it项目经理述职报告
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇it项目经理述职报告范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
it项目经理述职报告范文第1篇
在PCAOB(美国公众会计监管委员会)审计标准Ⅱ中也特别指出,IT控制设计很重要,不可低估控制设计在整个IT控制环境中的重要性,并强调IT控制能有力地支持整个内部控制环境。该标准又进一步指出:公司整体内部控制系统的有效性依赖于“其他控制是否有效”(指的是控制环境或IT一般控制的有效性)。 因此,理解IT控制与IT控制体系设计的相关理念,成为企业必备的重要能力。
首先,我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序,以达到期望结果或目的的总体描述。可见,事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。
然后,我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延:
1.从人员职责角度看:首先是以下三类人员的职责:
管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证;
低层管理者与员工――主要职责是执行控制;
审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。
2.从IT控制的构成角度看:IT控制包括IT控制环境、IT一般控制、IT应用控制。
3.从IT控制对象与范围看:IT控制对象包括企业IT生命周期的所有流程。
实现IT控制,中国企业需要应对三大挑战
国内企业信息化建设速度越来越快,信息化水平越来越高,业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言,运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,已经成为财务报告系统强有力的支持。
随着萨班斯法案的出台,财务报告的内部控制几乎离不开IT控制,即使业务层面的管理控制也是IT支撑环境下的控制。但是,信息技术是一把双刃剑,其潜在风险也越来越大,企业在建立有效的IT控制,以保证财务报告的有效性方面正面临着巨大的挑战。
但是,目前国内企业的内部控制体系多为传统的会计控制及管理控制,对IT控制缺少系统的考虑,企业的IT控制面临三大挑战。
挑战之一:CIO缺乏内部控制理论与实践。
以萨班斯法案的要求来说明,404条款的遵照执行有四个阶段:1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式,以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,因此难负其责。尽管不能说IT人员没有参与风险管理,但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO(首席信息官)们现在到了不得不补课的时候了,当务之急是补充有关内部控制方面的知识,理解企业所制定的SOX遵循计划,才能专门针对IT控制拟定一个遵循执行计划,并把这个计划与总体的SOX遵循计划相整合。
挑战之二:缺乏系统的IT控制体系
事实上,每个企业或多或少都有一些IT控制制度,很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到,我们需要的是“发现问题,解决问题;发现新问题,解决新问题”的持续改进体系。同时鉴于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范且不成体系,控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域,缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。
挑战之三:现有IT控制体系不具有可审计性
萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。
我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度,但该体系的完整性、有效性以及遵照执行情况缺少评价,或没有证据进行评价。
因此,我们构建IT控制系统时必须从全局着眼,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT控制体系。
构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制
对于企业,我们认为在构建IT控制体系时,需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明,笔者将以如何设计符合萨班斯法案要求的内部控制为例,来展示构建IT控制体系的主要思路,以供参考。
1. 要认识到构建IT控制体系是一个循序渐进的过程
SEC管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业,这些企业的规章制度普遍较为健全,所以对于它们而言,更为重要的是如何根据内部控制的理念和原则,结合企业的实际情况,对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验,因此,IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。
2. 要选择好内部控制框架
法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中,明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架,来评估公司财务报告内部控制的有效性,SEC也从侧面认可COSO框架。COSO 认为,内部控制是由企业董事会、经理层和其他员工,为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
尽管COSO正在成为理解和评价内部控制的全球性框架。但是,COSO不是唯一的控制框架,在有些情形下甚至可能不是最好的或最易于使用的框架,尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前,COBIT(信息系统和技术控制目标,Control Objectives for Information and related Technology)正在成为更好地理解信息技术环境下内部控制的国际公认框架,该框架由美国IT治理研究所(ITGI),是一个IT风险管理与IT控制的综合性分析框架,由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此,该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品,而是COSO框架的有力补充,这是因为在信息技术条件下,管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况,以及支持这些流程的控制。
尤其是那些信息资产密集型或高度依赖于自动化处理的企业,理解和评估信息技术条件下的内部控制是一项巨大的挑战,但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效,COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说,其庞杂体系令人望而却步,其指南分散在有很多图表构成的多卷本中。并且,COBIT自1996年问世以来,在很长的一段时间里,许多审计人员单纯地将COBIT看作是专门的信息系统审计工具,认为它对其他审计工作帮助不大。我们认为,虽然COBIT的重点仍然在于IT,但是所有的相关人员包括审计人员都要研究COBIT框架,并将它作为一款优秀的控制框架,用于帮助实现萨班斯法案的合规性要求(COSO、COBIT与SOX的对应关系见图1)。
