基于信息系统项目中的风险管理研究

2013-06-25吴平

中国信息化·学术版 2013年3期

吴平

【摘要】对于企业整个信息化建设，信息系统项目的风险管理有着非常关键的作用，却往往容易被忽视，甚至淡忘。在快速发展的信息技术下，各种信息系统项目的发展也非常快。但是在发展的过程中，信息系统项目也存在着许多的问题。在整个项目周期里，风险因素随时都有可能出现。因此，我们就更要做好信息系统项目的风险管理。

【关键词】信息系统；项目；风险管理；研究

【中图分类号】TP393.07 【文献标识码】A 【文章编号】1672-5158（2013）03-0162-02

引言：近年来，我国的信息技术不断发展，各类信息系统被迅速的应用和推广，已深入到人们日常工作和生活的每一个部分。大数据时代的日益临近，受到了更多企业的关注。一些传统型企业迫于竞争和发展的双重压力，不断争先组建自己的信息系统体系，这就在很大程度上诱发了大大小小的信息系统，会在同一个时期内井喷式涌现出来这种现象。在不断倡导“六统一”管理模式的背景下，很多问题得到了有效的控制。但是即使仅在项目实施的过程中，风险因素仍然时时伴随着，这就导致信息系统项目的安全和使用受到了很大的威胁。因此，做好项目风险管理，掌握项目在实施过程中可能发生的风险，从而能采取有效的应对措施，就显得尤为重要。

一、信息系统项目中存在的风险

目前，在应用系统中经常出现的风险包括：①规划不合理或者缺乏规划：主要由于系统架构设计者未能与逐级用户深入沟通引发；②在设计流程中，有效的控制环节不足：以至于在试点阶段仍需对主业务流程进行频繁的改动；③组织内的其他系统和新系统之间存在矛盾：例如数据制式不兼容，或系统之间业务有重叠，无法找到最优的对接点进行双向融合，导致最终操作需要频繁的同步数据大大降低效率，增加故障风险；④系统内的子系统衔接不好：以至于需要再投入建立中继的集成平台或编码对译系统；⑤对于系统的安全设计还不完善：表现在不包含PKI技术的口令模块流于形式，隐在出口留有数据泄露隐患，权限管理混乱等；⑥在项目的准备阶段不够充分：例如合作伙伴缺乏足够的能力、软件和硬件的选型存在错误；⑦对于风险的防范不合理或者不完整：如对GCC（信息系统总体控制）落实不到位；⑧当系统退出后，会由于处理不当而造成泄密：缺乏系统下线后的处置机制，管理制度极易出现空白；⑨没有评估或者不合理的评估实施的效果。这些问题的存在，都可归结于设计阶段没有进行有效的风险控制活动，实施阶段没有有效的做好信息系统集成项目管理中的“四控、三管、一协调”。

二、建立项目风险过程中的管理循环

1、风险标识

在风险管理中，对系统的连续识别和潜在的风险评估是首要的任务。而风险标识是指对未来可能要发生的风险事件进行猜测和设想。所以，在一般的风险标识结果中，应将风险的来源、分类、表现、后果以及相关项目管理的要求都涵盖。

2、规划风险管理

在进行信息系统项目风险管理的过程中，要对其风险管理进行规划和设计。对于这个过程中所包括的成员和定义项目组织的风险管理行动方案，应采用合理的风险管理方法，为风险判断提供科学的依据。风险管理规划的流程图下如下图1所示。

3.1评估威胁

识别威胁和它的性质、特征，并标识项目风险威胁的特征是评估威胁的根本任务。由于威胁发生的变化，因此，我们因对其进行定期的监视，从而使项目风险能够得到始终的维持。引起评估威胁的因素有很多，例如自然因素所引起的适当威胁、人为因素引起的偶然或故意的适当威胁、可能出现的评估威胁事件等。

3.2评估脆弱性

在评估脆弱性环节中，它的目的在于将项目中存在的特征化的薄弱环节进行识别，这包括定义特殊的脆弱性、项目资产的脆弱性以及对整个项目的脆弱环节进行评估。

3.3评估影响

识别与项目有关的影响，进而对发生影响的可能性进行评估，是评估影响的真正目的。在评估影响中，有有形影响和无形的影响。一般来说，影响都是意外事件造成的后果，而对项目资产产生的影响，可能是由于偶然的原因引起，也有可能是应为故意的行为。这些后果有可能会直接毁灭一些资产，从而产生间接的后果，这包括市场份额、财政损失、公司的形象损失。

3.4评估暴露

一旦评估暴露，应及时采取识别措施，认识该区域的威胁和脆弱性的厉害关系，并会造成一定的影响，是识别暴露的目的。暴露对今后采取的风险规避措施有关键的作用，因此，要列出项目的暴露清单。

4、核查风险评估

为了是项目风险评估得到正式的认可，因此，我们要进行核查风险评估。核查风险评估是否具有充分性，从而决定是否要对其发展、修改或取消风险活动。对于这种核查，应包括潜在的成功性和降低风险。采取晦气的方式进行交流控制风险的措施，从而提出降低每种风险的策略，并得到与会者的认可，如果风险评估具有合理性、科学性，并没有将降低风险的其他策略遗漏。

5、跟踪、监视风险降低活动

在监视风险活动的过程中，要对其进行跟踪识别，将剩余风险和所出现的风险进行识别，从而得出一个相对完善的风险管理计划，从而使风险技术的实施和评估的风险效果得到保障。监视风险特征和风险频谱的变化，但是由于任何位置和状态的风险频谱都处于动态中，因此，就会出现新的风险，而且现有的风险也可能出现变化。因此，要对风险和其特征进行监视，并有规律的检查新的风险。