您的当前位置：首页信息系统项目管理师教程-软考高项重点笔记

信息系统项目管理师教程-软考高项重点笔记

来源：五一七教育网

第一章绪论

项目：作为实现组织战略计划的手段而实现的。是一种手段。有限的资源（人、财、物）；有限的时间（有明确的开始和结束时间）特定目标（产品、服务、成果，有时它们是不可见的）

１、临时性：有确定的开始和结束。一般不适用于项目所产生的产品、服务、成果。

２、独特性：产品、服务、成果的独特。

３、渐进明细：项目规格说明书(project’s specifications)的渐进明细，务必与项目范围的定义要协调起来。

典型的信息系统项目的特点：目标不明确、需求变化频繁、生命期通常较短、采用大量新技术……

工作：指日常运营（Operations）或者项目。区别：日常运营是持续不断和重复进行；项目是临时性、独特的。项目管理（project management），就是把各种知识、技能、手段、技术应用于项目活动，以达到项目的要求。

管理一个项目包括：识别要求、确定目标、权衡范、时、成、质。三重制约：范围、时间、成本。关系是，三个因素之一发生变化，其它因素中至少有一个会受到影响。

独特的管理项目的技术有：工作分解结构ＷＢＳ、关键路径分析、挣值ＥＶ管理。

标准——一致同意建立并由公认的机构批准的文件，目的是达到最佳秩序。如计算机磁盘的大小、液压机液体的耐热性规格。规则——强制的要求。如建筑法规。

两者之间有灰色区，标准广泛应用后，就成规则。

一般的管理：包括计划、组织、人事、执行、控制等，包括一些支持性的学科：后勤和供应链、财务、采购、销售、合同、战略计划、战术计划、运作计划、薪资、福利、职业规划、健康和安全实践。

人际关系技能：沟通、影响、领导、激励、谈判与冲突管理、解决问题。大项目：是以协同的方式管理，以获取单个项目管理所无法取得之效益的一组相关的项目。有时把一些计划（年度施工计划）当作大项目。大项目也包含一系列重复或循环的工作。

和项目管理相比，大项目管理是对大项目的集中协同管理，以达到大项目的战略目标和效益。

项目组合中的项目或大项目，并不必须是相互依赖或直接相关的。项目组合管理的目标：最大化项目组织的价值，另外的目标是平衡，使资源得到有效的利用。高级经理或高级管理团队负责。子项目可由一系列较小的项目组成。

由项目管理办公室（ＰＭＯ）管理的项目除了彼此相关的管理外，不必要有特定的关系。

项目管理者和ＰＭＯ的区别：追求不同的目标，受不同的需求所驱使。ＰＭＯ的工作目标包含组织级的观点，对所有项目之间的共享组织资源进行优化使用。ＰＭＯ管理整体的风险、机会和所有的项目依赖关系。项目管理的目标是合理分配资源，最优利用。

美国项目管理学会ＰＭＩ——项目管理的知识体系ＰＭＢＯＫ(ＩＳＯ10006)——项目管理专业人员资格认证ＰＭＰ

对项目经理的一般要求：

一、知识（三个部分：项目管理、系统集成行业、客户行业）；二、经历（三个部分：项目管理、系统集成行业、客户行业）三、协调能力；四、职业道德；五、沟通与表达能力；六、领导能力。

做好一个项目管理：角色、团队管理、计划、一把手工程、用户参与。

第二章项目生命期和组织

从项目生命周期的一个阶段，转到另一个阶段，通常是某种形式的技术交接。如风险可以接受，后一阶段可以在前一阶段可交付成果通过验收之前开始。

项目生命周期描述文件可以很概要，也可很详细。

阶段的正式完成不包括核准随后的阶段。每一阶段都要正式启动，一次

审查可以核准两件事。

项目生命期的确定，还会在项目结束时。项目生命期是产品生命期的一部分。

典型的生命期模型

１、瀑布模型对活动进行评审，成果确认后进入下一阶段。

２、螺旋模型（迭代与瀑布结合）是一系列增量发布，强调风险分析，适用于庞大复杂、高风险系统。

３、迭代模型初始、细化、构造、移交四个阶段；构造阶段进行测试和评估。

可行性分析（技术、经济、操作），从有益、可能、必要三方面对经济效益、社会效益进行分析。

软件系统的传统设计方法：概要、详细设计。

硬件系统的设计：方案设计、设备选型、系统构架设计。系统实现：软件系统的编码与实现；硬件设备的购置与安装。实施：软件系统的安装调试、验收……

运营与维护：备份、恢复、系统功能的修改与增加。

项目干系人在参与项目时责任与权限大小变化很大，并且在项目生命期的不同阶段也会变化。

项目干系人还包括班子成员及其家庭、个别公民以及整个社会。干系人的角色和责任可能重迭。

即使该项目本身就是这个组织本身时，仍然要受到启动项目的一个或多个组织的影响。

组织文化常常会对项目产生直接的影响。职能型组织内仍然可以有项目存在，但是项目的范围通常会在职能部门内。

纯职能型项目，设计阶段被称为设计项目，而且仅仅包括工程部的人员。

ＰＭＯ可以存在于任何组织结构中，包括职能型组织。ＰＭＯ会授权给个别的项目经理，他就具有对指定项目的全部权限，并且只有ＰＭＯ才可以对其进行撤换。

如果职能型组织要设立ＰＭＯ，需要添加一个标为ＰＭＯ的方框，并将其放在总裁层级和项目经理层级之间。

项目管理系统是指用于管理项目的工具、技术、方法、资源和规程，这个系统在项目管理计划中予以规定，其内容随应用领域、组织影响、项目复杂性、现有系统的有效性等而改变。

第三章项目管理过程（20140115）

过程：须执行的互相联系的行动和活动。这些过程称之为知识域。面向产品的过程一般都由项目生命期规定，并因应用领域而异。

项目管理过程和产品的过程从项目开始到其结束始终重迭与交互作用。在一个过程未采取成功的行动，通常会对这一过程和其它有关的过程产生不利影响。

项目管理过程组：启动——规划——执行——监控——收尾

尽管项目章程可能是由项目管理团队编写完成，但是否批准和投资项目，却是在项目外决定的。

许多大型或复杂的项目被划分出阶段，在每个阶段的开始，要重新评估项目的范围和目标。启动过程组：

１、制定项目章程，由项目外的组织，或大项目管理，或项目组合管理部门负责。

２、制定项目范围说明书（初步）。确定项目的需求、边界、接收的方法和高层次范围控制的方式，并将这形成文件。

当项目生存周期内出现明显的项目变更时，会重新触发一个或多个规划过程，可能的话，还会涉及到一些启动过程。

若项目被划分为阶段，会影响到计划重复的频率；变更会对管理计划产生重大的影响；“滚动波计划”意味着一个迭代和持续的过程。项目团队应让所有项目干系人参与项目计划过程。

当项目计划工作结束时，不管是由组织还是由项目团队负责，都要有明确的指导方针。

执行上的偏差通常会导致重新计划，这些变更可能会也可能不会影响项

目管理计划。

变更申请如被批准，可能需要建立新的项目基线，执行这些过程会花掉大半的项目预算。

一旦偏差危及项目目标，将再次进行计划过程组内相应的项目管理过程。这会更新项目管理计划。

收尾以正式的形式确定项目或阶段已经结束。不是所有的项目都需要所有的过程；也不是所有的交互过程都会运用在所有的项目上。

一些过程的输出可能被事先定义成某些约束条件。

当一个通常发生在计划阶段的过程，在执行阶段被再次访问或更新时，它与项目计划阶段所执行的过程是相同的——而不是一个额外的、新的过程。

第四章项目可行性研究与评估

可行性包括三个方面：可能性、效益性、必要性

必要性包括社会环境、领导意愿、人员素质、认知水平等。可能性包括技术、物资、资金、人员支持等。

可行性有技术、经济、运行环境可行性分析等。风险、人力资源、技术、物资属于技术可行性。

敏感性分析属于经济可行性分析。

运行环境是制约信息系统在用户单位发挥效益的关键。

“立项”决策：依据初步可行性研究报告形成项目建议书，通过审查。初步可行性研究与详细可行性研究不同的是，占有的资源细节有较大差异。

在初步项目可行性研究之前可进行项目机会研究，如果就投资可能性已进行了项目机会研究，那么项目的初步可行性研究阶段往往可省去。如果有足够多的数据，有时也可越过初步项目可行性研究阶段。

必须把估计项目的主要投资支出和生产成本作为初步项目可行性研究的一部分，并不一定只依靠确实的报价单作为估计根据，以往的项目数据可作为主要的参考。

投资前辅助研究如果在项目可行性研究之前或与项目可行性研究一起进行，其内容则构成项目可行性研究的一个必不可少的部分。

如一项基本投入是决定因素，而辅助研究有可能表明否定结果，则辅助研究放在可行性研究之前。

如一项具体功能的详细研究过于复杂，则辅助研究与可行性研究可分头同时进行。

辅助研究的费用必须和项目可行性研究的费用联系起来考虑。

投资前期的四个阶段：机会研究、初步可行性研究、详细可行性研究、评估与决策。前三个阶段可省略或合二为一，但详细可行性研究是不可缺少的。机会研究、初步可行性研究、详细可行性研究也是项目论证的三个阶段。

最终提交的可行性研究报告，是成为进行项目评估和决策的依据。初步可行性研究报告——项目建议书——详细可行性研究报告详细可行性研究的基本原则：科学性、客观性、公正性。详细可行性研究的方法：

１、投资估算法，要求尽量准确。0.6次方法则的指数估算法；因子估算法；单位能力投资估算法。２、增量净效益法（有无比较法）。有项目时的成本（效益）与无项目时的成本（效益）比较，求其差额。

