来源:CNCISA
本人做项目经理工作多年,感到做这个工作最要紧的就是要明白什么是因地制宜、因势利导,只有最合适的,没有什么叫对的,什么叫错的,项目经理最忌讳的就是完美主义倾向,尤其是做技术人员出身的,喜欢寻找标准答案,耽误了工作进度,也迷茫了自己。以下是本人一些做项目的个人体会,写出来供大家指点,在讨论过程中共同提高水平。
项目开始阶段是一个最重要的阶段。项目经理在接手一个新项目的时候,首先要尽可能地多从各个方面了解项目的情况,如:
1.这个项目是什么项目,具体大概做什么事情,是谁提出来的,目的是解决什么问题。在国内很多客户都很不成熟的情况下,千万不要根据项目的名称望文生义地去想象项目的目标。一个名为“办公自动化”的项目很有可能在你进场以后一个月才发现客户其实需要的是一个计算机生产管理辅助信息系统系统。前期了解情况的工作越详细,后面的惊讶就越少,项目的风险就越小。
本人做项目经理工作多年,感到做这个工作最要紧的就是要明白什么是因地制宜、因势利导,只有最合适的,没有什么叫对的,什么叫错的,项目经理最忌讳的就是完美主义倾向,尤其是做技术人员出身的,喜欢寻找标准答案,耽误了工作进度,也迷茫了自己。以下是本人一些做项目的个人体会,写出来供大家指点,在讨论过程中共同提高水平。
项目开始阶段是一个最重要的阶段。项目经理在接手一个新项目的时候,首先要尽可能地多从各个方面了解项目的情况,如:
1.这个项目是什么项目,具体大概做什么事情,是谁提出来的,目的是解决什么问题。在国内很多客户都很不成熟的情况下,千万不要根据项目的名称望文生义地去想象项目的目标。一个名为“办公自动化”的项目很有可能在你进场以后一个月才发现客户其实需要的是一个计算机生产管理辅助信息系统系统。前期了解情况的工作越详细,后面的惊讶就越少,项目的风险就越小。
2011年的互联网信息安全攻击事件,除了常见的针对操作系统的漏洞攻击,针对金融机构的钓鱼网站攻击之外、还包括以日本索尼千万级用户和国内CSDN超过600万用户密码泄露为代表的针对互联网用户的安全事件。这些安全事件的发生,其本质也离不开对各种安全漏洞或者是0day漏洞的依赖,这也为安全漏洞的挖掘分析提供了参考。2012年,以基础设施的漏洞安全、云安全、社交网络的信息泄露、移动智能终端的安全以及APT高持续性攻击为代表的关键词汇,将成为信息安全领域的研究热点。
转一篇不错的文章,看了之后受益匪浅··
在IT圈里混了十多年,差不多八年的厂家技术管理工作,一直与客户进行技术沟通;无论是做网络,还是做安全,感触最多的还是作为售前工程师的时候,因为售前技术工作是介于销售与技术之间的职位,经常接触到各式各样的客户,对提高自身的沟通能力有很好的磨练。在其他行业里一般是技术工程师,也就是我们常说的售后工程师,就算在IT业内售前的职位也很特殊,既要有与客户沟通的技巧,也要有技术人员的细致与执着,实际上是技术型的销售角色。
售前工程师的任务就是让客户接受公司的技术解决方案,在招标的时候,技术标打出最高分。若是纯粹的技术比拼,工作就简单了,大家的产品放在一起测试,谁的好一目了然,但是客户采购IT产品,无论硬件还是软件都是为客户业务提供支持服务的,需要的不是产品本身,而是解决方案,说得明白些,就是怎样解决客户面临的问题,客户一般来说不是IT的专家,有些甚至连具体的需求也说不清楚,需要你的提炼与讲解。如何合理地选择产品组成方案,价格低、功能多、性能好、适合客户未来的发展,多数是靠售前对技术方案的理解与讲解。所以售前技术人员需要有销售般的沟通能力、技术的表达能力、紧急应对的反应能力……
在IT圈里混了十多年,差不多八年的厂家技术管理工作,一直与客户进行技术沟通;无论是做网络,还是做安全,感触最多的还是作为售前工程师的时候,因为售前技术工作是介于销售与技术之间的职位,经常接触到各式各样的客户,对提高自身的沟通能力有很好的磨练。在其他行业里一般是技术工程师,也就是我们常说的售后工程师,就算在IT业内售前的职位也很特殊,既要有与客户沟通的技巧,也要有技术人员的细致与执着,实际上是技术型的销售角色。