整合运用COBIT与COSO作为构建IT控制的框架,是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。
3. 建立一套自评估机制,确保内部控制系统的持续有效
众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明,这也迫使公司必须建立一套控制自评估机制,评估内部控制体系设计、执行是否有效,以支持管理层的声明。同时,自评估机制也可以帮助公司发现控制薄弱区和控制漏洞,及时审时度势,弥补内控体系的缺陷,确保内控体系持续有效。这也正是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会(IIA)在1996年研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试(见图2)。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了评估企业内部控制水平,指导企业进行差距分析并确定改进目标,建议企业借鉴成熟度理论,描述企业IT控制有效性的各种等级。
Level 1 不可靠级 不可预知的环境,在这种环境中,控制活动没有设计或不适当;
Level 2 不正式级 控制与披露活动已设计并适当,但没有充分记录。控制更大程度上依赖于人,没有正式的控制活动培训与沟通;
Level 3 标准级 控制活动已被设计并适当,控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现;
Level 4 监控级 标准化的控制,有定期的有效性测试并向管理层报告,有限的利用自动化工具支持控制活动;
Level 5 优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理),运用自动化工具支持控制活动,也许组织在需要的时候对控制活动进行快速变更。
就某个内部控制目标而言,一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求,审计师对一些关键控制活动的有效性水平不能低于3级。
自评估的各种控制测试评价,有助于企业监控完善企业内部控制,也有助于管理者对内部控制有效性做出一个明确的评定,并最终以报告书的形式对外呈现,用以表明IT控制系统总体的可靠性及完整性。控制不是一件简单的事情,而是一个过程,需要对其不断地评估和改进,以符合当前经营的实际需要。这也必将成为IT部门组织文化的一个部分。
it项目经理述职报告范文第2篇
勤奋是你生命的密码,能译出你一部壮丽的史诗。今天小编给大家整理了it试用期总结报告,希望对大家有所帮助。
it试用期总结报告范文一:通过面试,来到____公司工作,已经一个月过去了,我努力了解公司的文化、制度、相关本岗工作的各种信息,以便尽快的融入到公司大家庭。对我一个月来的工作总结如下:
一.对公司的认识
在工作初期,我从各渠道了解公司的发展情况;对公司的业务模式、组织架构、地域分布有了初步的了解;阅读了一些公司管理制度。对公司的发展前景充满信心,愿意更加坚实与公司共同成长。
二.工作了解
1.信息化工作无中期的战略目标
2.IT基础建设与运维方面
基础建设薄弱。设备相应的资产信息、应用权限、辅助安全、扩展应用......管理都较松散,缺乏整套切实可行的运维机制(当然这和公司之前无本岗位人才有关)。
3.网络方面
网络不足以支撑目前的公司应用规模,表现在:网络结构无规划、带宽不足、网络管理设备性能太低,这些因素导致公司网络不稳定,无法支撑发布IT应用服务。
4.OA系统推进方面
对于目前OA系统在测试准备阶段深切体会到一些问题:
(1).从整体看这套OA不符合目前公司的管理结构。即:我公司所选这款蝶OA系统金适合中小企业或者但组织架构企业,不适合我们目前的集团管理架构。在日后我们OA应用逐渐成熟和层次逐渐深化时就会暴漏出很多问题。如:与日后集团型其它系统数据对接、更深层次权限划定
(2).OA的模块选择不合理。对一般OA非常有用的模块没有购买,如:日程提醒、数字签名、移动应用。对我们目前现状没必要的模块又买了,如:邮件模块、办公用品管理。
(3).金蝶OA系统功能弱。开放自助修改地方的相对市场上主流OA较少;协同审批流程设定麻烦;新闻中心版面僵硬,不可修改;知识中心版面缺乏人性化;通讯录功能非常薄弱;即时通讯功能太可怜
(4).系统实施规划不够全面。系统实施零散,缺乏整体规划。如:系统基础设备架设不安全;数据备份不合理;系统基础数据有些缺少统一规则制定;乙方顾问更换平凡、对接人多。
三.工作推进
1.将两个无线路由安装使用起来。
2.OA上线准备工作完成。
截止2013年1月17日OA上线前的准备基本完成,包括上线前全员培训。接下来就是公司开始试用行,上线运行后再出现的问题继续协调处理。
3.机房整理,将小UPS装给财务利用;
不用之物清理出机房; 四.工作展开计划
通过对公司的了解,利用现有资源,以现在已明确的任务为首要(OA系统推行到全公司),结合公司信息化长远发展,逐步从基础架构开始完善信息化工作,计划工作如下开展:
1.首先将OA系统在集团总部推行起来。
2.下一步整改机房,使机房相对安全,整洁。
3.深入了解整个集团各公司的网络使用状况,对网络全面的规划改造,为日后公司更多的IT应用做准备。
4.建立升级和建立基础的信息共享沟通,即:升级邮箱、建立整个集团可应用的即时通讯系统、简单文件共享。
5.拟建初步的信息化管理办法。
6.OA系统在各个公司逐步推行使用起来。
it试用期总结报告范文二:it试用期总结作以来,我本着对职业负责、对学生负责、勤勤恳恳地工作着。现将一学年度的工作总结如下:
一、政治思想方面:
俗话说:“活到老,学到老”,本人一直在各方面严格要求
己,努力地提高自己,以便使自己更快地适应社会发展的形势。勇于剖析自己,正视自己,提高自身素质。认真学习新的教育理论,及时更新教育理念。积极参加中心培训,并做了大量的政治笔记与理论学习。我们必须具有先进的教育观念,才能适应教育的发展。所以我不但注重集体的政治理论学习,还注意从书本中汲取营养,认真学习仔细体会新形势下怎样做一名好教师。
二、在个人业务方面:
在这一年中,严格要求自己,遵守单位各项规章制度,与同事之间相处融洽;工作上,尽职尽责,不敢有丝毫懈怠,除了做好本职工作外,对中心的日常工作也有了一个全面的认识。网络管理员主要有三项主要工作内容:第一,计算机及其网络维护管理工作;第二,“中国校外教育网”及“陕西省校外教育网”的撰稿及编辑工作;第三,对中心工作人员进行网络培训工作。
在工作中,为把校外教育网络建设得更快更好,以跟上时代发展和学校各项工作的进度,对自己做出了以下具体要求:一要提高对校外教育网络工作重要性的认识;二要科学建设网络,充分利用好网络资源,发挥好网络的各项功能;三要强化管理,确保网络安全运行;四要落实责任制;五要加强网络工作人员队伍建设。
本年度我中心组织学员参加“网上祭扫先烈”活动;开展的“爱家乡,爱高陵”系列活动(泾渭分明健步行和庆“六一”家乡文化之旅活动);参加陕西省举办的青少年足球夏令营活动;制作新年祝福视频参与校外同仁联欢会。这些活动的精彩瞬间都被及时的发到“两网”上,同全国校外同仁分享精彩活动。参加2010全国“优秀网络社区”评选活动,我中心获“优秀网络社区”的光荣称号。
三、工作考勤方面:
我热爱自己的工作,积极运用有效的工作时间做好自己分内的工作。在做好各项校外教育工作的同时,严格遵守中心的各项规章制度。不论是分到哪一项工作,我都配合同事尽自己的努力把工作做好。
我和同事之间,有三个共同:
1、共同感受:感受学习的过程;感受朋友间的情谊,感受生活的美好;
2、共同分享:分享学习的快乐,分享友情的快乐,分享成功的喜悦;
3、共同成长:不停的学习新的知识,更新观念,和时代同步和学生共同成长
这一年,我成长了,我收获了,存在的缺点
也是不少的,有以下几个方面,还需今后努力改正:一是理论知识的学习还是欠缺,还存在有懒惰思想;二是工作虽然很努力,可是个人能力还有待提高;今后,我一定在中心领导及全体同志们的帮助下,加强学习,提高工作能力,使自己的思想和工作都能更上一个台阶!