最终用途或消费系数法，对评价中间产品特别适用。单位成本，其供应弹性愈低，则价格就愈高。

必须把额外的运输所需费用列入投资费用与生产成本的计算。设备选择和技术选择是相互依存的。

投资费用就是固定资本与净周转资金的合计。固定资本除了固定投资外，还包括开发前的所有投资费用。在不同的研究设计阶段，投资估算的精确性不同。初步可行性20%，可行性10%，设计开发5%。

为一个项目调拔资金，这不仅对任何投资决定，而且对项目拟定和投资

前分析都是明显的基本先决条件。在进行项目可行性研究之前，就应该对项目筹资的可能性做出初步估计。

开发总成本为四大类：研发成本、行政管理费、销售与分销费用、财务费用和折旧。前三类成本的总和称为经营成本。财务报表的格式，不应随意改变。

企业经济评价：静态评价法（投资收益率、投资回收期）、动态评价法（净现值、内部收益率、外部收益率、动态投资期、收益/成本比值法）国民经济评价在评估方法上及数据处理不完全与企业经济评估相同。采用社会价格、社会贴现率。

一般能建立函数关系的，多为直接效益或显性效益。

“先论证，后决策”是现代项目管理的基本原则。项目论证围绕市场需求、开发技术、财务经济三个方面展开调查和分析。市场是前提，技术是手段，经济是核心。项目论证——项目评估项目前评价的作用：项目论证是筹措资金、向银行贷款的依据；是防范风险、提高项目效率的重要保证。

项目评估是指在项目可行性研究的基础上，由第三方（国家、银行或有关机构）进行评价分析与论证，进而判断是否可行的一个评估过程。主管部门对某些大型信息化建设项目的项目建议书也要进行评估，程序和内容与可行性研究的评估基本相同，只是重点对项目建设的必要性进行评估。

项目评估的最终成果是项目评估报告。

第五章项目整体管理（20140117）

某个过程不需要，并不意味着你不去考虑该过程。过程之间的接口通常是交互式的。

项目章程是正式批准一个项目的文档，项目章程要么由项目组织以外的发起人或资助人发布，要么由组织内某个级别的管理层发布，以便为该项目提供所需的资金。

工作说明书（ＳＯＷ）

可以作为投标文档的一部分从客户那里得到，例如邀标书，或者作为合同的一部分得到。工作说明书需要说明：业务需求、产品范围描述、战略计划。

环境和组织因素（含：基础设施、人力资源、商业数据库、项目管理信息系统）

组织过程资产（含：组织中指导工作的过程和规程、组织级知识数据库（配置管理或财务数据库、历史信息））

项目范围说明书（初步）的内容：项目的边界、需求和交付物、风险、进度里程碑、初始ＷＢＳ、成本概算、配置管理的需求等。对于包含多个阶段的项目，项目范围说明书可以在后续阶段中进行验证和修正。

项目目标应该被清楚定义，并且可以是最终实现的。项目目标的特性：多目标性（时间、成本、技术或质量）、优先性、层次性

项目管理计划是通过整体变更控制过程进行更新和修订的。项目管理计划可以是概要的或详细的，并且可以包含一个或多个辅助计划。监督工作贯穿于项目的整个生命期。

书面变更必须有项目管理团队内部成员或外部组织予以接受或拒绝。

第六章项目范围管理（20140117）

产品范围——比如产品的需求说明书

项目范围——要完成产品需求说明书上的内容，需要项目团队完成哪些工作，在初期，是用范围说明书来定义的。

项目范围是否完成，以项目管理计划、项目范围说明书、ＷＢＳ和ＷＢＳ字典作为衡量标准，而产品范围是否完成，以产品的需求说明书作为衡量标准。

项目的目标只是项目范围计划编制的一个基础依据，不能作为项目范围

的一个具体细化过的工作范围部分。项目范围的“圈定”，并不代表项目范围就是可控制的。因此要进一步对项目范围定义，减少风险。

工作分解结构ＷＢＳ是一种以结果为导向的分析方法。项目范围确认是贯穿整个项目生命期，甚至是最后项目评价的总结。

项目范围变更控制实际发生在项目实施阶段，也就是计划执行阶段。项目范围管理水平的低下是项目失败的主要因素之一。（重点是做好：用户参与、明确的要求说明、范围变更管理的程序设置）

项目范围边界一定是闭合的。

最低层的ＷＢＳ单元叫做工作包，是我们进行进度安排、成本估计和监控的基础。

ＷＢＳ大量的分解工作会导致生产率降低、资源浪费、工作效率低下等弊病。

ＷＢＳ最终的结构可以有以下几种：

１、把主要的项目可交付物和子项目作为第一层；２、外包的子项目结构；

３、把项目的生命期作为一层，项目交付物作为第二层。４、在每个ＷＢＳ分支采用不同的分解方法。

对ＷＢＳ进行分解是指把某层上的ＷＢＳ单元再进行分解，每个单元都是可以被验证的。每一个单元都应该被分配且仅分配给一个执行组织。组成要素应当用有形的、可检验的结果来描述，以便进行绩效评估。既可包括产品，又可包括服务。工作分解结构一般3至5层，如果层次过多，最好进一步划分成不同的子项目。

工作分解结构的结果——形成ＷＢＳ，完成项目范围管理计划的更新。范围确认是有关工作结果的可接受问题；质量控制是有关工作结果是否满足质量需求的问题。

质量控制先，范围确认后，但这两个过程也可以并行执行。

已被客户接受的交付物，要以书面的形式记录下来，没有被客户接受的交付物也要记录下来，同时还要记录未被客户接受的原因。交付物有可能是中间交付物。每一次验收都需要客户的书面确认。

有些没有必要通过流程解决的变更，可以授权现场实施负责人或团队成员完成，但有些直接关系到项目成本和进度增加的变更，一定要通过变更控制系统来解决。

第七章项目时间管理（20140117）

活动清单应该采取文档形式，对这些活动的识别以及归档的过程就叫做活动定义。

工作分解结构和活动清单通常按顺序编制——工作分解结构作为编制最终活动清单的基础。控制账户：高层管理者的控制点可以设在工作分解结构中工作包层次以上选定的管理点（选定水平上的具体组成部分）上。尚未规划有关的工作包时，这些控制点用作规划的基础。在控制账户内完成的所有工作，应记录并归档于某一控制账户计划中。

规划组合：是工作分解结构中控制账户以下，但在工作包以上的工作分解结构组成部分。

项目活动清单是项目活动定义的主要输出。清单中必须列出一个项目所需开展的全部活动。

活动排序：在较小的项目，或在大中型项目的早期阶段，手工方式可能更为有效。

前导图法ＰＤＭ：单代号网络图。利用节点表示活动，用箭线表示活动逻辑。

Ｐ135图7.3，有ＥＳ,ＬＳ,ＥＦ,ＬＦ时间

ＦＳ：结束－开始，先行活动必须结束，后续活动才能开始。ＦＦ：结束－结束，先行活动结束后，后续活动才能结束。ＳＳ：开始－开始，先行活动开始后，后续活动才能开始。ＳＦ：开始－结束，先行活动开始后，后续活动才能结束。

箭线图法ＡＤＭ:双代号网络图。

每一事件必须有唯一的一个代号，即网络图中不会有相同的代号。虚活动（dummy activity）不消耗时间，可以用于避免多个起点或终点

引起的混淆。只要有必要，所有的悬点都应该通过虚活动来消除。进度计划网络模板——当一项目中包含几个相同或几乎相同内容时。活动之间的先后顺序叫依赖关系：１、强制性依赖关系（本身存在、无法改变的逻辑关系，也称为硬逻辑关系）；２、可自由处理的依赖关系（人为组织确定，可先可后，建立在最佳实践上，也被认为是首选逻辑、优先逻辑、软逻辑）；３、外部依赖关系（项目与非项目活动之间的关系）

时间提前与滞后量，以及相关的假设条伯应以文档的形式记录下来。提前或推迟后继活动。

如果不定义活动顺序，就无法使用网络图和关键路径分析。活动资源估算，必须和成本估算相结合。

活动资源估算的输出——有资源分解结构（ＲＢＳ），能显示资源分类和资源类型的层次结构。

历时估算——输入有资源日历、项目管理计划（含风险等级、活动成本估计）

风险等级：在进行活动历时估算时，项目团队需要考虑项目中已经识别出来的风险信息。

活动历时估算的工具和技术：三类参专家，预留时间。

关键路径法ＣＰＭ是一种进度网络分析技术，不考虑任何资源。最早与最迟日期两者之间的差值——“总时差”，关键路径有零或负值的总时间差，其计划活动叫做“关键活动”。

自由时差就是不延误同一网络路线上任何直接后继活动最早开始时间的条件下，计划活动可以推迟的时间长短。

关键链法：另一种进度网络分析技术，可以根据有限的资源对项目进度计划进行调整。（结合了确定性与随机性）

进度压缩：

１、赶工。尽量少增加费用的前提下最大限度地缩短项目所需要的时间。并非总能产生可行的方案，反而常常增加成本。

２、快速跟进。同时执行阶段或活动。其往往造成返工，并通常会增加项目的风险。

应该尽量使用超前或滞后，与其相关的假设也应该被记录下来。甘特图可用于ＷＢＳ的任何层次，其时间单位可以从年到月甚至到日。有效项目进度控制的关键是监控项目的实际进度，及时、定期地将它与计划进度进行比较，并立即采取必要的纠正措施。

加速项目进度的重点应放在有负时差的路径上，时差负值越大的路径其考察的优先级越高。对于没有负时差的项目，重要的是不要使它出现耽搁或延误而最终造成时差的减少，经常举行项目会议也是处理进度控制问题的很好的手段。

第八章项目成本管理（20140123）

可控和不可控的成本应该分别估算和预算。

在某些项目上，特别是小型项目，成本估算和预算可被视为一个过程。项目成本估算与项目造价：有联系有区别，项目造价＝项目成本+盈利成本估算要积极寻找有替代效应的成本，努力使项目预期收益最大化。在某些情况下，估算者也可以采用其他的测量单位，如人Ｘ日，人Ｘ小时等，来方便管理成本控制。

