更多rogersnotes, 請至www.pm-abc.com.tw........ 訂閱/瀏覽


淺談專案管理資訊系統(PMIS)與資訊安全



一、前言



為了準備PMP考試,在研讀PMBOK內容時多次看到PMIS(Project Management Information System,專案管理資訊系統)這個名詞,但卻沒有太具體地說明,而PMBOK也強調組織流程資產是專案管理一個很重要的投入,而在整個專案生命週期中如果有需要,也必須更新專案管理計畫書、專案文件、組織流程資產等。而身為專案管理者,除了必須要具備專案管理的知識、技能與方法外,若能運用PMIS來協助專案成員及其他關係人進行協同作業,將可有效提升專案管理成效,更可同時系統化地記錄與整理專案歷程,以作為下次執行專案的參考依據,為組織累積知識資本,提升組織的競爭優勢。


 


PMIS能有效的控管專案中有限資源,並如期達到專案目標,在這變遷快速的時代中,PMIS已倍受重視並有越來越多組織設計或導入PMIS,但是因為各組織專案規模、複雜度、文化差異以及既有資訊系統的包袱,所以如何設計或導入一套合乎組織真正需要的PMIS,就變成是一項艱鉅的挑戰。筆者為了想深入了解與體驗PMIS與相關專案文件產出流程,特別在準備PMP考試期間,撥空參加了一個為期三天的專案管理資訊系統實作研習活動,研習期間筆者實地操作了一些專案管理軟體,但卻發現雖然目前關於資訊安全相關設備與軟體琳瑯滿目,但整合資訊安全與專案管理之解決方案卻寥寥無幾,且一般組織在設計或導入PMIS的評估重點通常都僅針對系統架構及功能面去思考,所以筆者才以資訊安全角度來切入專案管理領域,試圖探討專案管理領域中對於專案產出的相關文件之安全管控議題,以凸顯出相關的重要性,而一個組織若因管理疏漏導致相關文件外流,輕則造成組織一些財務損失,但嚴重則可能重擊組織聲譽甚而導致組織倒閉,所以身為一位管理者是不可以不瞭解其影響的嚴重性。


 


二、資訊系統相關的安全防護需求


在資訊安全領域中所討論的資訊,一般指的是個人或企業組織營運時所收集、產生或運用的資料,它可以存在於任何形式,不論存在於電腦上、列印或書寫在紙張上,甚至是存在於通訊中,而這些資訊對個人或企業組織而言都是有價的,需要賦予適當的保護,降低其風險,避免遭受內在或外來的威脅。由於資訊傳遞媒介多樣化、廣泛性等因素,造成了保護資訊的安全已漸趨複雜與困難,資訊對於個人或企業組織之重要性,使得資訊安全問題更為顯而突出,因此如何保護資訊的安全、怎麼樣才能保護資訊的安全,已成為個人或企業組織都應該審慎思考的問題。如果一定要問何謂「資訊安全」?或許可以參考ISO 27001 / BS 7799標準的定義,也就是「資訊對組織而言就是一種資產,和其他重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊安全可保護資訊不受各種威脅,確保持續營運,將營運損失降到最低,得到最豐厚的投資報酬率和商機。」


 


怎樣的資訊系統環境才可以稱得上是安全呢?因為不同的觀點就會衍生出不同的安全需求,所以安全需求相當的廣泛,接下來,列舉說明資訊系統相關的安全防護需求,以作為日後衡量安全環境的參考。


 


1.機密性(Confidentiality):目的在提供資訊內容的保密,以確保通訊雙方於所交換的資訊內容不會被第三者知道,而資訊在被授權的時間及行為下,僅公開給授權者可以適切地運用該資訊,而其他不具權限者則無法得知資訊內容或相關操作程序,以確保只有獲得授權的使用者才可以存取資訊。


 


2.完整性(Integrity):指資訊在傳輸過程中,不會被任何人修改或破壞,主要包括資料的真實性(Authenticity of Data)、資料的正確性(Correctness of Data)及相關屬性的不變性(Invariance of Relevant Attributes )三項意涵。


 


3.可用性(Availability):保護對象主要是針對電子形式的資訊或功能,其可以讓資訊保持可用的狀態,也可以讓使用者正常存取電腦系統上的資源,讓場所之間或電腦系統之間的通訊保持通暢。但是,紙本資訊的可用性也必須受到保護,使用者一旦經過授權認可,在授權使用之時間或空間範圍內,皆可進行資訊內容之存取或處理。


 


4.不可否認性(Non-repudiation):指系統必須要能夠產生、記錄與管理電子化商務事件的證據,並有能力在糾紛發生時,將證據提供給仲裁者驗證,讓仲裁者可以根據證據來進行仲裁。


