咨询与软件开发实施项目技术方案建议书项目技术解决方案建议书模板范文(完整方案)

  • 格式:docx
  • 大小:1.94 MB
  • 文档页数:54

XX株机公司咨询与软件开发实施项目方案建议书目录1 项目需求理解 (6)1.1 项目背景 (6)1.2 项目必要性 (6)1.2.1 解决合规审计发现的问题 (6)1.2.2 通过管理体系及支撑平台达到管理提升 (6)1.3 项目目标 (7)1.4 项目预期收益 (8)1.5 服务管理现状 (8)1.6 整体需求 (8)1.6.1 认证范围确认 (8)1.6.2 服务管理现状评估 (9)1.6.3 规划建立符合ISO20000、ISO27001标准的管理体系 (9)1.6.4 软件开发实施 (9)1.6.5 培训与知识转移 (10)2 认证咨询方法论 (11)1)识别组织业务流程,并组织总体业务流程框架,见下图一案例 (11)(图二) (12)(图三) (12)2.5.4.3 体系整合的总体思路可用下图表述: (12)(图四) (13)2.2文件化整合体系 (13)a)信息安全/IT服务手册 (13)b) ISO27001信息安全管理体系适用性声明(SOA) (13)c)风险评估报告及风险处置计划 (13)d)信息安全/IT服务绩效衡量指标 (13)e)整合管理体系程序、技术规范、作业指南 (13)3 项目服务方案建议 (15)3.1 总体实施过程 (15)3.2 评估分析及规划 (16)3.2.1 ISO27001/ISO20000评估分析 (16)3.2.2 信息安全风险评估 (26)3.2.1风险评估基本程序 (26)3.2.2资产识别方法介绍 (26)3.2.3 资产重要性评估 (27)3.2.4风险评估方法介绍 (27)3.2.5风险处置方法介绍 (28)3.2.6残余风险确认 (28)3.3 管理体系设计 (28)3.4 软件开发与实施 (31)业务流程设计图 (32)工作流定义 (32)工作流跳转属性对话框 (33)工作流节点属性对话框 (33)为角色指定实体对象权限 (35)CAP开发平台 (38)3.5 管理体系试运行 (39)3.5.1 体系文档完善 (39)3.5.2 体系发布及培训 (39)3.5.3 体系试运行内审 (40)3.5.4 体系改进及优化 (40)3.6 认证审核 (40)3.6.1 初审及初审支持 (41)3.6.2 初审纠正措施的实施 (41)3.6.3 终审及终审支持 (41)3.6.4 终审纠正措施的实施 (42)3.7 流程研讨会及人员培训 (42)4.1 项目管理方法总览 (43)4.2 项目执行管理 (44)4.2.1 范围管理 (44)4.2.2 计划管理 (44)4.2.3 团队管理 (45)4.3 项目问题和风险管理 (46)4.3.1 问题管理 (46)4.3.2 风险管理 (48)4.4 项目变革和沟通管理 (49)4.4.1 变革管理和转变促成 (49)4.4.2 沟通管理 (50)4.5 项目质量管理 (51)4.5.1 质量计划 (52)4.5.2 质量保证 (52)4.5.3 质量控制 (53)1项目需求理解1.1项目背景随着XX株机信息化建设的深入,建设的信息系统逐渐应用到业务的方方面面,保持信息系统的稳定、高效运行将成为信息化工作的重点。

❑根据中国XX股份公司信息化工作会议精神及XX“十二五”信息化发展规划(纲要)通知,其明确要求,在“十二五”期间,XX各一级子公司应按照ISO20000、ISO27001等国际标准,规范、建立IT运维管理体系。

❑公司有一流的IT设备、环境、人才,也应该有一流的管理,提升管理水平的最佳途径之一就是全面实施ISO20000、ISO27001 IT服务管理体系,并通过第三方认证。

❑公司逐步实施IT服务管理,使繁杂的IT管理变得标准而有序,并从以往的被动式服务转向主动式服务,使IT服务X融合到各业务流程,有效地提升IT服务运作效率、IT服务水平和质量。

1.2项目必要性1.2.1解决合规审计发现的问题安永审计对上市公司在IT管理领域的规范化也提出了严格的要求,同时集团公司信息、审计部门对公司在IT管理领域的规范化颁布了《中国XX风险管理手册》、《中国XX内部控制手册》(2011版),也提出了更高的要求。

近期安永审计和公司对信息管理部进行审计发现了一些集中的问题:如:公司其它业务部门不清楚信息管理部的各业务系统是谁负责,应该如何联系;IT服务管理工作没有统一的沟通窗口,不能更简单、集中的就业务系统问题咨询和沟通;日常工作管理记录无法保留、无法追溯。

1.2.2通过管理体系及支撑平台达到管理提升针对XX当前的IT管理,我们进行了自身的分析,决定建立ISO20000、ISO27001管理体系并开发实施支撑平台,形成管理闭环,达到能够自我发现、自我提升的主动管理水平。

1.3项目目标●项目建设要求:✓以理论(ITIL和ISO20000)联系实际,以咨询手段进行IT服务管理的现状分析;✓所有咨询成果通过合适的软件实现落地,为管理带来切实的便利;●项目建设目标通过本项目建立科学规范专业的、具有公司特色的、“内外兼修”的IT服务管理体系。

