----------------------- Page 1-----------------------
第25卷第1期 计算机应用与软件 Vol125No. 1
2008年 1月 ComputerApplications and Software Jan. 2008
基于风险评估的企业信息化项目管理方法
赵燕敏 李明禄
(上海交通大学计算机科学与工程系 上海 2000 0)
摘 要 分析了在企业信息化进程中, 如何有效地对 IT项目进行管理。以项目管理学 PM I的项目管理理论和BS7799信息安
全管理国际标准为基础,提出了一个以风险评估为导向,适合从外部获取技术的信息系统项目管理方法的总体框架。旨在通过对信
息技术项目的各个阶段进行科学合理的管理, 来提高项目的成功率,加快企业信息化进程。
关键词 项目管理 技术获取 风险评估 企业信息化
ENTERPRISES INFORMATIONIZATION PROJECTMANAGEMENT
BASED ON R ISK ASSESSMENT
ZhaoYanmin LiM inglu
(Departm en t of Compu ter Scien ce and Eng ineering, Shanghai J iaotong University, Shanghai200030, Ch ina )
Abstract How tomanage IT project effectively in the process ofenterprises informationization is analyzed. On the basis of thePMBOK of
PMI and BS7799 information securitymanagement standard, the overall framework oftheprojectmanagement in the information system ispro2
posed. This technology acquisition model is guided by risk evaluation, ami ing to enhance the success rate of the project and accelerate the
process ofenterprises informationization by rationalmanagement.
Keyword Projectmanagement Technology acquisition R isk assessment Enterprises informationization
在某些方面的复杂程度更高, 以往的组织管理方式已很难适应。
0 引 言 信息技术领域的项目实施过程中,存在许多问题, 比如:
# 企业管理者对信息技术了解不足,对实施什么样的信息
企业的信息能力是指企业在信息资源开发与利用方面的一 化项目能给业务带来成功的机会毫无把握;
种综合能力。在现代企业管理中, 信息能力已经成为影响企业 # 企业对信息系统的需求描述不清, 常常是边做边想, 因
经济效益的关键因素之一。 此信息系统的建设目标在项目开发期间被不断变更;
本文通过调研分析企业信息化项目管理中存在的典型问 # 通过项目的实施,用户自身对信息系统的功能和使用信
题,提出了技术获取型
项目管理的方法。该方法以风险评估为 息系统带来益处的认识不断加深,对系统的期望不断提高, 造成
导向,通过定期对企业所有的信息资产进行风险评估,从中发现 对项目实施最终效果不满意;
问题和机遇并提出项目建议,得到领导支持后实施信息化项目。 # 如何验证信息化项目的实施是否达到最初的目的, 对项
这种方法是建立在对组织业务及现有系统充分了解的基础上, 目的验收标准各相关方不易达成共识, 给项目实施效果的确认
因此能得到企业真实的信息化需求, 和组织本身的持续发展要 带来困难。
求相一致。而根据企业资源的实际情况, 从有经验的技术提供 1. 适合在企业信息化进程中实施的项目管理方法
商那里获取技术,更可提高项目实施的速度与效率。 现在各种信息技术在企业内得到广泛应用,信息部门负责
管理的系统也越来越复杂,从MIS到ERP、CMI S, 在企业信息化
1 企业信息化进程中的项目管理 的进程中实施的许多项目庞大复杂, 各种风险发生的可能性大
大增加。