售前工程师的任务就是让客户接受公司的技术解决方案,在招标的时候,技术标打出最高分。若是纯粹的技术比拼,工作就简单了,大家的产品放在一起测试,谁的好一目了然,但是客户采购IT产品,无论硬件还是软件都是为客户业务提供支持服务的,需要的不是产品本身,而是解决方案,说得明白些,就是怎样解决客户面临的问题,客户一般来说不是IT的专家,有些甚至连具体的需求也说不清楚,需要你的提炼与讲解。如何合理地选择产品组成方案,价格低、功能多、性能好、适合客户未来的发展,多数是靠售前对技术方案的理解与讲解。所以售前技术人员需要有销售般的沟通能力、技术的表达能力、紧急应对的反应能力……
最近部门在招人,我负责了筛选简历和面试,通过一段时间下来,并对比目前安全圈子内的现象,发现信息安全圈子存在人才泡沫的现象。
归功于黑客攻击事件的频频发生以及脱库牛的努力,信息安全的市场呈现了一片欣欣向荣的景象,证监会、银监会等监管机构隔三差五的就发布相关的安全通报或者安全要求,使得下面的企业对于信息安全的建设,有种如履薄冰的感觉,生怕出事,从而遭到上级的批评,进而影响自己的仕途,所以近两年来,各大企业,都在笼络信息安全方面的人才,并且将安全人才的薪资一加再加。这里我想很大一部分的原因是,信息安全市场人才本来就有限,但是人才的缺口却是很大的。前两年安全工程师找工作还不是那么容易,因为岗位有限,所以竞争还是比较激烈的,而近两年,安全市场被打开,各个企业在安全岗位上,都有很大的缺口,而有经验的人已经基本有了自己的合适的岗位,都是一个萝卜一个坑,都已占好了位置,那么这些企业在招人方面,通常会有两个选择,一是高薪挖其他公司的安全人才,二是招有潜力的安全人才进行培养,第一个选择的成功率不是太大,因为每个企业的薪酬制度基本已经固定,不会为了哪个人进行改变,何况你想挖的人,如果真有能力的话,在原先的单位,待遇也不会很低,所以要想挖过来,你开出的价钱很难具有竞争力,所以很多企业通常选择了第二个,就是招一些有点技术基础并且有培养潜力的人,但这样的人一般很难通过几轮面试就能判断出来的,而是需要后期工作中的表现才能判断,也许正是因为这个原因,很多企业在选择有培养潜力的人才时,出现失误,或者从个人的角度出发,公司当初承诺给个人的某些福利或者其他要求,没有达到,诸如此类的种种原因,导致目前信息安全市场人才流动频繁,从而造就了工资的节节攀升。
归功于黑客攻击事件的频频发生以及脱库牛的努力,信息安全的市场呈现了一片欣欣向荣的景象,证监会、银监会等监管机构隔三差五的就发布相关的安全通报或者安全要求,使得下面的企业对于信息安全的建设,有种如履薄冰的感觉,生怕出事,从而遭到上级的批评,进而影响自己的仕途,所以近两年来,各大企业,都在笼络信息安全方面的人才,并且将安全人才的薪资一加再加。这里我想很大一部分的原因是,信息安全市场人才本来就有限,但是人才的缺口却是很大的。前两年安全工程师找工作还不是那么容易,因为岗位有限,所以竞争还是比较激烈的,而近两年,安全市场被打开,各个企业在安全岗位上,都有很大的缺口,而有经验的人已经基本有了自己的合适的岗位,都是一个萝卜一个坑,都已占好了位置,那么这些企业在招人方面,通常会有两个选择,一是高薪挖其他公司的安全人才,二是招有潜力的安全人才进行培养,第一个选择的成功率不是太大,因为每个企业的薪酬制度基本已经固定,不会为了哪个人进行改变,何况你想挖的人,如果真有能力的话,在原先的单位,待遇也不会很低,所以要想挖过来,你开出的价钱很难具有竞争力,所以很多企业通常选择了第二个,就是招一些有点技术基础并且有培养潜力的人,但这样的人一般很难通过几轮面试就能判断出来的,而是需要后期工作中的表现才能判断,也许正是因为这个原因,很多企业在选择有培养潜力的人才时,出现失误,或者从个人的角度出发,公司当初承诺给个人的某些福利或者其他要求,没有达到,诸如此类的种种原因,导致目前信息安全市场人才流动频繁,从而造就了工资的节节攀升。
