列表

详情

论信息系统项目的风险管理与安全管理
项目风险是一种不确定的事件或条件,一旦发生,会对项目目标产生某种正面或负面的影响。信息系统安全策略是指针对信息系统的安全风险进行有效的识别和评估后,所采取的各种措施和手段,以及建立的各种管理制度和规章等。
请以“论信息系统项目的风险管理与安全管理”为题,分别从以下三个方面进行论述:
1.概要叙述你参与管理过的信息系统项目(项目的背景、项目规模、发起单位、目的、项目内容、组织结构、项目周期、交付的成果等),并说明你在其中承担的工作。
2.结合项目管理实际情况并围绕以下要点论述你对信息系统项目风险管理和安全管理的认识。
(1)项目风险管理和安全管理的联系与区别。
(2)项目风险管理的主要过程和方法。
(2)请解释适度安全、木桶效应这两个常见的安全管理中的概念,并说明安全与应用之间的关系。
3.请结合论文中所提到的信息系统项目,介绍在该项目中是如何进行风险管理和安全管理的(可叙述具体做法),并总结你的心得体会。

参考答案:

写作要点
第一部分评分要点:
论文结构合理,摘要正确,正文完整,语言流畅,字迹清楚。
所述项目真实可信,介绍得当。
第二部分评分要点:
论述的要点要覆盖题目要求的三个方面,但又不局限于该三个方面。
1.项目风险管理和安全管理的联系与区别。
联系:安全是风险的一种,针对一个项目而言,安全管理可以使用风险管理的方式方法。
区别:风险有正面和反面两种,即风险有针对项目正面影响的机会,也有对项目负面影响的威胁。安全一般只有一种, 即在安全方面面临的威胁。安全注重在信息系统的安全角度进行管理,安全不只是一个项目的事情,它涉及一个单位和项目的方方面面,安全策略涉及技术和非技术的、硬件和非硬件的、法律和非法律的各个方面。需要从一个单位的整体角度去考虑。
2.项目风险管理的主要过程和方法。
(1)风险管理规划——决定如何进行规划和实施项目风险管理活动。常用的方法有:分析技术、专家判断、会议。
(2)风险识别——判断哪些风险会影响项目,并以书面形式记录其特点。常用的方法有:文档审查、信息收集技术(头脑风暴、德尔菲技术、访谈、根本原因分析)、核对表分析、假设分析、图表技术(因果图、系统或过程流程图、影响图)、SWOT分析、专家判断等。
(3)定性风险分析——对风险概率和影响进行评估和汇总,进而对风险进行排序,以便随后进一步分析或行动。常用的方法有:风险概率与影响评估、概率和影响矩阵、风险数据质量评估、风险分类、风险紧迫度评估、专家判断等。
(4)定量风险分析——就识别的风险对项目总体目标的影响进行定量分析。常用的方法有:数据收集和表示技术、定量风险分析和模型技术(敏感性分析、期望货币值分析、决策树分析、模型和模拟)、专家判断等。
(5)风险应对规划——针对项目目标制订提高机会、降低威胁的方案的行动。常用的方法有:消极风险或威胁的应对策略、积极风险或机会的应对策略、应急应对策略、专家判断等。
(6)风险监控——在整个项目生命周期中,跟踪已识别的风险、监测残余风险、识别新风险和实施风险应对计划,并对其有效性进行评估。常用的方法有:风险再评估、偏差和趋势分析、技术绩效测量、储备分析、会议等。
3.请解释适度安全、木桶效应这两个常见的安全管理中的概念,并说明安全与应用之间的关系。
(1)适度安全:安全代价低,安全风险就会大;反之安全风险要降到很低,安全的代价就很大。代价不光指资金投入,还包括性能下降、效率低下等。一个好的信息安全保障系统要保证控制两者的“平衡点”,既能保证控制安全风险的有效性,又使安全的代价可以接受。这个平衡点对于不同行业、不同单位、不同时间点都不一样,需要实现“动态”控制。
(2)木桶效应:安全水平由构成木桶的最短的那块木板决定。保护信息系统的安全要素,各方面均不可忽视,尤其是人的安全,安全管理漏洞可比作木桶桶底的漏洞。如果安全管理有漏洞,其他安全措施即使投入再大也无济于事。
(3)安全和应用的关系:矛盾统一,没有应用就不会有相应的安全需求;发生安全问题,就不能更好地开展应用。同时安全是有代价的,增加安全,系统建设运行的费用就会增加,同时还会有一定的访问限制,给应用带来不便。应用需要安全,安全为了应用,过分强调哪一个,都有偏颇。
第三部分评分要点:
根据考生描述的信息系统项目、对其所承担的信息系统项目如何进行项目风险管理,以及考生对安全管理的认识的阐述以及总结的心得体会,确定其叙述的项目风险管理和安全管理及其评论是否合适,是否具有信息系统项目风险管理和安全管理的经验。陈述问题得当、真实,分析方式正确,评论合适。

