见人说人话:安全团队如何对安全项目优先级排序

admin 2022年4月22日22:12:33安全闲碎评论20 views3074字阅读10分14秒阅读模式

写在文前:铺垫了两篇见人说人话文章,向不同高层争取安全支持使安全价值匹配IT战略,其实都是为了此安全项目优先级排序做准备。有了对不同角色老板的理解,对不同发展阶段和IT战略的理解,安全团队才能更好理解项目优先级排序的差异和效果。

 

笔者参考了近百份《安全规划》报告或方案,有四大咨询公司高逼格的,也有国内安全公司务实落地的,总结这些规划中的安全项目群优先级排序方法,再加入笔者的不靠谱、拍脑门实践经验,对项目优先级排序总结出三种比较实用的方法分别为重要-紧迫排序法、风险-价值排序法、成本-收益排序法。三者与前两篇文章的对照关系如下:

 

项目优先级排序

不同角色高层

发展阶段和IT战略

成功概率

重要-紧迫排序法

CTO

支持型

相对高8%

风险-价值排序法

COO

运营型

相对高5%

成本-收益排序法

CEOCIOCFO

战略型、转变型

相对高3%

备注:成功概率指安全规划的项目群排序时,采用某一种排序法对上汇报,比采用其他排序法汇报时的老板接受的可能性

 

一、建立安全项目优先级排序的指标池

 

在做安全项目优先级排序前,笔者整理了一大滩排序的指标,尽力通过定量的方法避免定性的排序。这些指标有的看起来匪夷所思,有的看起来又那么理所当然,笔者智慧有限,不对过程负责、不对结果负责、不对读者负责,仅供参考。

一级指标:

项目重要性

项目对企业信息化、业务发展的推进影响程度。

项目紧迫性

项目对企业信息化、业务发展的功能范围的需求紧急程度。

项目风险

项目对企业信息化、业务发展的综合风险危害程度。

项目价值

项目对企业信息化、业务发展的价值提高程度。

投入的成本

项目对企业信息化、业务发展的投入总成本程度。

企业的收益

项目对企业信息化、业务发展的直接或间接的经济收益程度。

二级指标:

项目前

资源准备程度

项目所需的内部、外部资源的数量以及获得资源的支持程度。多数情况准备难度越大,成本相对越高,风险相对越大。

资源投入约束程度

项目所需的内部、外部资源受限程度。

技术难度

项目采用的技术实现难度、复杂度水平。

受合规要求的影响

项目是否由满足合规要求驱动,是否有利于长期促进合规发展,还是满足短期、临时性合规。

方案成熟度

项目采用实施服务难度、解决方案交付难度,是否当前广泛实施和成熟应用的解决方案,通常情况成熟度越高,成本越低,风险越小。

减少的安全风险

项目实施后,能够减少的已知或未知的信息安全风险、降低威胁强度多少。

见效速度

项目实施后,能够达到预期的见效速度。

对业务创新的支持

项目实施对业务创新的影响、支持或改进情况。

项目中

项目耦合度

安全项目实施与其他项目的依赖关系和关联关系,强制性依赖关系、可酌情处理的依赖关系、外部依赖关系等。多数情况项目的实施与其他项目的依赖/关联关系越多,实施成本越高。

项目时间周期

项目实施的总体时间需求,多数情况实施时间越长,成本相对更高,风险相对更大。

项目范围大小

项目实施范围大小,是否涉及所有信息化系统、业务场景、办公场景等,涉及全员、若干部门或单独部门。

实施技能素质要求

对团队的技能、经验、规模及能力的综合素质要求,主要为实施交付团队的技能要求、项目管理能力的要求。

项目后

对管理改进的支持

项目实施对于提升未来内部安全管理能力方面的效果。

对其他信息化项目实施的支持

对信息化建设的影响,是否为未来IT建设的关键性基础因素,是否可以为后续的IT系统共享使用。

变革/全局的影响

项目实施对现有的安全管理理念、安全工作模式和人员思想等方面带来的冲击和变革的影响,需要的变革越大对变革管理能力要求越高,相应成本越高,风险越大。

业务的支持度

业务部门对项目的安全需求理解程度,是否完全认可并接受安全需求的必要性。多数情况支持度越高,风险相对越小。

对业务运营的支持

通过项目的实施,对业务运营的支持与改进情况。

促进业务战略的发展程度

项目对业务整体战略的发展推进程度。

受破坏的恢复时间

项目实施后,对范围内对信息系统受到破坏后恢复时间的促进作用大小。

促进安全保障水平提升

项目实施后,能够提高信息安全保障水平的作用大小。

长期持续投入

项目实施后,为维持项目成果需要的长期持续性投入工作多少。例如:后续的维保、人员、升级优化运维、版权等资源的持续投入。

 

