写在文前:铺垫了两篇见人说人话文章,“向不同高层争取安全支持”和“使安全价值匹配IT战略”,其实都是为了此篇“安全项目优先级排序”做准备。有了对不同角色老板的理解,对不同发展阶段和IT战略的理解,安全团队才能更好理解项目优先级排序的差异和效果。
笔者参考了近百份《安全规划》报告或方案,有四大咨询公司高逼格的,也有国内安全公司务实落地的,总结这些规划中的安全项目群优先级排序方法,再加入笔者的不靠谱、拍脑门实践经验,对项目优先级排序总结出三种比较实用的方法,分别为重要-紧迫排序法、风险-价值排序法、成本-收益排序法。三者与前两篇文章的对照关系如下:
|
项目优先级排序 |
不同角色高层 |
发展阶段和IT战略 |
成功概率 |
|
重要-紧迫排序法 |
CTO |
支持型 |
相对高8% |
|
风险-价值排序法 |
COO |
运营型 |
相对高5% |
|
成本-收益排序法 |
CEO、CIO、CFO |
战略型、转变型 |
相对高3% |
备注:成功概率指安全规划的项目群排序时,采用某一种排序法对上汇报,比采用其他排序法汇报时的老板接受的可能性。
一、建立安全项目优先级排序的指标池
在做安全项目优先级排序前,笔者整理了一大滩排序的指标,尽力通过定量的方法避免定性的排序。这些指标有的看起来匪夷所思,有的看起来又那么理所当然,笔者智慧有限,不对过程负责、不对结果负责、不对读者负责,仅供参考。
一级指标:
|
项目重要性 |
项目对企业信息化、业务发展的推进影响程度。 |
|
项目紧迫性 |
项目对企业信息化、业务发展的功能范围的需求紧急程度。 |
|
项目风险 |
项目对企业信息化、业务发展的综合风险危害程度。 |
|
项目价值 |
项目对企业信息化、业务发展的价值提高程度。 |
|
投入的成本 |
项目对企业信息化、业务发展的投入总成本程度。 |
|
企业的收益 |
项目对企业信息化、业务发展的直接或间接的经济收益程度。 |
二级指标:
|
项目前 |
资源准备程度 |
项目所需的内部、外部资源的数量以及获得资源的支持程度。多数情况准备难度越大,成本相对越高,风险相对越大。 |
|
资源投入约束程度 |
项目所需的内部、外部资源受限程度。 |
|
|
技术难度 |
项目采用的技术实现难度、复杂度水平。 |
|
|
受合规要求的影响 |
项目是否由满足合规要求驱动,是否有利于长期促进合规发展,还是满足短期、临时性合规。 |
|
|
方案成熟度 |
项目采用实施服务难度、解决方案交付难度,是否当前广泛实施和成熟应用的解决方案,通常情况成熟度越高,成本越低,风险越小。 |
|
|
减少的安全风险 |
项目实施后,能够减少的已知或未知的信息安全风险、降低威胁强度多少。 |
|
|
见效速度 |
项目实施后,能够达到预期的见效速度。 |
|
|
对业务创新的支持 |
项目实施对业务创新的影响、支持或改进情况。 |
|
|
项目中 |
项目耦合度 |
安全项目实施与其他项目的依赖关系和关联关系,强制性依赖关系、可酌情处理的依赖关系、外部依赖关系等。多数情况项目的实施与其他项目的依赖/关联关系越多,实施成本越高。 |
|
项目时间周期 |
项目实施的总体时间需求,多数情况实施时间越长,成本相对更高,风险相对更大。 |
|
|
项目范围大小 |
项目实施范围大小,是否涉及所有信息化系统、业务场景、办公场景等,涉及全员、若干部门或单独部门。 |
|
|
实施技能素质要求 |
对团队的技能、经验、规模及能力的综合素质要求,主要为实施交付团队的技能要求、项目管理能力的要求。 |
|
|
项目后 |
对管理改进的支持 |
项目实施对于提升未来内部安全管理能力方面的效果。 |
|
对其他信息化项目实施的支持 |
对信息化建设的影响,是否为未来IT建设的关键性基础因素,是否可以为后续的IT系统共享使用。 |
|
|
变革/全局的影响 |
项目实施对现有的安全管理理念、安全工作模式和人员思想等方面带来的冲击和变革的影响,需要的变革越大对变革管理能力要求越高,相应成本越高,风险越大。 |
|
|
业务的支持度 |
业务部门对项目的安全需求理解程度,是否完全认可并接受安全需求的必要性。多数情况支持度越高,风险相对越小。 |
