蔣力群
伴隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)應(yīng)用等各種新技術(shù)、新模式、新業(yè)態(tài)的不斷涌現(xiàn),信息化項(xiàng)目規(guī)模更大、要求更高。2017年6月1日,我國(guó)《網(wǎng)絡(luò)安全法》正式實(shí)施,在信息化項(xiàng)目管理方面也迎來(lái)了新要求,風(fēng)險(xiǎn)管理成為不可忽視的重要管理內(nèi)容。多年來(lái),信息化項(xiàng)目數(shù)量不斷增多,人力和投資力度持續(xù)增加,但許多項(xiàng)目并未達(dá)成預(yù)期目標(biāo)。究其原因,主要是在項(xiàng)目規(guī)劃時(shí)對(duì)建設(shè)效益分析不夠,對(duì)風(fēng)險(xiǎn)因素未能全面梳理和有效識(shí)別,導(dǎo)致意外因素時(shí)常出現(xiàn),致使有些項(xiàng)目偏離了預(yù)期目標(biāo)。因此,必須充分重視信息化項(xiàng)目的管理特點(diǎn),切實(shí)加強(qiáng)風(fēng)險(xiǎn)管控,有效提高項(xiàng)目建設(shè)成效。
現(xiàn)時(shí)期信息化項(xiàng)目的特點(diǎn)
系統(tǒng)龐大更加復(fù)雜
復(fù)雜性主要表現(xiàn)在四個(gè)方面:一是項(xiàng)目應(yīng)用的覆蓋面更加廣泛,一個(gè)項(xiàng)目往往跨越多個(gè)部門(mén)、多個(gè)層級(jí),項(xiàng)目管理也需要多個(gè)部門(mén)共同參與;二是項(xiàng)目管理涉及規(guī)劃、建設(shè)、應(yīng)用三個(gè)管理階段,不是“建成就結(jié)束”的情況,而是一個(gè)全生命周期的管理;三是項(xiàng)目管理涉及業(yè)務(wù)優(yōu)化、流程改造、技術(shù)研發(fā)、系統(tǒng)集成、數(shù)據(jù)整合、政策變化等多個(gè)方面,是一個(gè)持續(xù)深化和優(yōu)化的過(guò)程;四是項(xiàng)目管理涉及多個(gè)學(xué)科、多個(gè)組織,在實(shí)際工作會(huì)遇見(jiàn)多種情況及困難,需要拓展新的管理內(nèi)涵和操作方式。
壽命周期更加特殊
信息化項(xiàng)目管理與其它項(xiàng)目管理相比具有一定的共性,但信息化項(xiàng)目本身還表現(xiàn)出壽命周期的特殊性,并不是項(xiàng)目建成驗(yàn)收后就代表管理任務(wù)隨之結(jié)束。而是在信息化項(xiàng)目建設(shè)后,在實(shí)際應(yīng)用階段仍然需要大量的管理工作,包括日常服務(wù)、安全監(jiān)測(cè)、運(yùn)維保障等,有時(shí)會(huì)因后續(xù)的安全方面問(wèn)題致使系統(tǒng)停用,有時(shí)會(huì)因業(yè)務(wù)發(fā)展迫使對(duì)原系統(tǒng)進(jìn)行升級(jí)改造,有時(shí)會(huì)因政策等外界因素的影響,從而對(duì)原有系統(tǒng)進(jìn)行新的整合。當(dāng)前,云計(jì)算、大數(shù)據(jù)的普遍應(yīng)用,已使相當(dāng)數(shù)量的原有信息化項(xiàng)目面臨更新改造,信息化項(xiàng)目的壽命周期有其特殊性。
創(chuàng)新優(yōu)化更加多樣
