Profilo di 伟峰伟峰的共享空间FotoBlogElenchiAltro  |  Strumenti Guida |
|
|
20 ottobre 度量项目究竟需要交付什么关于度量项目的交付物,这是个很容易引起争议的话题,由于交付物涉及项目的费用、产生的相关成本等,没有固定的标准,我这里仅按照我对度量体系的理解来讨论交付的问题。
交付物首先应是具有较强可操作性的,那么交付物必须可用,我这里指的可用并非指具体的质量,而是指交付物的组成要素。要使一个度量体系持续稳定的运作起来,至少需要有这么一些产物:检查体系、评价体系、体系说明、检查手册、培训材料,还有其他相关东西,但我个人认为上述产出是最重要也是必须的。下面就逐一进行简单分析: 1、检查体系:你可以理解为checklist,当然这个checklist不仅仅是检查项这么简单,包含检查的依据来源,检查方法,评分标准,检查发现事项等。这个体系主要供自查或检查使用,为后续的工作提供参考。 2、评价体系:你也可以理解为分析挖掘体系,包括当前现状、控制措施、存在不足、简单风险评估、处置优先级、处置方法的简单描述等,主要用于对检查发现问题的分析,并对问题进行优先级排序,列出简单的处置方法或思路,为具体的处置提供一个简单的输入信息。 3、体系说明:描述体系组成,各组成部分的用途,各自之间的逻辑关系,指明各环节之间的指向及依赖,必要时还可包含对可扩充项的简单介绍。 4、检查手册:应该分为技术类和常规类,技术类主要指导体系使用者如何检查相关技术配置,常规类主要知道体系使用者如何检查相关记录、制度完整性、合规性等方面内容。 5、培训材料:主要用于对体系使用者进行系统的培训 各人认为上述内容是必须的,除此之外,根据实际需要,可以将评分标准、风险评估方法、处置优先级排序规则等单独列出,这样会使客户感觉项目的输出物总体比较丰满。
刚讲了输出有哪些,再来说说数量的问题,体系交付物不是领导题字,需要字斟句酌,惜字如金,字数多多益善,当然不包括废话。考虑到度量体系的使用者未必就是一个全面的安全专家,应当尽量用通俗、直白、易懂的文字编写相关的材料,方便客户方后期的使用。
输出的形式,输出的形式不应局限于文档,能根据输入项自动评分并展示结果的图表、带计算公式的表格,能根据分值自动分析的表单等等,适度图形化、自动化的输出是非常必要的,这便于直观的向领导介绍和展示整个度量体系,更重要的是提高对度量结果挖掘的效率。
总之,输出物很重要,重要性甚至不亚于体系框架的设计,在项目前期做好输出物的规划很有必要。 14 ottobre 客户的参与度无论做什么项目,都会涉及到客户的参与,客户参与度的高低对项目的推进以及项目质量控制有着至关重要的影响,在这一点上,无论是开发项目还是咨询项目,都是如此。 回到度量上来,整个度量体系的设计和实施都需要客户的参与,设计阶段相关指标的确立、内容完善,后期具体度量检查方法的确认,各项指标可操作性的确定都需要客户的确认。除了这些以外,整个项目的进展过程中的相关资源协调,跨部门工作的开展等都需要客户的参与。 客户的积极参与可以有效促进项目的推动,并在一定程度上提高项目质量。以指标设计为例,如果让客户参与到具体设计工作中,通过与客户方相关人员沟通,使他们理解、接受我们的想法、理念并在适当程度上采纳他们的意见,这就是个很好的例子,通过设计阶段客户的参与,可以让客户方人员将度量体系认同为他们自身的劳动成果之一,一旦客户有了这种想法,那么对于后期的全员推广和跨部门沟通都是有着相当积极的作用了,试想,当一个人在推广自己的劳动成果,智慧结晶的时候,怎么会不用心,怎么会说自己不好呢? 客户的参与是好事,但是并非参与越多越好,由于度量本身就是一项非常专业非常耗时间的工作,对项目实施人员的专业技术能力、沟通能力、持续工作能力乃至耐心都是一个巨大的考验,而其中涉及的专业技术内容很多,并且横跨贯穿信息安全的各个领域,需要实施人员有着综合的判断分析能力,如果没有这方面的综合能力,往往容易陷入某一点或者某一个小方面的内容的理解误区上,进入所谓的“死胡同”。 我个人以为,在项目实施过程中,让客户偶尔的,阶段性的参与项目才是比较好的方法,在实施阶段告知客户整个体系的设计思想以及一些大方面的考虑关注点,即可以让客户对项目总体情况有所了解,又可以避免因过分关注某一点或某几点内容造成“钻牛角尖”的情况 客户的需求是永无止境的,客户的需求有时候也是不合理甚至不切实际的,有效引导客户需求并让客户适当的参与项目,才素王道啊! |
|
|
