關于強化信息化項目風險管理的思考

蔣力群

伴隨著云計算、大數據、移動應用等各種新技術、新模式、新業態的不斷涌現，信息化項目規模更大、要求更高。2017年6月1日，我國《網絡安全法》正式實施，在信息化項目管理方面也迎來了新要求，風險管理成為不可忽視的重要管理內容。多年來，信息化項目數量不斷增多，人力和投資力度持續增加，但許多項目并未達成預期目標。究其原因，主要是在項目規劃時對建設效益分析不夠，對風險因素未能全面梳理和有效識別，導致意外因素時常出現，致使有些項目偏離了預期目標。因此，必須充分重視信息化項目的管理特點，切實加強風險管控，有效提高項目建設成效。

現時期信息化項目的特點

系統龐大更加復雜

復雜性主要表現在四個方面：一是項目應用的覆蓋面更加廣泛，一個項目往往跨越多個部門、多個層級，項目管理也需要多個部門共同參與；二是項目管理涉及規劃、建設、應用三個管理階段，不是“建成就結束”的情況，而是一個全生命周期的管理；三是項目管理涉及業務優化、流程改造、技術研發、系統集成、數據整合、政策變化等多個方面，是一個持續深化和優化的過程；四是項目管理涉及多個學科、多個組織，在實際工作會遇見多種情況及困難，需要拓展新的管理內涵和操作方式。

壽命周期更加特殊

信息化項目管理與其它項目管理相比具有一定的共性，但信息化項目本身還表現出壽命周期的特殊性，并不是項目建成驗收后就代表管理任務隨之結束。而是在信息化項目建設后，在實際應用階段仍然需要大量的管理工作，包括日常服務、安全監測、運維保障等，有時會因后續的安全方面問題致使系統停用，有時會因業務發展迫使對原系統進行升級改造，有時會因政策等外界因素的影響，從而對原有系統進行新的整合。當前，云計算、大數據的普遍應用，已使相當數量的原有信息化項目面臨更新改造，信息化項目的壽命周期有其特殊性。

創新優化更加多樣

造成多樣性的主要有兩個原因：一是信息化的過程就是運用信息技術對原有的業務進行梳理規范、流程簡化、業務優化的過程，俗稱“流程再造”。這個過程可采用不同的業務模式、不同的技術方案、不同的實施規則，因此創造性、創新性就成為其一個顯著特點。而在業務與技術的互動過程中，必然呈現持續優化創新的現象。二是信息化項目開始強化“跨部門、跨地區、跨業務”等特點，管理的復雜程度與項目范圍和規模等密切相關，不僅有縱向的管理，還有橫向的協調。傳統的直線型管理，不利于橫向協調，因此，項目管理組織的結構也需要更新，要強化管理協調功能，明確任務分工，明確責任邊界，以便適應多樣化的創新優化需要。

安全需求更加迫切

習近平總書記提出了“網絡安全和信息化是一體之兩翼、驅動之雙輪”的總要求。國家相續頒發了《網絡安全法》、《“十三五”國家信息化規劃》等一批法律法規和信息化戰略規劃，進一步強調了安全保障重要性。據統計，2016年我國信息安全行業的市場規模僅為478億，規模有限但增長迅速，近年來的年均增長均在20%左右。一大批信息安全廠商和機構，響應市場需求，在規劃咨詢、技術研發、產品設備、系統集成、應用監控、安全加固等服務領域大展身手。可見，與信息技術廣泛應用相對應，信息安全的市場需求非常大也非常急迫。

現行信息化項目管理的不足與缺陷

對風險的認識有待提高

因受傳統觀念的影響，存在著過分重視新技術、新項目的功能，而忽視或淡化了相關風險等問題。在申報項目時也都不太重視分析和揭示風險，擔心過多談論風險，可能會導致項目申報受阻或淘汰。但是項目風險本身卻是客觀存在的，不會因為不談論就自行消失。對此，項目管理團隊要有清醒認識，只有充分掌握風險和隱患，并采取有針對性的措施和應對預案，才能掌握主動權、防范于未然。

對風險的分析有待細化

信息化項目管理過程中，需要對各個環節的執行情況進行總結、評估以及反饋，及時梳理存在問題和總結管理經驗，為下一階段或下一個項目的實施提供教訓和積累經驗。在項目收尾時，有關的風險管理評估是非常重要的組成部分，但現實情況是，信息化項目建成驗收時，很少對項目的風險做出深入的分析，尤其是對風險的判別方法、出現條件、防范措施、處置過程等記載不全、反饋不夠。

對風險控制手段有待強化

當前，信息化項目本身隨著云計算、大數據、移動應用等新技術、新應用出現，項目管理內容更多、范圍更廣、情形更多。各類風險更加隱蔽和復雜，加之受到信息技術不斷推陳出新，隨時會形成或面臨諸多新的風險。而且一般項目管理團隊很少能對風險做出充分的評估分析，也很少能有思維嚴謹完整的解決方案。一旦遇到風險發生，通常依托已有經驗進行應對和處理，往往比較被動和局促，使得一些信息化項目無法完全達到預期效果。為此，加強信息化項目的風險控制非常必要。