造成多樣性的主要有兩個(gè)原因:一是信息化的過(guò)程就是運(yùn)用信息技術(shù)對(duì)原有的業(yè)務(wù)進(jìn)行梳理規(guī)范、流程簡(jiǎn)化、業(yè)務(wù)優(yōu)化的過(guò)程,俗稱(chēng)“流程再造”。這個(gè)過(guò)程可采用不同的業(yè)務(wù)模式、不同的技術(shù)方案、不同的實(shí)施規(guī)則,因此創(chuàng)造性、創(chuàng)新性就成為其一個(gè)顯著特點(diǎn)。而在業(yè)務(wù)與技術(shù)的互動(dòng)過(guò)程中,必然呈現(xiàn)持續(xù)優(yōu)化創(chuàng)新的現(xiàn)象。二是信息化項(xiàng)目開(kāi)始強(qiáng)化“跨部門(mén)、跨地區(qū)、跨業(yè)務(wù)”等特點(diǎn),管理的復(fù)雜程度與項(xiàng)目范圍和規(guī)模等密切相關(guān),不僅有縱向的管理,還有橫向的協(xié)調(diào)。傳統(tǒng)的直線(xiàn)型管理,不利于橫向協(xié)調(diào),因此,項(xiàng)目管理組織的結(jié)構(gòu)也需要更新,要強(qiáng)化管理協(xié)調(diào)功能,明確任務(wù)分工,明確責(zé)任邊界,以便適應(yīng)多樣化的創(chuàng)新優(yōu)化需要。
安全需求更加迫切
習(xí)近平總書(shū)記提出了“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪”的總要求。國(guó)家相續(xù)頒發(fā)了《網(wǎng)絡(luò)安全法》、《“十三五”國(guó)家信息化規(guī)劃》等一批法律法規(guī)和信息化戰(zhàn)略規(guī)劃,進(jìn)一步強(qiáng)調(diào)了安全保障重要性。據(jù)統(tǒng)計(jì),2016年我國(guó)信息安全行業(yè)的市場(chǎng)規(guī)模僅為478億,規(guī)模有限但增長(zhǎng)迅速,近年來(lái)的年均增長(zhǎng)均在20%左右。一大批信息安全廠(chǎng)商和機(jī)構(gòu),響應(yīng)市場(chǎng)需求,在規(guī)劃咨詢(xún)、技術(shù)研發(fā)、產(chǎn)品設(shè)備、系統(tǒng)集成、應(yīng)用監(jiān)控、安全加固等服務(wù)領(lǐng)域大展身手。可見(jiàn),與信息技術(shù)廣泛應(yīng)用相對(duì)應(yīng),信息安全的市場(chǎng)需求非常大也非常急迫。
現(xiàn)行信息化項(xiàng)目管理的不足與缺陷
對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)有待提高
因受傳統(tǒng)觀(guān)念的影響,存在著過(guò)分重視新技術(shù)、新項(xiàng)目的功能,而忽視或淡化了相關(guān)風(fēng)險(xiǎn)等問(wèn)題。在申報(bào)項(xiàng)目時(shí)也都不太重視分析和揭示風(fēng)險(xiǎn),擔(dān)心過(guò)多談?wù)擄L(fēng)險(xiǎn),可能會(huì)導(dǎo)致項(xiàng)目申報(bào)受阻或淘汰。但是項(xiàng)目風(fēng)險(xiǎn)本身卻是客觀(guān)存在的,不會(huì)因?yàn)椴徽務(wù)摼妥孕邢?。?duì)此,項(xiàng)目管理團(tuán)隊(duì)要有清醒認(rèn)識(shí),只有充分掌握風(fēng)險(xiǎn)和隱患,并采取有針對(duì)性的措施和應(yīng)對(duì)預(yù)案,才能掌握主動(dòng)權(quán)、防范于未然。
對(duì)風(fēng)險(xiǎn)的分析有待細(xì)化
