政府信息系統項目風險管理

文｜孟祥宇

政府信息系統項目在安全性、業務連續性等方面有著較高要求，同時考慮到設計架構的多樣性，需要在日常工作中做好風險管理工作。本文結合政府信息系統項目風險管理的主要環節、要點等，提出改進風險管理工作的相關思考與建議。相信這一研究，能夠豐富理論和實踐活動提供一定的可行參考。

一、 前言

針對政府信息系統項目運營和維護來說，風險管理是日常的重要工作內容。而風險管理通常包括對于信息系統中安全漏洞的識別、確認以及應對等，同時，對相應的損失進行評估，最終提出恰當的風險管理對策。從政府信息系統的運營和維護人員來說，需要使用風險分析、漏洞確認和相關威脅的應對、處置等環節，依據風險管理的步驟和方法，開展風險管理工作，是日常工作中的重要技能，這對于提升系統安全和個人能力都具有重要的現實意義。

二、政府信息系統項目風險管理過程

政府部門的信息系統，對于安全性、業務穩定性和連續性要求較高，并且信息網絡相對封閉，信息架構類型多樣。通過排除、減少不同層次的風險因素和安全威脅，能夠將風險控制在允許范圍內，需要相關機構和人員，能夠依據風險管理的階段特征，采用科學的分析方法和應對步驟，開展相應的工作。

通常，風險管理工作是在復雜的社會以及自然環境下進行的，受到多方面因素的制約，針對這些內外部因素，項目運維主體可能存在認識不到位或是管理不能不足等問題，這就導致相關項目的管理過程、實現結果超出預期。風險管理的任務就是評估損失的程度和可能性，將損失轉化為機會，通過掌握風險因素來源、特點以及規律，加以有效的控制。

從政府信息系統項目的風險成因來說，需要考慮其隨機性、可變性以及相對性等特點。具體的風險管理過程則包括以下幾個步驟：

(一) 風險管理計劃的編制

這一環節主要是對信息系統項目的風險管理活動進行描述，包括管理目標、管理方法等。通常，使用計劃會議等方式形成風險管理計劃，明確方法論、工作分工、崗位職責以及預算安排等，通過確定執行表格，明確風險的類型和影響情況，確定風險的容忍度和動態管理制度等。

(二) 風險識別

這一環節是對風險的影響進行分析，并且形成書面文件。可以采用因果圖、人員訪談、流程圖以及影響圖等方法。對于各類風險進行分類，明確可能存在的硬件和軟件風險、惡意和非惡意風險、意外風險等情況，明確對于信息系統項目在架構設計、規劃以及運行和維護等方面的風險識別。

(三) 風險分析

這一環節主要包括定性分析和定量分析兩個環節。在定性分析部分，主要是確定風險發生的概率、先后順序以及產生的影響程度等。使用包括風險數據的質量評估、概率和影響矩陣分析以及緊急度評估等方式，確定書面的風險記錄，包括風險的分類分組情況、不同風險的優先級以及對于風險的監控情況。在定量分析部分，則主要是使用定量方式對風險所產生的影響進行分析，采用包括決策樹、專家判斷以及仿真建模等技術。為了更好地做好政府信息系統項目的風險分析工作，需要使用防火墻、數據加密工具、數字證書等工作，對數據的存儲和傳輸進行加密處理，確保數據的完整與安全。

(四) 風險應對

這一環節主要是使用各種方法和措施提升項目順利運行的機會、降低風險。可以采用包括轉移、回避以及減輕等方式來應對，也可以采用包括開拓、增強以及分享等思路來處理。對于政府信息系統項目的風險應對工作，需要結合前期的風險識別以及分析，確定恰當的應對策略，做好相應的應急儲備等。

(五) 風險監控和總結

通過對風險進行識別、確認，執行相應的風險計劃，并對風險管理工作的有效性進行評價。使用包括差異、趨勢分析，風險評審、風險和技術績效評估等方法進行監控。針對技術風險、團隊風險或是外部風險等方式，也需要制定不同的監控策略。

