構(gòu)。顧名思義，創(chuàng)建工作分解結(jié)構(gòu)即將解構(gòu)分解，即把項目的最后結(jié)果和其工作流程明細(xì)化，從而使得每一步變得簡單，更加容易操作。在信息安全風(fēng)險評估項目中，第一層一般就放置項目成果，而第二層則更加側(cè)重中間成果。顯而易見，分解工作結(jié)構(gòu)并不是一件簡單的事情，也不是只有一種方法，各層次都是可以相互變化的。

（4）風(fēng)險評估范圍控制。范圍是所有計劃的基礎(chǔ)。對待客戶提出范圍變更應(yīng)該遵循以下流程：首先不能明確拒絕，然后要分析客戶變更的原因及目的，快速反應(yīng)變更所需要的人工及預(yù)算對時間和質(zhì)量的影響，然后再做出決定。

（5）風(fēng)險評估成果核實。風(fēng)險評估成果核實過程應(yīng)該嚴(yán)謹(jǐn)而且細(xì)心，因為這是一個正式驗收項目的過程，需要由客戶和項目的執(zhí)行人一起認(rèn)真核實項目的最終結(jié)果。

（6）取得干系人對項目范圍正式認(rèn)可。它要求審查可交付成果和工作結(jié)果，以保證一切均已正確無誤且令人滿意地完成。

3.3項目時間管理

時間管理至關(guān)重要，因為優(yōu)秀的時間管理保證項目能夠不延期交付。

（1）定義活動。定義活動從字面上理解就是一個識別的過程，定義識別的是在項目的實施過程中需要采取的一切實施方法和步驟。它是在工作分解結(jié)構(gòu)的基礎(chǔ)上進(jìn)行細(xì)化而完成的。

（2）排列活動順序?；顒禹樞蛏婕暗降氖且粋€排列的問題，指的是一種依賴關(guān)系，即識別和記錄項目活動的依賴關(guān)系，是一種邏輯的過程。一般而言，這里所指的依賴關(guān)系指的是信息安全風(fēng)險評估項目中，各個活動之間所具有的特性，如強(qiáng)制性、選擇性和外部依賴性。確定完活動之間的依賴關(guān)系，就可以對他們進(jìn)行排序了，可以采用網(wǎng)絡(luò)圖的方法來表達(dá)他們之間的順序，常有三種關(guān)系，即完成-開始，開始-開始，結(jié)束-結(jié)束。

（3）估算活動持續(xù)時間。估算活動持續(xù)時間是一個時間上的范疇，指的是估計資源運用和消耗，以及估計完成一項活動所需工時的過程。需要根據(jù)活動的具體情況、負(fù)責(zé)活動的人員情況來進(jìn)行估算。估算不能隨意，應(yīng)該具有嚴(yán)格的依據(jù)。工時估算時，常采用三點估算法。即估算工時=（最樂觀時間+4×最可能時間+最悲觀時間）/6。①制定進(jìn)度計劃。制定進(jìn)度計劃首先需要對所掌握的信息進(jìn)行深入分析，從而確定活動的順序，并且在時間和空間上確定一個相對準(zhǔn)確的點，估算對資源的需求以及項目實施流程。制定一個有效的進(jìn)度計劃并不是件簡單的事情，而是極其復(fù)雜的過程，在這期間需要一遍又一遍分析，從而確定一個合適的時間跨度，并且對項目結(jié)果有一個合適的預(yù)期。即使制訂了進(jìn)度計劃，也不是一成不變的，而是要根據(jù)相關(guān)審查部門的意見適當(dāng)?shù)匦薷挠媱?，從而使得計劃在時間和資源應(yīng)用上更加合理。只有審查通過以后，這個進(jìn)度計劃才可以說是確定下來了。信息安全風(fēng)險評估項目極其復(fù)雜，很多因素?zé)o論是內(nèi)部的還是外部的，都對項目有很大的影響，并且鑒于有限的項目組成員，所以需要采用一個更加合適的進(jìn)度計劃形式。②控制進(jìn)度?？刂七M(jìn)度的同時也是一個對項目監(jiān)督管理的過程，這一過程根據(jù)進(jìn)度計劃的基準(zhǔn)不斷地調(diào)整項目的進(jìn)程。進(jìn)度控制程序：一般分為四個步驟，即先要分析一個項目所散發(fā)的狀態(tài)信息；然后如果需要調(diào)整進(jìn)度，就要調(diào)整影響進(jìn)度的相關(guān)參數(shù)；再次分析以后，要確定一個項目是否在原定的軌道上；如果進(jìn)度脫離了軌道，就要進(jìn)行相應(yīng)的管理。

