关于信息系统项目风险管理

第关于信息系统项目风险管理

【篇1】信息系统项目风险管理20xx年3月，我作为项目经理参与了某省执纪审查工作管理系统的信息项目建设。该项目总预算为680.25万元，总工期为12个月。该项目目标是为省纪委及下属各地市派驻纪检组纪检监察员为其提供各类执纪审查工作综合性服务，提高纪委审查工作效率。在项目建设中，我深刻认识到信息系统风险与安全管理是本次项目成功实施的关键，我做好规划风险管理，风险识别，风险定性和定量分析，风险应对措施，风险控制和安全管理的工作，通过这些措施保障了系统的安全、高效、可靠，有效降低该系统信息泄露、篡改等的安全风险，有效为执纪审查做好保密支撑工作。最终，项目按预期顺利完成，项目组得到了公司与客户方的一致好评。

20xx年3月我公司顺利中标某省纪委的《执经审查工作信息管理系统》，合同额670万元，历时12个月，于2023xx年3月全面通过业主方验收。该系统采用B/S模式开发，是为省纪委及下属各地市派驻纪检组纪检监察员提供各类执纪审查工作综合性服务。项目启动后，我被公司任命为乙方的项目经理，全面负责项目的建设管理工作。由于系统中保存执纪审查案件有关数据信息，其安全性要求相当高，如果系统在安全性设计上不够完善，那带来的风险是想当大的。省纪委领导相当重视，一再要求确保安全性。在项目建设中，我将风险管理和安全管理列为本次项目成功实施的关键。因此在项目初期，在制定风险管理计划的同时，同时也制定适度安全策略，保障了系统的安全、高效、可靠的运行，最终项目按预期顺利完成，项目组得到了公司与业主方的一致好评。以下我从风险与安全策略为出发点，从规划风险管理，风险识别，风险定性和定量分析，风险应对计划，风险控制，在风险管理的过程中加强安全管理工作等方面对进行论述。

一、在规划阶段做好规划风险管理、风险识别、风险的定性和定量分析，根据风险登记册做好风险应对计划，根据适度安全的相关标准做好防止木桶效应的相关计划和措施。

在风险管理的规划阶段，我召开相关会议，与相关干系人和相关专家，根据项目管理计划、项目章程、干系人登记册、事业环境因素和组织过程资产等等相关资料制定了风险管理计划和安全管理计划。其主要内容是：根据合同及国家相关标准执行风险和安全管理，加强风险和安全的相关知识培训，进行全面质量管理，让干系人时刻保持安全和质量意识。该项目的风险分为已知风险和未知风险，分别做好应急储备和管理储备。安全管理计划的核心策略是做好七定（定方案、定岗、定位、定员、定目标、定制度、定工作流程），提高系统的安全性和稳定性。首先定方案按照适度安全的标准，我们设定等保是第二级系统审计保护级，并制定安全管理制度体系，明确信息安全的目标、建立和完善信息安全管理制度。其次成立安全管理小组，明确组员的职责等等七定内容。

根据项目管理计划和安全管理计划等等资料，我们采用文档审查、信息收集、SWOT分析等技术进行风险识别。经会议研究得到已知的风险有范围蔓延，成本超支，质量问题，安全管理不到位，沟通不到位等等；未知的风险有国家政策和技术标准的变动，自然灾害等等，分别制定了相关应对措施清单，风险责任人，并制定了相关的应急储备和管理储备。之后整理会议，得到风险登记册，并更新相关文件。

根据风险登记册等等相关资料，我们采用风险分类和风险紧迫性评估技术进行风险定性分析，对相关风险进行排序，已知风险的顺序是：沟通不到位，质量问题，范围蔓延，成本超支，安全管理不到位；未知风险的顺序是：自然灾害，国家政策和技术标准的变动。随后我们采用了定量风险分析和专家判断技术进行了风险的定量分析，我首先将风险发生的概率分为极低、低、中、高、极高这五级（对应值是5、4、3、2和1），沟通不到位影响程度是5。质量问题影响程度是5。范围蔓延影响程度是4。成本超支，影响程度是3，安全管理不到位影响程度是4。对于未知风险：自然灾害、国家相关政策变动、技术更新影响程度是5。随后进行项目文件更新。

