ispm12：其他项目管理（重点知识）

目录

一、信息文档管理、配置管理、变更管理

二、项目组合、项目集管理

三、安全管理、测试管理

---

一、信息文档管理、配置管理、变更管理

1.信息文档

开发文档 描述开发过程本身	产品文档 描述开发过程的产物	管理文档 记录项目管理的信息
基本的开发文档是： 1.可行性研究和项目任务书 2.需求规格说明 3.功能规格说明 4.设计规格说明包含程序和数据规格说明 5.开发计划 6.软件集成和测试计划 7.质量保证计划标准进度 8.安全和测试信息	基本的产品文档包括： 1.培训手册 2.参考手册和用户指南 3.软件支持手册 4.产品手册和信息广告	从管理的角度规定涉及软件生存的信息： 1.开发过程的每个阶段的进度和进度变更的记录 2.软件变更情况的记录 3.相对于开发的判定记录 4.职责定义

2.配置项

配置项的三种状态：草稿、正式、修改。

• “草稿”：配置项刚建立时；
• “正式”：配置项通过评审后；
• “修改”：每次更改配置项时。

3.配置库

配置库存放配置项并记录与配置项相关的所有信息。分为开发库、受控库、产品库三种类型。

• 开发库（动态库、程序员库、工作库）：保存开发人员当前正在开发的配置实体，如：新模块、文档、数据元素等。
• 受控库（主库）：包含当前的基线加上对基线的变更，用于管理当前基线和控制对基线的变更。受控库中的配置项被置于完全的配置管理下，在信息系统开发的某个阶段工作结束时，将当前的工作产品存入受控库。
• 产品库（静态库、发行库、软件仓库）：包含已发布的各种基线的存档，被置于完全的配置管理之下，存放最终产品，等待交付用户或现场安装。

4.基于配置库的变更控制

基于配置库的变更控制，即配置项和基线的变更控制，包括下述任务：

①表示和记录变更申请

②分析和评价变更

③批准或否决申请

④实现、验证和发布已修改的配置项

示例：

①将待升级的基线（假设版本号为V2.1）从产品库中取出，放入受控库；

②程序员将欲修改的代码段从受控库中检出（check out），放入自己的开发库中进行修改。代码被检出后即被“锁定”，以保证同一段代码职能同时被一个程序员修改，如果甲正对其修改，乙就无法检出。

③程序员将开发库中修改好的代码检入（check in）受控库。检入后，代码解除“锁定”，其他程序员可以检出代码。

5.变更管理的流程

（1）提出与接收变更申请

（2）对变更进行初审，初审的目的：

①对变更提出方施加影响，确认变更的必要性，确保变更是有价值的

②格式校验，完整性校验，确保评估所需信息准备充分

③在干系人间就提出供评估的变更信息达成共识

（3）变更方案论证

（4）CCB审查

（5）发出变更通知并组织实施（项目经理对变更实施负责）

（6）对变更效果进行评估

（7）判断变更后项目是否纳入正常轨道。

二、项目组合、项目集管理

1.项目、项目集、项目组合

属性	项目	项目集	项目组合
范围	根据特定交付物限定范围	需满足组织目标，范围较宽	根据组织战略目标定业务范围
变更	项目经理尽量让变更最小化	项目集经理要预测并拥抱变更	需在更广的环境中持续监督变化
成功的衡量	约定时间、预算以及项目交付物满足程度	根据投资汇报ROI，能力的提升以及利益的交付衡量	根据组合部件的整体绩效衡量
领导风格	满足成功标准的面向任务指令性领导	集中管理项目集团队冲突和关系问题	集中为组合决策增加价值
管理对象	项目团队	项目经理	协调组合管理人员
关键技能	激励团队成员使用知识和技能	提供愿景的能力和组织领导的才能	对业务的洞见和对资源的综合协同能力
计划	为交付物提供详细的项目计划	为详细的项目计划提供高层指导	针对整体组合建立必要的流程和通信
监控	监控产生项目交付物任务和工作	在治理框架下，监控项目工作	监控整体组合绩效和价值指标

2.实施项目组合管理的步骤

（1）位项目组合管理过程的实施定义角色和职责

（2）沟通项目组合管理实施计划

（3）定义和部署详细的项目组合管理过程，并为参与人员和干系人提供培训

3.项目组合管理的过程组和知识领域

知识领域	过程组
	定义过程组	调整过程组	授权与控制过程组
项目组合战略管理	制订项目管理战略计划 制定项目组合章程 定义项目组合路线图	管理战略变更
项目组合治理管理	制订项目组合管理计划 定义项目组合	优化项目组合	授权项目组合 规定项目组合监督
项目组合绩效管理	制订项目组合绩效管理计划	管理供应与需求 管理项目组合价值
项目组合沟通管理	制订项目组合沟通管理计划	管理项目组合信息
项目组合风险管理	制订项目组合风险管理计划	管理项目组合风险

