基于AHP法的項目信息安全管理方法

肖湯

（廣州博納信息技術有限公司 廣東省廣州市 510080）

在項目信息管理的過程中，注意力往往都集中在對項目執行過程的把控上，從而忽略了項目信息本身的安全問題[1]。因此，保障項目信息安全管理的有效性，成為了整個項目過程中的關鍵部分。因此，加強項目信息安全管理，加大對項目信息安全的監管力度，增加項目信息安全管理的資金投入。在項目信息安全中，身份驗證是其信息安全管理的關鍵防線，通過對項目中形成的信息進行加密、解密，以及數字簽名等密碼學管理，對用戶進行項目相關性的身份認證。傳統的項目信息安全管理方式，使其用戶名與項目口令的認證方式存在著很大的風險性。此外，項目具有特殊性，需要在一定的時間內實現特定的目標任務。

基于AHP 法的項目信息安全管理，是對項目信息安全進行定量分析，從而實現項目信息安全管理決策的可行性。基于AHP 法的項目信息安全管理方法，就是能夠把復雜的安全管理問題劃分為相互聯系的有序層次；進而利用數學算法計算出每層影響項目信息安全管理因素的相對重要性權重值，并根據影響效果的強弱進行排序。AHP 法主要是模擬人對項目信息安全管理的思維過程，是為了解決難以描述、具有抽象性的分析方法[2]。AHP 法借助數學公式、計算機技術、概率論，以及統計學等對項目信息安全管理方法進行邏輯分析。

1 分析當前項目信息安全管理存在問題

1.1 項目管理流程動態變化

項目信息是計劃、執行、控制，以及反饋四個階段實現的管理，對于實施項目信息安全的管理，需要在過程中以文檔的形式記錄其動態變化情況。然而，項目信息安全的文檔記錄是需要技術性的，不能夠只記錄項目信息安全的時間節點，對其影響項目信息安全管理的關鍵因素沒有深入分析。此外，項目信息在沒有確定客戶需求的情況下，項目信息安全管理過程則是不斷變化的，直接影響項目信息的工作效率。

企業的應用項目信息安全的管理，是項目發展的驅動型組織，需要項目信息安全管理方法具有規范性，能夠制定出一份詳細的安全管理計劃[3]。在項目信息安全的管理過程中，不能夠清楚劃分業務和項目信息安全的工作界限，無法深刻體會項目信息安全管理的先進之處。此外，在項目信息實施之前，與客戶交流得不夠充分，則會直接導致項目信息安全的范圍定義不清晰，影響項目工期。

表1：項目信息風險分類

表2：項目信息安全管理方法對比

圖1：項目信息安全管理目標

圖2：項目監測與項目信息安全管理關系圖

1.2 缺少相關管理軟件支持

項目信息安全管理需要軟件的開發，對項目信息安全的范圍、時間、費用，以及人力等方面進行有效管理。在實際的應用中，項目信息安全管理屬于系統管理工程，根據不同的項目信息安全的管理流程進行完善[4]。一定程度上，不僅能夠保證項目信息安全的管理可行性，還能夠對項目信息的完成情況進行實時記錄。

項目信息安全管理，是對項目實施過程中實際情況的變化因素進行相應的歸納、總結，并開啟對項目信息數據的共享模式。當前，項目信息安全管理的方法的效率提升和資源的分配的定位不清晰，不僅增加了工作人員的任務量，還影響項目信息安全管理的運行效率。因此，項目信息安全管理需要匯總各方的流程標準，進而實現項目信息安全管理的透明性、客觀性。

1.3 安全管理意識片面化

項目信息安全管理需要進行統一的規劃發展，在對項目信息安全管理的過程中，需要專業的工作人員給予深層次的意見分析。而當前，項目信息安全管理的建設團隊，都是從各部門調動過來的工作人員，不僅專業能力不足、還缺少項目信息安全管理的專屬性。對于項目信息安全管理的培訓不足，導致其安全管理的意識陳舊；甚至認為項目信息安全的管理就是技術管理，存在思維片面性，重視程度低。

