項目管理在信息系統安全改造中的應用與實踐

李翠榮，韋韌，杜楊，徐民

山東省千佛山醫院 信息科，山東濟南 250014

項目管理在信息系統安全改造中的應用與實踐

李翠榮，韋韌，杜楊，徐民

山東省千佛山醫院 信息科，山東濟南 250014

本文根據我院在信息系統安全改造項目中遇到的問題，應用項目管理的理念分析了范圍管理、進度管理和質量管理的概念和關聯關系，提出應采用工作分解結構（WBS）方法，以交付成果為導向進行范圍管理；基于前導圖尋找項目關鍵路徑，調整人員分配，控制進度；通過魚骨刺圖梳理影響質量的潛在原因，做好周考核，加強項目的質量控制。該項目自2014年8月啟動至2014年11月驗收歷時3個月，系統至今運行穩定，并獲得項目雙方的好評。

信息系統安全；項目管理 ；關鍵路徑；工作分解結構法；質量控制

0 引言

醫院信息系統（HIS）安全對于保障醫院業務連續性和保護患者隱私具有至關重要的作用。任何HIS的安全隱患都可能影響到醫院業務的正常運轉，輕則造成患者診療信息泄露，重則引發系統癱瘓，影響患者就診，甚至造成醫療事故。為此，衛生部早在2011年就印發了《辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》，要求各級衛生醫療機構貫徹落實國家信息安全等級保護制度。

2014年8月初，按照我院自身需要以及衛計委對醫院信息安全保護工作的要求，決定由信息中心負責開展我院的信息系統安全改造項目，以期在2014年12月中旬達到核心業務系統符合信息系統安全等級保護三級的要求。

1 項目解決方案

1.1 項目范圍確認

本項目主要針對目前信息系統進行網絡架構調整、安全設備上線實施、業務應用安全評估、加固、安全管理系統建設、IT運維體系建設[1]等工作。項目實施最大的難點在于項目復雜、工期緊張、行業合規質量要求嚴格。我院在本項目中采用項目管理的思想，較好地解決了上述困難。

1.2 項目重點分析

首先從全局的角度對項目分析后發現，項目的范圍管理、進度管理和質量管理的有效落地是項目成功的關鍵[2]。范圍管理主要是為了達成項目預期的目標，確定項目內包括什么工作和不包括什么工作；進度管理主要是確定進度目標，編制進度計劃與資源供應計劃，進行進度控制，利用有效的資源，在規定的時間內完成所有項目工作；項目質量管理主要是依靠質量計劃、質量控制、質量保證及質量改進管理確保項目按照設計者規定的要求圓滿地完成。只有處理好三者的關系，才能保證任務的順利進行。

1.3 項目范圍控制

項目管理包含：啟動、范圍計劃、范圍定義、范圍核實及范圍變更控制[3]。其中范圍定義是以項目范圍規劃的成果為依據，把項目的主要可交付產品和服務劃分為更小的、更容易管理的單元，即形成工作分解結構（Work Breakdown Structure，WBS）[4]，使得原來看起來籠統、模糊的項目目標一下子清晰下來，使得項目管理有依據，項目團隊的工作目標清楚明了。

制定好一個WBS的指導思想是逐層深入。先將項目成果框架確定下來，然后每層下面再把工作分解。通過組織全體項目組成員和項目相關人員開會討論，把信息安全改造項目一共分為包括項目啟動、現狀調研、方案設計論證、技術評估、設備割接上線、配置優化加固、管理體系建設、系統連續性保障、培訓、驗收等10個階段任務，并細分為72個活動。對每項活動做出時間、成本和資源需要量的估算，并確定每項活動所需要的技術和人力資源，界定每項活動的輸入信息和輸出成果，明確每項活動的質量要求，明確各單項活動的參與人員職責和負責人。

1.4 項目分項控制

項目范圍界定后，下一步重點進行活動排序，即確定各活動之間的依賴關系，確定項目進度安排。由于本項目對于人力資源的需求較大，72項活動總計需要249個人日的工作量，工期排除節假日僅有70 d，因此必須多任務并發執行。使用前導圖工具，用節點表示活動，用箭線表示活動排序，每項活動注明預計工期，并確定各項活動的類型，即：結束開始（FS），結束結束（FF），開始開始（SS），開始結束（SF）。什么資源在什么時候可以用，以及在項目執行過程中每一時刻需要什么樣的資源[5]是項目計劃安排的基礎，本項目資源涉及采購的產品、施工的工程技術人員、需要配合的業務部門人員等。

使用關鍵路徑法（CPM）工具[6]，分析項目的最長路徑，計算項目的工期、各個活動時間特點（最早最晚時間、時差）等，合理安排施工人員工作，提高工作效率，避免過度加班。本項目的關鍵路徑分析后確定為：項目啟動2 d、網絡架構調研3 d、業務流程調研7 d、整改方案設計14 d、整改方案確認6 d、設備上線4 d、設備聯調4 d、業務連續性預案設計6 d、應急演練4 d、管理制度落地宣貫4 d、等級保護測評14 d、業務運行14 d、行業合規評審4 d。關鍵路徑時間總計86 d。

