《信息系统项目的风险分析与评估(共10页).doc》由会员分享,可在线阅读,更多相关《信息系统项目的风险分析与评估(共10页).doc(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上Yangtze University College of Arts and Science毕业设计开题报告 题 目 名 称 信息系统项目的风险分析与评估 学 部 管 理 学 部 专 业 班 级 信息系统与信息管理5062班 学 生 姓 名 何 星 指 导 教 师 李成标 教授 辅 导 教 师 李成标 教授 开题报告日期 2009年10月25日-2009年12月13日 一、题目来源口 科研真题 口 生产/社会实际 口 实验室建设 口 其它其他二、研究目的和意义信息系统项目的风险分析与评估是信息系统项目风险管理过程中一个非常关键环节,详尽的风险分析可以为后续的风险管理各
2、个步骤提供充分的信息,同时也为信息系统开发的成功打下良好的基础。以往信息系统的建设,由于环境的不确定性导致项目风险增加,与此形成鲜明对比的是风险管理严重滞后,二者之间差距扩大,导致越来越多的信息系统项目失败。信息系统项目的风险评估用于估计威胁的存在以及由于系统存在易于受到攻击的脆弱性而引起的潜在损失,是对一些不确定事件在一定的时间周期内的发生概率和引起的潜在损失进行定量或定性的测量。信息系统项目的风险分析评估目的在于识别对信息项目有关系的影响,并对发生影响的可能性进行评估。影响可能是有形的或是无形的,影响是意外事件的后果,对项目资产产生影响,可由故意行为或偶然原因引起。这些后果可能直接毁灭某些
3、资产,间接后果可以包括财政损失、市场份额或公司形象的损失。同时把风险降低到信息系统可以接受的水平,从而使信息系统的安全性得到提高。所以需要尽量扩大风险事件的有利结果,妥善处理风险事件的不利后果,以最小的成本保证信息系统的功能全面准时地完成,并且能够满足用户在项目实施后的信息需求。据我所了解通过对一个系统的结构要素、过程要素的辨识和分析掌握结构和过程的变化使系统行为发生偏离后可能造成的系统危害。这种辨识过程以及辨识主体在辨识客体中的状态实际是一个非常复杂的系统性问题。合理科学地对项目风险进行分析与评价,能够更完善、更准确,并使项目风险管理工作者能合理处理项目与风险之间的理性效用,使风险管理工作的
4、开展更具合理性和科学性。信息系统项目的风险分析评估的最终目的是为了确保计算机信息系统的完整性、机密性、可用性和可控性等,确定信息系统存在的风险及其强度,从而有的放矢地选择安全防护措施,并将风险降低到可接受的程度。认识到风险评估的重要作用和基础性的意义,信息安全人员投入大量精力进行相关的研究和开发,使得很多信息安全风险评估的标准、方法、模型和工具陆续面世。信息系统项目风险评估的重要结果,就是确定本组织计算机信息系统的安全等级划分,明确需要安全、保密之类的重点防范部位,防止可能存在的威胁带来的冲击,识别、检测是否有安全事件发生,提出安全保护管理策略和总体方案,为包括应急计划在内的安全防范措施的设计
5、提供一整套规范的设计准则,使受冲击的计算机信息系统能够及时有效地恢复到正常状态。三、阅读的主要参考文献及资料名称1赵战生,信息安全风险评估,中科院研究生院信息安全国家重点实验室,2004年7月。2吴亚非、李新友、禄凯,信息安全风险评估,北京清华大学出版社,2007年。3王英梅、王胜开、陈国顺等,信息安全风险评估,北京电子工业出版社,2007年。4白思俊,现代项目管理,北京机械工业出版社, 2002年。5GB20984-2007信息安全技术信息系统的风险评估规范,中华人民共和国国家标准,2007年。6郭仲伟,风险分析与决策,北京机械工业出版社,1987年。7沈建明、王汉功,项目风险管理,北京机械
6、工业出版社,2004年6月。8郭红芳、曾向阳,风险分析方法研究,计算机工程,2001年3月。9杨晨,建立健全信息安全风险评估的工作机制,信息安全专家赵战生访谈,信息网络安全,2004年8期。10赵战生,强化信息安全风险评估工作,当前信息安全工作的客观需要和紧迫需求,信息网络安全,2005年3期。11范红、冯登国、吴亚非、王英梅,信息安全风险评估方法与工具研究,2006年6月。12薛华成,管理信息系统,北京清华大学出版社, 1999年。13吴亚非,我国信息安全风险评估的现状与发展,2006年5月。14王丽平,信息安全风险评估技术手段,吉林公安高等专科学校学报,2004年6月。15王标、戴宗坤、陆