1. 1 企业信息化进程中引入项目管理的背景 成功的信息技术项目依赖于成功的项目管理及对项目管理
根据美国项目管理学会5项目管理知识体系指南 2000版6 方法的自觉运用。在参考了国内外相关资料的基础上,我们对
的定义, 项目管理是指将知识、技能、工具和技术应用于项目活 信息技术项目管理的全过程进行了调研, 并针对项目管理的要
[ 1] 求,分析它们的个性和共性。经过不断摸索, 我们提出了适合在
动中, 以满足项目需求的管理活动 。
项目管理在我国的起步较晚, 各个行业的应用都还刚刚开 企业信息化进程中实施的基于风险评估的技术获取型项目管理
始。现在,不少企业都实施了信息系统项目,但实际效果却不尽 方法, 并在具体实践中加以运用, 满足了企业信息系统项目管理
如人意。其中最重要的原因之一就是管理方面的问题。因为管
理是影响项目全局的因素,而技术只影响局部。与项目目标和 收稿日期: 2006- 0 - 27。赵燕敏, 硕士生, 主研领域: 项目管理,信
实现途径都可以明确定义的传统工程项目相比, 信息系统项目 息安全, 软件工程。
----------------------- Page 2-----------------------
第1期 赵燕敏等:基于风险评估的
企业信息化项目 理方法 11
的一般需要。 适策略, 制定计划处理风险, 还需要编制全面而细致的风险评估
所谓技术获取型项目,就是在项目实施的过程中,将其中的 文档;解决方案实施阶段,按照处理计划具体实施, 各种程序性
特定部分交给具有特殊技能优势的组织去完成, 或者直接购买 策略需要进一步完善, 同时判断经过处理后的残余风险是否能
技术后加以运用。对这类项目的管理, 我们称之为技术获取型 被接受; 而在运行阶段, 将检验根据风险评估结果所做的策略是
项目管理。 否有效,还应该根据风险处理计划进行测试、检查和调整, 最终
在目前大部分企业的资源并不很充分的情况下, 从外部获 让其可以有效执行。策略不仅仅是信息化过程的指导核心, 更
取所需技术, 是最直接、有效的方法。实施技术获取型信息技 需要在信息化过程中建立、实施和完善。
术项目管理, 可以合理利用现有资源, 让企业把精力放在核心 准备 这是新一轮风险评估生命周期的起点。在准备阶
业务上, 快速获取所需的技能和技术, 加快了企业的信息化进 段,组织应该对当前业务和系统环境进行分析, 发掘因为组织战
程。 略和使命的变化、业务变更、组织及人员变化、新技术引入、信息
但是, 当技术需要从外部获取时, 因为无法直接控制项目, 策略调整等情况引起的新的信息化需求, 制定符合组织实际的
企业面临的风险可能同时加大。主要风险有: 成本容易超出预 信息化解决方案。同时制定和修改风险评估方法, 准备进行新
算;可能把专业知识扩散到其他公司; 失去对进一步开发的控 一轮的风险评估。
制;泄露机密信息的可能性增大; 可能丢失进度可视性和对进度 评估 评估阶段是组织全面了解自身信息化需求的关键,
的控制等。 这一阶段中,组织需要借助技术和非技术手段评估已有的信息
因此,要使此类技术获取型项目取得成功,必须进行有效的 资产、自身存在的弱点、面临的内部和外部威胁、现有体系的有
管理。在充分了解潜在问题的基础上, 与承包商保持良好的控 效性,最终生成详细而准确的评估报告, 供需求分析所用。
制和沟通,合理配置资源, 保证项目的质量和进度。合同签定和 通过评估,组织逐渐明确信息化需求, 然后有目的地规划更
项目启动前,双方应就项目的工作范围达到
明确的一致,包括项 为成熟的信息体系,并且选择合适的控制措施, 制定全面的安全
目需求、所有要完成的任务以及完成任务的基础条件等,否则项 策略,提供技术和管理并重的安全解决方案。
目实施时会有很多不清楚的地方, 验收时出现由于项目范围理 实施 在实施阶段,在满足组织信息化策略的前提下, 按照
解不一致而带来的很多麻烦。 选择的控制措施,合理实施, 处理风险。这时, 如果需要开展各
种信息化项目,就需要引入信息化项目管理, 在实施过程中还应
技术获取型信息技术项目管理 该做好质量控制和项目管理。评估阶段的成果直接成为项目管
理启动阶段的输入。项目管理中应该包括详细的计划、卖方调
研/评估、谈判、开发计划、设计、定制、测试、实施、运行和收尾过
. 1 技术获取型信息技术项目管理模型
程,确保整个过程能够严格兑现方案计划并且不会引入新的风
企业信息化是一个复杂的过程, 如何利用有限的资源,选择
险。
合适的项目,满足企业发展要求是成功的关键。我们从平时解
