政府信息系统项目风险管理

文｜孟祥宇

政府信息系统项目在安全性、业务连续性等方面有着较高要求，同时考虑到设计架构的多样性，需要在日常工作中做好风险管理工作。本文结合政府信息系统项目风险管理的主要环节、要点等，提出改进风险管理工作的相关思考与建议。相信这一研究，能够丰富理论和实践活动提供一定的可行参考。

一、 前言

针对政府信息系统项目运营和维护来说，风险管理是日常的重要工作内容。而风险管理通常包括对于信息系统中安全漏洞的识别、确认以及应对等，同时，对相应的损失进行评估，最终提出恰当的风险管理对策。从政府信息系统的运营和维护人员来说，需要使用风险分析、漏洞确认和相关威胁的应对、处置等环节，依据风险管理的步骤和方法，开展风险管理工作，是日常工作中的重要技能，这对于提升系统安全和个人能力都具有重要的现实意义。

二、政府信息系统项目风险管理过程

政府部门的信息系统，对于安全性、业务稳定性和连续性要求较高，并且信息网络相对封闭，信息架构类型多样。通过排除、减少不同层次的风险因素和安全威胁，能够将风险控制在允许范围内，需要相关机构和人员，能够依据风险管理的阶段特征，采用科学的分析方法和应对步骤，开展相应的工作。

通常，风险管理工作是在复杂的社会以及自然环境下进行的，受到多方面因素的制约，针对这些内外部因素，项目运维主体可能存在认识不到位或是管理不能不足等问题，这就导致相关项目的管理过程、实现结果超出预期。风险管理的任务就是评估损失的程度和可能性，将损失转化为机会，通过掌握风险因素来源、特点以及规律，加以有效的控制。

从政府信息系统项目的风险成因来说，需要考虑其随机性、可变性以及相对性等特点。具体的风险管理过程则包括以下几个步骤：

(一) 风险管理计划的编制

这一环节主要是对信息系统项目的风险管理活动进行描述，包括管理目标、管理方法等。通常，使用计划会议等方式形成风险管理计划，明确方法论、工作分工、岗位职责以及预算安排等，通过确定执行表格，明确风险的类型和影响情况，确定风险的容忍度和动态管理制度等。

(二) 风险识别

这一环节是对风险的影响进行分析，并且形成书面文件。可以采用因果图、人员访谈、流程图以及影响图等方法。对于各类风险进行分类，明确可能存在的硬件和软件风险、恶意和非恶意风险、意外风险等情况，明确对于信息系统项目在架构设计、规划以及运行和维护等方面的风险识别。

(三) 风险分析

这一环节主要包括定性分析和定量分析两个环节。在定性分析部分，主要是确定风险发生的概率、先后顺序以及产生的影响程度等。使用包括风险数据的质量评估、概率和影响矩阵分析以及紧急度评估等方式，确定书面的风险记录，包括风险的分类分组情况、不同风险的优先级以及对于风险的监控情况。在定量分析部分，则主要是使用定量方式对风险所产生的影响进行分析，采用包括决策树、专家判断以及仿真建模等技术。为了更好地做好政府信息系统项目的风险分析工作，需要使用防火墙、数据加密工具、数字证书等工作，对数据的存储和传输进行加密处理，确保数据的完整与安全。

(四) 风险应对

这一环节主要是使用各种方法和措施提升项目顺利运行的机会、降低风险。可以采用包括转移、回避以及减轻等方式来应对，也可以采用包括开拓、增强以及分享等思路来处理。对于政府信息系统项目的风险应对工作，需要结合前期的风险识别以及分析，确定恰当的应对策略，做好相应的应急储备等。

(五) 风险监控和总结

通过对风险进行识别、确认，执行相应的风险计划，并对风险管理工作的有效性进行评价。使用包括差异、趋势分析，风险评审、风险和技术绩效评估等方法进行监控。针对技术风险、团队风险或是外部风险等方式，也需要制定不同的监控策略。