7、晓宁,信息系统安全措施有效性评估,四川大学学报(工程科学版),2006年1月。16胡勇、漆刚、陈麟、杨炜,信息系统风险量化评估指标体系,四川大学学报(自然科学版),2006年10月。17张建军、孟亚平,信息安全风险评估,中国标准出版社,2005年6月。18范红、冯登国、吴亚非,信息安全风险评估方法与应用,清华大学出版社,2006年5月。19卢有杰、卢家仪,项目风险管理,清华大学出版社,1998年7月。20宋如顺,基于SSE-CMM的信息系统安全风险评估,计算机应用研究,2000年,第11期。四、国内外现状和发展趋势与研究的主攻方向国内外现有的信息系统风险评估的研究和实践主要集中在评估的程序和方
8、法上。这些成果多以信息系统风险评估和安全测评的标准、规范和指南的形式发布。信息安全风险评估经历了一个从只重技术到技术与管理并重的全面评估,从单机到网络再到信息系统基础设施,从单一安全属性到多种安全属性的发展历程。信息技术的飞速发展,关系国计民生、国防安全关键信息的基础设施规模越来越大,极大地增加了系统的复杂程度。发达国家越来越重视风险评估工作,提倡风险评估制度化。近年来,发达国家大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法完整的信息安全管理体系。在国际上,美国是对信息安全风险评估研究历史最长和工作经验最丰富的国家,一直主导信
9、息技术和信息安全的发展,信息安全风险评估在美国的发展实际上也代表了风险评估的国际发展。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障。欧洲在信息化方面的优势不如美国,但作为多个老牌大国的联合群体,欧洲不甘落后。他们在信息安全管理方面的做法是在充分利用美国引导的科技创新成果的基础上,加强预防。欧洲各国在风险管理上一直探索走一条不同于美国的道路。“趋利避害”是其在信息化进程中防范安全风险的共同策略。信息安全风险管理和评估研究工作一直是欧盟投入的重点亚洲各国多为信息化领域的发展中国家,它们大多采取抢抓信息化发展机遇,把发展放在首位的战略。比如,日本:在风险管理方面就综合美国和英国的做法
10、,建立了“安全管理系统评估制度”(ISMS),作为日本标准(JIS),启用了ISO/IEC17799-1(BS7799)指导政府和民间的风险管理实践。韩国:主要参照美国的政策和方法,通过专门成立的信息安全局,强力推进风险管理的实践。新加坡:主要参照英国的做法,在信息安全风险评估方面依据 BS7799,向亚洲邻国输出其信息安全风险管理的专门知识和服务。相对于发达国家,我国的信息安全工作相对滞后。美国安全专家 Edwin B.Heinlen 1996年在Computers&Security发表论文“Computer security in China”,对中国数据和计算机安全状况做了相关论述,指出
11、中国关于国际互联网的连接接入情况的规定不如新加坡严,还指出中国在理解系统安全领域基本观点上远远落后,这种安全理论和实践水平的缺乏将会严重影响计算机技术在政府、商业等许多领域应用的迅速增长,并指出需要加强风险评估工作。我国的信息安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的。早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高。20世纪80年代后,随着计算机的推广应用,随即提出了计算机安全的问题,开展了计算机安全检查工作。由于缺乏风险意识,通常寻求绝对安全的措施。20世纪90年代后,随着互联网在我国得到了广泛的社会化应用,国际大环境的信息安全问题和信息战的威胁直接在我国