3.4項目成本管理

成本管理包括估算成本、制定預(yù)算、控制成本三項任務(wù)。

（1）估算成本。對成本的估算需要囊括整個項目的進(jìn)程，時間跨度和空間跨度上均要全面。成本估算是在某特定時點，根據(jù)已知信息所做出的成本預(yù)測。信息安全風(fēng)險評估項目的主要成本是人工成本及實施直接成本，因為人工成本占了所有成本的一大部分，所以精確地估算人工成本是成本估算最基礎(chǔ)的一面。估算人工成本有個前提，即進(jìn)度計劃是準(zhǔn)確的，從而對團(tuán)隊成員的人工估算做到精確。項目成本即使估算出來了，也不一定是準(zhǔn)確的，需要時時修正，因為越到了項目的后期，需要估計的越少，影響估算準(zhǔn)確性的因素也越少，所以成本估算需要不斷進(jìn)行。

（2）制定預(yù)算。制定預(yù)算也是一個估算的過程，是對一個項目的所有方面進(jìn)行一個全面的評估，從而為以后資金的撥付制訂了基礎(chǔ)和基準(zhǔn)。只有制定預(yù)算，才能夠根據(jù)預(yù)算的需求來劃撥資金，并且影響到了項目的實施全過程和成果評估部分。

（3）控制成本。成本的控制一般而言指的是成本不應(yīng)該超出預(yù)算，控制成本是一個動態(tài)的過程，是監(jiān)督項目狀態(tài)，從而獲得有用信息以更新項目預(yù)算。項目成本控制包括：找出影響項目成本的因素，并作相應(yīng)的修改；保證修改項目參數(shù)能夠成功；在修改成功以后，要隨時動態(tài)地監(jiān)督；控制成本，使得成本控制在預(yù)算的范圍之內(nèi)，甚至應(yīng)該精確到每一項開支；分析成本與預(yù)算成本基準(zhǔn)之間的差距；對照資金支出，監(jiān)督工作績效；嚴(yán)格禁止不相關(guān)的支出，使得每一項成本都合情合理；向有關(guān)干系人匯報項目進(jìn)展和成本控制的工作；即使項目超支了，也要盡量減少成本。

3.5人力資源管理

人力資源管理在一個項目執(zhí)行時包括很多方面的內(nèi)容，例如管理組織一個實施團(tuán)隊、人員分工等。

（1）制定人力資源計劃。制定人力資源計劃是在項目實施之前對實施項目的團(tuán)隊、人員、職務(wù)、報酬等方面的規(guī)劃，并且對各個人和團(tuán)隊的責(zé)任進(jìn)行詳細(xì)劃分。人力資源計劃包含項目角色與職責(zé)記錄、分成的各個部門等。一些信息安全風(fēng)險評估項目執(zhí)行時間比較長，因此需要更加有效的團(tuán)隊，這就需要對人員進(jìn)行培訓(xùn)以及制定團(tuán)隊建設(shè)策略等。風(fēng)險評估項目的責(zé)任分配并不復(fù)雜，可采用責(zé)任分配矩陣（RAM），這個矩陣能夠顯示工作包或活動與項目團(tuán)隊成員之間的聯(lián)系。并且根據(jù)需求的不同，制定不同層次的矩陣。