it试用期总结报告范文三:我于____年9月11日成为本公司技术部的一名.net程序员,三个月的试用期转眼就过去了。这段我人生中弥足珍贵的经历,给我留下了精彩而美好的回忆。在这段时间里您们给予了我足够的关怀、支持和帮助,让我充分感受到了领导们“海纳百川”的胸襟,在对您们肃然起敬的同时,也为我有机会成为影响力在线的一员而惊喜万分。
这段时间,在领导和同事们的关怀和指导下,我通过不懈努力,各方面均取得一定的进步,现将我的工作情况做如下汇报:
一、通过理论学习和日常工作积累经验我的各方面有了很大的进步。
刚到公司不久,我便开始负责.NET方面的网站开发和广告平台开发和维护,刚开始的时候对我来说确实压力很大,因为各方面都还不熟悉,而且与之前的公司相比,节奏也有点快,不过我慢慢的习惯了环境,和同事相处的比较融洽,领导对我也比较关心,在公司里工作就像是在一个幸福的大家庭里一样,我很快喜欢上了这里。
我到公司不久,第一个项目是___公司网站,做这个项目的时候我遇到了几个问题,我在以前公司做的时候没有在这么短的时候完成一个项目的,在效率上提高了我的能力。做这个项目的时候我也遇到了许多以前没有遇到过的问题,我请教同事和朋友,还有借助网络一一解决了难题。
之后,我将B2B广告招商平台进行了改版,开发了___智能建站广告平台以及以后网站的维护工作。
接下来,我又做了一个比较棘手的项目——___在线咨询系统。为什么说棘手呢,因为我以前没有做过这方面的项目,而且我问遍了所有认识的朋友,搜遍了网络也没有找到如何解决的方法,之后我翻书籍,接着搜索网络。功夫不负有心人,终于我找到一个聊天室的小例子,但是功能差的太远,于是我把这个示例一点点的研究,从一点也不懂到后来慢慢看懂,从对AJA_技术一无所知到基本熟练运用。接下来我就开始自己开发,到最后终于把它开发了出来,虽然不是很完美,功能不是很强大,但是它是我辛苦的劳动结晶,我相信以后会把它开发的更强大,更完美。
二、明确岗位职能,认识个人技术能力不足。
经过三个多月的工作,虽然完成了一些项目的开发,我的技能也提高了很多,但是感觉我的技术还有待提高,所以我会在以后的工作中更加努力,努力提高自己的技术和各种不足,努力使自己成为一名称职的职员。
三、提出自己努力计划
1、学无止镜,时代的发展瞬息万变,各种学科知识日新月异。
我将坚持不懈地努力学习各种技术知识,并用于指导实践。
2、“业精于勤而荒于嬉”,在以后的工作中不断学习知识,通过多看、多学、多练来不断的提高自己的各项技能。
3、不断锻炼自己的胆识和毅力,提高自己解决实际问题的能力,并在工作过程中慢慢克服急躁情绪,积极、热情、细致地的对待每一项工作。
4、努力提高自己的日常交际能力。
时光流转间,我已到公司工作三个多月。非常感谢公司领导对我的信任,给予我体现自我、提高自我的机会。这三个多月的试用期工作经历,使我的工作能力得到了由校园步入社会后最大幅度的提高。
在此,在对试用期的工作情况及心得体会做一汇报后,我想借此机会,正式向公司领导提出转正请求。希望公司领导能对我的工作态度、工作能力和表现,以正式员工的要求做一个全面考虑,能否转正,期盼回复。我会以炙热的工作热情继续投入到今后的工作当中,以自己踏实努力的工作,报公司知遇之恩!
it试用期总结报告的人还看了:
1.IT员工试用期工作总结
2.it转正工作总结范文3篇
3.技术员试用期工作总结范文6篇
4.试用期工作感悟及心得3篇
5.试用期工作心得精选3篇
6.it工程师述职报告范文3篇
it项目经理述职报告范文第3篇
[关键词] 银行 外包 应用服务提供商
一、银行it外包服务概述
随着我国银行改制的深化和发展,银行间的竞争日益加剧,银行的信息基础设施和业务系统不断进行升级和发展,银行内部信息技术部门对这些系统管理也越来越困难。而银行it外包服务的出现能够很好地解决上述问题。银行it外包服务是指银行以合同的方式委托it服务商来为其提供信息系统或信息技术服务的一种实践或管理策略,它也引申为雇佣外部组织或个人来发展企业内部的信息系统的行为,使银行能够以更富有效率、低成本、低风险的方式完成某项信息技术任务。常见的银行it外包涉及银行通信网络管理、银行信息系统运作和管理、应用系统开发和维护、备份和灾难恢复等。it外包在构建银行核心竞争力、节约项目成本费用、加速信息化建设的进程中发挥着不容忽视的作用。
二、银行it系统外包服务的特点
银行系统it外包运行操作服务具有如下特点:
1.专业性与复杂性,银行信息技术融合了目前世界上各种先进的信息理论和技术,信息设备包含多家厂商的高、中、低端产品,it系统结构设计、技术运用和生产配置均采用it技术领域先进模式。
2.影响范围,银行it外包服务范围涉及银行总行及各级分支机构,影响多种重要业务与应用系统的生产运行。
3.实时性,银行信息系统所承载的许多银行业务与应用系统直接面对客户,提供实时服务与交易功能,因此必须保证系统的连续稳定运行。
4.服务不间断性,根据银行业务的特点和需求,必须全年365天每天24小时不间断对项目进行实时运行操作服务。
5.流程管理,银行it外包服务要严格按照相应的日常操作手册、日常监控流程、故障处理流程、系统变更流程等工作流程与规范进行。
6.报告机制,在运行操作服务中要有完善的报告机制,对银行it系统日常运行状况、投诉与响应、故障处理与分析、系统变更与备份、数据分析与统计、综合评价等相关信息与数据均要按照合理的流程与科学的形式进行报告。
7、安全与保密性,银行it系统支撑了从内部的办公自动化系统到核心的交易系统,这些系统是银行的命脉,对其数据的安全是非常高的。除此外,涉及到这些系统的相关文档、资料都属于非常机密的内容,需要分级使用。
三、银行it外包服务的成功保障因素
根据it服务的理论,结合it服务的经验,从以下四个方面为it外包服务提供保障:
1.从技术上提供保障