商业数据库——是属于企业环境因素，非组织过程资产。

类比估算法又称“自上而下估算法”，是最简单的成本估算技术，实质上是一种专家判断法，准确性比较差。

确定资源费率——了解资源的单价。如果不能知道确切的单价，也要对单价进行估计。

☆应急储备——是由项目经理自由使用的估算费用，用来处理预期但不确定的事件。这些事件被称为“已知的未知事件”，是项目范围和成本基准的一部分。

在成本估算中，质量成本是必须考虑的因素。

项目成本估算结果文件还要包括为了对付项目可能会遇到的某些意外事件（通货膨胀、意外事故等）所支付的具有不可预见性的意外成本。成本估算结果通常用货币单位——“元”来表示；但有时为了管理方便，也可采用劳动工时、工日和一些实物量指标表示，如吨、公里等。

成本预算——是将项目的成本估算分配到项目的各项具体工作上。活动或工作包应在项目章程提供整体预算批准后进行，但是最高级的ＷＢＳ构件估算应在详细的预算申请和工作授权之前完成。（预算在估算后）成本预算和项目进度有联系。

☆管理储备——是为应对未计划但可能需要的范围和成本的潜在变更而预留的预算。它们是“未知的”，项目经理在使用之前必须得到批准。管理储备不是项目成本基线的一部分，但包含在项目的预算中。它们未被作为预算进行分配，因而不是挣值计算的一部分。（管理储备在预算中但不分配，不是成本基线，不能挣值计算）

资金需求是从成本基线中获得的。尽管在项目结束时，管理储备的数量可以明确，但在执行中当管理储备得到应用，成本基线和现金流的执行曲线将会改变。

有效成本控制的关键是经常及时的分析成本绩效。

变更申请是项目的干系人以口头或者书面的方式提出，有关项目的任何变动都必须经过项目业主/客户的同意。提出成本变更申请的人是一切项目干系人。由项目业主/客户最终判断是否接受代价。

挣值管理——综合范围、时间、成本的方法。

计划值ＰＶ，实际成本ＡＣ，挣值ＥＶ，剩余工作的成本估算ＥＴＣ。Ｐ165

ＥＴＣ=总的ＰＶ－已完成的ＰＶ=剩余工作的ＰＶ*ＣＰＩ成本偏差CV=EV-AC,成本绩效CPI=EV/AC 进度偏差SV=EV-PV,进度绩效SPI=EV/PV

预测技术

完工估算ＥＡＣ。

ＥＡＣ=ＡＣ+ＥＴＣ（用于环境变化，新估算）ＥＡＣ=ＡＣ+ＢＡＣ-ＥＶ（偏差不会再发生）

ＥＡＣ=ＡＣ+(ＢＡＣ-ＥＶ)/ＣＰＩ(ＣＰＩ是累积ＣＰＩ,偏差也是将来的)

第九章项目质量管理（20140124）

质量管理的一个关键因系是通过项目范围管理转换隐含需求为项目需求。质量和等级不同。精确和正确是不相等的。精确是指一致性，正确是指正确性，度量值非常接近真实值。精确度量不需要正确，非常正确的度量不需要精确。项目管理团队必须确定正确或精确的程度。

质量的内涵包括功能、美学性、特殊性、一致性、安全性、可靠性、寿命、售后服务等多方面。

ＩＳＯ9000实际上是由计划、控制、文档工作三部分组成循环的体系。项目质量管理包括（计划、保证、控制）。

质量保证——用于有计划、系统的质量活动（例如审计或同行审查），确保项目中的所有必须过程满足项目干系人的期望。

质量控制——监控具体项目结果以确定其是否符合相关质量标准，制定有效方案，以消除产生质量问题的原因。与质量有关的产品是指实物和服务，项目质量管理是对项目本身的交付物、项目管理过程本身二类。要考虑质量成本。

质量策略（针对质量作出的全面的意图和方向）由组织的高层正式的发布，项目管理团队应针对项目开发一个项目质量策略，有责任确保所有的项目干系人知道该策略。

现代质量管理中的一项基本原则——质量出自计划和设计，而非出自检查。

阈值——以成本、时间、资源价值等参数来定义，是产品说明书的一部分。

一致成本——为达到产品或服务质量而进行的全部工作所发生的所有成本。

不一致成本——由于不符合要求引起的全部工作成本。质量计划的输出——质量管理计划：应该描述项目管理团队怎样建立它的质量策略。

质量管理计划还提供质量保证行为，包括：设计评审和质量审查。质量管理计划可以正式或非正式，详细或简要。质量度量指标用于质量保证、质量控制过程中。

质量保证是一项管理职能，贯穿于整个项目生命期，一般由质量保证部门或类似的相关部门完成。

质量审计：是对其他质量管理活动的结构性的审查，是决定一个项目质量活动是否符合组织、过程、程序的的评估。可以由内部审计师进行，或者第三方如质量体系注册代理人进行，常常由行业专家执行，由他们定义一个尺度。

不断维护项目基准的可用，是质量保证的诉求，同时也是质量保证方法。项目产品的质量控制由质量控制职能部门或类似部分负责，不断进行计划、测试、记录、分析。

项目过程结果的质量，却需要由项目管理组织的成员进行控制，项目管理过程的质量控制是通过项目审计来进行。

质量控制过程还可能包括详细的活动和资源计划。

预防——把错误排除在过程之外；检查——把错误排除在到达客户之前。

质量控制的工具和技术

检查（审查、产品审查、审计、走查等）、7种质量控制工作（核对表、帕雷托分析、因果分析、趋势分析、直方图、散点图、控制图）Ｐ183

帕雷托分析，排列图，ＡＢＣ分析法。Ａ类在70%－80%，Ｂ类到80%－90%，Ｃ类90%－100%。标准差，68%，95% ，99%

因果图（石川图、鱼刺图）人、机、料、法、环4Ｍ1Ｅ

6ＳＩＧＭＡ一百万里有3.4个瑕疵。

第十章项目人力资源管理（20140129）

全世界项目成功率25%

人力资源的管理行为，如劳动合同、福利管理以及佣金，很少是项目管理团队的直接责任。

项目人力资源是由参与到项目中的人组成的，而项目干系人是项目的结果会影响到的、或者他们的活动会影响到的项目的人群。

组织计划应当在项目全过程中经常性的复查，如不再有效，应当立即修正。

人力资源计划编制的工具和技术

组织结构图和职位描述（层次结构图、矩阵图、文本格式），目标都是确保每一个工作包只有一个明确的责任人。组织分解结构ＯＢＳ是根据组织的部门、单位或团队进行分解。职责分配矩阵ＲＡＭ－ＲＡＣＩ图（负责－执行－咨询－通知）,ＲＡＣＩ中人员可以被表示为个人或小组。资源分解结构ＲＢＳ

人力资源计划编制的输出：角色和职责

项目的组织结构图人员配备管理计划

组建项目团队的工具

事先分派、谈判、采购、虚拟团队：很少有时间或没有时间能面对面开会的人员。

团队四个时期：形成、震荡、正规、表现。ＦＳＮＰ，Forming\\Storming\\Norming\\Performing

马期洛五个层次：生理、安全、社会、受尊重、自我实现赫兹伯格：保健卫生（薪金福利、工作环境）、激励需求（自尊、自我实现）

ＸＹ理论。对于Ｘ，软措施是奖励、激励；硬措施是惩罚、管理，给员工很强压力。

对于Ｙ，以宽松环境，提共发展自主的空间。

项目开始阶段，可以用Ｘ，进行执行阶段，可以用Ｙ。

项目经理最好用奖励权力和专家权力来影响团队成员去做事，尽量避免强制力。（公司的授权——合法权力、奖励权力、强制力；项目经理本人——专家权力、潜示权力）

成功的项目团队：目标明确，岗位明确，流程简明有效，考核评价标准明确，组织纪律性，相互信任善于总结和学习。

团队建设

工具和技术有：

一般管理技能、培训、团队建设活动（可以在项目的状态评审会上进行五分钟，也可以户外，两个最常用的方法是使用体能挑战和心理偏好指示器（ＭＢＴＩ四种心理类型衡量尺度））、基本原则、同地办公（集中）、认可和奖励

团队管理

工具和技巧有：

观察和对话、项目绩效评估（360度）、冲突管理（几种解决办法：问题解决、妥协、求同存异、撤退、强迫）、问题日志

评价一个项目经理做得是否成功的标准是，看他是否能在绩效、时间、成本之间掌握平衡。

最关键的就是有效地管理项目的人力资源，有两种方法最有效地使用项目团队中的成员：资源负荷（看资源柱状图）、资源平衡。

第十一章项目沟通管理（20140130）

计划、信息、绩效、干系

确认信息的含义，是接收人收到信号，但并不需要理解信息，另一行为是反馈信息，指已经解码，读懂信息并回复。

参与、审查、反馈是对应非组员项目干系人的三大职责。美特卡伏定律：沟通渠道的数目＝n(n-1)/2

对于不同层次的项目干系人，应规定不同的信息格式。信息也是层层分解的。

沟通管理计划包括：项目统计会议、项目团队会议、电子会议、电子邮件的指导等。

信息分发

公司的管理层通常用大量的时间进行非正式沟通，领导者和项目成员的差异也源于此。

绩效报告步骤有：进度和状态报告、预测

绩效报告的工具和技术：信息表示工具、绩效信息收集和编辑、状态评审会议（内部例会等）

项目经理负责项目干系人的管理

面对面的会议是最有效的沟通和解决干系人之间问题的方法项目干系人管理的工具和技术：沟通方法、问题日志

沟通的原则：内外有别、非正式有利、采用能接受、升级早主别接升

高效会议方案：例会制度、放弃可开可不开的会议，发布通知、发资料、规则、总结、纪要

使用团队认可的思考方式：六顶帽子

需求分析一般分两个阶段：一是在立项初期，二是在项目启动阶段。如果系统集成商只是依据招标书的信息做出承诺，可能会导致项目计划不合理。

有时，尝试问一些“愚蠢”的问题也有助于客户打开话题。需求讨论会上必须把所有的讨论记录下来。人数大致控制在5-7人。项目需求，应尺可能由处于公司底层的人做出决策。

不要陷处到“客户总是对的”的陷阱中去，对他们百依百顺。现实中，客户并不总是对的。最后确定的需求说明书应该明确、可行、有优先次序。

第十二章项目风险管理（20140130）

具有不确定性的事件不一定是风险。未知风险是无法管理的。

项目各种风险中，进度拖延往往是费用超支、现金流出以及其他损失的

主要原因。

风险的属性：随机性（随机性就是许多事件的发生都遵循一定的统计规律）、相对性（投入与承受能力相反）、可变性

风险的分类，按风险后果划分：纯粹风险（不能带来机会、无获得利益可能的风险），只有两种可能的后果：造成损失、不造成损失。、投机风险，三种可能的后果：造成损失、不造成损失、获得利益。纯粹风险和投机风险在一定条件下可以相互转化。

