政府信息化项目中的风险管理研究
2015-06-16张喜瑞
张喜瑞
(河北省人口和计划生育信息中心,石家庄 050061)
政府信息化项目中的风险管理研究
张喜瑞
(河北省人口和计划生育信息中心,石家庄 050061)
本文在信息化系统建设和多年工作实践基础上,从信息化项目建设的全过程管理和风险识别的角度出发分析了政府部门在信息化项目建设中存在的6类风险,并提出相应的解决对策。
政府;信息化;风险管理
当前我国正处于经济转轨、社会转型的历史时期,工业化、城镇化、市场化、国际化不断深入发展,为适应新形势新任务,必须完善社会管理体系、开展社会管理创新,解决广大人民群众生活、就业、就医、教育、住房、社保等实际问题,优化配置公共管理资源,利用当今信息化技术建立政府(部门)信息化的服务管理系统,构建社会管理和公共服务平台。如何有效地提高信息化项目建设的成功率,是越来越多信息化建设人员需要思考的问题。信息化项目的各方参与者应充分认识到信息化工程组织、实施、管理过程中存在的风险,并采取相应对策积极应对和管理。
1 风险的识别和分析
信息化是个系统工程,由人、硬件、软件、文化氛围4部分组成。系统风险即发生在这4个组成部分的相互衔接之上。笔者通过多个项目、多年信息化建设的开发和升级、改造工程项目的切身实践经历,深切体会到信息化建设的复杂性和艰巨性。总结以往信息化建设实践的经验教训得出信息化建设主要包括以下6类潜在风险:组织管理、项目管理、技术、经费、培训、安全等。
1.1组织管理风险
例如人口与计划生育业务相关信息系统,涉及国家、省、市、县、乡、村各级单位和人员,共同组成信息系统应用的有机整体,除信息系统间的数据对接交互,系统在使用时还受各级用户业务水平、部门间协调机制、业务办理时限、政策调整等因素影响,用户业务水平低、部门间协调不通畅及拖延办理等因素都会造成应用系统的使用体验效果下降。这些不确定性,都会给项目建设带来一定的风险。
1.2管理风险
项目在设计、施工、设备、开发等环节,均会面临招投标、资金使用、成本控制、时间进度等风险,风险控制直接影响到项目的正常有序进行。
1.3技术风险
技术风险主要为过度追求新技术所带来的风险。在进行系统设计、升级或改造的过程中,信息化项目常遇到是否需要选用最新技术的问题,因为信息技术是一个飞速发展的知识领域,新鲜事物层出不穷。新技术可以提供更好的解决方案、为业务变化提供更多可能。而且提供新技术的公司常常会承诺提供一个团队用于实施信息化项目,而无需改变业务流程本身。因此,某些部门倾向于研发基于新技术的系统以实现这一系列的崭新功能。但经验表明,使用新技术存在一定风险,因此,要采用稳定成熟的技术,避免过度追逐新技术。
1.4经费风险
项目经费风险主要为项目建成后维护资金不足的风险。系统在运行维护期间,缺乏相应的费用预算,软硬件设备的维护经费短缺,使得系统运作艰难。目前政府部门的信息化建设项目经常只包含项目建设经费,不含系统建成后的运行维护费用。虽然建设项目的软硬件设施费用由财政提供,但每年巨大的日常维护费用(电费、网络线路费、软硬件的技术支持保障服务费等),也经常超过财政预算。因此经费风险主要表现为系统建成后的维护资金不足。
1.5培训风险
培训风险主要是系统开发完毕后,测试环节和各级用户等基层推广环节普遍缺乏系统的、有效的、高水平的培训工作,直接影响了基层工作效率、工作质量及问题沟通,甚至直接耽误群众办事,影响政府形象。
1.6安全风险
安全风险包括信息系统软硬件安全风险和所涉及系统人员的泄密风险。信息系统软硬件安全风险是指信息系统中发生用户标示截取、伪装、重放攻击;数据截取;非法使用;病毒;拒绝服务;恶性移动代码;数据库数据文件丢失;系统损坏;系统源文件泄露;系统管理员口令泄露等软件应用和硬件安全问题。因此可能造成信息系统发生重大安全事件。涉及系统人员的泄密风险是指参与本系统的开发、操作、运维等人员,由于各种原因,泄露系统数据而带来的泄密安全风险。
2 风险对策和管理
针对政府部门信息化项目建设存在的主要风险因素,项目单位应采取积极的应对措施,防范上述风险发生。