12、的信息环境中有所反映。在有关部门的组织下,开展了有关等级保护评价准则、安全产品的测评认证、系统安全等级划分指南的研究,初步提出了一系列相关技术标准和管理规范。信息、安全的风险意识也开始建立,并逐步有所加强。五、主要研究内容、需重点研究的关键问题及解决思路第1章的绪论中介绍了研究背景-信息系统项目的风险与信息系统项目的风险管理,国内外研究、应用情况回顾,并着重对论文的研究目标-信息系统项目风险分析与评价、研究的意义作了说明。1、研究背景-信息系统项目的风险与信息系统项目的风险管理。2、研究目标-信息系统项目风险分析与评价。3、研究的意义。4、国内外研究、应用情况回顾。5、论文的内容及结构。第2章
13、为文献综述。包括:对论文的背景-风险与信息系统项目风险做了简单介绍。对传统项目管理中风险分析评价常用的方法和技术进行了总结,并简要介绍了传统项目风险分析与评价方法弊端。为项目风险分析与评价方法及其研究的意义与作用进行了铺垫。1、风险的定义、属性、分类与信息系统项目风险。2、传统信息系统项目管理中风险分析与评价常用的方法介绍。3、传统信息系统项目风险分析与评价方法弊端。第3章为信息系统项目风险的系统分析。提出了基于项目生命周期的风险分析;然后对项目风险进行了分析(包括:项目定性风险分析和项目定量风险分析),以及风险价值(VAR)理论在项目风险系统分析与评价中的借鉴。1、基于信息系统项目生命周期的
14、风险分析。2、信息系统项目定性风险分析。3、信息系统项目定量风险分析。4、风险价值(VAR)在项目风险分析与评价中的借鉴。第4章为信息系统项目风险的系统评价。首先,提出了基于项目生命周期的风险管理评价理论;其次对项目风险评价方法进行了介绍和总结(包括:风险定性评价方法和风险定量评价方法)。1、信息系统项目风险评价概述。2、信息系统项目生命周期的风险管理评价。3、信息系统项目定性风险评价方法。4、信息系统项目定量风险评价方法。论文的第5章是对论文进行了总结,给出论文主要工作的总结及不足之处,对进一步的工作进行了展望。六、完成毕业设计(论文)所必须具备的工作条件(如工具书、计算机辅助设计、某类市场
15、调研、实验设备和实验环境条件等)及解决的办法完成毕业论文设计所必须具备的工作条件有:1各种期刊杂志,资料室相关的专业书籍,图书馆的相关资料,网上图书馆,计算机辅助设计及市场调研等2分析综合能力以及充足的时间和精力。3熟练的计算机操作能力、运用计算机网络的能力、查阅相关文献资料。解决的办法: 到图书馆(包括学校图书资料室和网上图书馆)查资料,并把查到的各项相关资料汇总,并深入分析,进而归纳总结。利用计算机进行辅助设计,上机时长约须80小时。七、工作的主要阶段、进度与时间安排工作的主要阶段大致可以分为选题,开题以及开题答辩,进行市场调查,撰写论文以及论文答辩这几个阶段。其主要进度与时间安排如下:(
16、1)2009年10月底-11月初 完成指导老师和学生的分配,指导老师和学生见面,向学生公布论文选题。(2)2009年11月10日-12月5日 学生选题、定题;指导教师向学生下达审核表、任务书;学生开始查阅指导教师指定的阅读文献,撰写文献综述。 (3)2009年12月5日-12月13日 开题报告。(4)2009年12月18日 上交开题报告。学生在教师的指导下,拟定三级提纲,并开始初稿的写作。 (5)2009年12月30日 初稿完成。(6)2010年1月10日 二稿完成。(7)2010年1月20号前 指导老师把关,完成最终定稿。(8)2010年1月25日 指导教师和评阅老师给出评语和成绩并审核学生
17、的答辩资格。 (9)2010年5月25日 论文答辩小组成员完成对本小组答辩的准备工作。(10)2010年6月初 完成论文答辩工作,评定出论文成绩,整理材料,完成装订工作,上交教务处。 八、指导教师审查意见指导教师(签字) 年 月 日九、答辩委员会意见答辩委员会主席(签字) 年 月 日十、教学院(系)审批意见 教学院(系)主任(签字) 年 月 日说明:1、第一至七项由学生填写,字数不少于2500字,要求用计算机打印;2、由指导教师审查并填写审查意见后,申请开题答辩;3、由专业教研室统一安排开题答辩,并由答辩委员会主席填写意见;4、专业教研室审批合格后,再将开题报告返回给学生本人。专心-专注-专业