|
|
对业务运营的支持 |
通过项目的实施,对业务运营的支持与改进情况。 |
|
|
促进业务战略的发展程度 |
项目对业务整体战略的发展推进程度。 |
|
|
受破坏的恢复时间 |
项目实施后,对范围内对信息系统受到破坏后恢复时间的促进作用大小。 |
|
|
促进安全保障水平提升 |
项目实施后,能够提高信息安全保障水平的作用大小。 |
|
|
长期持续投入 |
项目实施后,为维持项目成果需要的长期持续性投入工作多少。例如:后续的维保、人员、升级优化运维、版权等资源的持续投入。 |
二、制定各指标的具体评分标准
制定各指标的评分标准的目的很简单,就是为了量化,做定量计算,这里只举一个例子,如对项目时间周期这个指标做评分:
|
评分 |
评分标准描述 |
|
1 |
项目实施周期或每单项任务预计在6个月(含)内 |
|
2 |
项目实施周期或关联性任务预计在6-12个月(含) |
|
3 |
项目实施周期预计在12-18个月(含) |
|
4 |
项目实施周期预计在18-24个月(含) |
|
5 |
项目实施周期预计在2年以上 |
强调:制定指标评分标准时,一定注意“正向指标”和“反向指标”需要从同一维度描述,否则在后续的评分计算中正反指标的分数“混乱”。
三、对项目群各安全项目评分和排序展现
-
重要-紧迫排序法
重要-紧迫排序法中,一级指标重要性、实施紧迫性依据二级指标要素评价:重要性指标涉及到项目耦合度、受破坏的恢复时间、减少的安全风险、对业务运营的支持、对管理改进的支持。实施紧迫性指标涉及项目时间周期、项目范围大小、受合规要求的影响、见效速度、技术难度、变革/全局的影响。评分如下:
评分后,根据平均值在优先级排序中展现如下:
-
风险-价值排序法
风险-价值排序法中,一级指标项目风险、项目价值依据二级指标要素评价:风险指标涉及到方案成熟度和技术难度、业务的支持度、资源投入约束程度、项目耦合度、变革/全局的影响。项目价值指标涉及减少的安全风险、促进安全保障水平提升、见效速度、对业务创新的支持、对管理改进的支持、对其他IT项目实施的支持。评分如下:
评分后,根据平均值在优先级排序中展现如下:
-
成本-收益排序法
成本-收益排序法中,一级指标投入的成本、企业的收益依据二级指标要素评价:投入的成本指标涉及到资源准备程度、项目时间周期、项目范围大小、实施技能素质要求、长期持续投入。企业的收益指标涉及对业务运营的支持、对其他IT项目实施的支持、促进安全保障水平提升、对管理改进的支持、对业务创新的支持、促进业务战略的发展程度。评分如下:
评分后,根据平均值在优先级排序中展现如下:
需要说明的是:
1、 收益和价值在多数情况是类似的,因此其评价依据的二级指标也可以复用。笔者在安全项目的优先级排序中,对收益的理解更多从企业的业务视角评价,而价值的理解更多从IT安全风险的视角评价。
2、 各评价指标可能存在内涵覆盖,或包含或重复或交叉,但不影响方法的使用。
3、 因为是安全项目的优先级排序,因此加入了特定的安全指标,若去掉这些指标,或将这些安全指标归入其他指标之中,本文的优先级排序适用任何类型的项目排序。
根据笔者不靠谱经验,对于不同企业不同领导,若无法准确评估采用哪种排序方法,建议采用“成本-收益排序法”更容易接受。
四、关于排序的展现形式可以很多样
笔者文中采用了最为简单的矩阵展项方法,在实际应用中无论坐标的方向如何,或排序使用定量的数字或定性的高中低,或采用九宫格等均属于展现形式问题,对排序的本质无影响。
如下图:横纵坐标从低到高顺序,某些时候比原点辐射展现效果更好。
如下图:采用相对变量原点六宫格,某些时候比九宫格展现效果更好。
写在最后:文章又臭又长不符合笔者风格,后续会尽量避免。如有使您眼睛疲劳、头晕呕吐等各种不适症状,还请见谅。若无任何不舒服,欢迎探讨传播。
坚信少却更好,坚定元认知传播,坚持安全美学,拿个主题,讲300秒就够了。
原文始发于微信公众号(表图):见人说人话:安全团队如何对安全项目优先级排序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论