根据风险登记册，我们采用风险应对策略技术制定了相关的风险应对措施，对于沟通不到位我们采用定期、不定期采用会议，发放需求调查表和问题提交表等等方式就行沟通处理。加强全面质量管理和培训，提高质量意识。在安全管理方面严格按照系统审计保护级实施了粒度更细的自主访问控制，通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。因为信息系统就和一个木桶一样，其安全水平是由构成木桶最短的那快木板决定的，因此我加强设备安全、数据安全、内容安全、行为安全管理，减少木桶效应。会议中对其它风险做好应对计划，做好应急储备和管理储备。会后把风险应对计划上报高层，经其批准，随后更新相关的项目管理计划和项目文件。

二、在风险和安全控制阶段，严格按照相关制度和流程进行风险和安全管理，依据风险应急计划处理相关风险，减少木桶效益。

在该过程组中，我要求项目管理办公室定期或不定期的到相关科室收集需求调查表和问题提交表，总结归纳，然后交于我们项目团队进行处理。我每天都对当前活动收集齐AC,EV,PV,CV,SV等相关进度、成本工作数据，对其进行分析，对好的、坏的都进行分析归纳，找出其中的机会和威胁，进行相关的措施。为减少木桶效应严格执行系统审计保护级的规定，进行系统安全再评估、日志分析等控制方法，同时对重点监控日志采取了动态评估及定期评审，我以周和里程碑为单位，定期对系统安全日志实行再评估、审计。每周的项目例会中将系统安全管理作为单独一个议程，对系统威胁应对措施实施的有效性以及当前系统的状态进行检查。如果发现问题，团队成员集体讨论，对应对措施进行纠偏。

三、总结

在该项目的风险和安全管理中，好的安全管理可以减少或减轻风险带来的危害。严格按照安全管理制度执行相关安全工作，是保证信息系统安全的有利保障。同时如果不注意安全管理的相关工作，就会给项目带来更多的风险，因此加强设备安全、数据安全、内容安全、行为安全管理是十分必要的，减少了木桶效应，提高大家的安全意识。

该项目经过全体成员的努力，在11个半月内完成了该项目，实际花费650.3万元人民币，比合同提前了半个月，节约近20万元人民币，赢得了大家的一致好评。回顾本项目的顺利成功很大程度上归功于我在项目的风险管理中采取了我采取积极的措施，积极的沟通、培训、实施全面质量管理来应对风险。但是在项目培训过程中，由于对一些工作人员的工作时间没有充分考虑，耽误及三天的时间，增加了培训直接成本，之后我采取措施，根据工作安排调整了该培训计划，晚上或周末休息时间对没有参加培训的人员进行加班培训，这次教训告诉我在以后的工作中一定要结合实际情况，及时了解相关干系人的工作和休息时间，来制定计划。我把这次教训总结在我自己的工作失误笔记中，以备后期项目提供组织过程资产。

我深知:小成功靠个人,大成功靠团队,管理是一个系统工程,只有通过科学的管理,并且经过团队的共同努力才能取得更大的成功。希望自已能在后续的工作中不断学习相关管理知识,不断总结经验教训,努力提高自已的业务能力和技术水平,为祖国的信息化建设贡献自已的力量。

【篇2】信息系统项目风险管理一、信息系统项目建设风险管理

(1)信息系统项目可变性的风险

在信息系统项目建设的整个过程中，国家政策或者企业管理思路的变化都可以影响项目的建设，受重大性的决策影响可能项目叫停，或者已经完成的工作要返工。

(2)信息系统项目灵活性大的风险

在信息系统项目建设的整个过程中，用户需求都是通过前期调研确定的，每个人对于一个事的想法，在经过时间或者工作思路的变化，对于信息系统的需求都会发生变化；信息系统的设计人员的知识体系不同，设计的系统架构和思路也不会完全一致；信息系统开发人员的程序设计和编程习惯不同，这些都是很常见的信息系统项目的风险。信息系统项目的需求、设计和开发的灵活性大的风险需要控制，才能保证信息系统项目顺利进行。任何项目都有风险，信息系统项目的成功必然有效地进行了风险管理。由于项目建设中总是有不确定风险，我们要避免或减小风险发生后的影响，因此我们在整个信息系统项目建设中需要关注和重视项目风险管理。

二、以SAP系统升级项目为例分析

介绍信息系统项目风险管理，该项目是SAP系统从ECC5.0到ECC6.0的技术升级。经过对重点风险分析后得出：第一该项目的技术风险高,原因是SAP系统用户数较多、自定义开发及接口也较多，与该项目同期关联实施的项目还有10个左右。第二项目质量要求高,原因是保证原有SAP系统及基于此系统的各类业务应用系统不受影响并能正常运转和使用。为了完成项目的目标必须控制项目的范围、进度、成本和质量，充分重视风险管理。根据风险管理理论，结合信息系统项目实际情况，在项目建设中坚持进行风险管理，依据风险管理理论为了降低和避免项目风险采用了如下的措施：