具体目标如下所示:❑目标一:建立科学有效的IT服务管理体系。

通过完善现有服务流程和服务规范,建立符合标准要求、具有公司特色、满足管理需要的管理体系。

通过建立持续改进机制,执行和持续改进管理体系。

❑目标二:提升人员能力。

项目过程中,为公司相关人员进行ITIL、ISO20000、ISO27001等知识的系统培训,提升人员规划、建立、执行和持续改进服务管理体系的能力。

❑目标三:人、流程、工具的有效整合。

有效整合人、流程和工具,提升IT服务管理效率和效果,管理体系“由繁入简”。

❑目标四:获得认证证书。

协助公司通过外部审核,获得ISO20000、ISO27001第三方认证证书,提升公司对外形象。

❑目标五:建立支撑管理体系的工具平台。

1.4项目预期收益1.5服务管理现状在项目前期,XX株机信息部注重IT服务及信息安全管理的标准化建设,在2011年进行运维及安全的评估并引入了业界最佳实践ITIL,建立了基础的服务支持流程,目前IT服务管理及信息安全管理现状概括如下:♦目前信息部门针对PDM、ERP等生产应用,OA、财务、邮件系统等办公应用以及IT基础架构(网络、主机、存储等)、桌面进行运维管理;♦建立了监控管理平台;♦建立了部分IT服务管理的人员角色和职责;♦服务提供流程有部分基础,有分散的管理制度、规范,未系统化和标准化;♦信息安全管理中有部分基础的安全制度、安全策略、物理安全;♦目前还没有建立符合ISO20000、ISO27001定义的服务管理体系。

1.6整体需求1.6.1认证范围确认XX株机信息部,ISO20000与ISO27001范围等同:包括XX株机信息管理部IT运维范围内所有人员及IT设备。

1.6.2服务管理现状评估在项目前期,XX株机信息部注重IT服务及信息安全管理的标准化建设,在2011年进行运维及安全的评估并引入了业界最佳实践ITIL,建立了基础的服务支持流程,目前IT服务管理及信息安全管理现状概括如下:♦目前信息部门针对PDM、ERP等生产应用,OA、财务、邮件系统等办公应用以及IT基础架构(网络、主机、存储等)、桌面进行运维管理;♦建立了监控管理平台;♦建立了部分IT服务管理的人员角色和职责;♦服务提供流程有部分基础,有分散的管理制度、规范,未系统化和标准化;♦信息安全管理中有部分基础的安全制度、安全策略、物理安全;♦目前还没有建立符合ISO20000、ISO27001定义的服务管理体系。

1.6.3规划建立符合ISO20000、ISO27001标准的管理体系ISO/IEC20000关注于IT管理领域,ISO/IEC20000是IT服务管理(ITSM)从指导性理念发展成为国际统一的标准,也标志IT服务管理在全球的应用进程迈出了历史性的一步。

ISO/IEC20000让IT管理工作者有一个参考框架用来管理IT服务,完善的IT 管理水平也能通过认证的方式表现出来。

ISO/IEC27001标准被信息界一直喻为“滴水不漏的信息安全管理标准”。

标准从管理模型、信息安全管理性控制措施、信息安全技术性控制措施提出了一系列的要求,其中包括十一个管理要求、三十九个执行目标以及一百三十三项控制措施。

为了推动信息化建设的深入,同时满足国资委和公安部管理信息安全等级保护要求。

1.6.4软件开发实施投标人提供的IT服务管理软件平台应有和XX类似客户的案例。

应证明软件平台有足够技术能力与灵活性,确保质量管理体系落地的效果。

1、软件平台具备流程管理模块,具备流程引擎,可支持ISO20000、ISO27001、ISO9000等质量管理所有流程;2、支持CMDB建立、外部审计、报告管理,支持软件自管理模块:权限、用户、系统管理;支持软件接口:监控工具接口(接受告警),外部软件接口(OA、Mail、短信等);3、系统要求:软件扩展性,具备二次开发能力,提供了集成开发、设计和运行环境;支持Windows、Linux等操作系统;支持Oracle、SQLServer等主流数据。

1.6.5培训与知识转移无论对于本项目的成功进行与实施,还是未来XX株机在IT服务管理上的持续改善,需要给与相关人员在ISO20000、ISO27001标准、ITIL框架、ITIL实施和最佳实践、客户关系管理、流程管理、未来流程的层次划分等方面,进行分阶段的培训和知识转移。

尤其在XX株机实施的ISO20000、ISO27001管理控制体系部署后,还需要针对XX株机 IT运维支持人员、服务管理人员及相关干系人进行进一步的管理体系的培训。

管理体系实施完成后,将通过软件进行开发、实施,将管理体系落地并满足评审要求。

涉及IT服务管理的项目将不可避免对XX株机的服务流程、人员角色技能配备、文化产生影响,华胜天成咨询会给予XX株机 IT服务管理的成功实施和运作提供辅导和变革支持。

2 认证咨询方法论在帮助XX 株机公司建立整合体系过程中,需要在ISO27001/ISO20000体系框架下融合等级保护要求,因此,有必要在建立整合体系时应用业务流程管理方法,识别并分析信息技术部各个业务流程,以将ISO27001标准要求、ISO20000标准要求以及其他参考标准的控制措施要求融合信息中心各个业务过程中。

2.1业务流程管理方法是用来进行体系整合的最佳实践,它透过识别、分析并设计组织业务过程,将各类要求(安全要求、质量要求、行业规定等等)融入流程中的个步骤,应用业务流程管理方法进行体系整合的总体思路为:(图一)绩效目标应用系统开发系统测试及推广系统运营服务基础设施管理人力资源管理体系管理变更管理配置管理IT 服务级别管理业务持续性管理2)对流程框架进行扩展,描述各个业务功能需要展开的业务流程,见下图二(图二)3)对扩展后的每个业务流程进行详细设计,并在流程设计过程中将信息安全要求、IT服务管理要求等整合进各个业务流程,见下图三(图三)4)针对流程中关键的步骤,定义具体的信息安全规范、指南以及模板。