在itil(it infrastructure library) 有关it服务的最佳实践理论中,技术是it 服务的三大要素之一。没有强有力的技术支持,就无法进行运行维护的正常开展。技术的支持能力包括对技术本身的支持服务能力和服务的技术能力两个层面。前者是对各种it技术的掌握程度,后者是能多大程度上把it服务理论贯彻到实践中去,产生符合用户实际情况的最佳运行和维护操作。
2.从管理层次上提供保障
未实施银行it外包服务之前,系统运行维护的风险主要是技术上的风险,管理上的风险较小。实施it 服务外包后,由于维护人员不是银行内部职员,从本质上讲是将技术服务的风险直接转化成服务管理上的风险。因此,在it服务商和客户之间建立有效的管理界面,是it外包服务之核心所在。
3.从技术过渡上提供保障
成功的银行it外包服务需要对系统的全面掌握和对服务管理流程的明确制定。对服务提供商来说,这些要求的实现均需要一定的时间。(1)接手外包服务的过渡磨合期,服务提供商在接手任何一项外包服务前,需要首先深入项目各个环节,详细调研和理解现有项目的服务内涵,包括服务的内容和指标、人员、流程和系统架构,为后期与用户一起制定服务的接收、整合和管理提供基础。(2)循序渐进的管理过渡,围绕保障服务持续性的要求,服务提供商需要对服务管理过程中出现的新情况、新问题、和新的建议及时做出相应的调整,优化整个服务项目的流程、管理、人员等内容。
4.从对外包项目的可控性上提供保障
银行对外包项目的控制力度是通过管理流程来实现的。管理流程明确规定双方的责任点、工作汇报机制等。服务商必需做到两个方面:服务的透明性和伴随知识(知识库)为用户所有。服务透明是指服务商不能为外包服务项目设置壁垒,银行通过工作汇报、文档记录、服务流程很容易的掌握服务项目。伴随知识是在服务的过程中形成的各种知识库。知识库是非常重要的技术资源,服务商在服务过程中建立的知识库产权应该归银行而不是服务商。这样将降低银行更换服务商的风险。
银行的it系统对安全性要求非常高,一旦将某个系统包给服务商,需要特别重视保证银行的数据安全。可通过三种途径来达到这个目的:(1)通过法律手段签署用户、公司和个人三方保密协议,运用法律手段约束服务商对用户数据进行保密,在保密协议中需要明确规定对于因泄密而造成损失的赔偿方式;(2)通过管理手段:需要通过管理手段实现对用户数据进行保护;(3)通过技术手段:结合业界的先进技术工具,做到对关键配置更改的审计和跟踪。
四、结论
目前,银行it外包服务的内容和规模越来越大。由于我国it外包服务发展较晚,银行it外包市场还未发展成熟,因而银行it外包服务还存在许多问题和困难。如何正确全面地考察分析有关的复杂因素,做出正确的it 外包决策,提高银行it服务的水平,降低it运行维护的成本,达到提高银行核心竞争力的战略目标,是需要我国银行界和it界共同深入研究的重要课题。
参考文献:
[1]张旭:金融服务外包发展浅析.wto经济导刊,2006年10月
[2]瑞琴邱伟华:金融服务外包的利益与风险分析.商业时代,2007年5月
it项目经理述职报告范文第4篇
关键词:项目实训课;虚拟公司
中图分类号:G642文献标识码:B
文章编号:1672-5913(2007)05-0023-04
对于IT院校常出现的问题是教育与实践脱节,常常是培养出的学生到IT企业后不能适应公司的工作环境,所学的知识与应用存在距离,公司还要对他们进行特殊培训。在IT院校开设项目实训课,模拟公司的工作环境,把学生组织成项目小组,按照公司的项目开发流程指导学生对真实项目的开发,能够很好地解决这个问题。为此,本文提供了一个项目实训课的实现案例。学生通过项目实训课的学习锻炼,使其达到具有一定IT领域项目开发经验,体验、了解公司的工作环境,熟悉公司的项目开发及项目管理流程,成为上手快、实战能力强、技术过硬、基本功较扎实、具有较强的团队精神和创业能力、用人单位抢手的人才。如果条件允许项目实训课程可采用双语教学,指导教师可尽量用英语指导学生。
1 项目团队组成
教师指导学生以一个虚拟公司为背景,组织成多个项目小组,每个学生在项目小组中承担一个或若干开发角色。进入项目小组后不得无故退出。项目小组有以下角色:
项目经理:负责本小组的人员协调和安排,制定项目开发计划,按照开发计划控制进度,在负责整体的同时,开发好属于自己的模块。
产品经理:主要使命是提高客户的满意度,在项目开发过程中代表为项目付款的系统拥有者的利益。
用户体验角色:代替实际用户使用产品,排除用户在使用产品过程中遇到的问题和障碍。
文档人员:协助项目经理、系统分析员完成要提交的文档,并敦促小组成员提交他们所负责的模块相应的文档,并整理后按照存储路径和格式及项目开发计划任务书中的时间段提交给导师。
系统分析员:负责本小组项目开发技术支持(软件配置管理、培训等),协助项目经理带领小组成员完成需求分析、概要设计、详细设计、编码、测试等一系列工作。
开发人员:按照项目经理和系统分析员以及项目开发计划任务书的要求,完成相应的工作任务,提交自己所负责的模块或者子系统的文档给文档负责人。
测试人员:负责系统测试。
2 实施流程
实施流程如图1所示。
图1 实施流程
3 项目管理
为了使同学们更好地熟悉掌握软件项目开发流程及项目管理规范,项目管理通过适当精简,主要包括以下活动:
(1)项目进度跟踪与监控
①项目周报制度:项目团队每周总结项目进度情况,撰写《项目周报》。
②周例会制度:导师每周召开项目例会,探讨问题,总结工作。
③项目计划跟踪:老师指导下各项目小组由项目经理根据项目开发计划对实际项目进展情况进行跟踪,作好项目跟踪记录。
④控制偏差:老师指导下项目经理根据项目的需求及设计文档对项目的功能实现进行监控,如果出现偏差应及时更正。确保项目的各功能与需求文档所要求的一致。
⑤指导教师应该给学生作适当的项目管理方面的培训,让学生了解软件工程及项目管理方面的知识。
