HONJAY

转自: http://baoz.net/project-management-between-traditional-company-and-netwok-company/
素包子说:

传统行业的项目管理比较规范化，作风稳健，需求和目的都非常明确，同时会把“效果认可”做的相对漂亮。事前的需求调研，领导和用户访谈，分析；事中的启动会，项目推动和项目阶段汇报做的比较漂亮，但事后的持续运营相对较弱。得益于较好的前期准备工作，项目推动顺利，做下来基本中规中矩，风险规避的比较不错，创新技术基本不用，不做小白鼠。

互联网行业的项目管理相对比较散乱，也可以理解为“敏捷”。长处很明显，就是善于运营，互联网行业就擅长做这个事，说说几个问题：

1、前期准备工作不到位，需求调研和分析这块和传统行业差距太大，甚至出现项目需求来自安全部门而非业务部门的情况。结果就是东西做出来了没人认可，没人买单。

2、项目成员变动率太高，一开始先搞这个，搞着搞着就被喊去搞别的，接手的人一头雾水，满腹怨言，甚至有些非安全项目也是这么操作的。当然这和团队的具体情况密切相关，例如人力，财力等。

3、运用新技术。在互联网行业里，新技术和项目风险就是一对矛盾，但并非不可以权衡。如果本来事前工作就做的不到位，再使用新技术的话，很难被需求方接受，创新的东西做业务可以，失败了就再尝试，但是创新技术用在安全上，风险其实是用户在承担。想想这么一个情景，我创新，成了功劳归我不归你，败了风险你承受，你愿意吗？这是项目难以推进的原因之一。

素包子的做法是，“轻量化，小步快跑”。先跑第一步，不搞那么多阳春白雪的东西，扎扎实实做好一个功能，满足一个需求，解决一个问题，建立一个双方相互信任的基础；在这之后，再去有选择的做一些创新尝试。比如部署SEP，我们可以先不部署TruScan，IPS FW这种虽然效果好，但又比较影响用户体验的功能；而是先把杀毒的体验做个极致的优化之后部署下去，然后再想办法开放这些高级功能。

上面说的东西很多涉及安全的“权”和“责”问题，这个权责在不同的企业里都不一样，在互联网行业和传统行业里权责的分配方式也不大一样，下次有空素包子再谈谈两种行业的信息安全权责分配。