三、安全管理、测试管理

1.信息安全属性及目标

信息安全三元组	秘密性（保密性）	·信息不被泄露给未授权的个人、实体和过程或不被其使用的特性。即防止信息泄露给非授权个人或实体，信息只为授权用户使用的特性。 ·实现技术：网络安全协议、网络认证服务、数据加密服务。 ·应用系统常用保密技术：最小授权原则、防暴露、信息加密、物理保密。
	完整性	·未经授权不能进行改变的特性。即确保接收到的数据就是发送的数据，数据不被改变。完整性是面向信息的安全。
	可用性	·需要时，授权实体可以访问和使用的特性。DDOS攻击是对可用性的攻击。可用性是面向用户的安全。 ·确保可用性的技术：磁盘和系统的容错及备份、可接受的登录及进程性能、可靠的功能性的安全进程和机制。 ·应满足要求：身份识别与确认、访问控制、业务流控制、路由选择控制、审计跟踪。
信息安全其它属性	真实性	对信息来源进行判断，能对伪造来源的信息予以鉴别。
	可核查性	系统实体的行为可以被独一无二地追溯到该实体。要求实体对自己的行为负责，为调查违规事件提供了可能性。
	不可抵赖性	建立有效的责任机制，防止用户否认其行为。在电子商务中极为重要。
	可靠性	系统在规定的时间和给定的条件下，无故障完成规定功能的概率。通常用平均故障间隔时间（MTBF，mean time between failure）

2.安全层次的划分及内容

安全可以划分为四个层次：设备安全、数据安全、内容安全、行为安全。

• 设备安全：设备的稳定性（不出故障的概率）、可靠性（正常执行任务的概率）、可用性（正常使用的概率）。
• 数据安全：包括秘密性、完整性和可用性。数据泄露、数据篡改是数据安全危害表现。
• 内容安全：信息安全在政治、法律、道德层次上的要求。广义的内容安全还包括信息内容保密、知识产权保护、信息隐藏和隐私保护等诸多方面。
• 行为安全：行为的秘密性、完整性、可控性。

3.信息系统安全保护等级

级别	决定要素
第一级（用户自主保护级）	会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益
第二级（系统审计保护级）	会对公民、法人和其他组织的合法权益造成严重损害，或对社会秩序和公共利益造成损害，但不损害国家安全
第三级（安全标记保护级）	会对社会秩序和公共利益造成严重损害，或对国家安全造成损害
第四级（结构化保护级）	会对社会秩序和公共利益造成特别严重损害，或对国家安全造成严重损害
第五级（访问验证保护级）	会对国家安全造成特别严重损害

4.测试的方法

静态测试	·概念：是指被测程序不在机器上运行，而采用人工检测和计算机辅助静态分析的手段对程序进行检测。 ·包括：对文档的静态测试、对代码的静态测试。 ·方式：对文档的静态测试主要以检查单的形式进行。对代码的静态测试一般采用桌前检查、代码走查和代码审查。
动态测试	·概念：指在计算机上实际运行程序进行软件测试。一般包括白盒测试和黑盒测试。 ·白盒测试（结构测试）：主要用于软件单元测试中。主要思想是将软件看作是一个透明的白盒，测试人员完全清楚程序的结构和处理算法，按照程序内部逻辑结构设计测试用例，检测程序中的主要执行通路都能按预定要求正确工作。白盒测试方法主要有控制流测试、数据流测试和程序变异测试等。白盒测试中最常用的技术是逻辑覆盖，主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、修正的条件/判定覆盖、路径覆盖等。 ·黑盒测试（功能测试）：主要用于集成测试、确认测试和系统测试中。其主要思想是将程序看作是一个不透明的黑盒，完全不考虑或不了解程序的内部结构和处理算法。黑盒测试包括等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。

5.测试的类型

单元测试 （模块测试）	目的是检查每个模块是否能够正确地实现设计说明中的功能、性能、接口和其他设计约束等条件，发现模块内可能存在的各种差错。
集成测试	目的是检查模块之间、模块与集成的软件之间的接口关系，并验证已集成的软件是否符合设计要求。
确认测试	验证软件的功能、性能和其他特性是否与用户需求一致。确认测试的类型包括：内部确认测试、alpha测试和beta测试、验证测试等。
系统测试	目的是在真实系统工作环境下，验证完整的软件配置项能否和系统正确连接，并满足系统设计文档和软件开发合同规定的要求。系统测试的主要内容包括：功能测试、健壮性测试、性能测试、用户界面测试、安全性测试、安装与反安装测试。
配置项测试	目的是检验软件配置项与SRS的一致性。
回归测试	目的是测试软件变更之后，变更部分的正确性和对变更需求的符合性，以及软件原有的、正确的功能、性能和其他规定的要求的不损害性。