Share on:


GEIT 框架的实际应用,第 3 部分: 创建项目计划

作者:Peter C. Tessin,CISA、CRISC、CISM、CGEIT

COBIT Focus | 2018 年 7 月 23 日 English

Peter C. Tessin 关于计划的重要性,有一句老话说得好:“没有计划就是在计划失败。”这句话听起来像是陈词滥调,但事实确实如此。如果没有明确、全面、充分定义且获得批准的计划,很少有项目能够成功实现目标。

因此,本文的主题是:创建项目计划来支持解决方案。本文是关于企业 IT 治理 (GEIT) 框架实际应用的系列文章(分为 6 部分)的第 3 部分,描述了为支持 第 2 部分 中设计的解决方案而构建的计划。本文内容包括请求项目授权、定义项目范围、设计项目时间表以及明确项目要求。

项目计划的基本要素是获得授权、具有明确的要求,以及拥有可用于开展工作的资源。要真正有效地实施治理结构,必须得到组织高层的支持。如果董事或经理独立实施治理结构而无法证明已获得高层的承诺,可能会遭到受影响部门的抵制。

项目计划必须包含项目章程、要求详述、明确了里程碑的项目时间表(包括甘特图)1 ),以及沟通计划。

第一步是设计和撰写项目章程,并获得关键员工支持项目实施的承诺。关于本系列文章所述案例中的关键人员,可参考《COBIT 5:启用流程》“APO13 管理安全”流程中的 RACI(执行人、责任人、被咨询人以及被通知人)表。RACI 表将首席信息安全官 (CISO) 指定为管理安全流程的责任人。在本例中,CISO 应作为项目发起人。可使用章程向企业传达项目的授权,包括发起人的签字。

下面是一个项目章程范例,可用作项目规划的模板。


项目章程模板

安全管理项目章程
2018 年 7 月 9 日

项目名称: 安全管理治理结构的实施

范围和目标: (企业名称)正在着手解决一项内部审计结果,即内部控制环境缺乏适当的监督。为解决这一问题,治理团队将分析安全管理领域内的潜在弱点,并设计和实施治理结构要素来纠正发现的问题。该项目将作为概念验证练习来实施,如果成功,将有助于形成更广泛的战线来解决内部控制监督问题。

项目描述: 分析现有控制和控制活动,以确定有效的设计和安全管理的运作有效性。确定工作成果并评估支持流程目标的流程能力。如果发现差距,应设计工作成果和实践活动,以满足定义的工作成果要求。

项目假设: 分配到此项目的员工可用,并根据项目要求为其提供业务部门职能的访问权限。该项目将于 2018 年 12 月 31 日完成。建议在该日期后 2 周内对内部控制环境进行一次更广泛的检查。

项目组织: 该项目需要一位来自治理团队的项目经理 (PM),其他团队成员将由他/她安排。信息安全经理、企业架构、运营和服务经理需要定期参与,整个项目持续期内需要他们投入 50% 的时间。

团队职责: 项目经理将:

  • 确定分析安全管理流程实践所需的员工和技能。
  • 分配工作任务并参照计划里程碑记录进展情况。
  • 向项目发起人报告项目状态和进度。
  • 报告结果并提出最终建议。

项目批准:
 

姓名

职务

签名

Jane Doe

首席信息安全官 (CISO)

(签名)Jane Doe


定义和安排项目任务

根据章程中定义的范围,必须制定一系列工作任务。定义和描述任务的详细程度应该与整个项目的复杂性一致。除了任务内容,项目时间表通常还用于传达计划的开始和结束日期、实际的开始和结束日期、分配的资源,以及对其他任务的依赖关系。图 1 展示了一个简化版本的时间表范例。


图 1 — 简化的项目时间表模板范例(甘特图)

任务

开始日期

持续时间(天数)

资源

完成百分比

项目章程获得批准。

2018 年 8 月 1 日

1

项目经理

启动项目。

2018 年 8 月 2 日

1

项目经理

分配项目团队成员。

2018 年 8 月 2 日

1

项目经理

分析安全管理实践。

2018 年 8 月 6 日

10

团队成员

确定当前工作成果。

2018 年 8 月 20 日

10

团队成员

评估流程能力。

2018 年 9 月 4 日

9

项目经理、团队成员

确定实践差距。

2018 年 9 月 17 日

5

项目经理、团队成员

定义必要的工作成果和实践活动。

2018 年 9 月 24 日

15

项目经理、团队成员

与业务部门建立新的实践。

2018 年 10 月 15 日

15

项目经理、团队成员、业务部门

评估新实践的有效性。

2018 年 11 月 5 日

30

项目经理、团队成员、业务部门

整理数据并撰写最终报告。

2018 年 12 月 17 日

4

项目经理

项目收尾并召开结束会议。

2018 年 12 月 21 日

1

项目经理


制定沟通计划

PM 必须针对如何向项目发起人和其他利益相关方及时传达项目状态设定期望。PM 还必须提供每位团队成员和业务部门参与者的姓名和联系信息。这些详细信息将包含在沟通计划中。该计划用于快速联系相关人员,还用于确认项目状态的报告频率、必须通知的人员和相应的时间安排,以及通知方式。


沟通计划模板范例

报告联系人: 企业 CISO

项目状态会议: 每周一次,最好在周四早上举行

报告格式: 完成情况仪表盘

项目团队联系人:
 

姓名

职务

电子邮箱

电话

(姓名)

CISO

CISO@company.com

123-555-1212

(姓名)

项目经理

PM@company.com

123-555-1213

(姓名)

信息安全经理

ISM@company.com

123-555-1214

(姓名)

企业架构师

EA@company.com

123-555-1215

(姓名)

服务经理

SM@company.com

123-555-1216


工作概述 — 后续内容

本系列的下一部分将讨论如何概述工作并描述每个角色的贡献。此外还将进一步定义各项工作成果,详细说明每项工作成果的创建人以及如何将它们与流程结构设计联系起来。


Peter C. Tessin,CISA、CRISC、CISM、CGEIT

Tessin 是 Discover Financial Services 的一位高级经理。他负责领导商业技术 (BT) 风险部门内的治理小组。在此职位,他主要负责确保政策、标准和程序与企业目标保持一致。他既是负责监管考试管理的内部方,也是企业风险管理部门的内部联络人。在担任此职位之前,Tessin 是 ISACA ® 的一位技术研究经理,期间,他担任 COBIT® 5 的项目经理,领导开发了其他 COBIT 5 相关的出版物、白皮书和文章。Tessin 还曾在 ISACA 网站 COBIT Online, 的设计工作中担任核心角色,该网站提供了方便的途径访问 COBIT 5 产品系列,并且包含协助使用 COBIT 的交互式数字工具。在加入 ISACA 之前,Tessin 是一家内部审计事务所的高级经理,领导客户参与工作,并负责 IT 和财务审计团队。之前,Tessin 还曾担任多个行业职位,包括会计师、应用开发程序员、会计系统顾问和培训师、业务分析师、项目经理和审计师。他在原籍国美国之外的许多国家/地区有过丰富的工作经验,包括澳大利亚、加拿大、法国、德国、意大利、约旦、墨西哥和英国。


尾注

1 Gantt.com, 什么是甘特图?