详细解析:

写作要点
第一部分评分要点:
论文结构合理,摘要正确,正文完整,语言流畅,字迹清楚。
所述项目真实可信,介绍得当。
第二部分评分要点:
论述的要点要覆盖题目要求的三个方面,但又不局限于该三个方面。
1.项目风险管理和安全管理的联系与区别。
联系:安全是风险的一种,针对一个项目而言,安全管理可以使用风险管理的方式方法。
区别:风险有正面和反面两种,即风险有针对项目正面影响的机会,也有对项目负面影响的威胁。安全一般只有一种, 即在安全方面面临的威胁。安全注重在信息系统的安全角度进行管理,安全不只是一个项目的事情,它涉及一个单位和项目的方方面面,安全策略涉及技术和非技术的、硬件和非硬件的、法律和非法律的各个方面。需要从一个单位的整体角度去考虑。
2.项目风险管理的主要过程和方法。
(1)风险管理规划——决定如何进行规划和实施项目风险管理活动。常用的方法有:分析技术、专家判断、会议。
(2)风险识别——判断哪些风险会影响项目,并以书面形式记录其特点。常用的方法有:文档审查、信息收集技术(头脑风暴、德尔菲技术、访谈、根本原因分析)、核对表分析、假设分析、图表技术(因果图、系统或过程流程图、影响图)、SWOT分析、专家判断等。
(3)定性风险分析——对风险概率和影响进行评估和汇总,进而对风险进行排序,以便随后进一步分析或行动。常用的方法有:风险概率与影响评估、概率和影响矩阵、风险数据质量评估、风险分类、风险紧迫度评估、专家判断等。
(4)定量风险分析——就识别的风险对项目总体目标的影响进行定量分析。常用的方法有:数据收集和表示技术、定量风险分析和模型技术(敏感性分析、期望货币值分析、决策树分析、模型和模拟)、专家判断等。
(5)风险应对规划——针对项目目标制订提高机会、降低威胁的方案的行动。常用的方法有:消极风险或威胁的应对策略、积极风险或机会的应对策略、应急应对策略、专家判断等。
(6)风险监控——在整个项目生命周期中,跟踪已识别的风险、监测残余风险、识别新风险和实施风险应对计划,并对其有效性进行评估。常用的方法有:风险再评估、偏差和趋势分析、技术绩效测量、储备分析、会议等。
3.请解释适度安全、木桶效应这两个常见的安全管理中的概念,并说明安全与应用之间的关系。
(1)适度安全:安全代价低,安全风险就会大;反之安全风险要降到很低,安全的代价就很大。代价不光指资金投入,还包括性能下降、效率低下等。一个好的信息安全保障系统要保证控制两者的“平衡点”,既能保证控制安全风险的有效性,又使安全的代价可以接受。这个平衡点对于不同行业、不同单位、不同时间点都不一样,需要实现“动态”控制。
(2)木桶效应:安全水平由构成木桶的最短的那块木板决定。保护信息系统的安全要素,各方面均不可忽视,尤其是人的安全,安全管理漏洞可比作木桶桶底的漏洞。如果安全管理有漏洞,其他安全措施即使投入再大也无济于事。
(3)安全和应用的关系:矛盾统一,没有应用就不会有相应的安全需求;发生安全问题,就不能更好地开展应用。同时安全是有代价的,增加安全,系统建设运行的费用就会增加,同时还会有一定的访问限制,给应用带来不便。应用需要安全,安全为了应用,过分强调哪一个,都有偏颇。
第三部分评分要点:
根据考生描述的信息系统项目、对其所承担的信息系统项目如何进行项目风险管理,以及考生对安全管理的认识的阐述以及总结的心得体会,确定其叙述的项目风险管理和安全管理及其评论是否合适,是否具有信息系统项目风险管理和安全管理的经验。陈述问题得当、真实,分析方式正确,评论合适。

上一题

© 2024 educity.cn