信息化項(xiàng)目管理過(guò)程中,需要對(duì)各個(gè)環(huán)節(jié)的執(zhí)行情況進(jìn)行總結(jié)、評(píng)估以及反饋,及時(shí)梳理存在問(wèn)題和總結(jié)管理經(jīng)驗(yàn),為下一階段或下一個(gè)項(xiàng)目的實(shí)施提供教訓(xùn)和積累經(jīng)驗(yàn)。在項(xiàng)目收尾時(shí),有關(guān)的風(fēng)險(xiǎn)管理評(píng)估是非常重要的組成部分,但現(xiàn)實(shí)情況是,信息化項(xiàng)目建成驗(yàn)收時(shí),很少對(duì)項(xiàng)目的風(fēng)險(xiǎn)做出深入的分析,尤其是對(duì)風(fēng)險(xiǎn)的判別方法、出現(xiàn)條件、防范措施、處置過(guò)程等記載不全、反饋不夠。
對(duì)風(fēng)險(xiǎn)控制手段有待強(qiáng)化
當(dāng)前,信息化項(xiàng)目本身隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)應(yīng)用等新技術(shù)、新應(yīng)用出現(xiàn),項(xiàng)目管理內(nèi)容更多、范圍更廣、情形更多。各類(lèi)風(fēng)險(xiǎn)更加隱蔽和復(fù)雜,加之受到信息技術(shù)不斷推陳出新,隨時(shí)會(huì)形成或面臨諸多新的風(fēng)險(xiǎn)。而且一般項(xiàng)目管理團(tuán)隊(duì)很少能對(duì)風(fēng)險(xiǎn)做出充分的評(píng)估分析,也很少能有思維嚴(yán)謹(jǐn)完整的解決方案。一旦遇到風(fēng)險(xiǎn)發(fā)生,通常依托已有經(jīng)驗(yàn)進(jìn)行應(yīng)對(duì)和處理,往往比較被動(dòng)和局促,使得一些信息化項(xiàng)目無(wú)法完全達(dá)到預(yù)期效果。為此,加強(qiáng)信息化項(xiàng)目的風(fēng)險(xiǎn)控制非常必要。
強(qiáng)化信息化項(xiàng)目風(fēng)險(xiǎn)管理的實(shí)施策略
截至目前,國(guó)內(nèi)關(guān)于信息化項(xiàng)目的成本、成效、風(fēng)險(xiǎn)三者同步分析,通過(guò)風(fēng)險(xiǎn)管理確保建設(shè)成效的認(rèn)識(shí)還處于起步階段,風(fēng)險(xiǎn)管理的相關(guān)研究還比較少見(jiàn),風(fēng)險(xiǎn)評(píng)估體系還不夠嚴(yán)謹(jǐn)完善。雖然國(guó)外關(guān)于風(fēng)險(xiǎn)的認(rèn)識(shí)以及管理起步較早,其管理方式方法也逐漸增多,不少研究者提出了有關(guān)風(fēng)險(xiǎn)管理模型,但要適合我國(guó)的信息化建設(shè)特點(diǎn),必須進(jìn)一步優(yōu)化我國(guó)的信息化項(xiàng)目管理體系。筆者通過(guò)實(shí)踐與總結(jié),認(rèn)為首先必須增強(qiáng)風(fēng)險(xiǎn)管理意識(shí),其次明確風(fēng)險(xiǎn)管控環(huán)節(jié),再次需要健全適用的管控體系。具體考慮:項(xiàng)目管理周期分為規(guī)劃、建設(shè)和應(yīng)用等“三個(gè)階段”,不可偏頗哪一個(gè)階段;風(fēng)險(xiǎn)管理主要抓住“五個(gè)著力”:貫徹等保標(biāo)準(zhǔn)、嚴(yán)謹(jǐn)計(jì)劃安排、重視識(shí)別標(biāo)記、做好分析評(píng)估、落實(shí)應(yīng)對(duì)控制,以此更好地優(yōu)化項(xiàng)目風(fēng)險(xiǎn)管理體系和實(shí)施策略。
嚴(yán)格遵守等級(jí)保護(hù)的標(biāo)準(zhǔn)規(guī)范
