政府信息系統(tǒng)項目風(fēng)險管理

文｜孟祥宇

政府信息系統(tǒng)項目在安全性、業(yè)務(wù)連續(xù)性等方面有著較高要求，同時考慮到設(shè)計架構(gòu)的多樣性，需要在日常工作中做好風(fēng)險管理工作。本文結(jié)合政府信息系統(tǒng)項目風(fēng)險管理的主要環(huán)節(jié)、要點等，提出改進(jìn)風(fēng)險管理工作的相關(guān)思考與建議。相信這一研究，能夠豐富理論和實踐活動提供一定的可行參考。

一、 前言

針對政府信息系統(tǒng)項目運(yùn)營和維護(hù)來說，風(fēng)險管理是日常的重要工作內(nèi)容。而風(fēng)險管理通常包括對于信息系統(tǒng)中安全漏洞的識別、確認(rèn)以及應(yīng)對等，同時，對相應(yīng)的損失進(jìn)行評估，最終提出恰當(dāng)?shù)娘L(fēng)險管理對策。從政府信息系統(tǒng)的運(yùn)營和維護(hù)人員來說，需要使用風(fēng)險分析、漏洞確認(rèn)和相關(guān)威脅的應(yīng)對、處置等環(huán)節(jié)，依據(jù)風(fēng)險管理的步驟和方法，開展風(fēng)險管理工作，是日常工作中的重要技能，這對于提升系統(tǒng)安全和個人能力都具有重要的現(xiàn)實意義。

二、政府信息系統(tǒng)項目風(fēng)險管理過程

政府部門的信息系統(tǒng)，對于安全性、業(yè)務(wù)穩(wěn)定性和連續(xù)性要求較高，并且信息網(wǎng)絡(luò)相對封閉，信息架構(gòu)類型多樣。通過排除、減少不同層次的風(fēng)險因素和安全威脅，能夠?qū)L(fēng)險控制在允許范圍內(nèi)，需要相關(guān)機(jī)構(gòu)和人員，能夠依據(jù)風(fēng)險管理的階段特征，采用科學(xué)的分析方法和應(yīng)對步驟，開展相應(yīng)的工作。

通常，風(fēng)險管理工作是在復(fù)雜的社會以及自然環(huán)境下進(jìn)行的，受到多方面因素的制約，針對這些內(nèi)外部因素，項目運(yùn)維主體可能存在認(rèn)識不到位或是管理不能不足等問題，這就導(dǎo)致相關(guān)項目的管理過程、實現(xiàn)結(jié)果超出預(yù)期。風(fēng)險管理的任務(wù)就是評估損失的程度和可能性，將損失轉(zhuǎn)化為機(jī)會，通過掌握風(fēng)險因素來源、特點以及規(guī)律，加以有效的控制。

從政府信息系統(tǒng)項目的風(fēng)險成因來說，需要考慮其隨機(jī)性、可變性以及相對性等特點。具體的風(fēng)險管理過程則包括以下幾個步驟：

(一) 風(fēng)險管理計劃的編制

這一環(huán)節(jié)主要是對信息系統(tǒng)項目的風(fēng)險管理活動進(jìn)行描述，包括管理目標(biāo)、管理方法等。通常，使用計劃會議等方式形成風(fēng)險管理計劃，明確方法論、工作分工、崗位職責(zé)以及預(yù)算安排等，通過確定執(zhí)行表格，明確風(fēng)險的類型和影響情況，確定風(fēng)險的容忍度和動態(tài)管理制度等。

(二) 風(fēng)險識別

這一環(huán)節(jié)是對風(fēng)險的影響進(jìn)行分析，并且形成書面文件。可以采用因果圖、人員訪談、流程圖以及影響圖等方法。對于各類風(fēng)險進(jìn)行分類，明確可能存在的硬件和軟件風(fēng)險、惡意和非惡意風(fēng)險、意外風(fēng)險等情況，明確對于信息系統(tǒng)項目在架構(gòu)設(shè)計、規(guī)劃以及運(yùn)行和維護(hù)等方面的風(fēng)險識別。