比如，针对技术风险，主要包括对于技术不熟悉，使用需求变化能力差、建设和运维质量差、整体进度不理想等，就需要在研发和运维人员安排上使用AB制方式，一名工作经验丰富的人员带领1-2名实习生或是不太熟练的人员，能够避免人员流动、技术能力不足导致的风险。此外，还可以聘请内部自身工程师来作为项目的顾问，在项目建设、运营、维护过程中，先尝试在内部解决，行不通的情况下，可以请顾问进行指导。针对使用需求变化等问题，可以在线上办公部分设置修改意见与反馈等专栏，及时总结项目进度、需求等。当然，还需要考虑到运维团队技术能力、意外情况、资金投入和软硬件配置等方面的风险，并且做好相应的应对策略。

三、提升政府信息系统项目风险管理能力的建议

（一） 加强组织体系建设

政府信息系统项目的建设、运营和维护，需要一个庞大的工作团队，包括管理机构和具体的办事机构，涉及多方人员。通过加强基础管理，能够将系统目标与日常操作结合起来，加强基础风险管理能力，推动信息化建设的不断深入。针对政府信息系统项目中的信息安全问题，也需要做好不同部门的协调以及风险因素的甄别，避免出现数据安全问题。

（二）重视信息管理，注重人才培养

当前，大数据技术快速发展，政府信息系统项目建设和运维中，合理运用大数据技术来强化信息管理，对于确保系统的稳定和持续运行具有重要意义。

同时，为了更好地实现系统目标，还需要加强技术人员的选拔和培养，针对与风险管理相关的核心技术进行公关，牢牢掌握发展的主动权。与政府信息系统建设和运营维护相关的人才需求是庞大的，对于人才的知识结构、能力素质也提出了比以前更高的要求。比如，研发和运维人员需要具备与统计学、数学以及机器学习、安全管理等相关的知识，也要有数据分析、挖掘能力。在具体做法上，需要在政府、产企业界的支持下，开展人才培养，并且与实际的工作需求结合起来。在职人员也可以采用包括脱产学习、线上课程等方式来提升自己的安全意识和业务能力。

(三) 完善项目风险评估机制

针对风险评估的结果，制定相应的应对计划去响应风险，就是去做风险应对，其目的是创造机会，回避威胁。风险应对中需要对风险的正面效应（即潜在的机会）制定增强措施，对风险的负面效应（即可能的威胁）制定应付方法。对于不同的风险，需要根据其重要性、影响大小以及已经确定的处理优先次序，采取相应的措施加以控制，对负面风险的反应可以是尽量避免、努力减小。

（四）进行科学的预算，安排充足的资金

政府信息系统项目的建设和实施需要较长的周期，没有充足的资金保证，可能由于局部资金短缺使项目实施没有连续性，而影响全局的实施。充足的预算安排能够有效应对由于项目需求改变或者范围增加而造成的时间和成本风险。另外风险的规避本身也消耗一些预算。

（五）加强采购和外包管理，建立健全项目顾问和监管工作机制

严格执行采购管理制度，所有采购和外包的项目物资和技术资源必须符合项目设计和计划要求。小供货商的产品和服务价格虽然便宜，但是质量难以保证，售后服务也不规范，难以长期坚持。因此尽量选择规模大、信誉好的供货和服务商。

同时，必须综合应用现代项目管理技术，始终贯彻现代大型项目管理的标准流程。严格执行项目管理中的时间、成本、质量控制等标准流程，引入专家顾问和信息系统监理机制，这对于控制和降低项目风险都是有益的。

四、 结束语

通过上述分析，可以看出，针对政府信息系统项目的建设、运营和维护来说，风险管理工作都非常重要，需要在领导和团队支持下，做好风险管理工作，实现管理效益和社会效益等方面的统一，并在今后的工作中进一步加强风险管理工作。