支持 信息化解决方案一旦实施之后, 已经建立起来的新
决问题的方法中可以看出,只有发现问题,才能找到使组织获益
的信息化体系就进入了操作和维护时期,这一阶段, 组织通过不
的机会。因此选择合适的切入点是成功的关键步骤之一。我们
断的监督、检测、审查、纠正预防、更新和响应服务来保持体系的
的方法是定期对所有的信息资产进行风险评估, 从中发现问题
持续有效, 一旦有重大变化, 或者到了约定期限, 就应该进入到
和机遇并提出项目建议, 得到领导支持后实施信息化项目。技
下一个风险评估周期。
术获取型信息技术项目管理模型如图1所示。
这种基于风险评估的信息化项目管理方法是对企业的信
息化需求进行了充分地挖掘, 所以得到的需求是建立在对组
织业务及现有系统深刻了解的基础上, 和组织本身的持续发
展要求相一致, 因此, 成功的几率更大, 其最大的特点是将管
理思想和技术实现很好地融合到企业信息化的过程中, 更具
有可操作性。
. 风险评估在信息化项目管理中的推动作用
以风险评估为驱动的信息化项目管理, 其核心就是立足于
企业整体的信息安全管理体系,结合恰当的专业技术手段, 通过
图1 技术获取型信息技术项目管理模型 审核现有的信息安全策略、程序及控制措施的效力, 检验分析信
实施要点在于通过风险评估了解信息系统的现状, 为技术 息环境现状,最终对企业信息系统的状况有一个全面而充分的
实施策略的制定和信息化项目的选择奠定基础。整个风险评估 了解, 选择对策改善已有的信息环境, 满足企业业务要求的一个
过程以企业的信息化策略为核心, 可分为准备、评估、实施和支 过程。从风险评估开始,就能够找准问题, 有的放矢地开始信息
持四个阶段。各个阶段是前后继承、紧密结合的,前一阶段的输 化项目,起到事半功倍的效果。风险评估的成果为信息系统规
出是后一阶段的输入,要想得到企业真实的信息化现状和需求, 划、管理、控制提供事实依据,是进行信息系统规划、实施与管理
每个阶段成果的正确性和准确性都非常重要。风险评估过程 的基础。
中,几项关键活动基本上是顺序开展的: 为了使整个评估活动有序进行, 需要事先确定风险评估方
IT策略 是风险评估的核心。围绕策略开展的活动存在 法,我们遵循BS7799信息安全管理国际标准的要求,制定了风
于风险评估生命周期的各个阶段:一开始,组织需要确定信息目 险评估的流程(见图2)。在风险评估过程中, 可以采用多种方
标、战略以及总体方针; 风险评估之后, 根据组织的需求,选择合 法,包括基于知识的分析方法, 基于模型的分析方法,定性分析
----------------------- Page 3-----------------------
114 计算机应用与软件 2008年
方法和定量分析方法。无论何种方法, 共同的目标都是找出企
组建项目团队
业信息资产面临的风险及其影响, 以及与组织信息需求之间的 确定业务需求
差距。 计划 编制项目计划
明确项目的各种资源限制,任务优先级别排序
确定解决方案
卖方清单
卖方调研
卖方调研 签定保密协议
告之卖方项目详细需求
卖方给出推荐方案
项目团队审核评估
卖方评估 选择合适的卖方
告知卖方决策结果
建立谈判团队
谈判 制定谈判策略
签定合同
图2 风险评估流程
通过风险评估发现的问题, 可以采取以下四种方法来解 项目团队
决: 项目实施
计划
# 降低风险 组织不能接受的风险, 需采用相应的措施和 设计
机制将其降低到可接受的范围。确定出需降低的风险, 作为信 定制
实施
测试
息化项目需求的输入; 部署
# 规避风险 对于容易避免的风险, 采取更改操作流程等 项目监理
简单方法加以避免; 项目控制
正式运行
# 转移风险 对于一些发生概率低, 但一旦发生会对组织
产生重大影响的风险,在不能降低或避免时,且经被转移方同意 日常运行(日常备份、灾难恢复、监控和维护)
运行 运行支持
时可采用风险转移的方法。如对于系统遭受自然灾害袭击的风
用户培训
险,可以采取向保险公司投保的方式进行转移;
# 接受风险 出于实际和经济方面的原因,在采取了降低 文档整理
风险和避免风险措施后还存在的剩余风险, 或只要系统运行就 项目评估
收尾 项目交接
必然存在并必须接受的风险, 可以归在可接受风险的范围。 项目发起人批准项目结束
确认项目完成
. 3 技术获取型信息技术项目管理生命
周期及其典
型活动
在实施过程中还应该做好质量控制,确保实施过程能够严
通过风险评估,组织逐渐明确信息化需求,然后有目的地规