(三) 風(fēng)險分析

這一環(huán)節(jié)主要包括定性分析和定量分析兩個環(huán)節(jié)。在定性分析部分，主要是確定風(fēng)險發(fā)生的概率、先后順序以及產(chǎn)生的影響程度等。使用包括風(fēng)險數(shù)據(jù)的質(zhì)量評估、概率和影響矩陣分析以及緊急度評估等方式，確定書面的風(fēng)險記錄，包括風(fēng)險的分類分組情況、不同風(fēng)險的優(yōu)先級以及對于風(fēng)險的監(jiān)控情況。在定量分析部分，則主要是使用定量方式對風(fēng)險所產(chǎn)生的影響進(jìn)行分析，采用包括決策樹、專家判斷以及仿真建模等技術(shù)。為了更好地做好政府信息系統(tǒng)項目的風(fēng)險分析工作，需要使用防火墻、數(shù)據(jù)加密工具、數(shù)字證書等工作，對數(shù)據(jù)的存儲和傳輸進(jìn)行加密處理，確保數(shù)據(jù)的完整與安全。

(四) 風(fēng)險應(yīng)對

這一環(huán)節(jié)主要是使用各種方法和措施提升項目順利運(yùn)行的機(jī)會、降低風(fēng)險。可以采用包括轉(zhuǎn)移、回避以及減輕等方式來應(yīng)對，也可以采用包括開拓、增強(qiáng)以及分享等思路來處理。對于政府信息系統(tǒng)項目的風(fēng)險應(yīng)對工作，需要結(jié)合前期的風(fēng)險識別以及分析，確定恰當(dāng)?shù)膽?yīng)對策略，做好相應(yīng)的應(yīng)急儲備等。

(五) 風(fēng)險監(jiān)控和總結(jié)

通過對風(fēng)險進(jìn)行識別、確認(rèn)，執(zhí)行相應(yīng)的風(fēng)險計劃，并對風(fēng)險管理工作的有效性進(jìn)行評價。使用包括差異、趨勢分析，風(fēng)險評審、風(fēng)險和技術(shù)績效評估等方法進(jìn)行監(jiān)控。針對技術(shù)風(fēng)險、團(tuán)隊風(fēng)險或是外部風(fēng)險等方式，也需要制定不同的監(jiān)控策略。

比如，針對技術(shù)風(fēng)險，主要包括對于技術(shù)不熟悉，使用需求變化能力差、建設(shè)和運(yùn)維質(zhì)量差、整體進(jìn)度不理想等，就需要在研發(fā)和運(yùn)維人員安排上使用AB制方式，一名工作經(jīng)驗豐富的人員帶領(lǐng)1-2名實習(xí)生或是不太熟練的人員，能夠避免人員流動、技術(shù)能力不足導(dǎo)致的風(fēng)險。此外，還可以聘請內(nèi)部自身工程師來作為項目的顧問，在項目建設(shè)、運(yùn)營、維護(hù)過程中，先嘗試在內(nèi)部解決，行不通的情況下，可以請顧問進(jìn)行指導(dǎo)。針對使用需求變化等問題，可以在線上辦公部分設(shè)置修改意見與反饋等專欄，及時總結(jié)項目進(jìn)度、需求等。當(dāng)然，還需要考慮到運(yùn)維團(tuán)隊技術(shù)能力、意外情況、資金投入和軟硬件配置等方面的風(fēng)險，并且做好相應(yīng)的應(yīng)對策略。

三、提升政府信息系統(tǒng)項目風(fēng)險管理能力的建議

（一） 加強(qiáng)組織體系建設(shè)

政府信息系統(tǒng)項目的建設(shè)、運(yùn)營和維護(hù)，需要一個龐大的工作團(tuán)隊，包括管理機(jī)構(gòu)和具體的辦事機(jī)構(gòu)，涉及多方人員。通過加強(qiáng)基礎(chǔ)管理，能夠?qū)⑾到y(tǒng)目標(biāo)與日常操作結(jié)合起來，加強(qiáng)基礎(chǔ)風(fēng)險管理能力，推動信息化建設(shè)的不斷深入。針對政府信息系統(tǒng)項目中的信息安全問題，也需要做好不同部門的協(xié)調(diào)以及風(fēng)險因素的甄別，避免出現(xiàn)數(shù)據(jù)安全問題。

（二）重視信息管理，注重人才培養(yǎng)