(2)项目各阶段评审
①项目开发计划评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组制定的开发计划进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,然后各小组对项目开发计划进行修改、提交,作为考核项目小组工作的文档。
②项目需求分析报告评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组作的需求分析报告进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,各小组对需求分析报告进行修改、提交,作为考核项目小组工作的文档。
③项目设计报告评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组作的设计报告进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,各小组设计报告进行修改、提交,作为考核项目小组工作的文档。
④项目实施与测试指导评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组演示所做项目的功能,讲解项目实现原理,对认为好的算法或使用先进技术解决问题,应进行说明。其他学生对系统进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,各小组对项目系统作进一步进行修改,然后提交,作为考核项目小组工作的文档。
⑤项目总结与评审:由指导教师主持,由该虚拟公司的所有项目小组参加,以项目小组为单位对项目进行总结,指导学生写出项目总结报告。
(3)里程碑成果提交
①评审确认的各阶段文档。包括:项目开发计划、需求分析报告、设计报告等文档。
②项目总结报告。
③程序代码。
④最终成果物。
可以按照需求达到设计标准的可运行系统。
(4)管理文件及表格
项目开发进度表等。
4 项目质量保证
(1)执行研发中心质量管理体系
①依据ISO9001:2000质量保证体系要素
②适当加入特定文件及质量表格
③严格风险控制
④严格设计及测试环节
(2)加强预防和纠正措施
(3)加强管理评审
(4)加强问题跟踪
5 配置管理
软件配置管理分为版本管理和配置库管理,配置管理软件SourceSafe。
版本管理包括以下主要任务:
* 建立项目;
* 重构任何修订版的某一项或某一文件;
* 利用加锁技术防止覆盖;
* 当增加一个修订版时要求输入变更描述;
* 提供比较任意两个修订版的使用工具;
* 采用增量存储方式;
* 提供对修订版历史和锁定状态的报告功能;
* 提供归并功能;
* 允许在任何时候重构任何版本;
* 权限的设置;
* 晋升模型的建立;
* 提供各种报告。
6 项目考核
平时成绩与项目结项答辩成绩的比例为1∶1。
平时成绩考核:由考勤、程序代码及整个项目实施过程中所产生的所有文档的评审结果的综合。
项目结项答辩成绩考核:
(1)检查项目的系统运行是否正常,各项功能是否按照需求要求实现。
(2)项目结项后组织对项目的答辩会。
7 项目培训
指定项目实训课指导计划,设计流程,按计划对学生进行培训。
(1)指导教师在指导学生从事项目实施过程中,将“软件工程与项目管理”课程融入到项目的立项管理、需求开发与需求管理、系统概要设计等各个过程当中。同时将进行二次集中的知识讲授,讲授内容包含:项目场景的描述、分析项目;项目实施与测试指导、评价。
(2)指导教师根据学生的特点及项目的特点对项目实现过程中所要使用的一些关键技术进行培训。
(3)在项目的实现阶段,对学生项目开发工具的使用、项目开发环境的设置等方面进行指导。可对系统的整体框架,根据每个学生的具体情况,对一两个比较典型的模块进行剖析,让学生有一个开发参照模式,可以避免学生开发时无从下手的问题。
8 项目研讨
实训课的项目研讨分为三部分内容:
答疑解问:导师集中对同学在项目开发过程中出现的各种问题进行解答。
技术预研:是指在项目立项之后到项目开发工作完成之前的这段时间内,对项目所采用的关键技术提前学习和研究 ,以便尽可能早地发现并解决开发过程中将遇到的技术障碍。
项目阶段性研讨会议:实训课分为项目说明会、项目小组确定;项目需求分析研讨;项目设计研讨。其中项目小组成员对评审中的问题可以发表自己的意见,可以进行相互辩论,最后指导教师进行点评。
9 项目评审
由指导老师组成项目评审小组,听取项目团队的汇报并进行评审。包括项目开发计划评审、项目需求分析报告评审、项目设计报告评审、项目实施与测试指导评审、项目总结与评审。
评审目标如下:
* 发现任何形式表现的软件功能、逻辑或实现方面的错误;
* 通过评审验证软件的需求;
* 保证软件按预先定义的标准表示;
* 使项目更容易管理。
通过评审使项目小组成员真正掌握项目开发流程、了解软件工程及项目管理在项目开发过程中的作用。同时解决项目开发中一些问题,也起到对项目小组成员工作考核作用。
(1)评审过程
召开评审会议:一般应有3-5人参加。会议结束导师给予评审分数。
评审报告与记录:所提出的问题都要进行记录,在评审会结束前产生一个评审问题表,另外必须完成评审简要报告。
(2)评审准则
对每个正式技术评审分配资源和时间进度表;
对全部评审人员进行必要的培训。
10 结束语
本文中所论述的实训课的设计及实施方法已在我院的大学生创业中心实施,并收到了明显的效果,经过实训课培训后学生的项目能力有了明显的增强,完全可以在我们的创业中心参与各虚拟公司的项目开发工作并从中得到更多的工作经验。
参考文献:
[1] 林锐,唐勇,黄曙江,石志强. IT企业项目管理:问题、方法和工具[M].北京:电子工业出版社.2005.