格兑现方案计划并且不会引入新的风险。
划更为成熟的信息体系,并且选择合适的控制措施,合理实施,
处理风险。在处理风险的过程中,可能需要实施信息化项目,引
3 结束语
入信息化项目管理。风险评估阶段的成果可直接成为项目管理
启动阶段的输入。
本文提出了一个以风险评估为导向,适合从外部获取技术
每个项目从开始到结束都要经历启动、计划、实施和收尾这
的信息系统项目管理方法的总体框架, 涉及项目管理、风险评
四个阶段。但不同种类的项目其生命周期的表现并不相同。我
估、企业信息化等多个知识领域, 尝试对多方面知识的融会贯
们把技术获取型信息技术项目管理生命周期分为八个阶段:启
通。不同的企业在具体实施过程中也需要根据自身的特点, 对
动、计划、卖方调研、评估、谈判、实施、运行、收尾(见图 )。
相关具体活动进行裁减,通过实践, 不断提高信息系统项目的成
功率。
每个信息技术项目的开发环境及实施环境可能各不相同,
但是,在项目管理中所要处理的关系却基本一致。我们以此和
图 技术获取型信息技术项目管理生命周期 广大同仁探讨,使之能得以不断改进。
技术获取型信息技术项目管理各个阶段实施的主要活动如
参 考 文 献
表 1所示。
[ 1] ProjectManagement Institute: A Guide to the ProjectManagementBody
表1 技术获取型信息技术项目主要阶段及其活动
ofKnowledge (PMBOK Guide2000), 2004.
所处阶段 每阶段完成的典型活动 [ 2 ] 英国BS7799标准: ISO /IEC 27001: 2005.
[ ] 凯西# 施瓦尔贝. IT项目管理.王金玉, 时彬, 译.第二版.机械工
项目立项
可行性分析 业出版社, 2004.
启动
系统规划 [ 4 ] 美国项目管理协会.项目管理知识体系指南. 卢有杰, 等
译. 第三
项目批准 版, 2005.
----------------------- Page 1-----------------------
第25卷第1期 计算机应用与软件 Vol125No. 1
2008年 1月 ComputerApplications and Software Jan. 2008
基于风险评估的企业信息化项目管理方法
赵燕敏 李明禄
(上海交通大学计算机科学与工程系 上海 2000 0)
摘 要 分析了在企业信息化进程中, 如何有效地对 IT项目进行管理。以项目管理学 PM I的项目管理理论和BS7799信息安
全管理国际标准为基础,提出了一个以风险评估为导向,适合从外部获取技术的信息系统项目管理方法的总体框架。旨在通过对信
息技术项目的各个阶段进行科学合理的管理, 来提高项目的成功率,加快企业信息化进程。
关键词 项目管理 技术获取 风险评估 企业信息化
ENTERPRISES INFORMATIONIZATION PROJECTMANAGEMENT
BASED ON R ISK ASSESSMENT
ZhaoYanmin LiM inglu
(Departm en t of Compu ter Scien ce and Eng ineering, Shanghai J iaotong University, Shanghai200030, Ch ina )
Abstract How tomanage IT project effectively in the process ofenterprises informationization is analyzed. On the basis of thePMBOK of
PMI and BS7799 information securitymanagement standard, the overall framework oftheprojectmanagement in the information system ispro2
posed. This technology acquisition model is guided by risk evaluation, ami ing to enhance the success rate of the project and accelerate the
process ofenterprises informationization by rationalmanagement.