《網(wǎng)絡(luò)安全法》第三章第21條明確“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。近年來(lái),國(guó)家也在不斷更新、擴(kuò)充和完善相關(guān)等級(jí)保護(hù)的信息安全技術(shù)標(biāo)準(zhǔn),包括《云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》、《個(gè)人信息安全規(guī)范》、《數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則》、《移動(dòng)應(yīng)用網(wǎng)絡(luò)安全評(píng)價(jià)規(guī)范》等標(biāo)準(zhǔn)規(guī)范不斷建立和推進(jìn),這些標(biāo)準(zhǔn)規(guī)范都是科研成果和經(jīng)驗(yàn)總結(jié)。因此,無(wú)論是系統(tǒng)或是平臺(tái)都應(yīng)對(duì)照1至5級(jí)不同等級(jí)保護(hù)的要求,認(rèn)真貫徹和落實(shí)標(biāo)準(zhǔn)規(guī)范,努力規(guī)避已知風(fēng)險(xiǎn),提高對(duì)潛在風(fēng)險(xiǎn)的抵御能力。
嚴(yán)謹(jǐn)風(fēng)險(xiǎn)管理的計(jì)劃安排
對(duì)風(fēng)險(xiǎn)管理進(jìn)行前置安排,重點(diǎn)是對(duì)信息化項(xiàng)目管理活動(dòng)的主要環(huán)節(jié)預(yù)設(shè)風(fēng)控點(diǎn)、預(yù)定風(fēng)控計(jì)劃。在風(fēng)險(xiǎn)管理計(jì)劃制定時(shí),可運(yùn)用專(zhuān)家判斷、項(xiàng)目管理規(guī)劃工具以及技術(shù)分析等工作手段,最終生成實(shí)施流程圖、計(jì)劃安排表等相關(guān)文檔。同時(shí),加強(qiáng)項(xiàng)目相關(guān)利益者之間的有效溝通交流,獲得各方同意與支持,進(jìn)而保證在整個(gè)項(xiàng)目管理的生命周期內(nèi)更好地落實(shí)風(fēng)險(xiǎn)管理。
重視風(fēng)險(xiǎn)隱患的識(shí)別標(biāo)記
重點(diǎn)是對(duì)影響信息化項(xiàng)目的主要風(fēng)險(xiǎn)因素進(jìn)行判斷,對(duì)相關(guān)特征及過(guò)程進(jìn)行記錄。并對(duì)已有的風(fēng)險(xiǎn)進(jìn)行文檔化處理,增強(qiáng)預(yù)測(cè)能力。在進(jìn)行風(fēng)險(xiǎn)識(shí)別的過(guò)程中,主要采用信息收集、文檔審查、圖表解析、假設(shè)推理、專(zhuān)家論證等多種方式,將所識(shí)別出的各種潛在或者已經(jīng)形成的風(fēng)險(xiǎn)列舉成清單,形成條目清晰、內(nèi)容完整的文檔。
在對(duì)風(fēng)險(xiǎn)進(jìn)行標(biāo)記時(shí),可分別從客觀(guān)、主觀(guān)以及環(huán)境等各個(gè)角度來(lái)進(jìn)行。這里借鑒國(guó)外相關(guān)風(fēng)險(xiǎn)分析理論知識(shí),結(jié)合我國(guó)現(xiàn)行信息化項(xiàng)目的具體情況,對(duì)主要因素以及具體表征進(jìn)行列舉,形成條目和數(shù)據(jù)。這樣通過(guò)不斷積累最終形成“知識(shí)庫(kù)”,有助于增強(qiáng)風(fēng)險(xiǎn)識(shí)別能力。
做好各類(lèi)風(fēng)險(xiǎn)的分析評(píng)估
風(fēng)險(xiǎn)管理有看得見(jiàn)的現(xiàn)實(shí)風(fēng)險(xiǎn),也有需要預(yù)防的潛在風(fēng)險(xiǎn),一般而言現(xiàn)實(shí)風(fēng)險(xiǎn)通常處在可忍受、可控制范圍內(nèi);而潛在風(fēng)險(xiǎn)是還沒(méi)有真切了解或真實(shí)掌握的風(fēng)險(xiǎn),是從預(yù)防角度的風(fēng)險(xiǎn)設(shè)定。