风险不是零和游戏。在许多情况下，涉及风险的各有关方面都要蒙受损失，无一幸免。

按风险来源分：自然风险、人为风险。

风险成本：有形成本、无形成本、预防与控制风险的费用。有形成本：直接、间接损失；

无形成本：减少机会、阻碍生产率、资源分配不当。

预防与控制风险的费用：一般来讲，只有当风险事件的不利后果超过为项目风险管理而付出的代价时，才有必要进行风险管理。

风险成本不但要由项目主体来负担，在许多情况下，与项目活动有关的其他方面，客观上也要负担一部分风险成本。项目主体负担的那部分为个体负担成本，其他有关方面负担的部分为社会负担成本。

风险识别后，向项目范围管理提出任务。风险管理是项目成本管理的一部分。

风险管理过程的计划编制，应在项目规划阶段的项目早期完成。风险管理计划编制的输出，有风险分解结构ＲＢＳ。（20140205）

项目外部因素造成的风险是难以控制，所以只能采取一些规避或转移的方法去应对。

项目风险包括了蒙受损失和收益两种可能性。风险识别内容：风险——因素——后果

１、识别哪些潜在的风险——汇总成项目风险的清单

２、识别引起风险的主要因素——图表、文字或数字公式的方式描述３、识别风险可能引起的后果——主要是定性分析

风险识别的工具和技术文档评审

信息收集技术（头脑风暴、德尔菲Ｐ259、ＳＷＯＴ优劣机会威胁）检查表（从以往类似项目或信息来源中）图解技术（因果分析图即鱼骨图、流程图）

风险识别的输出，包含在一个叫“风险注册”的文档中。

定性风险

一些概率很低的风险不会为其定义级别，但是会包含在一个监视清单中以便将来进行监控。

对于每一个目标（时间、成本、范围），组织都可以地划分风险等级，也可以得到决定总体风险等级的方法（如加权平均）红色高风险可优先行动及积极应对策略；绿色低风险则放在监视列表并安排一定的应急储备外，不采取主动措施。

风险可以根据成本、时间、范围及质量单独地列出优先级清单，因为组织可以由一个目标来评价另一个目标。

到底采用定量还是定性风险分析，取决于实际进度和预算情况。

定量风险分析的工具和技术

访谈、概率分布、专家判断、建模技术（灵敏度分析（龙卷风图表）、期望货币价值分析（ＥＭＶ）、决策树分析、建模与仿真）在进度风险分析中，优先使用图表方法（ＰＤＭ）进度表。负面风险（威胁）应对策略：避免、转移（用契约转移）、减轻（增加冗余设计）

正面风险（机会）应对策略：开拓（分配更多好的资源给该项目）、分享（合作经营）、强大

同时适用威胁和机会的应对策略：有时采用一种风险接受策略（预留突发事件预备资源，包括进度、成本、资源）

残留风险：采取规避、转移、减轻应后措施后余留的风险，包括已经被

故意接受的风险。

二级风险：执行某一风险应对措施而直接引发的风险。

风险监控：跟踪已识别的风险、监测残余风险、识别新的风险。

一个主要的风险管理工具就是主要风险清单，应该定期“维护”，每隔一周左右就回顾这张清单，更新。要为主要风险清单制定详细的风险应对计划。

第十三章项目采购管理（20140205）

项目采购管理，包括合同管理、变更控制管理，也包括对项目买方与项目团队间合同的管理。

采购三个条件：产品的通用性、可获取性、经济性。

采购的时机，要考虑到项目的实际要求，还要考虑到供应商提供产品的到货周期等相关因素。

采购分招标、非招标两种，非招标多用于标准规格的产品，通过市场多方询价，有些特殊情况就直接采购。

采购计划也包括对潜在卖方的考虑，特别在买方希望能影响和控制卖方对于合同的分包时。

项目工作分解结构（ＷＢＳ）提茶了所有项目元素和项目交付物之间的关系。

自制和外购分析是范围定义过程的一部分。项目执行组织的长期战略也会是自制和外购分析影响决策的一个因素。

采购计划编制的输出：工作说明书（ＳＯＷ），由项目范围说明书、项目工作分解结构（ＷＢＳ）和字典制定而成。工作说明书应描述清晰、完整和简洁，应该包含任何必需的附带服务的描述（如绩效报告或项目完成后对采购物的支持），对信息系统集成项目，ＳＯＷ还包括对于培训和后续升级服务的要求。在某些应用领域，每一个采购都需要一份的工作说明书。不过多个产品或可以组合成一个采购项，只用一个单独的工作说明书来描述。

编制合同的输出

采购文档：当技术和方法作为重要因素考虑时才使用“建议书”。

最常见的两种采购文件是：请求建议书（ＲＦＰ）和请求报价单（ＲＦＱ）

请求建议书是一种拥有征求潜在供应商建议的文件，向可能的供应商发布ＲＦＰ。很大程度上可以等同于招标文件，而供应商的建议书则被视为招标的标书。

请求报价单，是一种依据价格选择供应商时的文件，ＲＦＱ与ＲＦＰ相比较，更容易准备，供应商可以不作出反应。

评估标准

如果采购物品已经存在于一些容易获得的渠道中，评估标准可限于采购价格。

建议书通常分为技术、商业两部分，这两部分会评估。合同可以是一个复杂的文件，也可以是一个简单的采购单。合同管理还包括财务管理部分。

第十四章合同管理（20140205）

合同：平等主体的自然人、法人、其它组织。合同有时也被称为协议、子合同、采购单。一般都有书面。

每个合同的生命周期可在项目生命周期的任何阶段结束。进入合同阶段是一种响应潜在风险的抉择方法。

合同：书面、口头、其他形式。口头要约可能与书面合同具有同等法律效力。

委托开发合同，开发完成的发明专利或技术秘密由开发人拥有，委托人具有优先受让和免费实施权力。

部分合同可能会有中介方（代理机构、中介、公证机关等）作为丙方存在。

甲方——采购方；乙方——供应方。

任何双方之间的承诺都会作为补充协议成为合同的一部分。

法人或其他组织的法定代表人、负责人超越权限订立的合同，除对方知道或者应该知道其超越权限以外，该合同有效。

免责条款（造成对方人员人身伤害、因故意或重大过失造成对方财产损失的）无效！

当事人请求变更合同时，人民或促裁机构不得撤销合同。一年内没有行使撤销权或放弃撤销权的合同不能再撤销。

重大误解、显失公平的合同有效，但有权请求人民或促裁机构变更或撤销。

无效合同：欺诈、以合法形式掩盖非法目的、损害国家、集体、第三人利益。

无效合同、被撤销合同自始没有法律约束力。

部分合同无效，不影响其他部分效力的，其他部分仍然有效。

合同书面形式：合同书、信件、数据电文（电报、电传、传真、电子邮件等）有形地表现所载内容的形式。

经济合同——应采用书面形式——除部分商品可采用及时结清外。

合同的订立，采用要约和承诺的形式。

要约——希望和他人订立合同。寄送的价目清、拍卖公告、招标公告、商业广告等，均为要约邀请。

要约到达受要约人时立即生效。使用数据电文，该电文进入受要约人指定系统的时间，视为到达时间，未指定系统的，进入收件人任何系统的首次时间，视为到达时间。

要约人可以撤回要约，如要约已到达，不能撤回，但受要约人发出承诺之前，要约人发出通知撤销要约。以下要约失效：一、拒绝要约到达受要约人；二、要约人依法撤销；三、承诺期限满，受要约人未作出承诺；四、受要约人对要约作出实质性变更。

承诺——是受要约人同意要约的意思。一般情况下以书面通知的方式作出。

信件未载明日期的，自投寄该信件的邮戳日期开始计算。（与要约不同，要约是要到达）

承诺可以撤回，但不可以撤销。

受要约人，超过承诺期限发出承诺的，该承诺自动成为其对要约人的新要约（除要我人通知受要约人该承诺有效外）有意思！

承诺对要约的内容作出非实质性变更的，该承诺有效，合同的内容以承诺的内容为准。

承诺生效地点，即为合同成立地点。数据电文形式——收件人主营业地；

合同书形式——双方当事人签字或盖章地；

合同成立地点当地对于合同拥有司法管辖权。

约定书面，未采用书面但一方已经履行主要义务，对方接受，该合同成立。

对格式条款发生争议的，按照通常理解予以解释，有两种以上解释的，应该和出不利于提供格式条款一方的解释；格式条款和非格式条款不一致的，以非格式条款为准。

采购双方都应该做好对方资格的审查。

合同的履行。

地点不明确，在接受货币一方所在地履行。

执行指导价的，价格变动，按照交付时价格执行；逾期交付标的物的，价格上涨，按照原价格；价格下降，按照新价格执行；逾期提取标的物或付款的；价格上涨，按新价格；下降，按原价格。（逾期方不利）