[2] 陈宏刚,熊明华,林斌,等.软件开发过程与案例[M].北京:清华大学出版社.2003.
it项目经理述职报告范文第5篇
关键词:信息安全;IT治理;智慧校园;等级保护;信息服
中图分类号:TP393 文献标志码:A 文章编号:1673-8454(2017)01-0040-05
一、引言
随着网络和信息技术不断应用到社会生活的各个方面,信息服务成为支撑高校教学、科研、管理、服务等职能开展的基础手段。随着高校信息化建设从数字校园建设向智慧校园建设过渡,高校信息服务也从以网站为主向网站与移动应用相结合转变,规划、建设和运行维护的高校IT环境也更加繁杂;在“互联网+”背景下高校信息化建设从“自主”建设为主向“开放与自主”相结合转变[1],提升高校IT环境管控水平的需求也更加迫切;而网络信息安全领域面临的严峻形势,国家推进信息系统等级保护建设,也对高校IT环境管控能力提出更高要求。如何在信息安全管控要求下,不断提高高校信息服务的管理水平已成为信息化建设的关注点之一。
本文在总结智慧校园建设下IT治理思想的基础上,梳理和分析智慧校园建设下信息服务安全管控需求,提出面向信息安全管控的高校IT治理支持平台的建设理念,采用支持移动多终端访问的开发技术和组件化信息系统集成技术,分析、设计和实现面向高校信息安全等级保护工作开展的IT治理支持平台的实际应用系统,最后结合平台实现和运行状况及IT治理发展前景,提出平台下阶段完善和拓展方向。
二、智慧校园建设下IT治理思想
随着校园网络建设和信息应用建设逐步推进,高校信息化建设已经从最初以校园网络和数据中心等硬件为主的建设阶段,过渡到以数字化校园等软件为主的建设阶段;2015年我国政府工作报告中从国家层面提出“互联网+”概念以来,高校信息化建设领域也从传统的以“构建虚拟校园”为特征的数字校园建设向以“移动互联、智能感知与物联网、大数据分析与决策支持”为特征的智慧校园建设过渡[2]。图1所示是目前主流的关于智慧校园系统层次逻辑的描述。
在“互联网+”背景下,智慧校园建设模式也逐步摆脱数字校园建设阶段以学校“自主”建设模式为主的状况,从自身发展的实际需要出发,以提升学校IT资源利用效率为主要目的,采取“开放与自主”相结合的建设模式,通过“开放”充分利用信息行业各类服务和调动校内外各方建设热情,通过“自主”牢牢掌握关系学校核心利益和师生各类需求的数据、流程和安全管控,营造关注学校核心职能和师生实际需求的“合作开放、利益共享”的信息化建设生态圈[1]。图2所示是“开放与自主”相结合高校信息化建设模式的逻辑结构。
智慧校园建设过程中,随着服务外包的采用和社会服务的集成,如何高效管理学校相关的各类IT资源成为制约数字校园建设向智慧校园建设的一个重要因素,很多高校在数字校园阶段也没有很好解决IT资源管控问题,造成IT资源浪费、数据准确度差、项目实施风险高等问题。通过IT治理(IT Government)将IT战略和高校发展战略有机结合,将学校信息技术资源转换成优势资源,对信息化相关的决策、激励、控制紧密协调,整合学校相关IT资源应用的全过程,整体提升学校IT政策、组织、服务与资源的管控水平,成为保障智慧校园建设顺利开展的有力举措[3]。
IT治理的思想来源于Brown在20世纪90年代中期提出的信息系统治理(IS Governance)的概念[4]。IT治理是描述组织是否采用有效机制,使得IT应用能够完成组织赋予的使命并平衡信息化过程中的风险,确保组织战略目标实现的过程,解决“做什么决策?谁来决策?怎么来决策?如何监督和评价决策?”[5]。IT治理的使命包括:保持IT与组织目标一致,推动组织业务发展,促使收益最大化,合理利用IT资源,适当管控与IT相关风险[6]。
信息化建设程度高的美国研究型高校很早就接纳和推行IT治理思想,多采用联邦式的IT治理模式,对学校信息化建设相关的决策、激励和控制形成有效机制,在设置专职的首席信息官(CIO,Chief Information Officer)的基础上,建设服务全校的信息技术服务(ITS,Information Technology Service)部门支持高校研究和教育、跨地域和跨机构的合作和协作、服务学习者和推动IT技术传播[7]。我国高校信息化领域在2010年前后逐步关注IT治理思想[8],之前对于在高校设置专职CIO的呼声也一直持续到现在,但是真正的对学校整体信息化治理水平提升的影响十分有限。也因此在高校信息化建设过程中以管理推动的信息化建设模式只有少数信息化领先高校才得以实施,而部分高校通过技术推动的信息化建设模式逐步向管理推动靠拢[1];而随着“互联网+”背景下各类社交化应用不断渗入高校职能的各个方面,真正实现以师生实际需求来推动的信息化建设模式也有了实际案例。
信息化组织体系与决策机制、信息化发展与项目规划、项目实施与过程控制等三大核心要素是推动高校信息化建设的三大核心要素[9],也是智慧校园建设下IT治理主要关注的三个方面,在政策制度、组织架构建设的基础上,对于高校IT资源情况感知、监测与管理,对于高校IT项目全生命周期管控等都是需要相关的支持平台来完成。
三、智慧校园建设下信息服务安全管控需求
高校信息化建设作为高校教学、科研、管理和服务等职能的网络和信息技术基础,智慧校园建设过程中以用户为中心的个性化信息服务是重要组成部分。为支撑智慧校园服务发挥作用,服务层、数据层、环境层和通讯层涉及多个建设方和运维方,实际运行中的包括电子邮件、外网访问等网络基础服务、网站群、门户系统、身份认证、业务系统、移动应用后端支撑系统等各类信息化应用系统,交换机、路由器、服务器、存储、负载均衡等各类IT硬件设备,统一的系统运维管理是智慧校园建设顺利开展的基本保障。