比如，針對技術風險，主要包括對于技術不熟悉，使用需求變化能力差、建設和運維質量差、整體進度不理想等，就需要在研發和運維人員安排上使用AB制方式，一名工作經驗豐富的人員帶領1-2名實習生或是不太熟練的人員，能夠避免人員流動、技術能力不足導致的風險。此外，還可以聘請內部自身工程師來作為項目的顧問，在項目建設、運營、維護過程中，先嘗試在內部解決，行不通的情況下，可以請顧問進行指導。針對使用需求變化等問題，可以在線上辦公部分設置修改意見與反饋等專欄，及時總結項目進度、需求等。當然，還需要考慮到運維團隊技術能力、意外情況、資金投入和軟硬件配置等方面的風險，并且做好相應的應對策略。

三、提升政府信息系統項目風險管理能力的建議

（一） 加強組織體系建設

政府信息系統項目的建設、運營和維護，需要一個龐大的工作團隊，包括管理機構和具體的辦事機構，涉及多方人員。通過加強基礎管理，能夠將系統目標與日常操作結合起來，加強基礎風險管理能力，推動信息化建設的不斷深入。針對政府信息系統項目中的信息安全問題，也需要做好不同部門的協調以及風險因素的甄別，避免出現數據安全問題。

（二）重視信息管理，注重人才培養

當前，大數據技術快速發展，政府信息系統項目建設和運維中，合理運用大數據技術來強化信息管理，對于確保系統的穩定和持續運行具有重要意義。

同時，為了更好地實現系統目標，還需要加強技術人員的選拔和培養，針對與風險管理相關的核心技術進行公關，牢牢掌握發展的主動權。與政府信息系統建設和運營維護相關的人才需求是龐大的，對于人才的知識結構、能力素質也提出了比以前更高的要求。比如，研發和運維人員需要具備與統計學、數學以及機器學習、安全管理等相關的知識，也要有數據分析、挖掘能力。在具體做法上，需要在政府、產企業界的支持下，開展人才培養，并且與實際的工作需求結合起來。在職人員也可以采用包括脫產學習、線上課程等方式來提升自己的安全意識和業務能力。

(三) 完善項目風險評估機制

針對風險評估的結果，制定相應的應對計劃去響應風險，就是去做風險應對，其目的是創造機會，回避威脅。風險應對中需要對風險的正面效應（即潛在的機會）制定增強措施，對風險的負面效應（即可能的威脅）制定應付方法。對于不同的風險，需要根據其重要性、影響大小以及已經確定的處理優先次序，采取相應的措施加以控制，對負面風險的反應可以是盡量避免、努力減小。

（四）進行科學的預算，安排充足的資金

政府信息系統項目的建設和實施需要較長的周期，沒有充足的資金保證，可能由于局部資金短缺使項目實施沒有連續性，而影響全局的實施。充足的預算安排能夠有效應對由于項目需求改變或者范圍增加而造成的時間和成本風險。另外風險的規避本身也消耗一些預算。

（五）加強采購和外包管理，建立健全項目顧問和監管工作機制

嚴格執行采購管理制度，所有采購和外包的項目物資和技術資源必須符合項目設計和計劃要求。小供貨商的產品和服務價格雖然便宜，但是質量難以保證，售后服務也不規范，難以長期堅持。因此盡量選擇規模大、信譽好的供貨和服務商。

同時，必須綜合應用現代項目管理技術，始終貫徹現代大型項目管理的標準流程。嚴格執行項目管理中的時間、成本、質量控制等標準流程，引入專家顧問和信息系統監理機制，這對于控制和降低項目風險都是有益的。

四、 結束語

通過上述分析，可以看出，針對政府信息系統項目的建設、運營和維護來說，風險管理工作都非常重要，需要在領導和團隊支持下，做好風險管理工作，實現管理效益和社會效益等方面的統一，并在今后的工作中進一步加強風險管理工作。