Keyword Projectmanagement Technology acquisition R isk assessment Enterprises informationization
在某些方面的复杂程度更高, 以往的组织管理方式已很难适应。
0 引 言 信息技术领域的项目实施过程中,存在许多问题, 比如:
# 企业管理者对信息技术了解不足,对实施什么样的信息
企业的信息能力是指企业在信息资源开发与利用方面的一 化项目能给业务带来成功的机会毫无把握;
种综合能力。在现代企业管理中, 信息能力已经成为影响企业 # 企业对信息系统的需求描述不清, 常常是边做边想, 因
经济效益的关键因素之一。 此信息系统的建设目标在项目开发期间被不断变更;
本文通过调研分析企业信息化项目管理中存在的典型问 # 通过项目的实施,用户自身对信息系统的功能和使用信
题,提出了技术获取型
项目管理的方法。该方法以风险评估为 息系统带来益处的认识不断加深,对系统的期望不断提高, 造成
导向,通过定期对企业所有的信息资产进行风险评估,从中发现 对项目实施最终效果不满意;
问题和机遇并提出项目建议,得到领导支持后实施信息化项目。 # 如何验证信息化项目的实施是否达到最初的目的, 对项
这种方法是建立在对组织业务及现有系统充分了解的基础上, 目的验收标准各相关方不易达成共识, 给项目实施效果的确认
因此能得到企业真实的信息化需求, 和组织本身的持续发展要 带来困难。
求相一致。而根据企业资源的实际情况, 从有经验的技术提供 1. 适合在企业信息化进程中实施的项目管理方法
商那里获取技术,更可提高项目实施的速度与效率。 现在各种信息技术在企业内得到广泛应用,信息部门负责
管理的系统也越来越复杂,从MIS到ERP、CMI S, 在企业信息化
1 企业信息化进程中的项目管理 的进程中实施的许多项目庞大复杂, 各种风险发生的可能性大
大增加。
1. 1 企业信息化进程中引入项目管理的背景 成功的信息技术项目依赖于成功的项目管理及对项目管理
根据美国项目管理学会5项目管理知识体系指南 2000版6 方法的自觉运用。在参考了国内外相关资料的基础上,我们对
的定义, 项目管理是指将知识、技能、工具和技术应用于项目活 信息技术项目管理的全过程进行了调研, 并针对项目管理的要
[ 1] 求,分析它们的个性和共性。经过不断摸索, 我们提出了适合在
动中, 以满足项目需求的管理活动 。
项目管理在我国的起步较晚, 各个行业的应用都还刚刚开 企业信息化进程中实施的基于风险评估的技术获取型项目管理
始。现在,不少企业都实施了信息系统项目,但实际效果却不尽 方法, 并在具体实践中加以运用, 满足了企业信息系统项目管理
如人意。其中最重要的原因之一就是管理方面的问题。因为管
理是影响项目全局的因素,而技术只影响局部。与项目目标和 收稿日期: 2006- 0 - 27。赵燕敏, 硕士生, 主研领域: 项目管理,信
实现途径都可以明确定义的传统工程项目相比, 信息系统项目 息安全, 软件工程。
----------------------- Page 2-----------------------
第1期 赵燕敏等:基于风险评估的
企业信息化项目 理方法 11
的一般需要。 适策略, 制定计划处理风险, 还需要编制全面而细致的风险评估
所谓技术获取型项目,就是在项目实施的过程中,将其中的 文档;解决方案实施阶段,按照处理计划具体实施, 各种程序性
特定部分交给具有特殊技能优势的组织去完成, 或者直接购买 策略需要进一步完善, 同时判断经过处理后的残余风险是否能
技术后加以运用。对这类项目的管理, 我们称之为技术获取型 被接受; 而在运行阶段, 将检验根据风险评估结果所做的策略是
项目管理。 否有效,还应该根据风险处理计划进行测试、检查和调整, 最终
在目前大部分企业的资源并不很充分的情况下, 从外部获 让其可以有效执行。策略不仅仅是信息化过程的指导核心, 更
取所需技术, 是最直接、有效的方法。实施技术获取型信息技 需要在信息化过程中建立、实施和完善。
术项目管理, 可以合理利用现有资源, 让企业把精力放在核心 准备 这是新一轮风险评估生命周期的起点。在准备阶
业务上, 快速获取所需的技能和技术, 加快了企业的信息化进 段,组织应该对当前业务和系统环境进行分析, 发掘因为组织战