2.1明确划分权力与职责
明确各组织实施相关部门的职责,加强职责管理。明确技术维护、设备维护的岗位职责,加强岗位管理。明确应用系统中省、市、县、乡各级平台管理人员的管理权限,加强权限管理。
2.2全面推行招标投标制和信息化工程监理制
全面推行招标投标制,加大信息化项目工程监理力度,控制信息化项目建设成本,控制项目实施时间,提高项目完成质量。在开展信息化项目建设时,要在项目设计、施工、设备、开发、监理等各个环节,全面推行招标投标和施工监理制,扩大信息化项目招标工程面。遵循公开、公平、公正和诚实信用的原则,通过竞争,择优选择。要强化工程监理职能,加强监理人员素质及职业道德教育,加强对监理单位业务水平评审工作,使监理工作能够真正发挥作用。此外,监理单位在监理过程中因过错造成重大经济损失的,也应承担相应的经济责任和法律责任。
2.3促进信息系统建设
按照国家和省级信息化总体战略规划要求,统筹业务需求,做好顶层设计,保证信息化建设的整体性、系统性、可持续性。强化应用是关键、互联共享是核心、业务协同是目的,以需求为导向、以应用促发展,通过业务协同,提高服务和管理水平,服务于民、惠及于民,建设实用、共享、安全的信息网络体系,有效支撑政府部门职能的高效运作。
充分考虑系统的扩充性,使不同平台、不同系统间的信息交互更为方便易行,在互联网、大数据、云技术流行且日益成熟的今天,必须坚决杜绝信息孤岛现象的再次发生。
随着业务系统、操作系统及硬件设备的升级改造,必然会对正常的业务开展带来影响,缩短常见问题的处理时间,及时完善系统功能,实现同步更新发布相关参考资料,都会大大提高一线系统用户的业务处理效率,进一步保障应用系统的稳定高效运行。
2.4加强对协议和资金的管理
加强协议和资金管理,预留升级、运维和培训经费,为各项相关工作顺利高效完成提供资金保障。加强协议管理,协议双方要严格按照协议内容对程序需求调研、开发、测试、应用、运维及项目进度和各阶段的资金投入等履行应尽的义务和责任。尤其要针对非原定需求的功能增加(比如某处室的某个紧急调查、统计或新政策调整需要新增功能),运行维护及技术支持培训等内容预留经费,为各项相关工作顺利高效完成提供资金保障。
2.5重视培训,提升信息化素质队伍建设
建立并完善逐级培训机制,逐级进行业务、技能培训,提高整体队伍信息化水平。大规模的系统技能培训面临交通、食宿、安全等重多问题,同时还需要投入大量的人力、财力和物力。建立完善逐级培训机制,可大大降低单次培训规模,组织方式灵活,且各地可同时展开,能有效提高整体队伍对新系统新技术的响应速度和信息化水平。
2.6重视安全建设
加强信息系统安全方面的设计,加强人员安全培训,提高业务素质,增强安全保密意识。严格按照国家“信息系统安全等级保护”的相关要求进行总体规划和建设,从计算环境、区域边界及通信网络三个环节分别进行保护,并通过统一的管理中心来协调工作,从而实现基于系统访问全过程的闭环控制。在硬件选择方面,要选择满足安全要求的解决方案。在网络安全方面,要将内部网络与外部网络隔离,通过物理隔离,减少系统暴露面,发现系统问题及时报告、及时处理。在信息系统建设方面,借鉴成熟的运行系统,采用成熟的信息技术,加强软件版本管理。在信息系统运行方面,建立健全信息系统相关的规章制度、技术规范、操作规章等,明确与信息系统相关人员的职责权限,建立制约机制。此外,还要对相关人员进行培训,提升其业务水平和道德素质,防止盗取信息、泄密等事件的发生。
主要参考文献
[1]周莲茹,黎安明,范振中,等.医院信息系统建设及安全管理[M].北京:北京邮电大学出版社,2011.
[2] 杨俊芳.怎样做好信息系统项目风险管理[J].中国信息界,2007(5).
[3]韩莹利,李文明.浅谈信息系统项目的风险管理[J].科学时代,2012(24).
10.3969/j.issn.1673 - 0194.2015.12.179
D630
A
1673-0194(2015)12-0239-02
2015-04-22
