政府信息系統(tǒng)項目風險管理

文｜孟祥宇

政府信息系統(tǒng)項目在安全性、業(yè)務連續(xù)性等方面有著較高要求，同時考慮到設計架構(gòu)的多樣性，需要在日常工作中做好風險管理工作。本文結(jié)合政府信息系統(tǒng)項目風險管理的主要環(huán)節(jié)、要點等，提出改進風險管理工作的相關(guān)思考與建議。相信這一研究，能夠豐富理論和實踐活動提供一定的可行參考。

一、 前言

針對政府信息系統(tǒng)項目運營和維護來說，風險管理是日常的重要工作內(nèi)容。而風險管理通常包括對于信息系統(tǒng)中安全漏洞的識別、確認以及應對等，同時，對相應的損失進行評估，最終提出恰當?shù)娘L險管理對策。從政府信息系統(tǒng)的運營和維護人員來說，需要使用風險分析、漏洞確認和相關(guān)威脅的應對、處置等環(huán)節(jié)，依據(jù)風險管理的步驟和方法，開展風險管理工作，是日常工作中的重要技能，這對于提升系統(tǒng)安全和個人能力都具有重要的現(xiàn)實意義。

二、政府信息系統(tǒng)項目風險管理過程

政府部門的信息系統(tǒng)，對于安全性、業(yè)務穩(wěn)定性和連續(xù)性要求較高，并且信息網(wǎng)絡相對封閉，信息架構(gòu)類型多樣。通過排除、減少不同層次的風險因素和安全威脅，能夠?qū)L險控制在允許范圍內(nèi)，需要相關(guān)機構(gòu)和人員，能夠依據(jù)風險管理的階段特征，采用科學的分析方法和應對步驟，開展相應的工作。

通常，風險管理工作是在復雜的社會以及自然環(huán)境下進行的，受到多方面因素的制約，針對這些內(nèi)外部因素，項目運維主體可能存在認識不到位或是管理不能不足等問題，這就導致相關(guān)項目的管理過程、實現(xiàn)結(jié)果超出預期。風險管理的任務就是評估損失的程度和可能性，將損失轉(zhuǎn)化為機會，通過掌握風險因素來源、特點以及規(guī)律，加以有效的控制。

從政府信息系統(tǒng)項目的風險成因來說，需要考慮其隨機性、可變性以及相對性等特點。具體的風險管理過程則包括以下幾個步驟：

(一) 風險管理計劃的編制

這一環(huán)節(jié)主要是對信息系統(tǒng)項目的風險管理活動進行描述，包括管理目標、管理方法等。通常，使用計劃會議等方式形成風險管理計劃，明確方法論、工作分工、崗位職責以及預算安排等，通過確定執(zhí)行表格，明確風險的類型和影響情況，確定風險的容忍度和動態(tài)管理制度等。

(二) 風險識別

這一環(huán)節(jié)是對風險的影響進行分析，并且形成書面文件?？梢圆捎靡蚬麍D、人員訪談、流程圖以及影響圖等方法。對于各類風險進行分類，明確可能存在的硬件和軟件風險、惡意和非惡意風險、意外風險等情況，明確對于信息系統(tǒng)項目在架構(gòu)設計、規(guī)劃以及運行和維護等方面的風險識別。

(三) 風險分析

這一環(huán)節(jié)主要包括定性分析和定量分析兩個環(huán)節(jié)。在定性分析部分，主要是確定風險發(fā)生的概率、先后順序以及產(chǎn)生的影響程度等。使用包括風險數(shù)據(jù)的質(zhì)量評估、概率和影響矩陣分析以及緊急度評估等方式，確定書面的風險記錄，包括風險的分類分組情況、不同風險的優(yōu)先級以及對于風險的監(jiān)控情況。在定量分析部分，則主要是使用定量方式對風險所產(chǎn)生的影響進行分析，采用包括決策樹、專家判斷以及仿真建模等技術(shù)。為了更好地做好政府信息系統(tǒng)項目的風險分析工作，需要使用防火墻、數(shù)據(jù)加密工具、數(shù)字證書等工作，對數(shù)據(jù)的存儲和傳輸進行加密處理，確保數(shù)據(jù)的完整與安全。

(四) 風險應對

這一環(huán)節(jié)主要是使用各種方法和措施提升項目順利運行的機會、降低風險?？梢圆捎冒ㄞD(zhuǎn)移、回避以及減輕等方式來應對，也可以采用包括開拓、增強以及分享等思路來處理。對于政府信息系統(tǒng)項目的風險應對工作，需要結(jié)合前期的風險識別以及分析，確定恰當?shù)膽獙Σ呗?，做好相應的應急儲備等?/p>

(五) 風險監(jiān)控和總結(jié)

通過對風險進行識別、確認，執(zhí)行相應的風險計劃，并對風險管理工作的有效性進行評價。使用包括差異、趨勢分析，風險評審、風險和技術(shù)績效評估等方法進行監(jiān)控。針對技術(shù)風險、團隊風險或是外部風險等方式，也需要制定不同的監(jiān)控策略。