合同生效后，当事人不得因姓名、名称的变更或者法定代表人、负责人、承办人的变更而不履行合同义务。

一般法律规定民事权利的请求权期限是2年。

合同变更

当事人对合同变更的内容约定不明确的，确定为未变更。一方希望解除合同时，也可以作为一个合同变更请求提出。

除了根据合同性质、当事人约定和法律规定不能转让外，债权人可以将合同的权利全部或者部分转让给第三人。债权人转让权利的，应该通知债务人。通知不得撤销，但经受让人同意的除外。

义务或债务关系可以相互抵消时，可以终止双方的合同权利和义务。因组织机构变动或合同转让导致权利和义务归于一方时，合同自动终止。如并购。

若双方既定违约金又约定定金的，一方违约时，可以选择一种。

没有采取适当措施致使损失扩大的，不得就扩大的损失要求赔偿。一方因第三人的原因造成违约的，应该首先向对方承担违约责任。

组织需要建立自己的经济合同管理办法。

第十五章配置管理（20140205）

产品配置是一个产品在其生命周期各个阶段所产生的各种形式（机器可读或人工可读）和各种版本的文档、计算机程序、部件及数据的集合。每一个元素称为一个配置项ＣＩ。

配置项主要有两类：１、工作成果；２、属于项目管理和机构支撑过程域产生的文档（工作计划、项目质量报告、项目跟踪报告等）

配置管理的任务：计划、配置标识规则、变更控制、报告配置状态、配置审核、版本管理和发行管理。

配置管理计划由配置控制委员会（ＣＣＢ）审批。

基线（Ｂaseline）由一组配置项组成，常对应于开发过程中的里程碑（Milestome），一个产品可以有多个基线，也可以只有一个基线。基线的主要属性有：名称、标识符、版本、日期等。通常将总价值给客户的基线称为一个“Release”，为内部开发用的基线称为一个“Build”。产品的一个测试版本是基线的一个例子。配置管理系统３个（动态、主系统（受控）、静态），其中静态系统包含备用的各种基线的档案。

一般，项目成员不能拥有“删除”权限。配置管理员的权限最高。

发行基线——交付给外部顾客的基线；构造基线——内部使用的基线。

创建基线或发行基线，先由ＣＣＢ授权。

配置库，也称配置项库，是配置管理的有力工具。配置库有三类：开发库、受控库、产品库。

ＣＣＢ的任务是，对建议的配制项变更做出评价、审批、监督已批准变更的实施。成员包括项目经理、用户代表、项目质量控制人员、配置控制人员，不必是常设机构，小的项目ＣＣＢ可以只有1个甚至是兼职人员。

有的软件组织要求在提出变更请求前先提出故障报告（ＦＲ）配置项三种状态：草稿0.YZ、正式发布X.Y、正在修改X.YZ。

配置审核两个方面：功能配置审核、物理配置审核

实施配置审核的时机：交付或正式发行前；开发阶段工作结束后；维护定期。

配置审核工作中，由项目经理决定何时进行审核；由项目经理负责消除不符合现象；由项目经理和配置审核员决定审核范围。其它都是配置审核员的事。

状态说明的信息可通过变更请求（ＣＲ）和故障报告（ＦＲ）得到。变更状态可分为活动（正在实施变更）、完成（已完成变更）、未列入变更3种。

第十六章外包管理（20140205）

外包的形式

活动外包——把受到置疑的元素委派给另一外来企业组织，是一种短期的策略性解决方案。服务外包

内包（insourcing）——确保产值的一种应变措施，技术可以获得保存并开发资产。

合包——提供外包业务所需人员或经理人，关键不在于人员的流动，而是企业是否愿意让专业知识永远流失。利益关系——是一种长期合作关系。

服务水准协议书——需求规格书、合同的桥梁，它必须包含需求和衡量服务的方法，但最好将两者分开列出。服务水准协议书必须内含补救措施。

外包的整体规划期不只局限于项目时期，还需包括整个合同时期。

一个外包的合同流程经常必须经过两个阶段：了解备忘录（MoU）、整体合同。

MoU是一种较简短的协议书，不像合同那样具有法律约束，它描述的是道德上的，而不是法律上的义务。MoU的其中一项优点，是允许双方扩张他们的范围，以及双方对交易较困难部分广泛的态度分享。它是双方在流程初期，决定是否退出交易的一种方式。

ＩＴ和软件服务的合同，在一开始有必要对未来变更合同内容的流程加以注明，通常被称为“变更控制”。当外包正式开始进行时，购买者就应立即卸下密切监督相关服务方面的工作，购买者尤其不再注意对该单位经理和员工的满意度，这些任务将转嫁给供应商执行，然而合同一般会要求供应商提供购买者一定范围内相关事宜的报告。这些报告会以自评基础作准备。

签约双方必须针对受伤或生病员工的赔偿责任，在合同上达成协议。风险管理的目的，就是将风险“大事化小，小事化了”。

采用动态管理可以做到“大事化小”，等于是“鞭子效应”.Ｐ368.按空间、时间划成若干阶段，每个阶段都需要做出决策。

最优策略：不论过去的状态和决策如何，相对于前面决策所造成的状态而言，其后的决策必须构成最优策略。一个最优策略的子策略总是最优的。不论过去阶段的状态是何种形式，目前的决策都必须以当前状态为决策依据，来考虑下一步的活动，形成风险的“迁移效应”。

将大项目分割成一块块能更好管理的小计划，将可以减少风险。

第十七章需求管理（20140207）

需求管理ＲＥＱＭ的目的，是确保各方对需求的一致性理解，管理和控制需求的变更，从需求到最终产品的双向跟踪。

把所有与需求直接相关的活动通称为需求工程。活动有两大类：需求开发、需求管理。

需求开发：获取用户需求并定义产品需求，开发工作的需求基线（Baseline）。是功能需求和非功能需求的一个约定。（需求获取—分析—定义—验证）

需求管理：维持原有需求和所有产品及产品构件需求的双向跟踪。需求管理计划由项目经理审批。随着需求的演变，要求所有项目干系人之间对已批准的现行需求重新建立承诺。

制定需求管理计划的主要步骤：建立组织方针——确定资源——分配责任——培训计划——确定干系人——制定和判断项目工作与需求不一致的准则和纠正规程——制定需求跟踪矩阵——制定需求变更审批规程——制定审批规程

版本控制的最有力方法是用一个商业需求管理工具的数据库存储需求。只有项目风险承担者在开发过程中能控制变更。当不得不做出变更时，应该按从高级到低级的顺序对被影响的需求文档进行处理。扩展需求是指在软件需求基线已经确定后，又要增添新的功能或进行较大的改动。

在项目进度表中应该对必要的需求改动留有余地。只在做出提交承诺和分配资源后才采纳该需求。控制需求扩展的另一个

有效技术是原型法。

需求在开发中基本不变更——是“瀑布”型软件的前提。

变更控制过程

如果一个变更需求未被采纳，则其后过程不再予以考虑。

对于未获批准的变更，除可行性论证之外，不应再做其他设计和实现工作。

绝不能从数据库中删除或修改变更请求的原始文档。

在实践中，可以将一些具体的需求决定权交给开发人员来决定。但只要变更涉及两个人或两个人以上，都应该通过控制过程来处理。

变更控制委员会的，在ＣＣＢ意见不一致情况下可以独自做出决定。

制定决策的人应该进入变更控制委员会。ＣＣＢ中可能有客户代表。对于小项目只需几个人充当其中一些角色就可以，并不一定要面面俱到。建立变更控制委员会在保证权威性的前提下，应尽可能精简人员。

度量变更活动：先简单测量，后复杂测量。

表求需求和别的系统元素之间的联系链的最普遍方式，是使用需求跟踪能力矩阵。每个功能性需求，向后连接一个特定的使用实例。手工创建需求跟踪能力矩阵是一个应该养成的习惯，即使对小项目也很有效。

需求跟踪能力不能完全自动化，因联系链源于开发组成员的头脑中。变更只能在项目时间、预算、资源的内进行协商。

实现此项变更的开发人员可能需求详细的分析情况和工作量计划工单，但变更控制委员会仅需要影响分析的总结。可以视情况调整模板。

第十八章职业道德规范（20140207）

项目管理师行为准则，从其对职业的责任，和对客户及公众的责任这两个方面来规定。

第十九章组织级项目管理与大型项目管理（20140207）

组织级项目管理被认为是一种包括项目管理、大型项目管理、项目组合管理的系统的管理体系，它可以帮助企业实现其战略目标。它的根本意义在于，提高组织实现战略目标的能力。

项目组合管理的两个要素：风险评估、提高资源利用效率。是项目组织管理所要研究的主题。

项目组合管理要求对组织内部的所有项目都进行风险评估和收益分析。

传统的项目管理采取的是自下而上的管理方式，数据从底层收集，到高层分析后作管理与控制，是战术性的项目管理方式。

项目组合管理采取的是自上而下的管理方式，先确定组织的战略目标，优先选择符合组织战略目标的项目，在组织的资金和资源能力范围有效执行项目。

组织战略定义了组织发展的方向，其中组织的战略方法，存在两种不同的倾向：目标导向、资源导向。

在ＩＴ中，目标导向的组织占了绝大多数。目标导向关心的是组织的外部因系，即市场上可能存在哪些机会，资源导向关心的是组织的内部因素，即组织自身所建立的核心优势。

目标导向——所产生的市场机会体现在收益因素中；

资源导向——所阐明的组织自身优劣势体现在风险因素中。项目组合管理，执续不断评价，最大限度利用有限的资源。

项目组合管理的基本过程：项目选择、优先级排列。

优先级排列的目的——确保组织的资源得到最高效率的应用。

结构化的项目选择和优先级排列方法：决策表技术、财务分析、ＤＩＰＰ分析。

决策表：对项目的各个特征进行定性定量加权，特征与加权系数由组织的战略目标来决定。用的共同尺度就是ＥＶＭ(期望货币值)。决策表用在不十分精确的场合。

财务分析：净现值法、内部收益率法、投资回收期法。适用于项目初期的项目选择、优先级排列上。

ＤＩＰＰ分析：用于不同阶段的项目之间的比较。ＤＩＰＰ=ＥＭＶ(截止目前时间为止的期望货币值)/ＥＴＣ(估算到完成时的成本，还要多少成本)。即项目未来产生的收益与花费的成本之比。ＤＩＰＰ越高，意味着资源的利用率越高，越值得优先考虑资源的支持。