 


5.可說明性(Accountability):其實就是一般所稱的身分鑑別,主要目的在於鑑別企圖執行某項功能的個人之身分。


 


6.執行權管制(Access Control):其範疇已經與過去有所不同,甚至必須包含內部的審查與稽核,並建立良好妥善的管理制度,所以在傳統系統中設定的存取控制僅是執行權管制的一部分,因為存取控制僅是針對資訊、資源的存取控管,而執行權管制則是更高階意義的授權管理(Authorization Management)。


 


7.稽核(Auditing):事前的防衛固然重要,事後的稽核亦能幫助管理者提早發現系統漏洞,以事先做必要的修補防衛工作。


 


三、組織文件的資訊安全需求


若以專案管理角度來探討PMIS針對組織文件的資訊安全需求,筆者整理與建議或許可以從下列六個構面來加以考量:


 


1.機密文件授權管理:至少可以區分為專案機密屬性(依據專案特性區分不同機密屬性)、專案成員授權(須進行專案成員授權才能允許存取機密授權等級的相關資料)、工作項目層次授權(所有任務可以根據Need To Know為基礎進行授權)、專案文件授權(針對每一份文件進行獨立授權)等四個階層。


 


2.文件分類管理:制定一套組織文件分類規則以定義文件的詳細分類屬性,甚至自動計算文件機密等級(如一般、列管、機密、極機密等),透過這些設定與制訂方式,分層將文件的授權方式進行自動化管理。


 


3.文件存放與攜出管理:組織所有應列管之文件皆須全部納入系統內,並整合電子簽核流程,以利系統集中統一管理,並須制定文件攜出政策,若須將文件提供給未經授權人員或第三者,就必須透過系統提出申請並簽核授權。


 


4.文件加密機制:系統可以自動加密已被核准後的文件,若想開啟一份加密文件,就必須通過人員帳號、PMIS文件管理授權及文件授權等三層的認證。


 


5.USB及無線等連線介面管理:文件可以自動透過系統的安全控管模組自動轉換成PDF檔案並加上浮水印,並限制USB的連接使用,此外也可以利用郵件稽核伺服器來監控郵件的收發記錄等。


 


6.資訊安全稽核:須以稽核角度來檢視文件授權及人員操作是否合理,且系統針對每項文件異動與操作都須提供自動詳實的記錄。


 


四、結論


任何組織若想解決專案管理的資訊安全問題是無法僅透過設計或導入一套PMIS就可以解決,必須做全方位的考量。面對各式的資訊安全威脅與攻擊,目前雖已有非常多的防範措施,除了人員訓練、定期的資料備份、設置容錯性機制、執行權管制、稽核與警訊外,還包括資料加密、身分鑑別、防毒軟體、數位簽章、防火牆、入侵偵測系統、資訊安全委外管理等,但是不論採取何種防範方式與措施,還是無法保證系統是絕對安全的,所以管理者必須依照自己的安全政策,隨時調整與選擇需要的防範方式與措施,並做有效率的配置及管理。在組織流程資產的累積與傳承方面,更應從人工收集與詢問方式,轉換為利用PMIS的文件分類及全文檢索功能來加速組織流程資產的累積與分享,而PMIS與文件資訊安全的結合,不僅可以有效落實專案的管理,亦可有效提供組織流程資產的適當安全保護。


 


作者:呂崇富,PMP


 




作者簡介:國立台灣科技大學資管所博士,研究專長為資訊安全、通訊與網路管理,現任致理技術學院資管系助理教授,並擔任多項證照監評委員等。曾任台北海洋技術學院電訊系助理教授、中國海事商業專科學校電子計算機中心主任、協通電訊股份有限公司資深工程師、台灣通信工業股份有限公司電機工程師、中華顧問工程司電機工程師、中華映管股份有限公司電機工程師。



 







專案管理應用於行銷計畫



在軟體或網路這樣的產業,時間就是金錢, 大多產業現況是在一個服務或產品可能只有1/3功能完備時就被迫推向市場。如何成功建立一個服務或產品的行銷計劃上, 並成功地讓這個行銷計劃導入軌道, 管理與影響一個產品或服務能順利的上市, 持續改善並獲取利潤,個人認為下面是個人的想法:


 


1.起始階段: 除了公司內各單位與公司管理階層外, 任何服務或產品最終還是要跟市場大眾接觸, 而這些潛在消費者也就是必然的利害關係者。在發展專案章程前, 必須很清楚要”我們要做什麼服務或產品”, “為誰而戰為何而戰”; 如果這部分都不清楚, 這個專案很快就會歪樓而失敗。


 


