免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2012年上半年 信息系统项目管理师 下午试卷 论文
  第2题      
  知识点:   项目管理   风险管理   风险管理计划   风险清单   监控   项目风险管理   信息系统项目

 
信息系统项目风险管理
项目同其他经济活动一样存在风险,项目管理者必须对风险实施有效的管理。项目风险管理包括进行风险管理计划编制、对项目风险进行识别、分析、应对和监控的过程。完全避免或消除风险,或者只享受权益而不承担风险,是不可能的。主要风险清单是一个重要的风险管理工具,它指明了项目在任何时候面临的最大风险。通过对主要风险进行追踪并建立应对措施,可以使项目经理保持较强的风险管理意识。
请围绕“信息系统项目风险管理”论题,分别从以下三个方面进行论述:
 
问题:2.1   1.概要叙述你参与管理过的信息系统项目(项目的背景、发起单位、目的、项目 周期、交付的产品等),你担任的工作,以及在风险管理方面承担的职责。
2.请简要论述你对项目风险的认识和项目风险管理的基本过程、主要方法、工具。
3.结合你的项目实际经历,请指出你参与管理过的信息系统项目最主要的风险是什么,并具体阐述其应对计划,包括:风险描述,出现的原因,采用的具体应对措施、方法和工具等。
 
 
 

   知识点讲解    
   · 项目管理    · 风险管理    · 风险管理计划    · 风险清单    · 监控    · 项目风险管理    · 信息系统项目
 
       项目管理
        定义
        把各种知识、技能、手段和技术应用于项目活动之中,以达到项目的要求。管理一个项目包括:
        .识别要求。
        .确定清楚而又能实现的目标。
        .权衡质量、范围、时间和成本方面的要求,使技术规格说明书、计划和方案适合于各干系人的不同需求与期望。
        项目管理需要的知识领域
        除了专门的项目管理技术以外,项目管理组至少应能理解和使用以下5方面的知识领域:
        .项目管理知识体系。
        .应用领域的知识、标准和规定。
        .项目环境知识。
        .通用的管理知识和技能。
        .软技能(处理人际关系技能)。
        项目管理体系
        项目管理体系是指用于管理项目的工具、技术、方法、资源和规程。项目管理计划说明如何使用项目管理体系。
        项目管理环境
        项目管理团队应该考虑的项目环境包括:
        .社会环境:经济、人口、教育、道德、种族、宗教和其他特征等。
        .政治环境:法律、风俗和政治风气等。
        .自然环境:生态和自然地理等。
        项目管理办公室
        项目管理办公室(PMO)是在管辖范围内集中、协调地管理项目的组织单元。也可指“大项目管理办公室”、“项目办公室”或“大项目办公室”。PMO监控项目、大项目或各类项目组合的管理。由PMO管理的项目不必要有特定的关系,PMO关注与上级组织或客户的整体业务目标相联系的项目或子项目之间的协调计划、优先级和执行情况。
        PMO执行的职责可以是一个宽广的范围,包括从以培训、软件、标准政策和规程、模板的形式提供项目管理支持功能,到实际直接管理项目和项目的结果。
        PMO可以存在于任何组织结构中,包括职能型组织。
        项目经理和项目管理办公室的区别如下:
        .追求的目标不同。项目经理关注于特定项目的目标,而PMO管理主要的大项目范围的变化,并将之视为更好地达到业务目标的潜在机会,其工作目标包含组织级的观点。
        .项目经理控制赋予项目的资源以最好地实现项目目标,而PMO对所有项目之间的共享资源进行优化使用。
        .项目经理管理本项目的范围、进度、费用和质量,而PMO管理整体的风险、整体的机会和所有项目的依赖关系。
        过程和过程组
        过程就是一组为了完成一系列事先指定的产品、成果或服务而必须执行的互相联系的行动和活动。
        项目管理过程由项目团队实施,包括两大类:
        .面向管理的过程。即项目管理过程,其目的是启动、规划、执行、监控和结束一个项目。
        .面向产品的过程。一般由项目生命期规定,并因领域而异。
        项目管理过程和创造产品的过程从项目开始到结束始终彼此重叠交互。
        任何项目都必须执行5个项目过程组,它们与应用领域或特定行业无关。过程组不是项目阶段,每一阶段或子项目都要重复过程组的所有子过程。
        .启动过程组。定义并批准项目或阶段。在多阶段项目中,后续阶段进行的启动过程是为了确认在指定项目章程与拟定初步项目范围说明书过程中所做的原假设与决策的合理性。启动过程组也定义了项目意图,确定了目标,并授权项目经理进行项目。
        .规划过程组。定义和细化目标,规划最佳的行动方案,即从各种备选方案中选择最优方案,以实现项目或阶段所承担的目标和范围。项目团队应让所有项目干系人参与项目计划过程。当项目计划工作结束时,不管是由组织还是由项目团队负责,都要有明确的指导方针,否则将无法确定如何进行后续的反馈和细化。项目管理计划的渐进明细经常被称作“滚动式计划”,这意味着计划是一个迭代和持续的过程。
        .执行过程组。整合人员和其他资源,在项目的生命期或某个阶段执行项目管理计划。
        .监控过程组。要求定期测量和监控项目进展,识别与项目管理计划的偏差,以便在必要时采取纠正措施,确保项目或阶段目标达成。
        .收尾过程组。正式接受产品、服务或工作成果,有序地结束项目或阶段。
        项目管理过程组和“计划-执行-检查-行动(即PDCA)”循环的对应关系如下图所示。
        