程。 略和使命的变化、业务变更、组织及人员变化、新技术引入、信息
但是, 当技术需要从外部获取时, 因为无法直接控制项目, 策略调整等情况引起的新的信息化需求, 制定符合组织实际的
企业面临的风险可能同时加大。主要风险有: 成本容易超出预 信息化解决方案。同时制定和修改风险评估方法, 准备进行新
算;可能把专业知识扩散到其他公司; 失去对进一步开发的控 一轮的风险评估。
制;泄露机密信息的可能性增大; 可能丢失进度可视性和对进度 评估 评估阶段是组织全面了解自身信息化需求的关键,
的控制等。 这一阶段中,组织需要借助技术和非技术手段评估已有的信息
因此,要使此类技术获取型项目取得成功,必须进行有效的 资产、自身存在的弱点、面临的内部和外部威胁、现有体系的有
管理。在充分了解潜在问题的基础上, 与承包商保持良好的控 效性,最终生成详细而准确的评估报告, 供需求分析所用。
制和沟通,合理配置资源, 保证项目的质量和进度。合同签定和 通过评估,组织逐渐明确信息化需求, 然后有目的地规划更
项目启动前,双方应就项目的工作范围达到
明确的一致,包括项 为成熟的信息体系,并且选择合适的控制措施, 制定全面的安全
目需求、所有要完成的任务以及完成任务的基础条件等,否则项 策略,提供技术和管理并重的安全解决方案。
目实施时会有很多不清楚的地方, 验收时出现由于项目范围理 实施 在实施阶段,在满足组织信息化策略的前提下, 按照
解不一致而带来的很多麻烦。 选择的控制措施,合理实施, 处理风险。这时, 如果需要开展各
种信息化项目,就需要引入信息化项目管理, 在实施过程中还应
技术获取型信息技术项目管理 该做好质量控制和项目管理。评估阶段的成果直接成为项目管
理启动阶段的输入。项目管理中应该包括详细的计划、卖方调
研/评估、谈判、开发计划、设计、定制、测试、实施、运行和收尾过
. 1 技术获取型信息技术项目管理模型
程,确保整个过程能够严格兑现方案计划并且不会引入新的风
企业信息化是一个复杂的过程, 如何利用有限的资源,选择
险。
合适的项目,满足企业发展要求是成功的关键。我们从平时解
支持 信息化解决方案一旦实施之后, 已经建立起来的新
决问题的方法中可以看出,只有发现问题,才能找到使组织获益
的信息化体系就进入了操作和维护时期,这一阶段, 组织通过不
的机会。因此选择合适的切入点是成功的关键步骤之一。我们
断的监督、检测、审查、纠正预防、更新和响应服务来保持体系的
的方法是定期对所有的信息资产进行风险评估, 从中发现问题
持续有效, 一旦有重大变化, 或者到了约定期限, 就应该进入到
和机遇并提出项目建议, 得到领导支持后实施信息化项目。技
下一个风险评估周期。
术获取型信息技术项目管理模型如图1所示。
这种基于风险评估的信息化项目管理方法是对企业的信
息化需求进行了充分地挖掘, 所以得到的需求是建立在对组
织业务及现有系统深刻了解的基础上, 和组织本身的持续发
展要求相一致, 因此, 成功的几率更大, 其最大的特点是将管
理思想和技术实现很好地融合到企业信息化的过程中, 更具
有可操作性。
. 风险评估在信息化项目管理中的推动作用
以风险评估为驱动的信息化项目管理, 其核心就是立足于
企业整体的信息安全管理体系,结合恰当的专业技术手段, 通过
图1 技术获取型信息技术项目管理模型 审核现有的信息安全策略、程序及控制措施的效力, 检验分析信
实施要点在于通过风险评估了解信息系统的现状, 为技术 息环境现状,最终对企业信息系统的状况有一个全面而充分的
实施策略的制定和信息化项目的选择奠定基础。整个风险评估 了解, 选择对策改善已有的信息环境, 满足企业业务要求的一个
过程以企业的信息化策略为核心, 可分为准备、评估、实施和支 过程。从风险评估开始,就能够找准问题, 有的放矢地开始信息
持四个阶段。各个阶段是前后继承、紧密结合的,前一阶段的输 化项目,起到事半功倍的效果。风险评估的成果为信息系统规
出是后一阶段的输入,要想得到企业真实的信息化现状和需求, 划、管理、控制提供事实依据,是进行信息系统规划、实施与管理
每个阶段成果的正确性和准确性都非常重要。风险评估过程 的基础。
中,几项关键活动基本上是顺序开展的: 为了使整个评估活动有序进行, 需要事先确定风险评估方