1编制风险管理计划

在SAP系统升级项目启动后，我们按照风险管理理论，编制了详细的风险管理计划，制定了信息系统项目风险管理活动的处理和执行计划。本项目是一个大型的信息系统项目，项目规模比较大、项目干系人多、系统使用用户多并且该项目的上线时间固定。因此，项目进度是最大的项目风险，若不能如期上线，将会影响到公司的运作。为此，在项目启动后，召集了项目小组成员开会制定项目计划。首先按照SAP系统的ASAP实施方法论制定了项目的总体计划，明确了项目准备、蓝图设计、系统实现、上线准备和上线及上线支持各个阶段的任务和完成时间。倒推出各步完成的时间，制定了出现延迟风险的处理方案。制定了项目例会制度，每周召开项目例会，汇报项目进度及出现的风险，制定风险的应对策略。为了控制进度的风险，还要应对国家政策或者企业需求变化等突发的事件，为适应新的企业需求等突发情况调整项目计划。总之项目的风险管理计划和项目计划不是一成不变的，要实时的进行调整。

2人员流失的风险控制

信息系统项目很大程度上就是依靠人来实现和完成的，因此人员流失会对项目造成很大的影响，甚至导致项目的失败，如何控制人员流失的风险是信息系统项目重要工作。为解决人员流失的风险我们制定了有效的激励机制，在物质上给予奖励和在精神上给与激励。如把参加本项目作为年终的一个绩效考核内容，设立项目专项奖励基金，奖励表现突出的项目组成员；在公司重要会议及公司内部刊物上大力宣传本项目，让项目组成员认识到本项目的重要性和价值等，对本项目有认同和责任感，做到情感留人。为了避免出现项目组人员流失导致项目进度的风险，采用细化工作内容，专岗专人负责，前后工作项关联人员互相备岗，每完成一项工作及时做好知识转移和工作交接。减少人员流失造成的损失。在整个项目的实施过程中，减少因为人员的流失造成项目进度和质量的风险。通过以上措施，把项目主要风险基本上都控制在萌芽状态，项目建设过程中，变更控制非常重要是项目成功的关键，即按照既定的范围、进度、成本和质量完成项目的目标。在项目规定时间上线，保证了SAP系统及基于此系统的各类业务应用系统正常运转和使用。相关项目没有因为风险受到影响。信息系统项目建设风险管理是必须的，但是没有一个现成的风险管理应对策略库给我们照搬，只能通过熟练的掌握风险管理的理论，在项目管理中理论结合实践的应对出现的各种风险，在不断的摸索中完成信息系统项目的建设。

【篇3】信息系统项目风险管理摘要

20xx年6年，我公司承建了某妇幼保健院医院信息化建设项目，我作为该项目的项目经理负责全程管理该项目。该项目主要目标是至2023年3年底分三阶段完成集门诊挂号、门诊划价收费、药房药库管理、门诊医生站、住院收费、住院医生站，护士工作站、LIS、PACS、院长查询等十大模块功能的医院信息化建设平台。该项目要求分三个阶段提交部署，每个阶段工作时间紧，涉及的接口较多，因此项目具体规模大、周期长、复杂度高等大型项目的特点，针对该项目的特点，我在项目管理过程中，综合运用了项目管理知识，充分认识到风险管理的重要性，从编制风险管理计划、风险识别、到风险的定性分析与风险定量分析、制定风险应对计划、加强风险监控，有效规避、减轻了项目中可能出现的各种不利风险，开拓、提高了机会风险，最终项目圆满完成，得到用户好评。

正文

随着信息化进程的不断推进，以信息化支撑医院建设和服务的工作变得越来越重要。2023年6月，我公司承建了某妇幼保健院医院信息化建设项目，该项目合同额为650万，建设周期10个月。任务是依托医院现有的收费、药房管理系统，建设以EMR为中心的医院信息管理系统，该项目依据国家相关法律法规，以企业服务总线为总架构，采用SQLSERVER2023，.NET语言编写，最终替换掉医院现在的收费、药房管理系统的同时增加门诊挂号、门诊医生站、住院收费、住院医生站，护士工作站、LIS、PACS、院长查询等系统，最终实现医院以病人为中心，以临床信息为主线的医院信息化建设。