比如，針對技術(shù)風險，主要包括對于技術(shù)不熟悉，使用需求變化能力差、建設和運維質(zhì)量差、整體進度不理想等，就需要在研發(fā)和運維人員安排上使用AB制方式，一名工作經(jīng)驗豐富的人員帶領(lǐng)1-2名實習生或是不太熟練的人員，能夠避免人員流動、技術(shù)能力不足導致的風險。此外，還可以聘請內(nèi)部自身工程師來作為項目的顧問，在項目建設、運營、維護過程中，先嘗試在內(nèi)部解決，行不通的情況下，可以請顧問進行指導。針對使用需求變化等問題，可以在線上辦公部分設置修改意見與反饋等專欄，及時總結(jié)項目進度、需求等。當然，還需要考慮到運維團隊技術(shù)能力、意外情況、資金投入和軟硬件配置等方面的風險，并且做好相應的應對策略。

三、提升政府信息系統(tǒng)項目風險管理能力的建議

（一） 加強組織體系建設

政府信息系統(tǒng)項目的建設、運營和維護，需要一個龐大的工作團隊，包括管理機構(gòu)和具體的辦事機構(gòu)，涉及多方人員。通過加強基礎管理，能夠?qū)⑾到y(tǒng)目標與日常操作結(jié)合起來，加強基礎風險管理能力，推動信息化建設的不斷深入。針對政府信息系統(tǒng)項目中的信息安全問題，也需要做好不同部門的協(xié)調(diào)以及風險因素的甄別，避免出現(xiàn)數(shù)據(jù)安全問題。

（二）重視信息管理，注重人才培養(yǎng)

當前，大數(shù)據(jù)技術(shù)快速發(fā)展，政府信息系統(tǒng)項目建設和運維中，合理運用大數(shù)據(jù)技術(shù)來強化信息管理，對于確保系統(tǒng)的穩(wěn)定和持續(xù)運行具有重要意義。

同時，為了更好地實現(xiàn)系統(tǒng)目標，還需要加強技術(shù)人員的選拔和培養(yǎng)，針對與風險管理相關(guān)的核心技術(shù)進行公關(guān)，牢牢掌握發(fā)展的主動權(quán)。與政府信息系統(tǒng)建設和運營維護相關(guān)的人才需求是龐大的，對于人才的知識結(jié)構(gòu)、能力素質(zhì)也提出了比以前更高的要求。比如，研發(fā)和運維人員需要具備與統(tǒng)計學、數(shù)學以及機器學習、安全管理等相關(guān)的知識，也要有數(shù)據(jù)分析、挖掘能力。在具體做法上，需要在政府、產(chǎn)企業(yè)界的支持下，開展人才培養(yǎng)，并且與實際的工作需求結(jié)合起來。在職人員也可以采用包括脫產(chǎn)學習、線上課程等方式來提升自己的安全意識和業(yè)務能力。

(三) 完善項目風險評估機制

針對風險評估的結(jié)果，制定相應的應對計劃去響應風險，就是去做風險應對，其目的是創(chuàng)造機會，回避威脅。風險應對中需要對風險的正面效應（即潛在的機會）制定增強措施，對風險的負面效應（即可能的威脅）制定應付方法。對于不同的風險，需要根據(jù)其重要性、影響大小以及已經(jīng)確定的處理優(yōu)先次序，采取相應的措施加以控制，對負面風險的反應可以是盡量避免、努力減小。

（四）進行科學的預算，安排充足的資金

政府信息系統(tǒng)項目的建設和實施需要較長的周期，沒有充足的資金保證，可能由于局部資金短缺使項目實施沒有連續(xù)性，而影響全局的實施。充足的預算安排能夠有效應對由于項目需求改變或者范圍增加而造成的時間和成本風險。另外風險的規(guī)避本身也消耗一些預算。

（五）加強采購和外包管理，建立健全項目顧問和監(jiān)管工作機制

嚴格執(zhí)行采購管理制度，所有采購和外包的項目物資和技術(shù)資源必須符合項目設計和計劃要求。小供貨商的產(chǎn)品和服務價格雖然便宜，但是質(zhì)量難以保證，售后服務也不規(guī)范，難以長期堅持。因此盡量選擇規(guī)模大、信譽好的供貨和服務商。

同時，必須綜合應用現(xiàn)代項目管理技術(shù)，始終貫徹現(xiàn)代大型項目管理的標準流程。嚴格執(zhí)行項目管理中的時間、成本、質(zhì)量控制等標準流程，引入專家顧問和信息系統(tǒng)監(jiān)理機制，這對于控制和降低項目風險都是有益的。

四、 結(jié)束語

通過上述分析，可以看出，針對政府信息系統(tǒng)項目的建設、運營和維護來說，風險管理工作都非常重要，需要在領(lǐng)導和團隊支持下，做好風險管理工作，實現(xiàn)管理效益和社會效益等方面的統(tǒng)一，并在今后的工作中進一步加強風險管理工作。