（2）組建項目團(tuán)隊。組建項目團(tuán)隊實際上是對人力資源使用和分配的過程，需要了解人力資源的各種特性，從而組建最合適的管理團(tuán)隊，在組建團(tuán)隊時需要注意：項目經(jīng)理所要做的是積極地與人力資源人員進(jìn)行交流，充分掌握各方面的信息，從而獲得最合適和最有效率的人才。但是有時候項目經(jīng)理并不能總是如愿地獲得自己想要的人力資源，而是會受到如經(jīng)濟(jì)等其他項目對資源的占用等因素的影響，從而制約了項目的實施，作為替代，項目經(jīng)理可能不可避免地使用不合適的人力資源。

（3）管理項目團(tuán)隊。管理項目團(tuán)隊是選出來運營項目的人所組成的團(tuán)隊，他們具有多樣化的目標(biāo)，例如繼續(xù)學(xué)習(xí)，提高團(tuán)隊成員的專業(yè)技能，增強(qiáng)團(tuán)隊的執(zhí)行能力從而保證項目結(jié)果的按時交付；以最低的成本完成最高質(zhì)量的項目；按時完成項目，團(tuán)隊成員之間相互協(xié)作，增加團(tuán)隊效率，豐富團(tuán)隊成員的知識，增強(qiáng)其跨學(xué)科運作能力，提高團(tuán)隊的凝聚力，無論整體上還是個人上都有效率的提升等。項目經(jīng)理在期間應(yīng)該全權(quán)負(fù)責(zé)項目團(tuán)隊的管理運作，增加項目績效，在團(tuán)隊出現(xiàn)問題時，分析導(dǎo)致問題的原因，然后解決問題。團(tuán)隊建設(shè)一般要經(jīng)過5個階段：①形成階段，這個階段是團(tuán)隊形成的最初階段，團(tuán)隊成員只是互相認(rèn)識，并沒有相應(yīng)的合作。②震蕩階段，指的是團(tuán)隊已經(jīng)開始運作，但是成員之間需要磨合的階段。③規(guī)范階段，過了磨合期以后，團(tuán)隊成員彼此之間逐漸適應(yīng)了彼此的節(jié)奏，能夠進(jìn)行初步合作了，團(tuán)隊開始有成為一個有效整體的趨向。④成熟階段，這一階段團(tuán)隊成員之間已經(jīng)能夠精誠合作，互補(bǔ)余缺，相互學(xué)習(xí)，團(tuán)隊效率較高。⑤解散階段，即當(dāng)項目完成以后，各成員完成了職責(zé)，從而脫離團(tuán)隊。因為各種各樣的原因，例如缺乏充足的資金、進(jìn)度安排不合理、團(tuán)隊成員之間缺乏配合等，會造成項目環(huán)境的沖突。如果項目經(jīng)理能有效管理，則意見分歧能夠轉(zhuǎn)變?yōu)閳F(tuán)隊的多樣化管理，不僅能夠提高團(tuán)隊創(chuàng)造力還有利于做出更好的決策。如果管理不當(dāng)，團(tuán)隊之間的分歧沒有得到解決，就可能會加大團(tuán)隊成員之間的鴻溝，從而對項目的實施產(chǎn)生負(fù)面的影響。要建設(shè)高效的項目團(tuán)隊，項目經(jīng)理需要獲得高層管理者的支持，獲得團(tuán)隊成員的承諾，采用適當(dāng)?shù)莫剟詈驼J(rèn)可機(jī)制，創(chuàng)建團(tuán)隊認(rèn)同感，有效管理沖突，團(tuán)隊成員間增進(jìn)信任和開放式溝通，特別是要有良好的團(tuán)隊領(lǐng)導(dǎo)力。項目團(tuán)隊管理的一些工具與技術(shù)包括：①人際關(guān)系技能。通過了解項目團(tuán)隊成員的感情來預(yù)測其行動，了解其后顧之憂，并盡力幫助解決問題，項目管理團(tuán)隊可大大減少麻煩并促進(jìn)合作。②培訓(xùn)。旨在提高項目團(tuán)隊成員能力的全部活動，培訓(xùn)可以是正式或非正式的。應(yīng)該按人力資源計劃中的安排來實施預(yù)定的培訓(xùn)。③制定管理規(guī)范，對項目團(tuán)隊成員的可接受行為做出明確規(guī)定。盡早制定并遵守明確的規(guī)則，可減少誤解，提高生產(chǎn)力。規(guī)則一旦建立，全體項目團(tuán)隊成員都必須遵守。④認(rèn)可與獎勵。如果想要提高項目團(tuán)隊的效率，使得每個人更加盡心和更加富有責(zé)任感，就應(yīng)在團(tuán)隊建設(shè)過程中引進(jìn)相應(yīng)的激勵機(jī)制，在制定項目計劃時就應(yīng)該考慮到團(tuán)隊成員的獎懲問題。在管理項目團(tuán)隊的過程中，團(tuán)隊成員的獎勵不是隨意而發(fā)的，而是通過項目績效評價，以正式或非正式的方式做出獎勵決定。只有優(yōu)良行為才能得到獎勵。