IT策略 是风险评估的核心。围绕策略开展的活动存在 法,我们遵循BS7799信息安全管理国际标准的要求,制定了风
于风险评估生命周期的各个阶段:一开始,组织需要确定信息目 险评估的流程(见图2)。在风险评估过程中, 可以采用多种方
标、战略以及总体方针; 风险评估之后, 根据组织的需求,选择合 法,包括基于知识的分析方法, 基于模型的分析方法,定性分析
----------------------- Page 3-----------------------
114 计算机应用与软件 2008年
方法和定量分析方法。无论何种方法, 共同的目标都是找出企
组建项目团队
业信息资产面临的风险及其影响, 以及与组织信息需求之间的 确定业务需求
差距。 计划 编制项目计划
明确项目的各种资源限制,任务优先级别排序
确定解决方案
卖方清单
卖方调研
卖方调研 签定保密协议
告之卖方项目详细需求
卖方给出推荐方案
项目团队审核评估
卖方评估 选择合适的卖方
告知卖方决策结果
建立谈判团队
谈判 制定谈判策略
签定合同
图2 风险评估流程
通过风险评估发现的问题, 可以采取以下四种方法来解 项目团队
决: 项目实施
计划
# 降低风险 组织不能接受的风险, 需采用相应的措施和 设计
机制将其降低到可接受的范围。确定出需降低的风险, 作为信 定制
实施
测试
息化项目需求的输入; 部署
# 规避风险 对于容易避免的风险, 采取更改操作流程等 项目监理
简单方法加以避免; 项目控制
正式运行
# 转移风险 对于一些发生概率低, 但一旦发生会对组织
产生重大影响的风险,在不能降低或避免时,且经被转移方同意 日常运行(日常备份、灾难恢复、监控和维护)
运行 运行支持
时可采用风险转移的方法。如对于系统遭受自然灾害袭击的风
用户培训
险,可以采取向保险公司投保的方式进行转移;
# 接受风险 出于实际和经济方面的原因,在采取了降低 文档整理
风险和避免风险措施后还存在的剩余风险, 或只要系统运行就 项目评估
收尾 项目交接
必然存在并必须接受的风险, 可以归在可接受风险的范围。 项目发起人批准项目结束
确认项目完成
. 3 技术获取型信息技术项目管理生命
周期及其典
型活动
在实施过程中还应该做好质量控制,确保实施过程能够严
通过风险评估,组织逐渐明确信息化需求,然后有目的地规
格兑现方案计划并且不会引入新的风险。
划更为成熟的信息体系,并且选择合适的控制措施,合理实施,
处理风险。在处理风险的过程中,可能需要实施信息化项目,引
3 结束语
入信息化项目管理。风险评估阶段的成果可直接成为项目管理
启动阶段的输入。
本文提出了一个以风险评估为导向,适合从外部获取技术
每个项目从开始到结束都要经历启动、计划、实施和收尾这
的信息系统项目管理方法的总体框架, 涉及项目管理、风险评
四个阶段。但不同种类的项目其生命周期的表现并不相同。我
估、企业信息化等多个知识领域, 尝试对多方面知识的融会贯
们把技术获取型信息技术项目管理生命周期分为八个阶段:启
通。不同的企业在具体实施过程中也需要根据自身的特点, 对
动、计划、卖方调研、评估、谈判、实施、运行、收尾(见图 )。
相关具体活动进行裁减,通过实践, 不断提高信息系统项目的成
功率。
每个信息技术项目的开发环境及实施环境可能各不相同,
但是,在项目管理中所要处理的关系却基本一致。我们以此和
图 技术获取型信息技术项目管理生命周期 广大同仁探讨,使之能得以不断改进。
技术获取型信息技术项目管理各个阶段实施的主要活动如
参 考 文 献
表 1所示。
[ 1] ProjectManagement Institute: A Guide to the ProjectManagementBody
表1 技术获取型信息技术项目主要阶段及其活动
ofKnowledge (PMBOK Guide2000), 2004.
所处阶段 每阶段完成的典型活动 [ 2 ] 英国BS7799标准: ISO /IEC 27001: 2005.
[ ] 凯西# 施瓦尔贝. IT项目管理.王金玉, 时彬, 译.第二版.机械工
项目立项
可行性分析 业出版社, 2004.
启动
系统规划 [ 4 ] 美国项目管理协会.项目管理知识体系指南. 卢有杰, 等
译. 第三
项目批准 版, 2005.