在對(duì)信息化項(xiàng)目風(fēng)險(xiǎn)的分析評(píng)估過(guò)程中,可分別從定量和定性?xún)蓚€(gè)方面來(lái)探討,其中定性風(fēng)險(xiǎn)分析主要是風(fēng)險(xiǎn)對(duì)項(xiàng)目的影響程度進(jìn)行評(píng)估,定量風(fēng)險(xiǎn)分析主要是針對(duì)已經(jīng)成功識(shí)別的風(fēng)險(xiǎn),其可能發(fā)生的頻率及具體影響進(jìn)行量化。結(jié)合我國(guó)的具體情況來(lái)說(shuō),尤其是應(yīng)當(dāng)加強(qiáng)定量分析。目前風(fēng)險(xiǎn)分析和評(píng)估工具較為典型的代表有@Risk、Crystal Ball、建模與可視化技術(shù)以及風(fēng)險(xiǎn)分類(lèi)與緊迫性評(píng)估等,通過(guò)對(duì)風(fēng)險(xiǎn)進(jìn)行分析和評(píng)估,即可形成類(lèi)別與等級(jí)列表、矩陣、優(yōu)先級(jí)別列表等。根據(jù)我國(guó)信息化項(xiàng)目特點(diǎn),我們整理形成了評(píng)估意見(jiàn)表(詳見(jiàn)表3)。
通過(guò)對(duì)風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)指數(shù)等進(jìn)行計(jì)算,形成明確的有關(guān)風(fēng)險(xiǎn)程度的判斷,從而更好地推動(dòng)風(fēng)險(xiǎn)控制工作的開(kāi)展。
落實(shí)各類(lèi)風(fēng)險(xiǎn)的防范措施
防范措施就是對(duì)信息化項(xiàng)目風(fēng)險(xiǎn)的應(yīng)對(duì)與控制,主要是制定相關(guān)實(shí)施計(jì)劃和處置預(yù)案,達(dá)到有效降低威脅和提高應(yīng)對(duì)的能力。一是要有分析,認(rèn)清風(fēng)險(xiǎn)所處的環(huán)節(jié)和觸發(fā)條件,認(rèn)清風(fēng)險(xiǎn)可能的頻度及危害;二是要有預(yù)案,對(duì)風(fēng)險(xiǎn)發(fā)生應(yīng)采用的措施要有充分準(zhǔn)備,對(duì)處理流程和責(zé)任要求都應(yīng)有明確規(guī)定;三是要有成效,對(duì)風(fēng)險(xiǎn)控制和處理的目標(biāo)與結(jié)果要明確標(biāo)準(zhǔn),對(duì)恢復(fù)的功能與時(shí)間等要素應(yīng)界定清晰。同時(shí)在整個(gè)項(xiàng)目的實(shí)施過(guò)程中,要對(duì)風(fēng)險(xiǎn)管理的有效性以及具體的方案來(lái)進(jìn)行評(píng)估。在進(jìn)行風(fēng)險(xiǎn)應(yīng)對(duì)與控制時(shí),可運(yùn)用相應(yīng)的管理評(píng)估工具來(lái)實(shí)現(xiàn),用于指導(dǎo)面對(duì)風(fēng)險(xiǎn)的有效處置,最終完成工作文檔的記載和存儲(chǔ)。
總而言之,隨著信息化項(xiàng)目不斷增加,應(yīng)用面和復(fù)雜性不斷擴(kuò)大,優(yōu)化信息化項(xiàng)目風(fēng)險(xiǎn)管控體系勢(shì)在必行,確保項(xiàng)目的建設(shè)成效,促進(jìn)和提升信息化的綜合效益。
(作者單位:上海市信息安全測(cè)評(píng)認(rèn)證中心)