项目管理在信息系统安全改造中的应用与实践
李翠荣,韦韧,杜杨,徐民
山东省千佛山医院 信息科,山东济南 250014
[摘 要]本文根据我院在信息系统安全改造项目中遇到的问题,应用项目管理的理念分析了范围管理、进度管理和质量管理的概念和关联关系,提出应采用工作分解结构(WBS)方法,以交付成果为导向进行范围管理;基于前导图寻找项目关键路径,调整人员分配,控制进度;通过鱼骨刺图梳理影响质量的潜在原因,做好周考核,加强项目的质量控制。该项目自2014年8月启动至2014年11月验收历时3个月,系统至今运行稳定,并获得项目双方的好评。
[关键词]信息系统安全;项目管理 ;关键路径;工作分解结构法;质量控制
0 引言
医院信息系统(HIS)安全对于保障医院业务连续性和保护患者隐私具有至关重要的作用。任何HIS的安全隐患都可能影响到医院业务的正常运转,轻则造成患者诊疗信息泄露,重则引发系统瘫痪,影响患者就诊,甚至造成医疗事故。为此,卫生部早在2011年就印发了《办公厅关于全面开展卫生行业信息安全等级保护工作的通知》,要求各级卫生医疗机构贯彻落实国家信息安全等级保护制度。
2014年8月初,按照我院自身需要以及卫计委对医院信息安全保护工作的要求,决定由信息中心负责开展我院的信息系统安全改造项目,以期在2014年12月中旬达到核心业务系统符合信息系统安全等级保护三级的要求。
1 项目解决方案
1.1 项目范围确认
本项目主要针对目前信息系统进行网络架构调整、安全设备上线实施、业务应用安全评估、加固、安全管理系统建设、IT运维体系建设[1]等工作。项目实施最大的难点在于项目复杂、工期紧张、行业合规质量要求严格。我院在本项目中采用项目管理的思想,较好地解决了上述困难。
1.2 项目重点分析
首先从全局的角度对项目分析后发现,项目的范围管理、进度管理和质量管理的有效落地是项目成功的关键[2]。范围管理主要是为了达成项目预期的目标,确定项目内包括什么工作和不包括什么工作;进度管理主要是确定进度目标,编制进度计划与资源供应计划,进行进度控制,利用有效的资源,在规定的时间内完成所有项目工作;项目质量管理主要是依靠质量计划、质量控制、质量保证及质量改进管理确保项目按照设计者规定的要求圆满地完成。只有处理好三者的关系,才能保证任务的顺利进行。
1.3 项目范围控制
项目管理包含:启动、范围计划、范围定义、范围核实及范围变更控制[3]。其中范围定义是以项目范围规划的成果为依据,把项目的主要可交付产品和服务划分为更小的、更容易管理的单元,即形成工作分解结构(Work Breakdown Structure,WBS)[4],使得原来看起来笼统、模糊的项目目标一下子清晰下来,使得项目管理有依据,项目团队的工作目标清楚明了。
制定好一个WBS的指导思想是逐层深入。先将项目成果框架确定下来,然后每层下面再把工作分解。通过组织全体项目组成员和项目相关人员开会讨论,把信息安全改造项目一共分为包括项目启动、现状调研、方案设计论证、技术评估、设备割接上线、配置优化加固、管理体系建设、系统连续性保障、培训、验收等10个阶段任务,并细分为72个活动。对每项活动做出时间、成本和资源需要量的估算,并确定每项活动所需要的技术和人力资源,界定每项活动的输入信息和输出成果,明确每项活动的质量要求,明确各单项活动的参与人员职责和负责人。
1.4 项目分项控制
项目范围界定后,下一步重点进行活动排序,即确定各活动之间的依赖关系,确定项目进度安排。由于本项目对于人力资源的需求较大,72项活动总计需要249个人日的工作量,工期排除节假日仅有70 d,因此必须多任务并发执行。使用前导图工具,用节点表示活动,用箭线表示活动排序,每项活动注明预计工期,并确定各项活动的类型,即:结束开始(FS),结束结束(FF),开始开始(SS),开始结束(SF)。什么资源在什么时候可以用,以及在项目执行过程中每一时刻需要什么样的资源[5]是项目计划安排的基础,本项目资源涉及采购的产品、施工的工程技术人员、需要配合的业务部门人员等。
使用关键路径法(CPM)工具[6],分析项目的最长路径,计算项目的工期、各个活动时间特点(最早最晚时间、时差)等,合理安排施工人员工作,提高工作效率,避免过度加班。本项目的关键路径分析后确定为:项目启动2 d、网络架构调研3 d、业务流程调研7 d、整改方案设计14 d、整改方案确认6 d、设备上线4 d、设备联调4 d、业务连续性预案设计6 d、应急演练4 d、管理制度落地宣贯4 d、等级保护测评14 d、业务运行14 d、行业合规评审4 d。关键路径时间总计86 d。
1.5 项目进度控制
由于如期完成工作日只有80 d,日历日119 d。为了避免加班,同时应对突发事件,必须把关键路径时间控制在80 d以内。
通过前导图的正推法和逆推法分别计算每项活动的最早开始事件和最迟开始事件,发现整改方案确认活动完成后才能开始后续的活动,因此必须要缩短业务流程调研7 d、整改方案设计14 d、整改方案确认6 d的工期,最终确认的前导图,见图1。
项目实施方需要在网络架构调研活动结束后增派1名高级服务工程师,参与3类项目,并安排了2 d周末加班,缩短了15 d的工期[7]。同时把管理制度体系工作提前实施,有效利用实施项目团队的人力资源[8]。
1.6 项目质量控制
本项目质量保障重点把控:① 质量计划:确定适合于项目的质量标准并决定如何满足这些标准;② 质量保证:用于有计划、系统的质量活动,确保项目中的所有必需过程满足项目干系人的期望;③ 质量控制:监控具体项目结果以确定其是否符合相关质量标准,制定有效方案,消除产生质量问题的原因。