當(dāng)前，大數(shù)據(jù)技術(shù)快速發(fā)展，政府信息系統(tǒng)項目建設(shè)和運(yùn)維中，合理運(yùn)用大數(shù)據(jù)技術(shù)來強(qiáng)化信息管理，對于確保系統(tǒng)的穩(wěn)定和持續(xù)運(yùn)行具有重要意義。

同時，為了更好地實現(xiàn)系統(tǒng)目標(biāo)，還需要加強(qiáng)技術(shù)人員的選拔和培養(yǎng)，針對與風(fēng)險管理相關(guān)的核心技術(shù)進(jìn)行公關(guān)，牢牢掌握發(fā)展的主動權(quán)。與政府信息系統(tǒng)建設(shè)和運(yùn)營維護(hù)相關(guān)的人才需求是龐大的，對于人才的知識結(jié)構(gòu)、能力素質(zhì)也提出了比以前更高的要求。比如，研發(fā)和運(yùn)維人員需要具備與統(tǒng)計學(xué)、數(shù)學(xué)以及機(jī)器學(xué)習(xí)、安全管理等相關(guān)的知識，也要有數(shù)據(jù)分析、挖掘能力。在具體做法上，需要在政府、產(chǎn)企業(yè)界的支持下，開展人才培養(yǎng)，并且與實際的工作需求結(jié)合起來。在職人員也可以采用包括脫產(chǎn)學(xué)習(xí)、線上課程等方式來提升自己的安全意識和業(yè)務(wù)能力。

(三) 完善項目風(fēng)險評估機(jī)制

針對風(fēng)險評估的結(jié)果，制定相應(yīng)的應(yīng)對計劃去響應(yīng)風(fēng)險，就是去做風(fēng)險應(yīng)對，其目的是創(chuàng)造機(jī)會，回避威脅。風(fēng)險應(yīng)對中需要對風(fēng)險的正面效應(yīng)（即潛在的機(jī)會）制定增強(qiáng)措施，對風(fēng)險的負(fù)面效應(yīng)（即可能的威脅）制定應(yīng)付方法。對于不同的風(fēng)險，需要根據(jù)其重要性、影響大小以及已經(jīng)確定的處理優(yōu)先次序，采取相應(yīng)的措施加以控制，對負(fù)面風(fēng)險的反應(yīng)可以是盡量避免、努力減小。

（四）進(jìn)行科學(xué)的預(yù)算，安排充足的資金

政府信息系統(tǒng)項目的建設(shè)和實施需要較長的周期，沒有充足的資金保證，可能由于局部資金短缺使項目實施沒有連續(xù)性，而影響全局的實施。充足的預(yù)算安排能夠有效應(yīng)對由于項目需求改變或者范圍增加而造成的時間和成本風(fēng)險。另外風(fēng)險的規(guī)避本身也消耗一些預(yù)算。

（五）加強(qiáng)采購和外包管理，建立健全項目顧問和監(jiān)管工作機(jī)制

嚴(yán)格執(zhí)行采購管理制度，所有采購和外包的項目物資和技術(shù)資源必須符合項目設(shè)計和計劃要求。小供貨商的產(chǎn)品和服務(wù)價格雖然便宜，但是質(zhì)量難以保證，售后服務(wù)也不規(guī)范，難以長期堅持。因此盡量選擇規(guī)模大、信譽(yù)好的供貨和服務(wù)商。

同時，必須綜合應(yīng)用現(xiàn)代項目管理技術(shù)，始終貫徹現(xiàn)代大型項目管理的標(biāo)準(zhǔn)流程。嚴(yán)格執(zhí)行項目管理中的時間、成本、質(zhì)量控制等標(biāo)準(zhǔn)流程，引入專家顧問和信息系統(tǒng)監(jiān)理機(jī)制，這對于控制和降低項目風(fēng)險都是有益的。

四、 結(jié)束語

通過上述分析，可以看出，針對政府信息系統(tǒng)項目的建設(shè)、運(yùn)營和維護(hù)來說，風(fēng)險管理工作都非常重要，需要在領(lǐng)導(dǎo)和團(tuán)隊支持下，做好風(fēng)險管理工作，實現(xiàn)管理效益和社會效益等方面的統(tǒng)一，并在今后的工作中進(jìn)一步加強(qiáng)風(fēng)險管理工作。