由于沒有統一的項目信息安全管理的培訓學習，僅從本職工作的角度參與安全管理，大大降低了項目信息安全管理的效果。而項目信息安全管理具有臨時性，所以項目信息安全管理團隊缺少核心人物。一定程度上，缺少相應的激勵機制，也影響著工作人員的工作積極性，制約了工作人員在臨時安全管理中的表現。

2 提出基于AHP法的項目信息安全管理方法

2.1 明確項目信息安全管理目標

項目信息安全管理的工作方案是由：項目信息安全目標、規劃、工作計劃，以及項目信息安全管理的運營預算等構成[5]。根據項目信息發展的實際情況，制定項目信息安全管理的整體框架、項目信息安全管理技術的防護措施，以及項目信息安全管理的建設團隊等工作內容。與此同時，為達成項目信息安全管理的目標，將項目信息安全管理的規劃分解為年度工作計劃，每年由安全管理團隊統一意見、共同提交審核。

項目信息安全管理的目標，具體包括：項目信息安全管理的起始時間、項目信息的具體內容，以及達成的效果等，如圖1。每個季度對項目信息安全管理的目標完成情況進行確認，年末提交安全管理目標完成情況的總結報告。此外，項目信息安全管理還需要有系統安全加固、安全管理風險評估，以及項目信息安全管理技術等方面的部署。

2.2 健全安全管理相關制度

項目信息安全管理方法的文檔記錄，分為項目信息安全的總體規劃、各類項目信息安全管理制度，以及項目信息安全管理方法的細則。通過項目信息安全管理的軟件，建立健全當前項目信息安全管理制度缺失部分。明確當前基于AHP 法的項目信息安全管理的風險性，并保持項目信息安全管理制度的動態更新[6]。

基于AHP 法的項目信息安全管理的關鍵就是：將項目信息安全整合到項目管理中，并作為項目信息管理中的一部分。此外，定期評估項目信息安全管理的風險性，明確項目信息安全管理的責任，強化對項目信息重要資料的保密性。完善項目信息文檔管理的要求，配備專門文檔管理工作人員，負責項目信息安全管理的全過程。

2.3 建立基于AHP的層次結構

基于AHP 的項目信息安全管理，是對項目信息進行優先級排列組合，把安全管理中復雜的因素進行條理化分析。基于AHP 的項目信息安全管理，具體包括：構建項目信息組合、提取安全管理的戰略目標，以及預測、評估項目信息安全管理的風險性。基于AHP 法的項目信息安全管理，對影響項目信息安全管理的因素進行優劣排序[7]。

建立基于AHP 的項目信息安全管理層次結構，需要分析項目信息安全管理中各影響因素之間的關系，進而建立安全管理的遞進層次結構，并進行項目信息兩兩比較的判斷矩陣。基于AHP 的方法，已知n 個因素對于準則C 的判斷矩陣為A，進而求C 的相對權重判斷矩陣A 的近似權重向量公式為：因此，A 的項目信息安全管理因素按列相乘得到新向量，進而將每個分量開n 次方，所得權重歸一后，即可得到權重向量。

2.4 更新信息安全管理意識

基于AHP 法的項目信息安全管理方法，需要豐富項目信息安全管理的相關內容，并進行項目信息安全管理的普及型培訓[8]。不僅要充分利用互聯網技術與新媒體形式的學習方式，還要適當增加項目信息安全管理培訓的資金投入。當前，項目信息安全管理內部普遍存在：病毒與惡意代碼感染、項目信息數據泄露、移動硬盤介質濫用，以及系統軟件隨意安裝等嚴重問題。