強化信息化項目風險管理的實施策略

截至目前，國內關于信息化項目的成本、成效、風險三者同步分析，通過風險管理確保建設成效的認識還處于起步階段，風險管理的相關研究還比較少見，風險評估體系還不夠嚴謹完善。雖然國外關于風險的認識以及管理起步較早，其管理方式方法也逐漸增多，不少研究者提出了有關風險管理模型，但要適合我國的信息化建設特點，必須進一步優化我國的信息化項目管理體系。筆者通過實踐與總結，認為首先必須增強風險管理意識，其次明確風險管控環節，再次需要健全適用的管控體系。具體考慮：項目管理周期分為規劃、建設和應用等“三個階段”，不可偏頗哪一個階段；風險管理主要抓住“五個著力”：貫徹等保標準、嚴謹計劃安排、重視識別標記、做好分析評估、落實應對控制，以此更好地優化項目風險管理體系和實施策略。

嚴格遵守等級保護的標準規范

《網絡安全法》第三章第21條明確“國家實行網絡安全等級保護制度”。近年來，國家也在不斷更新、擴充和完善相關等級保護的信息安全技術標準，包括《云計算服務運行監管框架》、《個人信息安全規范》、《數據庫管理系統安全評估準則》、《移動應用網絡安全評價規范》等標準規范不斷建立和推進，這些標準規范都是科研成果和經驗總結。因此，無論是系統或是平臺都應對照1至5級不同等級保護的要求，認真貫徹和落實標準規范，努力規避已知風險，提高對潛在風險的抵御能力。

嚴謹風險管理的計劃安排

對風險管理進行前置安排，重點是對信息化項目管理活動的主要環節預設風控點、預定風控計劃。在風險管理計劃制定時，可運用專家判斷、項目管理規劃工具以及技術分析等工作手段，最終生成實施流程圖、計劃安排表等相關文檔。同時，加強項目相關利益者之間的有效溝通交流，獲得各方同意與支持，進而保證在整個項目管理的生命周期內更好地落實風險管理。

重視風險隱患的識別標記

重點是對影響信息化項目的主要風險因素進行判斷，對相關特征及過程進行記錄。并對已有的風險進行文檔化處理，增強預測能力。在進行風險識別的過程中，主要采用信息收集、文檔審查、圖表解析、假設推理、專家論證等多種方式，將所識別出的各種潛在或者已經形成的風險列舉成清單，形成條目清晰、內容完整的文檔。

在對風險進行標記時，可分別從客觀、主觀以及環境等各個角度來進行。這里借鑒國外相關風險分析理論知識，結合我國現行信息化項目的具體情況，對主要因素以及具體表征進行列舉，形成條目和數據。這樣通過不斷積累最終形成“知識庫”，有助于增強風險識別能力。

做好各類風險的分析評估

風險管理有看得見的現實風險，也有需要預防的潛在風險，一般而言現實風險通常處在可忍受、可控制范圍內；而潛在風險是還沒有真切了解或真實掌握的風險，是從預防角度的風險設定。

在對信息化項目風險的分析評估過程中，可分別從定量和定性兩個方面來探討，其中定性風險分析主要是風險對項目的影響程度進行評估，定量風險分析主要是針對已經成功識別的風險，其可能發生的頻率及具體影響進行量化。結合我國的具體情況來說，尤其是應當加強定量分析。目前風險分析和評估工具較為典型的代表有@Risk、Crystal Ball、建模與可視化技術以及風險分類與緊迫性評估等，通過對風險進行分析和評估，即可形成類別與等級列表、矩陣、優先級別列表等。根據我國信息化項目特點，我們整理形成了評估意見表（詳見表3）。

通過對風險以及風險指數等進行計算，形成明確的有關風險程度的判斷，從而更好地推動風險控制工作的開展。

落實各類風險的防范措施

防范措施就是對信息化項目風險的應對與控制，主要是制定相關實施計劃和處置預案，達到有效降低威脅和提高應對的能力。一是要有分析，認清風險所處的環節和觸發條件，認清風險可能的頻度及危害；二是要有預案，對風險發生應采用的措施要有充分準備，對處理流程和責任要求都應有明確規定；三是要有成效，對風險控制和處理的目標與結果要明確標準，對恢復的功能與時間等要素應界定清晰。同時在整個項目的實施過程中，要對風險管理的有效性以及具體的方案來進行評估。在進行風險應對與控制時，可運用相應的管理評估工具來實現，用于指導面對風險的有效處置，最終完成工作文檔的記載和存儲。

總而言之，隨著信息化項目不斷增加，應用面和復雜性不斷擴大，優化信息化項目風險管控體系勢在必行，確保項目的建設成效，促進和提升信息化的綜合效益。

（作者單位：上海市信息安全測評認證中心）