随着网络和信息基础设施成为国家和社会发展新的重要战略资源,以及我国在IT相关领域缺少核心技术支撑的现状,促使在网络信息安全领域要投入更多管理措施。虽然之前对于网络信息安全保障都当作是信息化建设架构中的重要组成部分,但是实际建设和运维过程中却关注很少,或者常为功能实现而牺牲安全水平,缺乏统一的安全政策制定与执行、安全事件无法及时发现定位和应急处置;在实际的信息系统等级保护工作推进过程中,也暴露出信息系统管理水平低、定级备案整改落实不力、等级测评脱离提高安全管控能力实际等问题。随着国家通过推进信息系统等级保护建设以提高国家整体信息安全水平的工作不断推进,对高校IT环境管控能力提出更高要求。以安全管理制度、应急响应制度等软环境和以防火墙、VPN、堡垒机、IDS/IPS、应用防火墙等各类安全设备硬环境组成的统一的信息安全管控也成为智慧校园建设顺利开展的基本保障。因此,基于等级保护要求,智慧校园建设中对信息服务安全管控提出如下需求:
1)信息服务安全管控应该以全面掌握各类IT资源基本情况、配置变动、状态监控等为基础实施。
2)信息服务安全管控应该贯穿智慧校园建设的规划、设计、实施、运维等各个阶段,并在组织、战略、架构、基础设施、业务需求、投资等各方面充分被考虑,实现安全管控的全过程参与。
3)信息服务安全管控应该充分考虑国家信息系统等级保护要求,对信息系统的定级、备案、测评、整改等提供全生命周期管理。
4)图形化、集中化的对信息服务安全管控态势相关的各个支撑环节进行展示和分析,在充分获取各类安全日志、威胁情报的基础上,分析和定期实现安全评估报告和态势分析,并对发现的不足方面及时完善和加强监控。
5)信息服务的状态监控、安全信息的获取与分析等都要充分实现自动化、智能化管理,减少人工操作工作量份额,以实现全天候状态监控和安全响应的要求,并通过各类事件分析与告知机制实现信息及时交互与分享,提高整体安全防控水平。
在对高校整体IT资源环境进行管控的基础上,智慧校园中信息服务安全管控将在组织和制度建设的基础上,通过集中实时获取、维护、管理、分析信息服务相关的各类信息,将各类智慧校园建设利益关联方整合在统一的IT治理支持平台上,实现决策、激励和控制相关信息的充分共享,不断推动高校信息化决策实施和项目实现,支撑高校新形势下的人才培养和教学科研的战略转型。
四、面向信息安全管控的高校IT治理支持平台的实现与应用
高校IT治理支持平台是根据实际采纳的IT治理框架,实现全过程的信息服务支撑。目前国内外主流IT治理框架包括ITIL(IT Infrastructure Library,信息技术基础架构库)框架、COBIT(Control Objectives for Information and Related Technologic,信息通用审计标准)框架、PRINCE2(Project in Controlled Environment2,受控环境下的项目管理)框架等[10],各有侧重点和优势领域,其中ITIL重点关注IT过程管理,对整个IT治理流程和信息进行完整的实现和管控,特别强调对组织的IT服务支持和IT项目交付,很契合支撑高校各自特色发展目标的信息化建设的治理需求。
ITIL是由英国政府商务办公室(The Office of Government Commerce,OGC)为解决“IT服务质量差”的问题提出和逐步完善的一套被广泛承认的用于IT服务管理的实践准则。ITIL以流程为导向、以用户为中心,通过整合IT服务与组织业务,提高组织的IT服务提供、运营和管理的能力,详细指明了IT管理流程应当如何构建和落实,操作性和指导性优良[11]。
ITIL主体框架包括服务管理、业务管理、基础设施管理、应用管理、IT服务管理实施规划、安全管理等模块,以服务管理模块为核心,面向IT基础设施管理提供支持,面向业务管理提供服务。其中,IT服务支持关注基础设施的日常服务支持,确保IT服务的稳定性与适应性,通常包括一个服务机构(服务台)和五个管理流程(配置管理、事件管理、问题管理、变更管理和管理);IT服务提供承担为业务用户提供高质量、低成本的IT服务,与IT服务能力评估有直接关联,与组织阶段规划和持续评估相关,通常包括服务级别管理、可用性管理、能力管理、IT服务可持续管理和IT服务财务管理。
面向信息安全管控的高校IT治理支持平台,就是在基本的ITIL IT治理主体框架和流程基础上,结合高校信息化建设特点和智慧校园建设要求,对业务和基础设施的描述和监测进行数据化,并进一步明确和细化安全管理,在服务台中增加安全服务职能,根据信息系统等级保护具体要求增加专门的安全管理流程,与事件管理、问题管理等流程形成完整的支持信息安全管控的治理结构,具体主要流程结构参见图6。
1.业务和基础设施描述与监测数据化
智慧校园建设中,业务和基础设施的描述都要与具体的建设和运维相关,并在业务与基础设施间建立起有效的可监测的关联。
业务可以看作是面向具体用户方的服务,而基础设施也是提供自己能力的服务。通过将业务和基础设施都看成是基础服务,来对其进行描述与监测,并实现集中的监测与展示。
1)服务相关的具体组成部分的逻辑定义,从具体相关用户角度进行,建立对象、内容项、数据项、元数据的层次结构供IT治理支持平台建模和对象监测使用;
2)服障喙氐挠没描述,根据用户类型和服务功能对用户角色进行分析和归纳,智慧校园建设相关的用户角色通常包括普通用户(注册用户、校友、教师、学生等)、管理人员、系统管理人员、运维人员、外包人员等;
3)服务根据相关对象组成的流程进行组织,如,某台交换设备和教务课表查询功能、成绩查询功能、校园网网费查询功能都成为一个可识别的服务[12]。
2.安全管理细化与服务台增加安全服务职能