        项目管理过程组和PDCA循环的对应
        规划过程组与PDCA循环中的“计划”对应;执行过程组与循环中的“执行”对应;监控过程组与循环中的“检查”和“行动”对应。启动过程组是这些循环的开始,而收尾过程组是其结束。
        过程的交互
        项目管理过程组通过它们各自所产生的结果而联系起来——一个过程的结果或者输出通常会成为另一个过程的输入或者整个项目的最终结果。在项目过程组之间以及项目过程本身当中,这种联系是迭代的。
        如果一个项目被划分成阶段,每个阶段中的过程经常会反复进行。项目中过程组的相互作用如下图所示。
        
        过程组的相互作用
        5个项目过程组与44个项目管理过程及9个项目管理知识域的映射关系如下表所示。
        
        过程组、过程和类知识域的映射关系
        注:1.在《信息系统项目管理师教程》中,“团队组建”被划分为规划过程组。在PMBOK 2004版中,“团队组建”在执行过程组中,笔者认为划分在执行过程组中更合理。
        2.发包规划在《信息系统项目管理师教程》中也称为计划签约和编制合同。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
       风险管理计划
        为了确保系统转换的万无一失,不仅要在前期做很多次的模拟测试,对于最后的转换过程,也需要制定周密的风险管理计划,一般至少要包括以下这些方面。
        (1)系统环境转换。保证原来所有到旧系统的访问,都能被转换到新系统上,这不仅包括应用系统的前端,还包括各类周边的相关应用系统,必须要同时指向新的应用系统。如果这方面出现问题,则只好退回到原有系统上。通常这方面的问题在多次的测试过程中能够得到有效解决,但在向生产系统正式转换时,还是不可掉以轻心。
        (2)数据迁移。原有的旧系统从启用到被新系统取代,在其使用期间往往积累了大量珍贵的历史数据,其中许多历史数据都是新系统顺利启用所必需的。另外,这些历史数据也是进行决策分析的重要依据。数据迁移,就是将这些历史数据进行清洗、转换,并装载到新系统中的过程。在银行、电信、税务、工商、保险以及销售等领域发生系统转换时,一般都需要进行数据迁移。数据迁移的质量不仅仅是新系统成功上线的重要前提,同时也是新系统今后稳定运行的有力保障。如果数据迁移失败,新系统将不能被正常启用;如果数据迁移的质量较差,没能屏蔽全部的垃圾数据,对新系统将会造成很大的隐患,新系统一旦访问这些垃圾数据,可能会由这些垃圾数据产生新的错误数据,严重时还会导致系统异常。相反,成功的数据迁移可以有效地保障新系统的顺利运行,能够继承珍贵的历史数据。
        将业务数据从旧系统迁移到新的系统中,不仅要保证在数据转换过程中保持数据逻辑的一致性(如果新、旧系统的数据逻辑不同),而且在实际转换过程中,还要保证新旧系统之间数据的同步,保证在转换之前新旧系统的数据是一致的,在转换之后,新产生的业务数据都能反映到新的系统中,不会有任何遗漏。为了准备在出现意外时能够将新的业务数据传回到旧系统中,需要充分做好数据备份,做好数据从新系统向旧系统转换的准备,而且也要充分考虑到数据同步的问题。其实将新系统转换回旧系统,其面临的风险和需要解决的问题,基本上是相同的。在新旧系统之间的数据转换工作,可以在前期的测试中完成,但新旧系统之间的数据同步,只有在实际转换时才能完成,所以一般都会受到项目管理者的高度重视,成为大家关注的焦点。
        (3)业务操作的转换。由于新旧系统在业务操作方面可能会存在较大的变化,无论对业务人员做多少前期的培训,也难以完全改变旧的操作习惯,所以在转换到新的系统之后,还可能出现人为的业务操作方面的问题,导致业务处理方面出现差错。所以在系统转换后的相当时期内,仍然需要对业务处理进行跟踪检查,及时发现由于业务操作可能导致的问题。
        (4)防范意外风险。在风险管理中,除了计划内考虑到的可能的风险,还可能出现许多意料不到的风险,所以在风险管理计划中,不仅要有对已经识别的风险的应对措施,还要有防范其他意外的应对措施,这主要就是一种管理上的措施,一旦出现事先没有考虑到的情况,仍要能够有条不紊地应对,各种资源保持就位,随时注意发现异常情况,对于出现的问题及时报告,明确对各类问题做出判断和决策的责任归属。也就是说,要具备一套能够应对各种风险的报告、决策机制。
 
