【作业】第四版论文范文：论信息系统风险与安全管理

2022年3月，我作为项目经理参与了某省执纪审查工作管理系统的信息项目建设。该项目总预算为670万元，总工期为12个月。该项目目标是为省纪委及下属各地市派驻纪检组纪检监察员为其提供各类执纪审查工作综合性服务，提高纪委审查工作效率。在项目建设中，我深刻认识到信息系统风险与安全管理是本次项目成功实施的关键，我做好规划风险管理、识别风险、实施风险定性分析、实施风险定量分析、规划风险应对、实施风险应对、风险监督和安全管理的工作，通过这些措施保障了项目的低风险实施，也保证了系统的安全、高效、可靠，有效降低该系统信息泄露、篡改等的安全风险，有效为执纪审查做好保密支撑工作。最终，项目按预期顺利完成，项目组得至了公司与客户方的一致好评：

2022年3月我公司顺利中标某省纪委的《执经审查工作信息管理系统》，合同额670万元，历时12个月，于2023年3月全面通过业主方验收。该系统采用B/S模式开发，是为省纪委及下属各地市派驻纪检组纪检监察员提供各类执纪审查工作综合性服务。项目启动后，我被公司任命为乙方的项目经理，全面负责项目的建设管理工作。由于系统中保存执纪审查案件有关数据信息，其安全性要求相当高，如果系统在安全性设计上不够完善，那带来的风险是相当大的。省纪委领导相当重视，一再要求确保安全性。在项目建设中，我将风险管理和安全管理列为本次项目成功实施的关键。因此在项目初期，在制定风险管理计划的同时，也制定适度安全策略，以保障系统的安全、高效、可靠的运行。以下我从风险与安全策略为出发点，从规划风险管理、识别风险、实施风险定性分析、实施风险定量分析、规划风险应对、实施风险应对、风险监督，在风险管理的过程中加强安全管理工作等方面进行论述。

一、在规划阶段做好规划风险管理、识别风险、实施风险定性分析、实施风险定量分析，根据风险登记册做好风险应对计划，根据适度安全的相关标准做好防止“木桶效应”的相关计划和措施。

在风险管理的规划阶段，我召开相关会议，与相关干系人和相关专家，根据项目管理计划、项目章程、干系人登记册、事业环境因素和组织过程资产等等相关资料制定了风险管理计划和安全管理计划。其主要内容是：根据合同及国家相关标准执行风险和安全管理，加强风险和安全的相关知识培训，进行全面质量管理，让干系人时刻保持安全和质量意识。该项目的风险分为已知风险和未知风险，需要分别做好应急储备和管理储备。安全管理计划的核心策略是做好“七定”（定方案、定岗、定位、定员、定目标、定制度、定工作流程），提高系统的安全性和稳定性。首先定方案按照适度安全的标准，我们设定等保是第二级系统审计保护级，并制定安全管理制度体系，明确信息安全的目标、建立和完善信息安全管理制度。其次成立安全管理小组，明确组员的职责等等“七定“内容。

根据项目管理计划和安全管理计划等等资料，我们采用文档审查、信息收集、SWOT分析等技术进行风险识别。经会议研究得到已知的风险有范围蔓延，成本超支，质量问题，安全管理不到位，沟通不到位等等；未知的风险有国家政策和技术标准的变动，自然灾害等等，分别制定了相关应对措施清单，风险责任人，并制定了相关的应急储备和管理储备。之后整理会议，得到风险登记册，并更新相关文件。

根据风险登记册等等相关资料，我们采用风险分类和风险概率和影响评估技术实施定性风险分析，对相关风险进行排序，已知风险的顺序是：沟通不到位，质量问题，范围蔓延，成本赶支，安全管理不到位；未知风险的顺序是：自然灾害，国家政策和技术标准的变动。随后我们采用了敏感性分析来实施定量的风险分析，我将各种风险对项目进度影响的关联系数进行了分析，沟通不到位的关联系数是0. 5；质量问题关联系数是0.5；范围蔓延关联系数是0. 4；成本超支，关联系数是0.3；安全管理不到位关联系数是0.4。对于未知风险：自然灾害、国家相关政策变动、技术更新的关联系数是0.5。随后我编写了风险报告。

根据风险登记册，我们采用威胁应对策略技术制定了相关的风险应对措施，对于沟通不到位我们采用定期、不定期采用会议，发放需求调查表和问题提交表等等方式进行沟通处理。加强全面质量管理和培训，提高质量意识。在安全管理方面严格按照系统审计保护级实施了粒度更细的自主访问控制，通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。因为信息系统就和一个木桶一样，其安全水平是由构成木桶最短的那块木板决定的，因此我加强设备安全、数据安全、内容安全、行为安全管理，制订安全应急预案和灾难恢复计划，减少”木桶效应”。会议中对其它风险做好应对计划，做好应急储备和管理储备：会后把风险应对计划上报高层，经其批准，随后更新相关的项目管理计划和项目文件。

二、在实施风险应对和安全处置阶段，严格按照相关制度和流程进行风险和安全管理，依据风险应急计划处理相关风险，减少“木桶效益”。

在该过程组中，我要求项目组成员严格按照风险应对措施及时、有效地处置风险和安全事件。我组织了安全应急预案演练，模拟“‘系统遭受黑客入侵，导致业务数据被莫改，业务无法访问”场景，根据安全应急预案要求判定安全事件等级为较大网络安全事件（三级）。网络安全组按照流程第一时间阻断黑客入侵，并通知相关业务负责部门。随后我们按照灾难恢复计划协同业主方技术部门分析安全事件，加固系统后恢复业务系统及数据，宣布警报解除。演练完成后，我们根据事件相关材料进行总结，预防同类事件发生。

三、在监督风险和安全控制阶股，我跟踪已识别风险、识别和分析新风险，确保风险应对措施有效性以及新的风险和安全隐患被识别和纳入管理。

在该过程组中，我请项目管理办公室定期或不定期的到相关科室收集需求调查表和问题提交表，总结归纳，然后交到我们项目团队进行处理。我每周都对当前活动收集齐AC、EV、PV、CV、SV等相关进度、成本工作数据，对其进行分析，对好的、坏的都进行分析归纳，找出其中的机会和威胁，进行相关的措施。为减少“木桶效应”严格执行系统审计保护级的规定，进行系统安全再评估、日志分析等控制方法，同时对重点监控日志采取了动态评估及定期评审，我以月和里程碑为单位，定期对系统安全日志实行再评估、审计。每周的项目例会中将系统安全管理作为单独一个议程，对系统威胁应对措施实施的有效性以及当前系统的状态进行检查。如果发现问题，团队成员集体讨论，对应对措施进行纠偏。

该项目经过全体成员的努力，在11个月内完成了该项目，实际花费650万元人民币，比合同提前了1个月，节约近20万元人民币，赢得了一致好评。回顾而言，项目的成功很大程度上归功于我在项目的风险管理中采取了积极的措施，积极的沟通、培训、实施全面质量管理来应对风险。但是在项目培训过程中，由干对一些工作人员的工作时间没有充分考虑，耽误了三天的时间，增加了培训直接成本，之后我采取措施，根据工作安排调整了该培训计划，晚上或周末休息时间对没有参加培训的人员进行加班培训，这次教训告诉我在以后的工作中一定要结合实际情况，及时了解相关干系人的工作和休息时间，来制定计划。我把这次教训总结在我自己的工作失误笔记中，以备后期项目积累组织过程资产。

相关文章 延伸阅读