對安全專案的規劃與管理(轉)

對安全專案的規劃與管理
建立安全專案指導思想

　　企業在進行安全專案的規劃前，應該結合企業現有的網路、應用系統及人員配置等情況。從整體考慮，從實際的需要入手，技術上不超前，按需佈置，分步實施。

　　1.首先對企業現有資源進行評估和分析以確認企業的安全需求，做到有理有據，杜絕拍腦袋的想法和市場宣傳的干擾。
　　2. 在明確企業的需求後，根據安全需要的輕重進行篩選，解決80％以上的安全問題，而不求100％的安全。
　　3. 進行相關安全產品的選型，包括技術交流、現場演示以及案例諮詢。
　　4. 根據安全需求確定技術方案。
　　5. 安全專案實施。
　　6. 專案總結，重新進行企業的整體安全評估。定義企業的安全基線，定期進行安全評估。

　　專案的實施與組織
　　整合商:任命相關人員組成專案組核心開展工作，並將公司的任命通知、專案組的核心人員名單及其分工，及時傳真給客戶方工程負責人。
　　客戶:確定客戶方專案組負責人員和分工，並向整合商提供名錄。
　　注意:企業在資訊保安系統方面的專業人員本身比較薄弱，因此在佈置自身人員的時候，應以配合熟悉企業應用和網路技術背景技術型的人員為主，資訊管理部主管或網路部主管協調相關人員為輔。

　　各方共同組建專案組

　　第一次工程協調會
　　為雙方開展工作提供指導性檔案。
　　整合商: 提供工作計劃、技術方案、測試方案綱要、培訓計劃、雙方協調方式、聯絡人等資料。
　　客戶：提供配套工程進展報告，共同審定技術方案和實施計劃確認工作安排。
　　注意：雙方應以會議紀要方式認可會議中雙方達成的協議和工作安排，就專案中雙方的工作計劃、技術方案、測試方案綱要、培訓計劃、雙方協調方式、聯絡人等達成協議。會議紀要本身作為專案文件的一部分需要雙方專案負責人簽字蓋章。
　　第一次工程協調會對於整個的專案非常的關鍵，企業應該從技術和應用兩方面入手，重視技術人員和一線操作人員的建議。

　　工程前期準備
　　整合商: 制訂、落實專案計劃、設計與稽核安全整合的技術實施方案，明確專案人員工作量及分工、跟蹤落實機房現場條件是否具備，及時處理突發情況、制定專案的現場實施計劃。
　　客戶：配合整合商對企業應用環境和網路環境的瞭解。
　　注意：工程前期準備應該以第一次會議紀要為指導原則，若有不符合會議紀要的改變，需要雙方專案組成員以文字的方式協商解決。

　　裝置到貨與運輸
　　整合商:完成裝置進貨和清點工作，提供裝置清單和裝置到貨驗收報告。
　　客戶: 完成裝置的清點入庫工作。
　　注意：企業在清點整合商裝置的時候，應根據整合商提供的裝置清單進行驗收，驗收報告需要雙方簽字蓋章認可。並配合本企業的保管人員進行裝置的入庫。若有裝置缺少，應書面彙報雙方專案組負責人處理。

　　系統集中聯調
　　整合商：在現場安裝前，測試安全產品在網路平臺上的互通性和功能實現情況.模擬環境的建立；安全軟體系統安裝；安全硬體系統配置測試；安裝和配置文件提交。
　　客戶：協助整合商進行系統的測試和聯調，儘可能提供實際環境。
　　注意：系統集中聯調是整合商實力表現的展示平臺。聯調不應該只是整合商的事情，企業專案組的技術人員可以通過技術聯調，對整個安全系統有一個初步的瞭解，並藉此瞭解整合商專案組技術人員的水平。

　　施工前工程協調會
　　整合商:針對工程現場實施的有關事項與客戶交流和協商，提交現場實施計劃，單點測試方案。
　　客戶:與整合商協調工程實施過程，根據自身情況對測試方案提出建議。
　　注意：雙方應就現場施工中必須的單點測試方案進行討論，確認測試方案並簽字。測試方案應與企業的實際安全需求相符合，不要求大而全，但是一定要按使用者的需求解決實際問題。

　　現場安裝調測
　　整合商：現場安裝除錯，並進行單點測試工作；與節點系統管理員進行現場技術交流及培訓；使用者對現場施工情況的確認（書面）。
　　客戶：參與施工全過程，完善施工條件，監督施工程式；節點人員應積極配合，協助完成單點測試工作；參與部分系統的施工工作。
　　注意：現場安裝除錯是整個專案中最關鍵的一環，企業的技術人員應做到不恥下問，整合商的技術人員應做到有問必答，並積極培訓企業方的技術人員。如果有條件，可以對企業技術人員和操作人員進行集中的培訓和單獨上機操作考核，這樣才能避免因為使用不當而帶來的安全問題。

　　專案測試與驗收
　　在單點測試的基礎上，依據事先已認可的測試方案對安全專案進行功能測試；測試結果經協議各方確認，形成測試結果報告。測試工作原則上按測試方案順序進行，但也可根據實際準備情況作相應調整。
　　集中測試在協議各方認為測試條件已經具備後進行，測試內容按事先雙方認可的集中測試方案進行，由各方工程師共同參加。測試結果寫入驗收測試報告，經協議各方工程負責人簽字確認。客戶方應配合完善測試條件，參與測試工作，共同確認測試報告。
　　整合商應與客戶協商制定驗收計劃(包括驗收日期、形式和參與人員)，組織或配合客戶方工程負責人組織工程驗收。並配合客戶簽署驗收報告和備忘錄，向客戶提交系統/裝置口令、《系統管理員手冊》和《售後服務手冊》，雙方共同確認系統正式進入執行。
　　注意：在專案驗收後，客戶的技術人員需要更改所有專案涉及的安全裝置口令賬號，取消為了配合整合商測試的臨時賬號。
　　對專案涉及的安全裝置專人管理，網線、網路埠進行編號歸類。

　　系統執行支援與安全緊急響應
　　整合商：負責處理解決故障，為系統執行提供技術支援。定期隨訪客戶，檢查並詢問安全系統執行情況及存在的問題，以便隨時發現並解決問題。同時定期提供客戶報告，像客戶報告對系統的支援情況以及新的安全漏洞資訊，加強與客戶間的溝通。建立一整套客戶支援檔案，以利於有針對性地進行技術支援。
　　客戶：及時記錄和報告系統故障，並配合解決系統故障。
　　注意：企業技術人員應根據整合商提供的FAQ（常見問題解答），參考自身應用系統的情況建立本企業的FAQ文件。整合商各安全裝置的技術聯絡人的電話、手機、郵件地址與安全裝置做到如影隨形。對於企業的關鍵系統的緊急響應，做到即使不能夠馬上解決問題也能在遮蔽安全裝置的情況下恢復系統的執行。

　　專案總結
　　依據工程專案評審標準，整合商應從工程進度、質量、成本、技術、管理以及客戶滿意度等多方面，對專案進行考核與評審。並同時向使用者提交相應工程總結報告。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/7942439/viewspace-21157/，如需轉載，請註明出處，否則將追究法律責任。