       风险清单
        风险清单是一种主要的风险管理工具,指明了服务在任何时候面临的最大风险。风险管理负责人应经常维护这张清单,直到结束前不断更新这张清单,并给这些风险排列优先顺序,更新风险解决情况,对这些风险的严重程度的变化保持警惕。
 
       监控
        主要包括故障监控和性能、流量、负载等状态监控,这些监控关系到集群的健康运行及潜在问题的及时发现与干预。
        (1)服务故障、状态监控:主要是对服务器自身、上层应用、关联服务数据交互监控;例如针对前端Web Server,就可以有很多种类型的监控,包括应用端口状态监控,便于及时发现服务器或应用本身是否崩溃、通过ICMP包探测服务器健康状态,更上层可能还包括应用各频道业务的监控,这些只是一部分,还有多种监控方式,依应用特点而定。还有一些问题需解决,如集群过大,如何高性能地进行监控也是一个现实问题。
        (2)集群状态类的监控或统计,为合理管理调优集群提供数据参考,包括服务瓶颈、性能问题、异常流量、攻击等问题。
 
       项目风险管理
        项目风险管理的目标在于提高项目中积极事件的概率和影响,降低项目中消极事件的概率和影响。项目风险管理包括六个过程,分别为:
        .规划风险管理:定义如何实施项目风险管理活动的过程。
        .风险识别:判断哪些风险可能影响项目并记录其特征的过程。
        .定性风险分析:评估并综合分析风险的发生概率和影响,对风险进行优先排序,从而为后续分析或行动提供基础的过程。
        .定量风险分析:就已识别风险对项目整体目标的影响进行定量分析的过程。
        .规划风险应对:针对项目目标,制订提高机会、降低威胁的方案和措施的过程。
        .控制风险:在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险,以及评估风险过程有效性的过程。
        组织和干系人对待风险的态度受多种因素影响,对待风险的态度不同,愿意接受风险的程度也不同。这些因素大体可分为三类:
        .风险偏好:为了预期的回报,愿意承受不确定性的程度。
        .风险承受力:能承受的风险程度、数量或容量。
        .风险临界值:特别关注的特定的不确定性程度或影响程度。低于风险临界值会接受风险;高于风险临界值将不能承受风险。
        积极和消极风险通常称为机会和威胁。如果风险在可承受范围之内,并且与冒风险可能得到的回报相平衡,那么项目就是可接受的。为了增加价值,可以在风险承受力允许的范围内,追求那些能带来机会的积极风险。例如,采取激进的资源优化技术,就是为减少资源使用量而冒风险。
        以上项目风险管理各过程之间的依赖关系及输入、输出、工具与技术已经在知识结构图中给出,本节对各过程的输入、输出和工具技术进行进一步解释。
 
