散文精选网信息管理与信息系统论文
一、题目描述
试题 论信息系统项目的安全管理
2017年6月1日《中华人民共和国网络安全法》正式实施,全社会对信息安全的关注提到前所未有的新高度,目前,很多单位都建立了信息安全管理体系,制定了信息安全相关的制度,规范或要求等。在项目实施过程中如何遵循这些制度、规范和要求,成为项目经理需要重点关注的问题。
请以“信息系统项目的安全管理”为题,分别从以下三个方面进行论述:
1、概要叙述你参与过的或者你所在组织开展过的信息系统相关项目的基本情况(项目背景、规模、目的、项目内容、组织结构、项目周期、支付成果等),并说明你在其中承担的工作。
2、结合项目实际,论述你对项目安全管理的认识,可以包括但不限于以下几个方面。
(1)信息安全管理的主要工作内容。
(2)信息安全管理中可以使用的工具、技术和方法等。
(3)信息安全管理工作内容、使用的工具、技术和方法如何在项目管理的各方面(如人力资源管理、文档管理、沟通管理、采购管理)得到体现。
3、请结合论文中所提到的信息系统项目,介绍你是如何进行安全管理的,包括具体做法和经验教训。
二、写作分析
该论文考查的是考生对信息系统安全策略的认识和理解。如果考生之前很少参与组织信息化工作中信息安全体系的建设,则论文写作时就比较困难;如果是这样的情况,考生就应该避免选择写此论文。根据题目要求论述的三个方面,本论文除需要简单介绍项目基本情况(包括项目背景、项目规模、发起单位、目的、项目内容、组织结构、项目周期、交付的产品、项目安全需求等)之外,还需要结合项目实际,从信息安全管理的主要工作内容,信息安全管理中使用的工具、技术和方法以及这些工具、技术和方法如何在项目管理的各方面得到体现三个方面论述“我”对项目安全管理的认识,另外还需要结合论文中所提到的信息系统项目,介绍“我”是如何进行安全管理的。从出题要求来分析,编者认为,本论文的重点应该是响应问题2:结合项目实际,从三个方面论述“我”对项目安全管理的认识和问题3:结合论文中所提到的信息系统项目,介绍“我”是如何进行安全管理的。(论文写作难度:★★★★★)
三、范文
【摘要】(本文摘要采用模板三)(该摘要共325个字符)
本文讨论了我所服务的公司ERP系统项目的安全管理。该系统项目是在公司2015年~2020年战略规划的指导下,为了适应市场日益加剧的竞争环境、提高企业的快速应变能力和效率,于2015年2月份正式启动的一个企业信息化建设项目。该项目包括财会管理子系统、销售管理子系统等六大功能子系统。本文首先从信息安全管理的主要工作内容,信息安全管理中使用的工具、技术和方法以及这些工具、技术和方法如何在项目管理的各方面得到体现三个方面论述了我对项目安全管理的认识,接着结合该项目,论述我是如何进行安全管理的。在论文的最后总结了我在本项目安全管理方面的经验和不足。在本项目的建设过程中,本人担任甲方项目经理,除了负责协调乙方外,一个很重要的工作就是负责该项目的安全管理。
【论文大纲】(考生可以把论文大纲先写在草稿纸上,用于写作论文时扩展和引导自己的写作思路)
该篇论文,编者把正文分为六段。
第一段:响应问题1,描述我参与的信息系统项目的情况(项目背景、项目规模、发起单位、目的、项目内容、组织结构、项目周期、交付的产品、项目安全需求等),我的职责,并切入论文的论题——信息系统项目的安全管理。
第二段:本段响应问题2的第(1)小问,信息安全管理的主要工作内容。
第三段:本段响应问题2的第(2)小问,信息安全管理中可以使用的工具、技术和方法等。
第四段:本段响应问题2的第(3)小问,信息安全管理工作内容、使用的工具、技术和方法如何在项目管理的各方面,如人力资源管理、文档管理、沟通管理、采购管理中得到体现。
第五段:本段响应问题3,结合论文中所提到的信息系统项目,介绍我是如何进行安全管理的。
第六段:对该项目在信息安全方面的经验进行总结,同时也响应问题3的后面部分:总结经验和教训。
