免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2013年下半年 信息系统项目管理师 上午试卷 综合知识
  第51题      
  知识点:   大型及复杂项目管理   风险管理   风险管理计划
  关键词:   风险管理计划   项目团队   风险   风险管理        章/节:   项目集(大型项目)管理       

 
由于大型项目团队构成复杂,因此在制定风险管理计划时,首先要考虑(51)。
 
 
  A.  组织及参与项目的人员的风险态度和风险承受度
 
  B.  已识别风险清单
 
  C.  项目风险的相对排序或优先度清单
 
  D.  风险的应对策略
 
 
 

 
  第59题    2020年下半年  
   51%
( )不是项目集指导委员会的职责。
  第51题    2009年下半年  
   26%
项目组合管理可以将组织战略进一步细化到选择哪些项目来实现组织的目标,其选择的主要依据在于(51)。
  第37题    2016年上半年  
   44%
大型复杂项目的项目管理有别于单项目管理,对于大型复杂项目来说,首先应该制定的计划是(36)。而在该计划中一般不会包括(37)..
   知识点讲解    
   · 大型及复杂项目管理    · 风险管理    · 风险管理计划
 
       大型及复杂项目管理
        大型及复杂项目概述
        大型及复杂项目的主要特征有:
        .项目周期较长。
        .项目规模较大,目标构成复杂。可把项目分解成一个个目标相互关联的小项目,形成项目群进行管理。这种意义上的项目经理往往称为项目群经理或是大项目经理。
        .项目团队构成复杂。包括项目内部所形成的项目管理体系,也包括合作方。
        .大型项目经理的日常职责更集中于管理职责,面临“间接管理”的挑战。
        一般项目和大型及复杂项目的区别如下表所示。
        
        一般项目和大型及复杂项目的比较
        大型及复杂项目的计划过程
        对大型及复杂项目来说,制订活动计划之前,必须先考虑项目的过程计划,也就是必须先确定用什么方法和过程来完成项目。建立统一的项目过程会大大提高项目之间的协作效率,有力地保证项目质量。
        当确定了项目过程后,就需要制订项目计划,一个项目的计划是最终表述如何实现项目目标的具体过程。需要从4个方面进行定义,包括范围、质量、进度和成本。
        一般来说,大型IT项目都是在需求不十分清晰的情况下开始的。所以项目就自然分成了两个主要阶段:需求定义阶段和需求实现阶段。
        .两个阶段所要求完成的任务性质并不一致,需求定义阶段要求对业务领域有深刻的理解;需求实现阶段要求对技术领域精通。
        .需求定义阶段由专业的咨询公司对需求进行详细定义;需求定义结果作为实现阶段的输入,而需求定义阶段的咨询公司转变成需求实现阶段的项目监理的角色。
        制订项目计划时,大型及复杂项目所使用的工具和方法同一般项目管理差不多,如下表所示。
        
        大型及复杂项目所使用的工具和方法
        大型及复杂项目的实施控制过程
        项目实施和控制过程最关键的环节是获取项目的实施绩效,和项目的基准计划进行比较。由于项目目标是范围、质量、成本、时间4个方面的集合,因此无论是基准计划还是实施绩效,都要从这4个方面来反映项目的特征。对于大型及复杂项目来说,由于绩效是通过组织结构层层传递的,因此可能导致信息传递失真。一般来说,IT项目的进度和成本实际绩效信息比较明确,不易失真。但在范围和质量方面信息失真的可能性较高。
        项目的控制过程有三个重要因素,包括项目绩效跟踪、外部变更请求和变更控制。
        变更控制流程类似于一般项目管理的变更控制流程,基本过程包括提出变更申请、评估变更、实施变更和验证变更实施结果等几个阶段。在项目当中存在一个变更控制委员会作为变更控制的管理机构。大型项目中,变更控制委员会往往是项目的最高控制机构之一。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
       风险管理计划
        为了确保系统转换的万无一失,不仅要在前期做很多次的模拟测试,对于最后的转换过程,也需要制定周密的风险管理计划,一般至少要包括以下这些方面。
        (1)系统环境转换。保证原来所有到旧系统的访问,都能被转换到新系统上,这不仅包括应用系统的前端,还包括各类周边的相关应用系统,必须要同时指向新的应用系统。如果这方面出现问题,则只好退回到原有系统上。通常这方面的问题在多次的测试过程中能够得到有效解决,但在向生产系统正式转换时,还是不可掉以轻心。
        (2)数据迁移。原有的旧系统从启用到被新系统取代,在其使用期间往往积累了大量珍贵的历史数据,其中许多历史数据都是新系统顺利启用所必需的。另外,这些历史数据也是进行决策分析的重要依据。数据迁移,就是将这些历史数据进行清洗、转换,并装载到新系统中的过程。在银行、电信、税务、工商、保险以及销售等领域发生系统转换时,一般都需要进行数据迁移。数据迁移的质量不仅仅是新系统成功上线的重要前提,同时也是新系统今后稳定运行的有力保障。如果数据迁移失败,新系统将不能被正常启用;如果数据迁移的质量较差,没能屏蔽全部的垃圾数据,对新系统将会造成很大的隐患,新系统一旦访问这些垃圾数据,可能会由这些垃圾数据产生新的错误数据,严重时还会导致系统异常。相反,成功的数据迁移可以有效地保障新系统的顺利运行,能够继承珍贵的历史数据。
        将业务数据从旧系统迁移到新的系统中,不仅要保证在数据转换过程中保持数据逻辑的一致性(如果新、旧系统的数据逻辑不同),而且在实际转换过程中,还要保证新旧系统之间数据的同步,保证在转换之前新旧系统的数据是一致的,在转换之后,新产生的业务数据都能反映到新的系统中,不会有任何遗漏。为了准备在出现意外时能够将新的业务数据传回到旧系统中,需要充分做好数据备份,做好数据从新系统向旧系统转换的准备,而且也要充分考虑到数据同步的问题。其实将新系统转换回旧系统,其面临的风险和需要解决的问题,基本上是相同的。在新旧系统之间的数据转换工作,可以在前期的测试中完成,但新旧系统之间的数据同步,只有在实际转换时才能完成,所以一般都会受到项目管理者的高度重视,成为大家关注的焦点。
        (3)业务操作的转换。由于新旧系统在业务操作方面可能会存在较大的变化,无论对业务人员做多少前期的培训,也难以完全改变旧的操作习惯,所以在转换到新的系统之后,还可能出现人为的业务操作方面的问题,导致业务处理方面出现差错。所以在系统转换后的相当时期内,仍然需要对业务处理进行跟踪检查,及时发现由于业务操作可能导致的问题。
        (4)防范意外风险。在风险管理中,除了计划内考虑到的可能的风险,还可能出现许多意料不到的风险,所以在风险管理计划中,不仅要有对已经识别的风险的应对措施,还要有防范其他意外的应对措施,这主要就是一种管理上的措施,一旦出现事先没有考虑到的情况,仍要能够有条不紊地应对,各种资源保持就位,随时注意发现异常情况,对于出现的问题及时报告,明确对各类问题做出判断和决策的责任归属。也就是说,要具备一套能够应对各种风险的报告、决策机制。
   题号导航      2013年下半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第51题    在手机中做本题