能力成熟度模型ＣＭＭ，特别强调了“应该做什么”，而没有约定“怎么做”。组织过程资产代表组织未来实施的某种能力，作为组织未来创造利润的核心。

导致系统改进的根本原因大都来自于过程本身的改变，或是技术的改变。

ＰＭＩ公布的组织级项目管理成熟度模型ＯＰＭ3的三个维度：过程组：启动、计划、执行、控制、收尾

知识领域：项目管理、大型项目管理、项目组织管理。过程改进的阶段：标准化、可测量、可控制、持续性改进。

ＰＭＯ项目管理办公室：将组织战略目标实现。有两大功能与作用：日常性职能、战略性职能。

战略性职能有：项目组合管理、提高组织项目管理能力。项目管理办公室还担负了培养专业项目管理人员的职责。

项目组合管理有两个任务：最主要的活动是进行项目组合的选择。１、将组织战略和项目关联；２、项目选择和优先级排定。

至少提供决策所需信息，由ＰＭＯ来负责；最后的决策由组织高层来批准。

项目选择的过程包括：识别机会；评估组织的适配性；分析成本、收益、风险；规划和选择一个组合。

组合管理所关心的是适配、效用和平衡。

适配——识别机会，与公司的战略方向是否吻合。效用——定义并分析项目效用方面的细节。平衡——项目组合的构建与选择。

将一种能力刻画成组织行为是成熟度模型的中心思想。

一般项目的计划主要关注的是项目活动的计划。

大型及复杂项目，在制定活动计划之前，必须先考虑项目的过程计划，也就是必须先确定用什么方法和过程来完成项目。

过程最根本的目的和益处在于：当你遵循一个预定义的过程时，具有较高的可能性来实现预定的目标和结果。

一个崇尚制度和纪律的团队经常最具有效率。一般在组织中，这个监督机制就是质量保证ＱＡ。大型项目先过程后计划

计划是考虑项目的效果（范围、质量）、效率（进度、成本）

一般来说，大型ＩＴ项目都是在需求不十分清晰的情况下开始的，两个阶段（需求定义、需求实现）。

前者是业务领域、后者是技术领域。

在制定项目计划时，大型及复杂项目所用的工具和一般项目管理差不多。

一般来说，大型及复杂项目的特征，范围，可以按照项目组织结构、产品结构、生命周期3个层次制定分解结构；进度，里程碑的设置至关重要。

项目实施和控制过程最关键的环节，是获取项目的实施绩效，和项目的基准计划进行比较。

范围和质量存在很大的信息失真可能（两者经常是相互关联的），而进

度和成本的实际绩效信息比较明确。

如真实绩效和基准计划出现偏差，则有两种措施：一是改进实施；二是项目变更。

范围变更，也就是需求变更来自于外部。与内部偏差一起，需要对变更统一的控制，大型项目中，变更控制委员会ＣＣＢ往往是项目的最高控制机构之一。

第二十章战略管理概述（20140207）

项目选择时，首先考虑的是项目的目标是否符合组织的战略需要。企业战略：关心企业外部胜于企业内部，关系着企业未来的发展方向、发展道路、发展行动等。企业战略是用来指导企业行为的一系列规则。企业战略是用ＳＷ（优劣）来评价企业现状，用ＯＴ（机会威胁）来评价现在和未来的环境。是一种以变革为实质的概念。

企业战略特点：全局性、长远性（5年以上）、抗争性、纲领性

一个组织的使命包括两个方面的内容：组织哲学、组织宗旨。组织哲学——价值观、信念、行为准则。

组织宗旨——指规定组织去执行或打算执行的活动，以及现在的或期望的组织类型。

一个组织的宗旨不仅要在创业之初加以明确，而且在遇到困难或繁荣昌盛之时，也必须经常再予以确认。

规定组织的宗旨是看它与顾客的关系。企业宗旨的唯一定义是“创造顾客”。

方针来自组织的哲学，是指导组织行为的总则。竞争对手的方针也影响组织的方针，在雇员工资、福利及工作条件等人事方针上更是如此。方针有助于确保组织中的一切单位按相同的基本准则来行动。

在制定方针是，要考虑极为重要的问题是，方针应有助于成功地实现组织的目标和战略的实施。

凡在成就和成果直接影响组织的生存和繁荣的那些方面，都需要建立长期目标。长期目标应遍布于组织内所有重要部门，而不要局限在某一领域，目标应是动态的。

短期目标是执行性目标，其时限常在1年以内。

长期目标和短期目标所起的作用，都是指明组织实现其使命的方向。

战略制定：提出今后的中长期发展思路和方案。包括企业的使命、目标、战略设想。

战略分析属于战略制定。外部分析宏观趋势分析

1、ＰＥＳＴ分析（政治、经济、社会和文化、技术）

2、ＳＣＰ分析（市场结构、市场行为、市场绩效）市场结构有市场集中度，市场行为有各种策略

行业分析（产业环境）

１、集中度分析（行业集中度也叫行业集中率，一般用行业中排名前4位的企业占全行业总产量或市场份额的比例来表示）贝恩分类法：ＣＲ４<30或ＣＲ８<40为竞争型；相反则为寡占型。

集中度上升的行业，可以加大市场投入、加快渠道建设往往能获取一定的成效。

2、价值链分析（利润在高的某环节上，战略控制点是在关键环节） 3、结构分析：五力模型，属于外部环境分析中的微观环境分析，主要用来分析本行业的竞争格局，以及本行业与其他行业之间的关系。

外部因素评价矩阵（ＥＦＥ）因素总数在10-20个。首先列举机会，然后列举威胁。加权分最高为4，说明利用机会并减少威胁；最低为１，说明公司的战略不能利用机会或回避威胁。

内部分析

１、竞争态势矩阵（ＣＰＭ）不分机会和威胁两类，关键因共素笼统、集中于内部问题的评价，注重的结果在于和竞争对手的横向比较，并明

确自己在竞争中的ＳＷ（优劣）。

２、内部因素评价矩阵（ＩＦＥ）因素总数在10-20个。列举优势、劣势。某因素即是优也是劣时，在ＩＦＥ中出现两次。

ＳＷＯＴ分析：优劣机会威胁

竞争优势不一定完全体现在较高的盈利率上，有时增加市场份额，或奖励管理人员或雇员。

做优劣分析时必须从整个价值链的每个环节上，与对手对比。衡量竞争优势，只能站在现在潜在用户角度，而不是站在企业的角度上。

战略三个层次：公司战略、业务战略、职能战略

综合战略涉及到企业成长方向，有加强、防御、扩张三种。竞争战略：差别化、集中型、低成本。差别化战略不可以忽略成本。

集中型是放在一个特定的目标市场。成本与差别是面向全行业。这两者不同。

战略新发展为：大规模定制、战略联盟、时基竞争战略。

时基竞争，将时间耗费列为最重要的管理和战略目标，增加消费者对自己的依赖性。

战略选择：波士顿矩阵（ＢＣＧ），其生命周期为——问题、明星、现金牛、瘦狗。

企业战略执行

企业战略计划与一般长期计划有两点不同。１、对未来看法不同。战略计划中，未来不是可以用外推法预测出来的，先进行环境变化前景分析等。２、工作过程不同。

长期计划适用于稳定的环境或可预期的环境；战略计划可应对环境的改变。

战略计划是高层管理者指挥的依据，同时也是所有管理人员的一项任务，每个管理人员都应参与制定和实施战略计划。战略计划是针对未来的。

战略计划所要解决的主要问题是如何使企业达成既定目标。战略计划是针对未来的。把未来的风险降到最低程度。制定战略计划的工作方式有4种：

１、自上而上（集权制，我国多数）２、自下而上３、上下结合（分权制）４、设立特别小组（小型集权制）

组织结构要服从于组织的战略。战略有前导性，组织有滞后性。

钱德勒原则：从外部环境的要求，去制定战略，根据新战略调整企业组织结构。

组织战略调整的基本原则：适应循环。与战略不相适应的组织结构是瓶颈。

组织有4种类型：防御、开拓、分析、反应（失败的类型）

防御：采用竞争性定价或生产高质量产品，采用机械式结构，适合于较为稳定的行业，但不能适应环境和市场的快速变化。

开拓：主要手段是变革。适合于动态的环境，在行业中保持一个创新者的声誉，比获得高额利润更重要。弱点是要承担资源分散使用、低利润的风险。

分析：处于防御与开拓之间，这类组织只在新的市场被证明具有生命力时才开始在该市场上活动。成功的分析型组织必须紧随领先的开拓型组织。最大危险：既不能适应市场的快速变化，又丧失组织效率。

反应：是一种消级无效的组织形态，采用动荡不定的调整方式。企业组织如果不是存在于经营垄断或被高度操作的行业里，就不应采取反应型组织形式。

战略评估：平衡计分卡。

第二十一章业务流程管理和重组（20140208）

流程至少应该有两个以上的活动组成。“流转”

业务流程管理ＢＰＭ，是规范化，以持续的提高组织业务绩效为目的。业务流程重组ＢＰＲ。ＢＰＭ不一定是彻底的重新设计业务流程，而是规范对流程进行设计，需要重新就重新，不需要就进行改进。