1.5 項目進度控制

由于如期完成工作日只有80 d，日歷日119 d。為了避免加班，同時應對突發事件，必須把關鍵路徑時間控制在80 d以內。

通過前導圖的正推法和逆推法分別計算每項活動的最早開始事件和最遲開始事件，發現整改方案確認活動完成后才能開始后續的活動，因此必須要縮短業務流程調研7 d、整改方案設計14 d、整改方案確認6 d的工期，最終確認的前導圖，見圖1。

項目實施方需要在網絡架構調研活動結束后增派1名高級服務工程師，參與3類項目，并安排了2 d周末加班，縮短了15 d的工期[7]。同時把管理制度體系工作提前實施，有效利用實施項目團隊的人力資源[8]。

1.6 項目質量控制

本項目質量保障重點把控：① 質量計劃：確定適合于項目的質量標準并決定如何滿足這些標準；② 質量保證：用于有計劃、系統的質量活動，確保項目中的所有必需過程滿足項目干系人的期望；③ 質量控制：監控具體項目結果以確定其是否符合相關質量標準，制定有效方案，消除產生質量問題的原因。

圖1 前導圖

在項目啟動會上，明確了項目的質量計劃，項目整體質量驗收要求符合行業信息系統合規要求、業務聯系性要求、安全數據保密要求等。利用魚刺圖工具，通過前期項目經驗、專家建議、項目組成員頭腦風暴，梳理了可能導致項目質量差距的所有隱患和風險[9]，直觀地反映了影響項目的各種潛在原因或結果及其構成因素同各種可能出現的問題之間的關系。再通過帕累托圖分析，確定最主要的質量隱患并分類梳理，明確項目里程碑事件和階段驗收標準，同時對WBS分解的每項活動都明確了輸入、輸出成果，參與人員能力水平。

1.7 項目溝通管理

項目實施過程中，要求每天提供項目日報，匯總當天工作內容和后2 d的工作計劃。每周五上午召開項目周匯報會，對項目進度、交付成果、變更事件、質量控制等方面加強項目溝通管理。

2 總結

在網絡安全改造工作中以項目管理的方式做為支撐，通過合理的方法和安排牢牢把控住項目的全局，項目自2014年8月啟動至2014年11月驗收歷時3個月，比項目最終交付時間提前8個工作日完成，顯著改善了醫院信息系統的安全性，并一次性通過了安全測評機構的測評，系統至今運行穩定。通過本項目，積累了成功經驗，并建立了一整套信息安全管理和保障體系，為今后信息安全的持續改進奠定了良好的基礎。

[1] 陳宏,劉億舟.中國IT服務管理指南[K].2版.北京:北京大學出版社,2012.

[2] 白思俊.現代項目管理概論[M].2版.北京:電子工業出版社,2013.

[3] 吳清,王通.淺談工程項目管理模式[J].價值工程,2011,(9):78-79.

[4] Project Management Institute.項目管理知識體系指南(PMBOK指南)[K].5版.北京:電子工業出版社,2013.

[5] 劉慧,陳虔.IT執行力:IT項目管理實踐[M].北京:電子工業大學出版社,2004.

[6] 柳純錄.系統集成項目管理工程師教程[M].北京:清華大學出版社,2009.

[7] 潘廣欽.項目進度管理研究綜述[J].價值工程,2014,(31):86-89.

[8] 吳新躍.醫院信息系統建設項目中的人力資源管理[J].中國醫療設備,2015,30(7):153-155.

[9] 李翠霞,閆興旭.信息化技術在內部審計風險管理中的運用[J].財會資訊,2013,(34):86-87.

Application and Practice of Program Management in Reformation of HIS Security

LI Cui-rong, WEI Ren, DU Yang, XU Min
Department of Information, Qianfoshan Hospital of Shandong, Jinan Shandong 250014, China

In view of issues in reformation of HIS (Hospital Information System) security in the hospital, this paper adopted the concept of program management and made an analysis of the concept and correlation of scope management, schedule management and quality management. Then, the WBS (Work Breakdown Structure) method was put forward so as to perform scope management in a result-oriented way. And the project critical path was identifed for staff allocation and schedule control by using PDM (Precedence Diagram Method). The weekly assessment of potential causes that might affect the quality was made through the fshbone diagram so as to strengthen the quality control of the program. Started in August 2014 and accepted in November 2014, this system operated stably and was appraised well by both parties of the program.

information system security; program management; critical path; work breakdown structure; quality control

F270.7；R197.324

C

10.3969/j.issn.1674-1633.2016.07.041

1674-1633(2016)07-0131-02

2015-07-27

2015-08-25

山東省科技廳發展計劃項目（2010GSF10816）。

徐民，高級工程師，山東省千佛山醫院副院長。

作者郵箱：13791120789@139.com