最近有点忙··忙着实施项目,忙着部门招人,忙着房子装修,忙着考试等等··一堆的事情···
发现自己要面对的东西越来越多,要学的东西更多,最近在微博看到一个评论,说做顾问的大概分为三种人:1、完全不懂,在客户面前瞎 JB 乱吹的;2、懂一点,然后抓住某个案例或者亮点不厌其烦的说多少次 3、学的越多,发现自己不足的地方就越多,反而不敢在用户面前乱说;
话说回来,做顾问的人,就是要对每一项技术或者是标准都要能够了解,不求非常精通,起码要知道是怎么回事。没有谁有那个精力去学所有的知识,也就不可能做到每一项技术或者标准你都能精通,但必须要了解,这也就是做甲方和做乙方的区别吧,在乙方做久了的人,再到甲方肯定会不适应,甲方需要的是单一技术的专家,而不是一个技术的万精油,同样在甲方做的时间长了的人,到乙方也会不习惯,会发现自己需要学习和关注的方面还有很多,而且如果你只会一门单一的技术,你在乙方的使用价值就有限,乙方需要的是全才,什么都要懂,但不一定都要精通。
发现自己要面对的东西越来越多,要学的东西更多,最近在微博看到一个评论,说做顾问的大概分为三种人:1、完全不懂,在客户面前瞎 JB 乱吹的;2、懂一点,然后抓住某个案例或者亮点不厌其烦的说多少次 3、学的越多,发现自己不足的地方就越多,反而不敢在用户面前乱说;
话说回来,做顾问的人,就是要对每一项技术或者是标准都要能够了解,不求非常精通,起码要知道是怎么回事。没有谁有那个精力去学所有的知识,也就不可能做到每一项技术或者标准你都能精通,但必须要了解,这也就是做甲方和做乙方的区别吧,在乙方做久了的人,再到甲方肯定会不适应,甲方需要的是单一技术的专家,而不是一个技术的万精油,同样在甲方做的时间长了的人,到乙方也会不习惯,会发现自己需要学习和关注的方面还有很多,而且如果你只会一门单一的技术,你在乙方的使用价值就有限,乙方需要的是全才,什么都要懂,但不一定都要精通。
本文将从项目管理的几个周期来谈谈项目管理的一些经验,仅供大家参考,说的不对的地方,还请指教。
各个行业的项目管理有一定的区别,但总体的指导思想应该是一致的。本文所说的项目管理是指安全服务行业的项目管理。
通常一个安全服务项目通常会分为几个周期:
1、售前期,即投标前期
2、项目实施期间
3、项目验收期
下面从项目的各个周期来谈谈一些个人的想法:
各个行业的项目管理有一定的区别,但总体的指导思想应该是一致的。本文所说的项目管理是指安全服务行业的项目管理。
通常一个安全服务项目通常会分为几个周期:
1、售前期,即投标前期
2、项目实施期间
3、项目验收期
下面从项目的各个周期来谈谈一些个人的想法:
来成都也有 1 个多星期了···在来成都之前,去了次珠海。
这次在珠海给客户培训网银相关安全性的东西,因为之前做的准备工作比较充分,培训的效果不错。由于中国银行网银的钓鱼事件给很多银行业的客户敲响了警钟,本次的培训的内容主要是关于网银的安全,并且重点讲了网银的钓鱼,简单介绍了钓鱼事件的触发原因,并且从客户的角度出发,作为银行方面,应该如何防止网络钓鱼?譬如建立相关的监控小组和有相关的监控流程等等,客户听后感觉很好,客户认为你是花了功夫的,是真正切实为客户考虑的。
做安全咨询几年来,感触良多。现在的整个安全咨询行业,存在一定的问题,中间有人员的问题也有客户的问题。究其原因,客户预算不足,安全服务提供商为了中标项目,以低价打标,造成中标的服务商从成本收益方面考虑,在项目的交付质量上就存在了问题,很多都是拿以前的报告模板改改就完事了。所以很多时候,给人的感觉就是咨询就是忽悠。诚然,咨询业和咨询顾问的口才和自身的经验有一定的关系,有好的口才,给自己带来一定的优势。我认为作为一名咨询顾问应具备以下几方面能力:
这次在珠海给客户培训网银相关安全性的东西,因为之前做的准备工作比较充分,培训的效果不错。由于中国银行网银的钓鱼事件给很多银行业的客户敲响了警钟,本次的培训的内容主要是关于网银的安全,并且重点讲了网银的钓鱼,简单介绍了钓鱼事件的触发原因,并且从客户的角度出发,作为银行方面,应该如何防止网络钓鱼?譬如建立相关的监控小组和有相关的监控流程等等,客户听后感觉很好,客户认为你是花了功夫的,是真正切实为客户考虑的。
做安全咨询几年来,感触良多。现在的整个安全咨询行业,存在一定的问题,中间有人员的问题也有客户的问题。究其原因,客户预算不足,安全服务提供商为了中标项目,以低价打标,造成中标的服务商从成本收益方面考虑,在项目的交付质量上就存在了问题,很多都是拿以前的报告模板改改就完事了。所以很多时候,给人的感觉就是咨询就是忽悠。诚然,咨询业和咨询顾问的口才和自身的经验有一定的关系,有好的口才,给自己带来一定的优势。我认为作为一名咨询顾问应具备以下几方面能力:
这两天要写个券商的项目实施方案,看了招标书,头疼了··不过看的出来,这个招标书肯定是客户写的,不是乙方公司帮忙写的···
因为里面竟然没设置什么门槛,而且里面的投标时间竟然是 2010年 X 月 X 日,我表示很震惊,这一看就是用模板改,而写标书的人肯定是客户自己,一般乙方公司经常写报告,对于投标截止时间这么重要的东西,不可能写错的··汗下··
继续往下看的时候,又发现服务器的台数不名,只写了面向公网的所有服务器,这让乙方怎么报价,连数量都不写清楚,怎么知道工作量,不知道工作量,就无法报价嘛··报出来的价钱肯定是不准确的,要么甲方吃亏,要么乙方吃亏··不过乙方吃亏的可能性要大很多,因为甲方都是有预算的,乙方往往不清楚工作量,报出来的价钱会低一点···
因为里面竟然没设置什么门槛,而且里面的投标时间竟然是 2010年 X 月 X 日,我表示很震惊,这一看就是用模板改,而写标书的人肯定是客户自己,一般乙方公司经常写报告,对于投标截止时间这么重要的东西,不可能写错的··汗下··
继续往下看的时候,又发现服务器的台数不名,只写了面向公网的所有服务器,这让乙方怎么报价,连数量都不写清楚,怎么知道工作量,不知道工作量,就无法报价嘛··报出来的价钱肯定是不准确的,要么甲方吃亏,要么乙方吃亏··不过乙方吃亏的可能性要大很多,因为甲方都是有预算的,乙方往往不清楚工作量,报出来的价钱会低一点···
在今天这个信息技术快速发展的时代,企业发展与信息技术的关系日益密切,企业创新日益加快,信息化规划是企业 发展的助推器。
经过多年的信息化研究和实践,国内的生产企业和IT企业都开始逐渐认识到IT规划的重要性。企业信息化从本质上讲 就是管理的信息化, 企业信息化的水平也就是企业管理水平的具体体现。
进行IT规划,需要以科学的方法论做指导,同时也需要通过合理、有效的的实施步骤来完成。通过科学的规划可杜绝 “一把手”的形象工 程并消除企业信息化的“孤岛”问题。
经过多年的信息化研究和实践,国内的生产企业和IT企业都开始逐渐认识到IT规划的重要性。企业信息化从本质上讲 就是管理的信息化, 企业信息化的水平也就是企业管理水平的具体体现。
进行IT规划,需要以科学的方法论做指导,同时也需要通过合理、有效的的实施步骤来完成。通过科学的规划可杜绝 “一把手”的形象工 程并消除企业信息化的“孤岛”问题。
最近在看 IT 咨询类的东西,结合自己实际工作中的情况,谈下自己的感受。
1、建立信任。
我想作为一名专业的咨询顾问,不仅仅具备的是技术上的才能,更重要应该是沟通交流的能力。在做咨询时,首先要做的就是建立信任关系。就好像我们去医院看病,我们是出于对医生专业的认可才会去医院,才会吃医生开的药。这其实就是一种信任关系。咨询也是一样,在我们做访谈时,很多时候都会遇到抵触的情绪,这就是因为被访对象认为你是一个他所属领域的侵入者,对你抱有戒心。这时候,我们就需要建立信任,来引导客户,聆听客户的想法,并从中发掘到我们想到的东西。