图1 前导图
在项目启动会上,明确了项目的质量计划,项目整体质量验收要求符合行业信息系统合规要求、业务联系性要求、安全数据保密要求等。利用鱼刺图工具,通过前期项目经验、专家建议、项目组成员头脑风暴,梳理了可能导致项目质量差距的所有隐患和风险[9],直观地反映了影响项目的各种潜在原因或结果及其构成因素同各种可能出现的问题之间的关系。再通过帕累托图分析,确定最主要的质量隐患并分类梳理,明确项目里程碑事件和阶段验收标准,同时对WBS分解的每项活动都明确了输入、输出成果,参与人员能力水平。
1.7 项目沟通管理
项目实施过程中,要求每天提供项目日报,汇总当天工作内容和后2 d的工作计划。每周五上午召开项目周汇报会,对项目进度、交付成果、变更事件、质量控制等方面加强项目沟通管理。
2 总结
在网络安全改造工作中以项目管理的方式做为支撑,通过合理的方法和安排牢牢把控住项目的全局,项目自2014年8月启动至2014年11月验收历时3个月,比项目最终交付时间提前8个工作日完成,显著改善了医院信息系统的安全性,并一次性通过了安全测评机构的测评,系统至今运行稳定。通过本项目,积累了成功经验,并建立了一整套信息安全管理和保障体系,为今后信息安全的持续改进奠定了良好的基础。
[参考文献]
[1] 陈宏,刘亿舟.中国IT服务管理指南[K].2版.北京:北京大学出版社,2012.
[2] 白思俊.现代项目管理概论[M].2版.北京:电子工业出版社,2013.
[3] 吴清,王通.浅谈工程项目管理模式[J].价值工程,2011,(9):78-79.
[4] Project Management Institute.项目管理知识体系指南(PMBOK指南)[K].5版.北京:电子工业出版社,2013.
[5] 刘慧,陈虔.IT执行力:IT项目管理实践[M].北京:电子工业大学出版社,2004.
[6] 柳纯录.系统集成项目管理工程师教程[M].北京:清华大学出版社,2009.
[7] 潘广钦.项目进度管理研究综述[J].价值工程,2014,(31):86-89.
[8] 吴新跃.医院信息系统建设项目中的人力资源管理[J].中国医疗设备,2015,30(7):153-155.
[9] 李翠霞,闫兴旭.信息化技术在内部审计风险管理中的运用[J].财会资讯,2013,(34):86-87.
Application and Practice of Program Management in Reformation of HIS Security
LI Cui-rong, WEI Ren, DU Yang, XU Min
Department of Information, Qianfoshan Hospital of Shandong, Jinan Shandong 250014, China
Abstract:In view of issues in reformation of HIS (Hospital Information System) security in the hospital, this paper adopted the concept of program management and made an analysis of the concept and correlation of scope management, schedule management and quality management. Then, the WBS (Work Breakdown Structure) method was put forward so as to perform scope management in a result-oriented way. And the project critical path was identifed for staff allocation and schedule control by using PDM (Precedence Diagram Method). The weekly assessment of potential causes that might affect the quality was made through the fshbone diagram so as to strengthen the quality control of the program. Started in August 2014 and accepted in November 2014, this system operated stably and was appraised well by both parties of the program.
Key words:information system security; program management; critical path; work breakdown structure; quality control
[中图分类号]F270.7;R197.324
[文献标志码]C
doi:10.3969/j.issn.1674-1633.2016.07.041
[文章编号]1674-1633(2016)07-0131-02
收稿日期:2015-07-27
修回日期:2015-08-25
基金项目:山东省科技厅发展计划项目(2010GSF10816)。
通讯作者:徐民,高级工程师,山东省千佛山医院副院长。