通過發送釣魚電子郵件的形式，對工作人員進行項目信息安全管理的測試。根據不同崗位的工作人員信息，推送精準的釣魚郵件，進而深入分析釣魚結構，分析當前項目信息安全管理意識薄弱的群體。因此，可以通過現代化科學技術，推廣企業協同項目開展的辦公APP，保證基于AHP 法的項目信息安全管理具有現實價值。

3 案例分析

3.1 設計案例

在項目信息安全管理的準備階段，為達成基于AHP 法的項目信息安全管理戰略目標，需要召開多次會議。首先要對項目信息安全管理戰略目標進行拆分，并使用AHP 法將項目信息進行排序、組合。進而基于AHP 法的項目信息安全管理進行逐個分析，衡量項目信息安全為企業帶來的潛在收益。此外，結合企業當前項目信息安全制約因素進行管理優化，確定最佳的項目信息安全管理的方法組合。在優化基于AHP 法的項目信息安全管理方法的基礎上，進一步對項目信息安全相關因素進行分析，保證項目及其信息安全管理的平衡。

通過對項目的監測，及時跟進項目信息安全管理的狀態及變化情況。通常情況下，不僅能夠實現項目信息的可視化，及時分析影響信息安全管理因素的變化情況；還能夠及時對項目信息環境、戰略目標等進行變更控制。基于AHP 法的項目信息安全管理，通過頭腦風暴、意見收集，以及管理層決策三種形式，確定項目信息安全管理因素的優先級。此外，項目信息的組合之間是相互聯系、相互影響的，不能夠只考慮項目的商業價值，而忽略了項目信息的安全性，如圖2。基于AHP 法的項目信息安全管理，能夠幫助管理層對項目信息的安全性進行評估、預測。

3.2 案例過程及結果

基于AHP 法的項目信息安全管理，首先發布項目信息安全管理章程，包括項目信息的目標、預算成本，以及項目具體內容；進一步確定項目信息安全管理的優先級及可分配的基礎資源。在明確項目信息安全管理的關鍵問題后，基于AHP 法設置精準的臨界參數，確定項目信息安全管理的時間、預算、范圍，以及管理效果等優先級次序。通過使用成熟的項目信息安全管理軟件Microsoft Project Server，將所有項目信息安全管理的影響因素導入數據庫，進行動態跟蹤、定期維護。

項目信息本身存在不確定性，部分項目信息安全管理的外部因素超出了管理層的可控范圍。為衡量基于AHP 法的項目信息安全管理，需要對項目信息進行正式的風險評估、預測。根據對項目信息安全管理的分析，基于AHP 法計算得到項目信息安全性的評估分類。如表1 所示。

企業項目信息具有臨時性、戰略性，目的是實現單一產品或服務的產出。基于AHP 法的項目信息安全管理過程中，不僅降低了安全管理的運營成本，還保障了項目信息安全管理的有效性。基于AHP 法對項目信息安全管理進行量化分析，其安全管理因素的優先級數據直觀地展現出來，便于管理層的科學、客觀決策。如表2所示。

在引入AHP 法的項目信息安全管理方法后，通過建立項目信息組合，將多個安全管理因素進行結合，并對其采取評估、選擇、優化，以及平衡等多種措施。基于AHP 法的項目信息安全管理，企業對項目信息安全管理進行量化分析，盡可能地降低項目信息安全性的管理風險性。因此，基于AHP 法的項目信息安全管理，有效地對因素優先級進行有序分配資源，以量化的方式與企業項目的發展達成戰略一致性。

4 結束語

在傳統的項目信息安全管理中，存在著總體規劃不合理、項目信息優先級排序困難等問題，而基于AHP 法的項目信息安全管理方法，結合案例分析，對項目信息安全管理進行組合、優化，以及對其管理方法進行可行性、實用性的預測。隨著互聯網數據的廣泛應用，項目信息安全管理的方法也需要及時更新。項目信息安全的管理，是保護企業的關鍵資產；而推動基于AHP 法的項目信息安全管理方法的優化，極大改善了業務效率與項目信息安全的矛盾。