1、建立信任。
我想作为一名专业的咨询顾问,不仅仅具备的是技术上的才能,更重要应该是沟通交流的能力。在做咨询时,首先要做的就是建立信任关系。就好像我们去医院看病,我们是出于对医生专业的认可才会去医院,才会吃医生开的药。这其实就是一种信任关系。咨询也是一样,在我们做访谈时,很多时候都会遇到抵触的情绪,这就是因为被访对象认为你是一个他所属领域的侵入者,对你抱有戒心。这时候,我们就需要建立信任,来引导客户,聆听客户的想法,并从中发掘到我们想到的东西。
规划还是规划··转一篇文章
目前大多数大中企业的信息化部门,已经将研究、制定IT战略和IT战略管理工作放在信息化建设的首要位置,但却普遍存在制订IT战略规划目的不清、问题分析模式化、报告内容雷同、效果不突出的状况。笔者认为,上述问题产生的根本原因是将IT工作规划或其他规划当作IT战略规划来做。由于发生了根本的错误,而导致效果不突出或可以取得短期效益而丧失长远利益的情况。
有些企业为了IT部门工作规划,请咨询公司做IT战略规划,然后拿来做极少的修改就作为IT工作规划的汇报;或者是以以前的工作规划为主体进行IT战略规划的设计。要注意企业IT战略规划是其战略的展开,是指导IT工作规划的思想工具,IT战略规划与IT工作规划存在十大明显区别。
目前大多数大中企业的信息化部门,已经将研究、制定IT战略和IT战略管理工作放在信息化建设的首要位置,但却普遍存在制订IT战略规划目的不清、问题分析模式化、报告内容雷同、效果不突出的状况。笔者认为,上述问题产生的根本原因是将IT工作规划或其他规划当作IT战略规划来做。由于发生了根本的错误,而导致效果不突出或可以取得短期效益而丧失长远利益的情况。
有些企业为了IT部门工作规划,请咨询公司做IT战略规划,然后拿来做极少的修改就作为IT工作规划的汇报;或者是以以前的工作规划为主体进行IT战略规划的设计。要注意企业IT战略规划是其战略的展开,是指导IT工作规划的思想工具,IT战略规划与IT工作规划存在十大明显区别。
今天看了大風写的关于现在甲方互联网公司的安全团队的现状,详细请见:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html,然后又看了 Ben 等人总结的一些:http://bbs.cisps.org/viewtopic.php?t=22406&postdays=0&postorder=asc&start=0
感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:
1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。
感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:
1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。
Author: 大潘
引子:
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。
引子:
从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。
最近在看 SOX 404 的东西,好纠结,以前没遇到过··学习ing ...刚搜到的一篇项目实施经验的总结,非常的好···共享之...
一、项目进度的把握、参与项目各方的协调很重要。
二、充分重视访谈的重要性。
访谈的结果是进行流程现状描述的依据,在现有流程的基础上才能进行风险评估、控制分析、缺陷发现、改进建议、优化流程等后续工作。
一、项目进度的把握、参与项目各方的协调很重要。
二、充分重视访谈的重要性。
访谈的结果是进行流程现状描述的依据,在现有流程的基础上才能进行风险评估、控制分析、缺陷发现、改进建议、优化流程等后续工作。