智慧校园建设中,安全管理是基本的保障机制,不仅仅是安全环境监测、安全设备管理、安全漏洞发现、安全事件处置,还包括等级保护合规、数据安全管理、安全态势感知等功能,在IT治理后台知识库中也要专门为安全建立专门结构,并与第三方安全服务厂商紧密服务获取漏洞信息和安全态势。在IT治理框架中服务台也需要有针对性的增加具体的安全服务职能,该服务即是面向业务部门提供安全建议,也是面向信息部门提供安全预警,并接受安全管控职能部门的来访和反馈。
3.根据信息系统等级保护要求增加安全管理流程
信息系统等级保护建设已经是智慧校园建设中不能回避的IT治理内容,也是推进高校IT治理水平的一个抓手和动力。安全管理流程需要在原有的配置管理、变更管理、管理等信息服务系统信息管理流程的基础上,根据国家信息安全等级保护相关管理办法和标准指南,实现对信息系统等级保护相关动作的全过程管理,实现对信息系统的立项、定级、备案、上线、测评、整改、变更、撤销等的管理,集中管理和呈现组织信息系统数据,并提供对等级保护指定动作的主动告知和预先准备,提高整体安全管理合规程序的执行效率和自动化水平,并提供第三方测评机构、人员、活动的信息支持和可控共享。
面向信息安全管控的IT治理支持平台的建设理念是来源于校园信息服务日常运维和安全管控的实际经验,主要是为学校IT治理体系和工作推进提供基础数据和信息服务,并面向信息系统等级保护工作开展提供面向信息安全管控的专项提升功能,促进IT治理能力和信息安全管控能力的不断提升。该平台的IT服务支持侧的系统架构图参见图7所示。
东北大学拥有高专业素养和技术水平的网络和信息技术实施与运维团队,长期自动自发的通过网络和信息技术推动学校数字校园乃至智慧校园建设,分阶段分层次的实现学校各类用户的信息服务水平[13],形成可持续发展的信息化建设氛围,推动信息化建设管理部门组建和顶层设计推动。
现阶段,东北大学在信息系统等级保护工作推进下,实现对校内相关的IT资源的全面调研、排查和系统管理,并通过在原有的面向用户的智慧校园信息服务集中监测平台的基础上,结合ITIL IT治理思想设计和实现了面向信息安全管控的IT治理支持平台。该平台采取数据层面的统一逻辑化和抽象化,通过插件化设计为系统提供预先定义的各类对象模板、流程模板等,系统访问界面采用基于Boostrap框架的响应式界面技术设计和实现,基本实现在桌面电脑操作系统、移动手机、平板电脑等终端上提供相对统一的用户体验,数据交换参考REST(Representational State Transfer,表述性状态传递)实现。通过该平台的建设和应用,学校整体IT资源情况得到集中统一的获取、维护、监测和统计分析,为学校推进IT治理思想提供了前期的信息技术手段,同时也满足现阶段信息系统等级保护对信息系统的基本信息、定级备案、整改测评等相关信息的集中管理,对及时发现与处置漏洞和安全事件提供了基础数据支撑,明显提升学校信息安全管控水平。
五、总结与展望
面向信息安全管控的高校IT治理平台是在总结智慧校园建设下IT治理思想基础上,结合等级保护管理要求,在ITIL IT治理框架基础上,提出和设计的IT治理建设信息支持手段,为高校智慧校园建设提供高水平的合规的信息安全管控能力,对于提升安全管控与信息服务全生命周期管理建立良好的信息共享和交互。
该平台主要完善信息安全管控方面功能,是对现有IT治理支持平台的有益补充,特别是对于提ITIL中服务台功能完善是对高校实现信息安全整体管控的有益推动;接下来,可以进一步吸取其他主流IT治理架构优点,结合高校智慧校园建设的社会化、服务化、用户体验中心为主等特点进一步完善IT治理支持平台,如通过可视化的地理信息系统技术实现对IT资源的实时监控与展示,还可以集成校内部门IT能力绩效评估等功能促进高校智慧校园建设不断向深层次推进。
参考文献:
[1]王宇,吴炜鑫,王兴伟.“互联网+”下高校信息化建设模式的探索与研究[C].第四届中国互联网学术年会(ICoC 2015)论文集,2015:235-241.
[2]蒋东兴,付小龙,袁芳,吴海燕,刘启新.大数据背景下的高校智慧校园建设探讨[J].华东师范大学学报(自然科学版),2015(S1):119-125+131.
[3]刘晓文,胡克瑾.美国高校IT治理的现状与启示[J].中国教育信息化,2008(13):20-22.
[4]Carol V. Brown. Examining the Emergence of Hybrid IS Governance Solutions: Evidence From a Single Case Study[J]. Information Systems Research, March 1997, 8(1):69-94.
[5]丁天翔.IT治理与我国高校信息化建设[J].中国工程科学,2011,13(1):109-112.
[6]彼得.维尔,珍妮.W.罗斯.杨波,译.IT治理:一流绩效企业的IT治理之道[M].北京:商务印书馆, 2005.
[7]杜荩朱悦月,付小龙,蒋东兴.美国研究型高校IT治理结构研究[J].中国教育信息化,2012(1):9-11.
[8]李林,王贺松.校园IT治理框架研究[J].中国教育信息化,2010(9):4-6.
[9]赵亚萍,贾春燕,程艳旗,鲁东明.美国高校信息化推进机制分析及其启示[J].中国教育信息化,2011(1):20-23.
[10]孟秀转,于秀艳,郝晓玲,孙强,等.IT治理:标准、框架与案例分析[M].北京:清华大学出版社,2012.
[11]李萍,郭玉娇.高校IT资源管理服务平台探究[J].实验技术与管理,2011,28(6):138-141.
