论信息系统的风险管理.docx

《论信息系统的风险管理.docx》由会员分享，可在线阅读，更多相关《论信息系统的风险管理.docx（4页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、2020年10月，我参与了某市政务云平台安全资源池建设项目，作为项目经理全面负 责项目管理工作。项目总投资800万元，建设周期6个月，采用的是项目型组织结构。2019 年12月，国家正式执行了新的网络安全等级保护技术标准（简称等保2.0标准），新标准 对云平台和云租户的网络安全责任界限做了明确划分，云平台的网络安全系统，只能用于云 平台自身的防护，导致该政务云平台上，没有独立建设网络安全系统的政务系统，不符合新 标准，无法通过网络安全等级保护测评（简称等保测评），被该市公安局网络安全保卫支队 发函要求限期整改。收到整改函的各委办局，都提出了建设符合等保2.0标准的网络安全系 统的要求，包括防火

2、墙、入侵检测、堡垒机、日志审计、数据库审计、病毒防护、网页防篡 改等网络安全系统，若各委办局各自独立建设这些系统，全市50余个委办局，数百套政务 系统，建设资金将高达数千万元，这既不符合该市信息化建设的集约化建设方针和政策，又 会形成极大的财政资金压力和浪费。主管部门工业和信息化局经过多方、多次论证，决定以 云计算的思路，集中建设安全资源池，以共享云服务方式提供满足等保2.0标准要求的网络 安全系统，给各委办局政务系统使用，当期建设目标，是支撑100套重要政务系统通过等 保测评，完成公安局下达的限期整改任务。由于本项目要在已经正常运行的政务云平台和政务系统上，集成建设多种安全系统，影响较大，市

3、领导非常重视把项目列为提升政务服务能力的关键项目项目管理要求非常高，这也无形中增加了项目的风险。（由于项目环境的复杂性和不确定性变化，项目面临的各类风险能否被很好地控制，将成为决定项成败的关键。项目风险管理，能让项=iw理人员在发生有重大影响的突发事件时，在第一时间主动控制事态，大大降低风险发生的可能性和带来的损失，为项目实施创造安全的环境，使项目始终处于良好的受控状态，尽可能按照计划实 施。）项目风险管理非常重要，我作为项目经理，除了对其余管理领域进行格尽职守的管理, 特别对从如下几个方面进行项目风险管理。一、规划风险管理规范风险管理，是规划和定义如何实施项目风险管理活动。谨慎、清晰的计划能

4、够提高 风险管理的成功概率。我带领项目团队，根据项目管理计划、项目章程以及干系人登记册, 采用干系人风险分析，专家座谈等方式，在业主方代表、各方面专家广泛的参与下，制定风 险管理计划，（计划中，我们确定了风险识别和管理的方法论，风险管理角色与职责、预算、 时间安排，风险概率及影响的定义，风险排序的方法、跟踪的方法等）最终形成了一份详细、 科学的风险管理计划，为后续风险管理活动提供了指南和方向。二、识别项目风险识别风险，是运用工具和技术尽量找出项目各方面可能存在的风险，并详细的描述和记 录下来。我带领项目团队，根据项目的风险管理计划、范围基准、成本管理计划、进度管理 计划、质量管理计划、人力资源

5、管理计划等实际情况，采用假设分析、图解技术等方法，把 项目中的风险划分为技术风险、团队风险、外部风险三大类，采用风险分解结构（RBS ）形 式列举了已知的风险，把需求和范围定义不清、用户参与不足、技术分析和评估不足、新冠 病毒疫情的影响等作为项目计划阶段的主要风险事件。在识别了上述风险后，我们还确定了 这些风险的基本特性，引起这些风险的主要因素，以及可能会影响项目的方面，形成了详细 的风险登记册。三、定性风险分析定性风险分析，是评估并综合分析风险的发生概率和影响，对风险进行优先排序，从而 为后续分析或行动提供基础。我们根据风险管理计划和风险登记册，邀请相关专家进行会议, 不仅分析了每一个风险发

6、生的可能性，还分析了风险对时间、成本、范围等各方面的影响。 我们还利用了风险概率和影响矩阵来评定风险优先级,（概率和影响矩阵是把每个风险发生 的概率和一旦发生对项目目标的影响映射起来的表格，它能将概率和影响进行组合，以便于把单个项目风险划分成不同的优先级组别。）定性分析后，我们根据分析结果更新了风险登记册。四、定量风险分析定量风险分析，是对识别的风险对项目总体目标的影响进行定量分析。我带领项目团队， 采用了访谈、三点估算、专家判断等方法，对项目风险进行乐观、最可能性和悲观估计，同 时也利用了我公司历史项目的数据来辅助评估，定量地分析各个风险对项目目标的影响。分 析后，我们将分析结果更新到风险登

7、记册中。五、制定风险应对计划制定风险应对计划，是针对项目目标，制定提高机会、降低威胁的方案和措施。根据定 性和定量分析的结果，我们对已识别的风险，制订应对计划，对不同的风险，采取不同的应 对措施和缓解计划，每个计划都定了责任人。例如对电子政务外网安全产品配置的分析和评 估不足的技术风险，我们的应对措施是邀请熟悉电子政务外网和网络安全管理的第三方专家, 帮忙我们进行分析，进行技术方案的制定、比选、分析和决策，并指定安全小组组长为此应 对计划的责任人。六、控制风险我们根据项目管理计划、风险登记册、绩效报告，采用风险再评估、风险审计、偏差与 趋势分析等方法，定期对已经识别出的风险的状态进行跟踪，监控

8、风险发生标志，发生概率 和影响度的变化，复审风险应对策略的执行情况和效果，根据目前风险监控的结果修改风险 应对策略。在深入地分析已经识别出的风险的基础上，继续识别项目中新出现的风险，制定 新识别风险的应对措施。（我们把需求和范围定义不清、WBS分解粒度不够细化、用户参与不足、技术问题等作为项目的主要风险事件，按级别排序张贴在项目作战室的公告栏上,随时警醒项目组成员特别是风险应对责任人。另外我定期把风险记录表发给客户方项目负责人和主管领导，以及我公司高层经理。我公司高层也对项目的质量状态和风险情况很关心， 多次出席项目例会和评审会议。由于有效的风险控制加之领导的重视项目得以顺利实施。） 经过团队的努力，在2021年3月按时通过了验收，安全资源池成功上线，运行良好， 顺利支撑了该市100套重要政务系统通过等保测评，完成公安局网络安全保卫支队下达的 限期整改任务，得到了业主单位和使用委办局的好评。本项目风险管理总体比较顺利，但也 有一些问题，例如:因为疫情影响,部分员工春节回家后被隔离，无法按时到岗，导致到岗的 项目成员在现场经常加班，大家非常疲惫，做事效率低下。这些问题，在以后的项目中，我 将会加以改进。纵观项目的全过程，良好的项目风险管理，是本次项目成功的重要保证，也 让我由项目风险管理理论到实际应用，有了更加深入的理解，为应对未来更加复杂的项目， 积累了宝贵经验。