iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

0
Security

資訊系統安全稽核與 CISA 的簡單應用系列 第 25

[Day 25] 專案執行(上)

專案是組織進行的一個暫時性(有明確的開始與結束時間)的努力付出,在一段事先確認的時間內,運用事先決定的資源,以生產一個獨特(unique)且可以事先定義的產品、服務或結果。

組織結構

  • 職能型組織: 專案經理權力小
  • 項目型組織: 專案經理權力大
  • 矩陣型組織: 專案經理和部門負責人共享權力
  • PMO 專案管理辦公室: 依類型不同權限,支援型(Supportive)、管制型(Controlling)、指示行(Directive)
    負責監管項目管理流程,通常為長久性的編制,目標是優化各個專案組合的結果,排定優先順序和資源協調

角色權責

  • 專案指導委員會: 確保成果符合利益(利害關係人,無論好壞),為成果付最終責任
  • 高階管理層: 提供承諾的相關資源
  • 專案發起人: 提供專案資金分配,通常為主要業務部門經理,與專案經理密切合作
  • 專案經理: 確保專案如期、如值、如預算完成,負專案成敗責任
  • IS稽核人員:
    • 首先需了解如何定義開發相關項目的價值或回報率ROI
    • 與團隊成員開會確認需要控制的區域評估風險,提供相關規範(ISO,NIST...)做緩解控制,確保控制有效
    • 查看是否有Segregation of Duties職責分離問題
    • 檢查測試程序是否照著標準執行
    • 活動紀錄、控制變更等紀錄是否完整保留
    • 餐與建置後的審查

專案流程

效益評估
依據Return of Investment(ROI)投資報酬評估是否執行此專案

  • 業務成本:
    • 開發成本
    • 原本服務或資料的完整性和可用性可能遭受影響
  • 業務效益:
    • 營運利潤增加
    • 營運成本下降

起始階段

  • 專案章程 Project Charter: 專案發起人發布,授權專案經理的權限,專案目的及資源等

規劃階段

建立專案管理計劃書,執行計畫產出的相關文件,內容有目標、時程、管理、風險等等
https://ithelp.ithome.com.tw/upload/images/20210201/20077752Q0VAHXbrSn.png
圖片來源:《專案管理革命》-老查讀家私房筆記https://supr.one/1EpydkZ1/post/5ef98c23e4b0bf8a6f8ca814

  • Kick off meeting 專案啟動會議,相關人員必須都到場,避免專案執行期間溝通不清楚導致許多誤會及問題。
  • Change Management: 授權與納入變更申請
  • Configuration Management: 紀錄及更新專案項目資訊
  • Baseline(範圍、成本、時間)
  • 風險管理
  • 專案範疇: Project Scope 一開始先收集資訊,定義需求範圍(訂完後盡可能不要改,但現實通常都會改...)
  • 需求訪談: 通常需求方沒辦法完整描述他想要什麼,可以用引導的方式勾勒出大綱,甚至可以做個prototype
    https://ithelp.ithome.com.tw/upload/images/20210131/20077752rKZbBEQYjw.png
    圖片來源: https://www.leemunroe.com/how-projects-really-work/

拿到需求做設計規劃時,有遺漏不清楚的地方一定要再確認,不要自己以為就做了,做出不需要的東西浪費成本甚至會扣分

https://ithelp.ithome.com.tw/upload/images/20210131/20077752fk2fZKI7WU.jpg
圖片來源: https://www.managertoday.com.tw/glossary/view/192
資料來源:《專案管理的故事——打造新諾亞方舟》

延伸閱讀


上一篇
[Day 24] IIOT資訊安全規劃
下一篇
[Day 26] 專案執行(下)
系列文
資訊系統安全稽核與 CISA 的簡單應用30

尚未有邦友留言

立即登入留言