       信息系统项目
               项目的基本概念
               什么是项目?简单地说,安排一场演出、开发一种新产品、建一幢大房子都可以被称为一个项目。所谓项目,简单地说,就是在既定的资源和要求的约束下,为实现某种目的而相互联系的一次性工作任务。这个定义包括三层意思:一定的资源约束、一定的目标、一次性任务。这里的资源包括时间资源、经费资源、人力资源等。
               对项目的概念有了一定了解的基础上,我们来看一下项目的基本特征。
                      明确的目标
                      项目是一种有着明确目标——一种期望的产品或希望得到的服务的一次性活动。这里的目标包括几个方面。
                      (1)时间目标如在规定的时段内或规定的时间点之前完成。
                      (2)成果目标如提供某种规定的产品、服务或其他成果。
                      (3)其他需满足的要求包括必须满足的要求和应尽量满足的要求。
                      目标允许有一个变动的幅度,也就是可以修改的。不过一旦项目目标发生实质性变化,它就不再是原来的项目了,而将产生一个新的项目。
                      独特的性质
                      每一个项目都是唯一的、独特的。或者项目的成果与其他项目不同;或者项目的成果与其他项目类似,然而其时间和地点,内部和外部的环境,自然和社会条件有别于其他项目,总之项目总是独一无二的,没有两个项目是完全相同的。项目没有可以完全照搬的先例,也不会有完全相同的复制。
                      有限的生命周期
                      项目有具体的时间计划,它有一个开始时间和目标必须实现的截止日期。虽然不同项目可以划分为不同的具体阶段,不过,大多数项目的生命周期都可以划分为启动、规划、实施、结尾4个阶段。
                      特定的委托人
                      它既是项目结果的需求者,也是项目实施的资金提供者。他可能是一个人,或一个组织;委托人可能是企业外部的,被称作外部客户,也可能是企业内部的,比如企业内的别的部门,被称作内部客户。不管是外部客户还是内部客户,都是项目的委托人或项目成果的使用者。
                      实施的一次性
                      一次性是项目与其他常规运作的最大区别。项目有确定的起点和终点,项目不能重复。
                      组织的临时性和开放性
                      项目开始时要组建项目团队,项目团队在项目进展过程中,其人数、成员、职责在不断变化。某些成员是借调来的,项目终结时团队要解散,人员要转移。参与项目的组织往往有多个,甚至几十个或更多。他们通过协议或合同以及其他的社会关系结合到一起,在项目的不同时段以不同的程度介入项目活动。可以说,项目组织没有严格的边界,是有弹性的、模糊的、开放的。这一点与一般企事业单位和政府机构很不一样。
                      项目的不确定性和风险性
                      项目以所需的时间估计、成本估计、各种资源的有效性为项目计划的假定条件,这种假定带来了一定程度的不确定性,这种不确定性为项目的实现带来一定的风险。项目是一次性任务,做坏了没有机会重来。项目必须保证成功,因此必须精心设计、精心制作和精心控制,以达到预期目标。
                      结果的不可逆转性
                      不论结果如何,项目结束了,结果也就确定了。
               信息系统项目的概念
               通过上一节对项目的介绍,我们知道信息系统的建设也是一类项目。因为信息系统的建设符合项目的定义。我们知道,项目的定义中包含三层意思:一定的资源约束、一定的目标、一次性任务。首先,信息系统的建设是一次性的任务,有明确的任务范围和质量要求,有时间和进度的要求,有经费和资源的限制。因此,信息系统的建设是一类项目的建设过程。
               信息系统项目除了具有项目的特征之外,还具有自己的特点。
                      信息系统项目的目标不精确、任务边界模糊,质量要求主要由项目团队定义
                      在信息系统开发初期,项目团队调研时,客户只能提出一些初步的功能要求,提不出确切的需求。信息系统项目的任务范围在很大程度上取决于项目组所做的系统规划和需求分析。另外,因为大部分客户方都不是从事信息技术的人员,对信息技术的各种性能指标并不熟悉,所以,信息系统项目所应达到的质量要求也更多地由项目组定义,客户则尽可能地进行审查。为了更好地定义或审查信息系统项目的任务范围和质量要求,客户方可以聘请第三方的信息系统监理或咨询机构来监督项目的实施情况。
                      在信息系统项目开发过程中,客户的需求不断被激发,不断地被进一步明确,或者客户需求随项目进展而变化,从而导致项目进度、费用等计划的不断更改
                      尽管已经做好了系统规划、可行性研究,签订了较明确的技术合同,然而随着项目的进展,客户的需求不断地被激发,被进一步明确,导致程序、界面以及相关文档需要经常被修改。而且在修改过程中又可能产生新的问题,这些问题很可能经过相当长的时间后才会被发现。这就要求项目经理在项目开发过程中不断监控和调整项目计划的执行情况,尤其注重项目的变更管理。
                      信息系统项目是智力密集、劳动密集型项目,受人力资源影响最大,项目成员的结构、责任心、能力和稳定性对信息系统项目的质量以及是否成功有决定性的影响
                      信息系统项目工作的技术性很强,需要大量高强度的脑力劳动。尽管近年来信息系统辅助开发工具的应用越来越多,但是项目各阶段还是渗透了大量的手工劳动。这些劳动十分细致、复杂和容易出错,因而信息系统项目既是智力密集型项目,又是劳动密集型项目。并且,由于信息系统开发的核心成果——应用软件是不可见的逻辑实体,如果人员发生流动,对于没有深入掌握软件知识或缺乏信息系统开发实践经验的人来说,很难在短时间里做到无缝地承接信息系统的后续开发工作。
                      另外,信息系统的开发是项目团队整体的工作,为了高质量的完成项目,要充分发掘项目成员的才能和创新精神,不仅要求他们具有一定的技术水平和工作经验,还要求他们具有良好的心理素质和责任心,尤其要具有团队合作精神。项目经理在项目开发过程中,也应该注重项目成员之间的沟通协调,要将人力放到与进度和成本一样高的地位来看待。
   题号导航      2012年上半年 信息系统项目管理师 下午试卷 论文   本试卷我的完整做题情况  
1 /
2 /
 
第2题    在手机中做本题