登录
资料来源:OGC
 |
1995年,英国贸工部根据英国国内企业对信息安全日益高涨的呼声,组织大企业的信息安全经理们制定了世界上首部信息安全管理体系标准BS7799-1:1995《信息安全管理实施规则》,作为企业和政府组织实施信息安全管理的指南。1998年,英国又制定了第一部《信息安全管理体系认证标准》BS7799-2:1998《信息安全管理体系规范》,作为对一个组织的全面或和部分信息安全管理体系进行评审认证的依据标准。此后英国又进行了多次修订并提交给ISO。2000年12月,ISO/IEC正式采纳BS7799-1:1999做为国际标准ISO/IEC17799:2000。
ISO/IEC 17799包含10个管理要项,分别是:安全方针、安全组织、资产分类与控制、人员安全、物理与环境安全、计算机与网络管理、系统访问控制、系统开发与维护、业务持续管理及合规性。ISO/IEC 17799模型如图3所示。
 |
PRINCE2——受控环境下的项目(Projects IN Controlled Environments),一种对项目管理的某些特定方面提供支持的方法。
项目管理向来就是一个充满挑战的管理,管理人员必须在事先确定好的人力、物力、财力、时间基础上产出预期质量的项目结果。项目管理中的失控一直就是官、产、学界关心的热点问题。
早在20世纪70年代,英国政府就要求所有政府的信息系统项目必须采用统一的标准进行管理。1979年CCTA采纳Simpact Systems公司开发的PROMPT项目管理方法作为政府信息系统项目的项目管理方法。在PROMPT项目管理方法的基础上,20世纪80年代年英国政府计算机和电信中心(CCTA)(后来并入英国政府商务部(OGC))出资研究开发PRINCE,1989年PRINCE正式替代PROMPT成为英国政府IT项目的管理标准。
1993年,OGC又将注意力转移到PRINCE新改版PRINCE2的开发。通过整合现有用户的需求,同时提升该方法成为面向所有类型的项目的、通用的、最佳实践的项目管理方法。在OGC的组织下,大量项目管理的专家和学者组成设计和开发团队,超过150家公共和私人组织参加评审委员会,并为开发工作提供有价值的反馈意见。开发工作于1996年3月正式结束。
PRINCE2是基于过程(Process-Based)的结构化的项目管理方法,适合于所有类型项目(不管项目的大小和领域,不再局限于IT项目)的易于剪裁和灵活使用的管理方法。每个过程定义关键输入、需要执行的关键活动和特殊的输出目标。
该方法描述了一个项目如何被切分成一些可供管理的阶段,以便高效地控制资源的使用和在整个项目周期执行常规的监督流程。依据项目的大小、复杂度和组织的能力,该方法描述了项目中应涉及到的各种不同的角色及其相应的管理职责。Prince2的项目计划是以产品导向的,也就是说项目计划强调项目按预期交付结果,而不是简简单单计划在何时该做何事。
一个PRINCE2项目由业务状况(Business Case)进行驱动,业务状况用于描述启动和继续一个PRINCE 项目的信息。它给出了项目的动机,且回答了“ 为什么”。它在整个项目的若干关键点处被更新。业务状况往往和项目进度相结合,来确保项目目标的实现,尽管这些项目目标可能在整个项目周期中会有所变化,但仍能很好地被满足。
PRINCE2提供从项目开始到项目结束覆盖整个项目生命周期的基于过程的结构化的项目管理方法,共包括8个过程,每个过程描述了项目为何重要(Why)、项目的预期目标何在(What)、项目活动由谁负责(Who)以及这些活动何时被执行(When)。如图4所示。
 |