流程管理的本质，是构造卓越的业务流程。首先保证流程是面向客户的流程。

流程管理与原有的ＢＰＲ管理思想最要本的不同，就在于流程管理并不要求对所有的流程进行再造，而是根据现有流程的具体情况，对流程进行规范化设计。

三个层面：规范、优化、再造流程。

业务流程管理中最为重要的一个环节：业务流程设计流程三大类：战略类、营运类、支持性。

流程设计原则：至少让6个元素同步流动——工作任务、责任、目标与绩效、时间、资源、信息。目前，很多企业通常关注的要素，集中在工作任力的流动上，忽视其它，导致：

授权不明确、责任不到位、目标不清晰、流程的流通时间拖沓、资源不充分、信息不完整。

在进行ＢＰＭ时，要对流程进行描述，有文本、表格、图形。图形有流程图法（Flow Charts）

业务流程执行和关注的是执行的效率（所耗资源）、效果（完成情况）业务流程评估：应建立起内部与外部相结合的方式

价值活动有两类

基本活动：内部后勤、生产经营、外部后勤、服务

辅助活动：采购、技术开发、人力资源管理、企业基础设施

活动有三种类型

直接活动、间接活动、质量保证

ＡＢＣ成本法：基于活动的成本计算法，用于对现有流程的描述和成本分析，紧密跟踪每个作业的成本，记录为支持这些必要的活动所消耗的组织资源。

ＡＢＣ成本法与传统的成本核算方法的相似之处，在于收集成本信息，并将成本分配到成本中心。不同之处在于关注导致成本发生的原因，而不是对消耗的资源进行简单分配。

三个基本原则：关注昂贵资源、寻找多样性（产品变化其消耗量也显著变化）、关注需求模式与传统分配方式差异很大的资源

ＡＢＣ误差在5%-10%，传统在200%。ＡＢＣ始于与部门负责人的面谈。

流程重组ＢＰＲ是性变革；连续流程改进ＣＰＩ更稳妥。重组与改进并没有不兼容的根本区别，改进只是要考虑更多的方方面面，更好地实现平滑过渡。

实施流程重组ＢＰＲ的指导原则有：虚拟资源系统设计是ＢＰＲ的核心。

ＢＰＲ实施，涉及到技术、人文。广义的ＢＰＲ——多层ＢＰＲ实施体系结构三个层次：观念重建、流程重建、组织重建（将面向功能，转为面向流程）。

选择变革项目三标准：有严重缺陷的流程、对经营成功至关重要的流程、容易处理的流程。项目团队中，工人和经理都有代表，项目组把主要精力放在变革项目上。

第二十二章知识管理（20140208）

信息只有当经由带语境的思维模型解释和评价之后，才能称之为知识。知识管理要求项目管理模式由层次式的监督与控制，转变为扁平式管理。

显性知识与隐性知识。

隐性知识，以经验、印象、技术诀窍、组织文化、风俗等形式存在。显性知识可以通过阅读、视听、检索获得；隐性知识主要靠在实践中“边

干边学”获得。

隐性知识常常是高度个人化的，局限在非常具体的范围内，是形成竞争优势的基础，大部分的创造性设计开发成果为隐性知识。

知识管理是指，为了增强组织的绩效而创造、获取、使用知识的过程。有外部化、内部化、中介化、认知化四种功能。认知化是将由以上三种功能获得的知识加以应用的过程。知识管理应起到辅助工具的作用。内部网（intranet）是知识管理最有力的工具之一。

显性知识可以内部，也可以外部采集，如标杆管理和组织间协作。项目知识管理第一步，就是达到知识学习与共享。三个方面加强员工交流机会：公司物理环境的改造、组织结构的扁平化、设立网络虚拟社区。

显性知识的索引三种：文本、持有人、所在过程导向。

组织隐性知识划分为三个层次：员工个体、群体（团队、部门）、组织。

隐性知识的共享方法：编码化、面对面交流、人员轮换、网络（内部网络是共享知识的桥梁）

知识仓库——以知识需求为导向，源于公司事务系统和外部知识源的数据库。

版权，有形或无形的作品的个人的权利，也可以转换为一个组织所拥有的权利，包括建筑设计、电脑软件、动画设计等。任何一种作品，只要它是原创，或者是通过某一物质媒介表达出来，都可以获得版权。

知识产权三性：专有性、地域性、时间性

企业的智力资本可以分为五个层次：防御、成本控制、利润中心、整合、远见。

现阶段我国绝大多数企业所处的价值层次，为防御和成本控制。层次三到五就属于进攻性战略了。

数据库可以作为汇编作品受到版权保护。域名也应属于一种商业标记。突破了地域性。

“电子商务”是指以“数据信息”形式，即以电子、光或类似手段，也包括使用替代物替代以纸为基础的信息交换与存储方法，所进行的商业活动。电子商务分支付型、非支付型（信息查询、发布、商务谈判、合同签署）

信息流、资金流、物流、商流，把商流分解于前三者之中，从这一点上，电子商务与传统商务并无根本区别。知识产权贸易已成为电子商务活动。以电子申请形式独得的专利权、商标权，是获得知识产权的一种新途径，也可以看做是一种电子商务，一种特殊的电子商务。

第二十三章项目整体绩效评估（20140208）

项目整体绩效指的是，项目的范时成质信息，有的项目也包含风险和采购信息。

项目绩效评估，一般是指通过项目组之外的组织或者个人对项目进行的评估，通常是指在项目的前期和项目完工之后的评估。前期评估，主要是可行性评估。

绩效审计（3Ｅ审计）：经济、效率、效果，由的审计机构或人员，对合理性、经济性、有效性作监督、评价和鉴证。按时间分为事前、事中、事后绩效审计。事中审计是一种动态审计。

绩效评估以授权或委托的形式让的机构或个人来进行，就是绩效审计。

项目评估工作，可以在可行性研究的同时进行调查研究，在拿到报告后，提出评估意见。由机构完成。

项目评估原则：投资方案尽可能适应技术发展趋势、尽可能采用世界上先进的工艺技术和设备。但当技术的先进性和经济性发生矛盾时，最终判别的标准，是经济效益与社会效益，是否有利于可持续发展。

信息系统绩效评估原则：

应用效果评估——有预期的经济收益、管理效益。霍尔三维结构：逻辑、时间、知识。

项目风险：项目在其外部环境、内部运行条件、生命周期内自然存在的

导致项目绩效损失的变化程度。

模糊数学，是用精确数学的方法处理具有模糊性问题的数学。

典型的项目生命周期图形为“Ｓ”型“慢－快－慢”

项目风险评估，40%以下为低风险，70%以上为高风险。

项目财务绩效评估

内部收益率法（ＩＲＲ法），修正的内部收益率法（ＭＩＲＲ法）

对项目的投资效果进行经济评价的方法，有静态分析法、动态分析法。动态分析法也叫贴现法，有净现值法ＮＰＶ、内部收益率法ＩＲＲ第二十四章一般来说，同一项目的修正内部收益率ＭＩＲＲ会比不修正的内部收益率ＩＲＲ要小，从而使项目评估更为贴近实际。

第二十五章信息安全系统和安全体系（20140208）

安全空间的五大属性：认证、权限、完整、加密、不可否认信息安全系统架构体系：

１、ＭＩＳ+Ｓ系统架构“初级”，业务应用系统基本不变、硬件与系统软件通用、安全设备基本不带密码。安全设备是指在“应用系统”之外的信息安全设备，如防火墙、安全路由、网络隔离、动态口令卡、病毒防治、漏洞扫描系统、入侵检测系统等。不使用ＰＫＩ/ＣＡ的ＶＰＮ设备也属于这个范畴。

２、Ｓ-ＭＩＳ系统架构“标准”，建立在ＰＫＩ/ＣＡ标准上，业务应用系统必须根本改变，硬件与软件通用，ＰＫＩ/ＣＡ安全保障系统必须带密码。

３、Ｓ2-ＭＩＳ系统架构“超安全”，业务应用系统必须根本改变，硬件与软件专用，ＰＫＩ/ＣＡ安全保障系统必须带密码。

第二十六章信息系统安全风险评估（20140208）

无形资产：诚信、可靠的信誉、产品的商标、商家的专利、知识产权等。生产厂家的产品和工艺流程、参数等，为有形资产。从业务应用信息系统安全威胁的分析来看，单位的“无形资产”是在“有形资产”破坏之后才引发的结果。

信息安全保障系统首先要考虑“有形资产”的保护。

风险的性质分：静态与动态；风险的结果分：纯粹与投机。

自然事件风险，是不以人的意志为转移的不可抗拒的天灾人祸，如911事件等恐怖事件都是自然事件风险。人为事件风险，

１、意外的人为事件风险：内部涉密人员有意或无意泄密、无意更改重要记录信息、非授权人员无意查看或存取保密信息，随意的一切操作……

２、有意的人为事件风险：欺诈、偷窃、内部员工的有意破坏、侵犯他人个人隐私、恶意代码、黑客。恶意的黑客行为，是指那些没有被授权的人非法侵入一个机构的计算机系统进行破坏的行为，包括内部和外部。

软件过程风险

软件需求阶段的风险最大！

设计本身的风险主要来自于系统分析人员，这一阶段另一种风险来自于设计文档。

大型软件系统的最大风险：对系统可维护性的轻视。

控制避免信息应用管理风险的唯一办法：制定监督制度，完善项目管理机制。

未授权访问数据的风险：包括允许外界访问和了解目前组织状态与特征的信息泄露。

安全威胁的对象就是一个单位的有形、无形资产，主要是有形资产。在鉴定资产时要注意在信息系统中的资产不只是软件和硬件，还包括了很多其他内容，如工作人员、单位形象、企业的字号、文档资料、各种服务等。