3.6項目風(fēng)險管理

項目風(fēng)險管理旨在降低風(fēng)險，或者把風(fēng)險控制在可控范圍之內(nèi)。其目標(biāo)是盡力使得項目運行向著有利的方面轉(zhuǎn)化，對消極負(fù)面的一部分則注意防范。信息安全風(fēng)險評估項目不屬于特別大的項目，所以一般分為識別風(fēng)險、評價風(fēng)險、規(guī)劃風(fēng)險應(yīng)對、監(jiān)控風(fēng)險四個過程。

（1）識別風(fēng)險。識別風(fēng)險是風(fēng)險管理的前提，是一個信息處理的過程，在這個過程中判斷分析什么樣的風(fēng)險會影響項目。可采用核對表的方式進(jìn)行風(fēng)險識別。

（2）評價風(fēng)險。對于信息安全風(fēng)險評估項目，評價風(fēng)險只需要定性評價即可。實施定性風(fēng)險分析根據(jù)風(fēng)險發(fā)生的相對概率或可能性、風(fēng)險發(fā)生后對項目目標(biāo)的相應(yīng)影響以及其他因素來評估已識別風(fēng)險的優(yōu)先級。

（3）規(guī)劃風(fēng)險應(yīng)對。規(guī)劃風(fēng)險應(yīng)對是風(fēng)險管理最重要的步驟，其規(guī)劃的是項目的目標(biāo)及降低風(fēng)險的步驟。對于消極風(fēng)險，常有回避、轉(zhuǎn)移、減輕、接受四種方式；對于積極風(fēng)險，常有開拓、分享、提高、接受四種方式。

（4）監(jiān)控風(fēng)險。監(jiān)控風(fēng)險是風(fēng)險管理的最后一步，也是第一步，因為它是貫穿在整個項目之中，是一個制定風(fēng)險應(yīng)對計劃、監(jiān)控已知風(fēng)險、加強(qiáng)管理以解決風(fēng)險以及發(fā)現(xiàn)新風(fēng)險的過程。

4結(jié)語

信息安全風(fēng)險評估項目是個新興的行業(yè)，整體項目管理水平有待提高。在進(jìn)行項目管理時，需要結(jié)合項目特點靈活運用項目管理的知識，有些知識領(lǐng)域應(yīng)該重點加強(qiáng)，有些知識領(lǐng)域可以適當(dāng)忽略，按時、合格地完成項目，得到滿意的項目結(jié)果，符合干系人的預(yù)期。

作者：李永波 單位：甘肅農(nóng)業(yè)大學(xué) 麗水職業(yè)技術(shù)學(xué)院