2.規劃階段: 這個階段對於行銷單位來說是相當重要的一個環節; 透過辨別預測與提出符合也能滿足目標族群的解決方案時, 確立服務產品須具備的功能及針對那些目標族群(範圍), 列出與相關成本與各功能開發活動與時程,辨識可能影響成敗的因素制定相關風險管理對策; 而溝通也是相當重要的一個環節,除了對內溝通外, 還要對潛在消費者進行溝通; 通常行銷中經常聽到的”STP”計畫會在這個階段完成, 對於行銷很注重的公司, 外部焦點團體在規劃階段就扮演相當重要的腳色, 他們與”品質”有絕對性的影響力, 也對於一個服務或產品是否受歡迎有絕對的影響性; 溝通方面這時除內部溝通與外部焦點團體外, 如何將服務產品等訊息推向目標族群, 溝通計畫就相當重要。媒體性質, 如何應用, 何時使用, 推送內容, 成本與效益評估, 都必須在溝通計畫中詳加規劃與制定評估標準, 以利執行中的評估。


 


3.執行階段與監控階段: 執行階段主要包含兩樣工作:”產出服務&推向市場”。服務或產品於上市前,雖然於專案團隊與焦點團體從規劃到執行階段的反覆折衝,但最後還是需要推向目標市場, 但畢竟雖然經過焦點團體的產品還是會有一些功能或服務是不滿足甚至讓潛在消費者不滿的, 這部分就必須透過風險管理及變更管理程序, 溝通計畫等方式妥善回應潛在消費者需求, 並儘快於後續版本時將消費者需求反應並滿足。上述過程將一路跨越產品PLC歷程所有階段直到產品進入Maturity 後半段甚至產品終止階段。


 


4.結束階段: 服務與產品之PLC進入Maturity後半段就必須開始從事結束階段之工作,但個人認為最重要的是Lesson Learn, 因服務和產品經常處於重疊的階段,LL將相當有助於縮短後續服務產品開發的學習曲線縮短與確保專案達成,這部分亦能成為新產品更上一層樓的保障。


 


其實現階段很多網路或APP開發的聚落人員, 技術人員經常與行銷人員甚至業務單位有所衝突, 專案管理以一個制高點重新聚焦軟體/app開發工作, 重新為消費者訂立有價值的也吸引人成為必要的服務外, 同時也有助於讓公司與人員達成產品與行銷的目標. 除了滿除消費者需求外, 也提升了公司對百變且需要快速反應的市場的競爭力。


 


作者:劉龍濤,PMP




作者簡介:劉龍濤,現職於神坊資訊, 平日鑽研行銷相關資訊, 現階段協助從事app應用服務開發工作。


 
     第五期專案經理雜誌: 歡迎推薦好友下載!!


第五期 å°ˆæ¡ˆç¶“理雜誌 



你絕對不可錯過的內容,iPad版 & PPT版 正式上架!!



 



本期專案經理雜誌採用雙封面故事,並延續上一期封面故事「兩岸當代專案管理大師交鋒」的話題,本期由兩位現任美國專案管理學會(PMI ,Project Management Institute)的台灣分會理事長傅旭昇 Simon 博士及PMI中國陳永濤 Bob 董事總經理接棒,將漫談及分析兩岸之間如何透過專案管理的交流來擴展兩岸三地的專案管理競爭力,期望「兩岸PMI理事長的對話」帶給您不一樣的啟發。



 



馬上下載第五期專案經理雜誌PPT版:



http://www.itpm.org.tw/TOPM/ipadApp/2012iPad_Aut.asp



iPad版下載連結:http://itunes.apple.com/app/2011zhuan-jing-li-za-zhi-guo/id475959183?mt=8



專案經理雜誌官網:http://www.itpm.org.tw/TOPM/ipadApp.asp



 




 
     2012長宏電子型錄PPT版,歡迎推薦與分享!


 



--嶄新長宏凝聚向上力量振翅高飛--



2012年長宏秉持逐步完善精神,推出長宏電子型錄PPT版



歡迎下載&推薦給大家囉!!



馬上下載長宏專案電子型錄PPT版:



http://www.pm-abc.com.tw/Catalog/pms.asp




 
<<上一則 rogersnotes  回 rogersnotes 主選單  下一則 rogersnotes>>
rogersnotes 無償分享筆記, 歡迎分享給好朋友. 分享檔案著作權屬 rogersnotes®æ‰€æœ‰,
欲在公開場合使用rogersnotes® 著作請按此下載使用同意書.roger 連絡Email: PMSuccess@gmail.com
非常滿意 滿意 普通 不滿意 非常不滿意 
退訂或推薦您的朋友共享rogersnotes, 請由此進入