【正文】(该正文共2637个字符)
我所服务的公司ERP系统项目是在公司2015年~2020年战略规划的指导下,为了适应市场日益加剧的竞争环境、提高企业的快速应变能力和效率于2015年2月份正式启动的一个企业信息化建设项目。该项目由公司总经办发起,系统覆盖公司所有业务(包括软件、系统集成、智能建筑等)和所有部门,分为财会管理子系统、销售管理子系统、工程管理子系统、采购管理子系统、合同管理子系统、人力资源管理子系统、行政后勤综合管理子系统等六大部分。该系统采用浏览器/web服务器/应用服务器/数据库服务器四层J2EE体系结构,应用服务器(中间件)采用Oracle公司的WebLogic11g,数据库管理系统采用Oracle11g,界面层主要采用Servlet/JSP,业务逻辑层组件主要采用EJB3.0技术实现。该系统项目总投资890万,通过公司对外公开招标的方式被国内某大型ERP厂商中标,该ERP系统需要在2016年3月1日前投入正式使用(项目工期为1年左右的时间)。该系统是公司截止目前为止最为重要的一个集生产、运营和日常管理于一体的大型信息化系统,因此公司对该系统的安全提出了较高的要求,公司领导批示,该ERP系统要做到三大安全:信息系统设备安全、应用系统管理和使用安全、数据储存和访问安全。在该项目的建设过程中,我担任甲方项目经理,除了负责协调乙方(ERP厂商)对该项目的建设工作之外,一个很重要的工作就是组织我方人员,建立该项目的信息系统安全体系。本项目我们采用强矩阵的项目组织结构形式。经过一年左右时间的建设,本项目的信息安全体系卓有成效。(本段响应问题1:叙述我参与管理过的信息系统项目的情况。这句话是让考生理解如何正确地响应题目中的要求。括号中的这段话考试时不用写。)
我们知道,信息安全管理的主要内容包括14个方面:(1)制订信息安全方针和政策,为信息安全提供管理指导和支持。(2)建立管理框架,以启动和控制组织范围内的信息安全的实施,确保组织信息安全。(3)进行人力资源安全管理,减少盗窃、滥用或误用的风险。(4)对组织资产进行保护,实现资产管理安全。(5)进行访问控制,确保对信息、信息处理设施和业务过程的访问基于业务和安全需求进行。(6)通过加密来保护信息的保密性、真实性和完整性。(7)通过物理和环境安全管理,防止对组织办公场所和信息的非授权物理访问。(8)确保信息处理设施的正确和安全操作,实现运行安全。(9)确保网络中的信息和支持性基础设施得到保护,实现通信安全。(10)确保信息系统的获取、开发和使用安全。(11)与供应商签订协议,确保供应商访问组织资产的合理性和安全性。(12)通过流程确保安全事件得到有效处理。(13)通过安全手段的实施,确保业务的持续性。(14)避免违反法律、法规、规章、合同要求和其他安全要求。(本段响应问题2的第(1)小问:信息安全管理的主要工作内容。括号中的这段话考试时不用写。)
在信息安全管理方面,我们主要关注的是三个方面:(1)物理安全管理。(2)人员安全管理。(3)应用系统安全管理。物理安全管理方面,我们使用的工具、技术和方法有:选择安全的机房场地,对机房进行降温、防水、防潮、防静电、防雷击和防电磁干扰等处理,给计算机设备设置标签,建立机房安全管理制度,安装检测监控系统等。人员安全管理方面,我们使用的工具、技术和方法有:建立组织单元一把手负责制的安全组织形式,进行岗位安全考核与培训,建立离岗人员安全管理制度等。应用系统安全管理方面,我们使用的工具、技术和方法有:建立应用系统的操作安全控制,设置严格的访问权限,采用入侵检测系统,进行信息和数据容灾备份等。(本段响应问题2的第(2)小问:信息安全管理中可以使用的工具、技术和方法等。括号中的这段话考试时不用写。)