我作为该项目的项目经理承担了项目管理工作，带领项目团队完成用户需求的三个阶段任务目标：

2023年9月底完成门诊挂号、门诊划价收费、门诊医生站、药房、药库管理系统的搭建，同时完成新老系统数据的导入与核对与切换工作；

2023年12月底完成住院收费、住院医生站、住院护士工作站的搭建与实施及相应接口的搭建工作。

2023年3月底，完成LIS、PAC的搭建与实施及相应接口的搭建工作。

针对该项目的时间紧、任务重，数据交换复杂度高，项目业务系统接口多，部署难度大等大型项目特点，存在较大的风险。一旦出现问题造成的损失更是难以预料。我在项目中通过间接管理、过程管理、PDCA、项目组合管理等手段针对此项目树立风险管理意识，有效规避、转移了项目中存在的不利风险，开拓、提高了项目中存在的机会风险，使得项目最终顺利完成，得到用户的高度认可。以下是本人在项目的实施过程中就风险管理方面所做的工作和总结的经验：

1、编制风险管理计划

风险管理计划主要包括如何处理和控制风险的方法，我结合本项目的内部、外部环境特点以及公司以住项目的执行情况，在项目计划阶段制定了本项目的风险管理计划，主要包含方法论、角色与职责、预算、风险来源与分类、风险分析和监控报告的格式、风险监控跟踪机制等内容。

2、风险识别

风险识别就是要识别出哪些风险会对项目造成影响，形成风险分解结构（RBS）。

我首先依据公司定义的《风险来源及分类表》确定项目的风险来源和分类。对项目来讲是有许多风险来源，包括内部和外部的，而风险类别是对收集的风险进行分类。

确定风险来源和分类之后，进行风险识别，标识出项目中存在的风险。我针对项目工作分解结构（WBS）中所有工作要素中可能在在的风险进行识别，并结合项目的实际特点，对《风险来源和分类表》中罗列的风险逐一可能性，将已识别的风险记录到《风险分析和监控表》，以便项目执行过程中对识别的风险进行监控。在本项目中我识别的风险主要有技术风险、外部风险、内部风险和项目管理风险。

技术风险主要是医院要求旧系统与新系统进行对接时实行导入原有数据的方式，旧系统使用的是早期PB9.0版本编写的，而新系统使用的是.NET，数据库结构分布及数据之间的关系、编码方式完全不同，这就要求我们对数据交换提出准确需求，同时了解其交换的原理，设计导入数据的标准，必须在系统部署之前先行对数据导入进行联调测试后方可上线。

外部风险主要是系统外部接口和涉及的开发商较多，如果任何一个变更或开发进度出现问题，都会对整个项目进度造成影响，比如说医保接口、农合接口、商业保险接口、财务接口、回访系统接口等等。

内部风险主要体现在资源协调方面，表现为我们的项目组之前做的项目正处于维护期，一旦系统出现问题，系统维护必须会占用项目成员的工作时间，进而可能对此项目的进度产生一定影响。

项目管理风险主要体现在项目分阶段实施，必须严格控制阶段任务的进度，并严格控制用户方的需求变更，否则难以保证各个阶段任务的顺利完成。

3、定性风险分析

定性风险分析就是要确定不同风险发生的可能性及对项目产生的影响的活动。同时还需对所风险进行优先级排序，重点关注那些优先级高的项目风险。

为此，我通过会议的方式，组织项目干系人对识别出的项目风险进行认真仔细的概率估算和影响分析，通过建议分析矩阵确定了各个风险的优先级，并将风险定性分析的结果记录到《风险分析监控表》。

4、定量风险分析

定量风险分析就是定量的确定不同风险对项目的影响。我组织项目核心团队成员对项目实施不同阶段可能出现的风险进行分析，并引入决策树估计方法，进一步从量化的角度确定了不同风险对项目各个阶段的影响程度，并将定量分析结果及时更新到《风险分析监控表》。

5、风险应对计划

风险应对计划就是对经过定性、定量分析后所更新的项目《风险分析监控表》进行分析，进一步确定风险应对措施。

针对导数据的技术风险，我制定的应对措施是与用户方负责人沟通，明确数据导入的关键性，先行与旧系统开发商联系，了解其数据库结构及数据之间的关系，确认此项目数据导入的可能性，再与用户方商量具体要导入的数据及导入后的核对工作及具体的实施进度表，并约定了三方负责人每周沟通进度及问题，确保数据导入