资产评估鉴定的理由是：要区别对待。所以资产评估一定要结合单位的实际需要和实际环境进行。

在一个划定的评估范围内的所有资产都必须进行鉴定，而对所有被排除

在这个范围内的资产不论什么原因，也有必要进行额外的评估鉴定以确

定它们没有被遗漏或忽略。

某单位资产被评估鉴定的细致程度要和该单位资产的价值相适应。有必要对其价值或重要性做出一个非经济方面的评估，如用资产的质量作为其价值或重要性的量度。

针对特定的单位来说，可以特定低、中、高三种情况等符合其特定情况的评估鉴定标准。

资产之间的相关性在进行评估鉴定时是必须考虑的一个问题。资产评估鉴定的最后一步，就是列出一个所有被评估鉴定的资产清单。威胁、脆弱性、影响之间存在着一定的对应关系。

威胁是系统外部产生的，脆弱性是客观存在的，假设威胁不存在，系统本身的脆弱性仍然带来一定的风险。影响是威胁与脆弱性的特殊组合。安全薄弱环节还可能与资产的性质或属性有关。

如果只有安全薄弱环节而没有与之相对应的安全威胁；或只有安全威胁而没有与之相对应的安全薄弱环节，就不能看作一项风险。

第二十七章安全策略（20140210）

这里指计算机业务应用系统为保护采用的措施、手段，以及各种管理制度、法规等。

一个单位一定要建立安全策略，安全策略来源于单位的“安全风险（威胁）”。安全策略的核心内容是“七定”：定方案、岗、位、员、目标、制度、工作流程。首先是定方案，其次是定岗。安全策略要经过单位的全员讨论修订。

各个安全要素是同等重要的。

安全等级一共5级。第1级为用户自主保护级，普通内联用户；第3级为安全标记保护级，适用于国家机关、金融单位、重点工程建设等；第4级为结构化保护级，适用于级国家机关、国防建设等部门；第5级为访问验证保护级，适用于国防关键部门等。

安全策略设计原则中，有职责分离原则。管理和执行功能实施分离。

拟定业务应用信息系统的功能，是建设信息安全系统的最关键、最基本的、又是最首要的一环。

第二十八章信息安全技术基础（20140210）

密码技术是信息安全的根本。是建立“安全空间”“认证、权限、完整、加密、不可否认”5大要素的“基石”。

明文为Ｍ，密文为Ｃ，加密就是从Ｍ到Ｃ。

对称密钥：加密与解密函数都使用同一个密钥Ｋ１。有ＩＤＥＡ,ＤＥＳ,3ＤＥＳ,ＲＣ4.

ＤＥＳ56，ＩＤＥＡ128密钥长度。

对称密钥优点：快、简单、适合一对一的信息加密传输过程。对称密钥缺点：加密强度不高，不适宜一对多。

非对称密钥：加密用公钥，解密用私钥。有ＲＳＡ,ＥＣＣ。优点：加密复杂，适合一对多，尤其是互联网。

缺点：慢、复杂、明文攻击很脆弱，不适用于数据的加密传输。

数据签名：先计算ＨＡＳＨ值，用私钥加密，用公钥解密。与非对称密钥相反。

记忆方法：签名都是私人，所以是私钥加密。

数字时间戳服务ＤＴＳ，由专门的单位机构提供电子文件，是一个经加密后的凭证文档，有三部分：摘要ＭＤ，日期时间，数字签名。

事实上，不对称密钥加密算法更多的时候是用于对称加密密钥的传送。

ＶＰＮ虚拟个人网；ＶＬＡＮ虚拟本地网。有两种ＶＰＮ，IPSec VPN和MPLS VPN。 IPSec VPN并不需要基于ＰＫＩ技术，它可用共享密钥在网络端点进行加密。使用两个协议来保障ＩＰ上的安全传输：ＡＨ认证头协议和ＥＳＰ封装安全载荷协议。采用传输模式和隧道模式来传输加密的数据。

MPLS是在ＡＴＭ基础上发展起来的。比IPSec VPN更强安全性等，可以简化ＶＰＮ的配置和管理，提高ＶＰＮ的可扩展性。

无线网络有两个主要的部件：基站ＳＴＡ，网络桥接器ＡＰ. ＡＰ的作用就好比是网桥。

无线安全网络ＷＬＡＮ的安全机制ＷＥＰ：不像IPSec协议一样用于提供网络安全，而是用于提供无线网的对等的保密级别。用流码ＲＣ4. ＷＥＰ２：

ＷＰＡ：替代ＷＥＰ的加密系统ＴＫＩＰ，是802.11i解决方案完成前的一个过渡措施。中国标准WAPI。

第二十九章ＰＫＩ公开密钥基础设施（20140210）

ＰＫＩ是解决５要素目前唯一可行的技术，以不对称密钥加密技术为基础。

数字证书提供了ＰＫＩ的基础。认证中心ＣＡ是ＰＫＩ的核心。ＰＫＩ的体系架构：信任服务体系与密钥管理中心ＫＭＣ。

公钥两大类用途：用于验证数字签名；用于加密信息。签名私钥绝对不能够作备份和存档。解密私钥应该进行备份。

ＰＫＩ/ＣＡ对数字证书的管理是按照数字证书的生命周期实施的。用户向一个企业Ｃ提交证书请求时，请求会立即得到处理，因为企业ＣＡ使用活动目录来验证用户。证书请求被立即拒绝或批准。

如撤回证书时，不会撤回客户机上所有的证书，而仅仅撤回ＣＲＬ中指定的证书。

所有的证书都有一个有限的生命周期。到期后，用户都需要与ＣＡ联系，申请一个新的证书。

一个发行ＣＡ直接给用户颂发证书，而不是颂发给其他ＣＡ。

多对一映射：对许多用户进行身份验证。

ＰＫＩ/ＣＡ的信任结构

在层次结构中的每个实体（包括中介ＣＡ和终端实体）都必须拥有根ＣＡ的公钥。

以用户为中心的信任模型，一般在公司、金融或环境下是不适合的。

ＣＡ的证书库是网上的公开信息库。

证书更新一般由ＰＫＩ系统自动完成，不需要用户干预。

电子政务：Ｇ2Ｃ、Ｇ2Ｂ、Ｇ2Ｇ网上证券在线交易是单向认证过程，券商服务器只需要认证股民证书是否为合法股民即可。

第三十章ＰＫＩ权限（授权）管理基础设施（20140210）

访问控制的两个重要过程：认证、授权

访问控制机制有两种：强制访问控制ＭＡＣ，自主访问控制ＤＡＣＭＡＣ中，用户不能改变他们的安全级别或对象的安全属性，所有主体（用户、进程）、客体（文件、数据）都被分配了安全标签，标识一个安全等级。

ＤＡＣ中，允许对象的属主来制定针对该对象的保护策略，通过授权列表（或访问控制列表ＡＣＬ）来限定操作。

访问控制安全模型ＢＬＰ上读下写，保密性；Ｂiba下读上写，完整性。（都是不能的意思）

基于角色的访问控制ＲＢＡＣ，用户不能自主地将访问权限授给别的用户，这是ＲＢＡＣ与ＤＡＣ的根本区别所在。ＭＡＣ基于多级安全需求，ＲＢＡＣ不是

ＰＭＩ即权限管理基础设施或授权管理基础设施，核心思想是以资源管理为核心，将对资源的访问控制权，统一交由授权机构进行管理，即由

资源的所有者来进行访问控制管理。

ＰＭＩ建立在ＰＫＩ基础上，ＰＭＩ主要进行授权管理，即“你能做什么”，ＰＫＩ主要进行身份鉴别，即“你是谁”。

ＰＫＩ信任源称为根ＣＡ，ＰＭＩ信任源称为ＳＯＡ。

ＡＣ属性证书，表求证书的持有者（主体）对于一个资源实体（客体）所具有的权限。特点：时效短，一个人可以拥有好几个证书，几个属性的证书可以来自不同的机构。有推、拉两种模式。

访问控制授权方案：

ＤＡＣ、ＭＡＣ、ＡＣＬ（目前应用最多）、ＲＢＡＣ

在ＰＭＩ中主要使用基于角色的访问控制。其中角色提供了间接分配权限的方法。

第三十一章信息安全审计系统Ｓ-Ａudit（20140210）

信息安全发展里程碑ＴＣＳＥＣ（橘皮书），共4大类7级，Ｄ类为最小保护。审计机制应作为Ｃ2或以上安全级别必须的安全机制。安全审计两方面内容：

１、采用网络监控与入侵防范系统；２、对信息内容和业务流程的审计。信息安全审计系统是“黑匣子”和“监护神”

是采用数据挖掘、数据仓库技术，实现在不同网络环境中，终端对终端的监控和管理。

入侵检测是从信息安全审计派生出来的。

入侵检测与安全审计是一对因果关系，前者是手段，后者是目的。

安全控制中心原则上可以连接在网络的任何部位。基于主机的监测与基于网络的监测相比，最显著的弱点就是它不具备入侵实时阻断功能。

第三十二章信息安全系统的组织管理（20140210）

信息安全管理以各个“安全域”管理为主，跨“安全域”的管理为辅。各级部门都应制订相应的安全管理制度。

ＩＳＯ/ＩＥＣ 17799 是由国际标准化组织（ＩＳＯ）颁布的一套信息安全管理标准。

ＩＳＯ/ＩＥＣ 27000为信息安全管理体系标准。

第三十三章信息安全系统工程（20140210）

信息系统ＭＩＳ

任何一个信息系统，必定要有两个系统的生命周期“并存”：业务应用信息系统生命周期、信息安全系统生命周期，后者永远处于“次要”地位。ＩＳＳＥ-ＣＭＭ信息安全系统工程能力成熟度模型，抽取一组“好的”工程实施并定义了过程的“能力”。其将信息安全系统工程实施过程分解为三个基本部分：风险过程、工程过程、保证过程。

一个有害事件由威胁、脆弱性、影响三部分组成。如无脆弱性和威胁，就不存在有效事件，也就不存在风险。安全措施可针对威胁和脆弱性自身。

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文

信息系统项目管理师教程-软考高项 重点笔记

信息系统项目管理师教程-软考高项重点笔记