具体来说,在人力资源管理方面,我们要求凡是参与本项目的任何人员(包括公司内、外部人员都需要经过资格审查并与公司签订保密协议);在文档管理方面,初审、复审和归档由不同的人员操作;在沟通管理方面,我们制订了沟通管理细则,涉及到机密或影响信息安全管理方面的内容,一律不得随意外发;在采购管理方面,我们严格供应商的准入制度和原件查验制度,与中标供应商除签署双方的履约合同之外,还需要签署保密协议。总体来说,我们力求把信息安全管理与项目管理各方面结合起来,确保项目在安全的前提下实现成功建设。(本段响应问题2的第(3)小问:信息安全管理工作内容、使用的工具、技术和方法如何在项目管理的各方面,如人力资源管理、文档管理、沟通管理、采购管理中得到体现。括号中的这段话考试时不用写。)
在信息安全管理方面,我重点论述信息系统安全管理。我非常清楚,针对信息系统安全的威胁主要来自于三方面:一是对信息系统设备的威胁,二是对业务处理过程的威胁,三是对数据的威胁。考虑到这三面的威胁和公司领导对ERP系统提出的信息系统设备安全、应用系统管理和使用安全、数据储存和访问安全三方面的要求,我们设计了八种具体的安全管理规范:机房设备安全管理规范;主机和操作系统安全管理规范;网络和数据库管理规范;应用和输入输出管理规范;应用开发管理规范;应急事故管理规范;密码和安全设备管理规范;信息审计管理规范。在机房设备安全管理规范方面,我们制定了“机房管理人员要爱护机器设备,确保设备财产不受损坏,机房管理员对所管机房的计算机及设备负全部责任;未经机房管理员同意,任何人不准擅自使用、移动和调换设备;钥匙由指定人员保管,不能随意转借他人。未经领导批准,钥匙不能随意配制”等10条机房管理措施。在主机和操作系统安全管理规范方面,我们制定了“没有公司CTO批准,任何人不得擅自关闭或重启操作系统”等6条措施。在网络和数据库管理规范方面,我们制定了“禁止一切外公司人员自带电脑接入公司内部网络”等8条措施。在应用和输入输出管理规范方面,我们要求ERP厂商在系统设计和构建时使用动态口令、数据传输加密、数据存储加密等相关技术。在应用开发管理规范方面,我们要求参与本ERP系统开发和实施的所有人员都必须签订保密协议。在应急事故管理规范方面,我们根据经常出现的一些问题开发了对应的应急预案。在密码和安全设备管理规范方面,我们制定了“两人各掌握数据库管理员密码的一部分,互不透露”等7条措施。在信息审计管理规范方面,我们制定了“任何人不得以任何理由威胁或左右审计人员执行信息审计工作”等5条措施。(本段响应问题3:结合论文中所提到的信息系统项目,介绍我是如何进行安全管理的。括号中的这段话考试时不用写。)
公司ERP系统于2016年3月1日成功上线,由于信息系统安全管理设计和执行的到位,运行至今,还没有发生过信息安全事件。在本项目的信息安全管理方面,我总结了三条经验:
1.有规矩方能成方圆,一定要订立科学合理的信息安全管理制度。
2.信息安全是一个系统工程,需要从多方面入手来系统防范。
3.要有专人负责信息安全体系的落实和执行。
然而,虽然我们在在本项目的信息系统安全管理方面取得了不错的成绩,但还存在如下问题需要改进:
1.容灾和备份方案还不十分到位,应该尽快考虑和实施异地灾备。
2.信息安全责任的落实如何和个人绩效更好地挂钩,考核体系还需要进一步完善。(最后是对该项目在信息安全方面的经验进行总结,同时也响应问题3的后面部分:总结经验和教训。括号中的这段话考试时不用写。)
作者简介及已版著作作者简介:项目管理实战导师,启智式项目管理培训创始人,畅销书作者(已出版11部著作,其中《从技术走向管理——李元芳履职记》荣获“2013年度IT人文类读者最喜爱的图书奖第一名”,《张成功项目管理记》荣获“2013年度IT人文类读者最喜爱的图书奖第二名”),第16届亚洲运动会火炬手,“纪念中国培训30年·华誉奖”获得者,中国百强讲师。主讲《项目管理实战训练营》、《从技术走向管理》、《营造高效团队》、《有效沟通管理》、《中层经理的领导力和 执行力》、《PMP考前培训》、《“软考”考前培训》等课程。
平台简介