二、制定各指标的具体评分标准

 

制定各指标的评分标准的目的很简单,就是为了量化,做定量计算,这里只举一个例子,如对项目时间周期这个指标做评分:

评分

评分标准描述

1

项目实施周期或每单项任务预计在6个月(含)内

2

项目实施周期或关联性任务预计在612个月(含)

3

项目实施周期预计在1218个月(含)

4

项目实施周期预计在1824个月(含)

5

项目实施周期预计在2年以上

强调:制定指标评分标准时,一定注意“正向指标”和“反向指标”需要从同一维度描述,否则在后续的评分计算中正反指标的分数“混乱”。


三、对项目群各安全项目评分和排序展现

 

  • 重要-紧迫排序法

重要-紧迫排序法中,一级指标重要性、实施紧迫性依据二级指标要素评价:重要性指标涉及到项目耦合度、受破坏的恢复时间、减少的安全风险、对业务运营的支持、对管理改进的支持。实施紧迫性指标涉及项目时间周期、项目范围大小、受合规要求的影响、见效速度、技术难度、变革/全局的影响。评分如下:

见人说人话:安全团队如何对安全项目优先级排序

评分后,根据平均值在优先级排序中展现如下:


见人说人话:安全团队如何对安全项目优先级排序

  • 风险-价值排序法

风险-价值排序法中,一级指标项目风险、项目价值依据二级指标要素评价:风险指标涉及到方案成熟度和技术难度、业务的支持度、资源投入约束程度、项目耦合度、变革/全局的影响。项目价值指标涉及减少的安全风险、促进安全保障水平提升、见效速度、对业务创新的支持、对管理改进的支持、对其他IT项目实施的支持。评分如下:

见人说人话:安全团队如何对安全项目优先级排序

评分后,根据平均值在优先级排序中展现如下:

见人说人话:安全团队如何对安全项目优先级排序

  • 成本-收益排序法

成本-收益排序法中,一级指标投入的成本、企业的收益依据二级指标要素评价:投入的成本指标涉及到资源准备程度、项目时间周期、项目范围大小、实施技能素质要求、长期持续投入。企业的收益指标涉及对业务运营的支持、对其他IT项目实施的支持、促进安全保障水平提升、对管理改进的支持、对业务创新的支持、促进业务战略的发展程度。评分如下:

见人说人话:安全团队如何对安全项目优先级排序

评分后,根据平均值在优先级排序中展现如下:

见人说人话:安全团队如何对安全项目优先级排序

需要说明的是:

1、  收益和价值在多数情况是类似的,因此其评价依据的二级指标也可以复用。笔者在安全项目的优先级排序中,对收益的理解更多从企业的业务视角评价,而价值的理解更多从IT安全风险的视角评价

2、  评价指标可能存在内涵覆盖,或包含或重复或交叉,但不影响方法的使用。

3、  因为是安全项目的优先级排序,因此加入了特定的安全指标,若去掉这些指标,或将这些安全指标归入其他指标之中,本文的优先级排序适用任何类型的项目排序


根据笔者不靠谱经验,对于不同企业不同领导,若无法准确评估采用哪种排序方法,建议采用“成本-收益排序法”更容易接受。

 

四、关于排序的展现形式可以很多样

 

笔者文中采用了最为简单的矩阵展项方法,在实际应用中无论坐标的方向如何,或排序使用定量的数字或定性的高中低,或采用九宫格等均属于展现形式问题,对排序的本质无影响。

如下图:横纵坐标从低到高顺序,某些时候比原点辐射展现效果更好。

见人说人话:安全团队如何对安全项目优先级排序

如下图:采用相对变量原点六宫格,某些时候比九宫格展现效果更好。

见人说人话:安全团队如何对安全项目优先级排序

写在最后:文章又臭又长不符合笔者风格,后续会尽量避免。如有使您眼睛疲劳、头晕呕吐等各种不适症状,还请见谅。若无任何不舒服,欢迎探讨传播。



坚信少却更好,坚定元认知传播,坚持安全美学,拿个主题,讲300秒就够了。



原文始发于微信公众号(表图):见人说人话:安全团队如何对安全项目优先级排序

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月22日22:12:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  见人说人话:安全团队如何对安全项目优先级排序 http://cn-sec.com/archives/886696.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: