探究信息系统工程建设的风险控制机制

2018-03-20张冉

数字通信世界 2018年7期

张冉

（广东省科技基础条件平台中心，广州 510033）

1 信息系统工程建设风险分析

信息系统工程也被简称为信息工程，是按照工程学原理构建信息系统的过程，如国家农村中小学现代远程教育工程、金卡工程、金税工程等都属于信息系统工程的一部分。在信息技术与相关科技发展的支撑下，信息系统工程建设在目前来说已经比较成熟，但需要明确的是，在信息系统工程的建设过程中，各种各样的风险隐患仍是真实存在的，并很可能会导致信息系统的错误，影响系统的正常运行，进而造成较大的损失。首先，通常情况下信息系统工程的建设都需要对工程实际情况进行深入调查与分析，从而工程的实际需求来展开信息系统的规划设计工作，但由于我国在信息系统工程方面的发展时间较短，相关人才培养并未跟上，因此很多信息系统集成公司的技术人员在业务能力与专业水平上并不高，对于工程实际情况的调查结果往往也比较局限，这就给信息系统工程的建设增添了很大的难度，甚至使得信息系统难以满足实际需求。其次，信息时代下的信息技术发展日新月异，而信息系统工程建设所需的先进设备、技术、软件平台也处于不断变化的状态，这使得信息系统的开发设计人员很难及时掌握这些先进技术，进而影响到系统设计规划的全面性、合理性以及实际性能，甚至还可能会因为对所利用的设备、技术了解不全面而导致系统出现错误。

2 信息系统工程建设的风险控制机制现状

2.1 风险控制手段比较落后

在近几年来，信息系统工程风险管理与控制的相关理论已经逐渐进到国内并得到了一些企业的关注，而风险控制工作也开始成为了信息系统工程建设的一部分。但在信息系统工程的实际建设中，风险控制与管理的相关理论并未在得到落实，对于潜在风险缺乏良好的评估预测与识别能力，面对风险时也不能及时采取针对性的防范措施，使得信息系统工程风险所带来的损失很难得到有效控制。

2.2 风险控制定位不够明确

信息系统工程的风险隐患虽然存在与各个环节，而风险控制的范围也是十分宽泛的，但从当前的情况来看，以我国目前的信息系统工程风险管理与控制水平，想要在短时间内实现对各环节风险的全面有效管控是有着较大难度的，而要想将风险控制效果最大化，就必须要在风险控制工作中有所侧重。一般来说，信息系统工程的风险隐患大多集中于工程实施阶段，而风险控制与管理也需要将这些风险的防范控制措施作为工作重心，然而在实际上，大多数信息系统集成企业并未意识到这一点，而这也对风险控制的效果造成了影响。

2.3 项目管理人员十分匮乏

在巨大的市场竞争压力下，信息系统集成企业普遍都会对技术开发工作给予高度重视，而这一点在信息系统工程项目的人力资源结构上也得到了充分的体现。在大多数的信息系统集成企业中，项目参与人员都以技术开发人员为主，而项目管理人员却非常少，甚至没有设立专门的项目管理部门，仅仅只设立了项目负责人等，更很少会有专门的风险管理人员，这使得信息系统工程项目在组织人员结构、服务功能等方面都受到了极大的限制，而风险管理工作也同样很难开展下去。

3 完善信息系统工程建设风险控制机制的措施

3.1 完善的信息系统工程监理机制

首先，结合中国电子企业协会出台的《信息系统工程监理会员单位符合性审核指标》，对监理会员单位的符合性进行严格审核，确保监理会员单位能够有效完成建立工作。其次，对监理工作的主要内容以及活动要求明确规定，为监理工作的顺利进行提供保障，使监理工作更加规范。最后，根据不同的资质等级对监理工程师与监理单位进行明确的要求，保证信息系统工程监理工作的有效进行。

3.2 建立信息系统工程设计咨询审核机制

针对信息系统工程建设在设计阶段存在的风险隐患，还需要建立一个完善的设计咨询审核机制。一方面，要结合国家颁发的相关政策标准，对从事信息系统工程设计的企业单位作出明确的资质要求，并对参与信息系统工程建设设计阶段的企业进行设计资质认证，确保其资质能够符合国家标准，并可以保证信息系统设计规划的全面性、合理性、科学性，另一方面，也要对具有发展潜力或资质较高的信息系统工程设计企业进行扶持，并对其应有利益进行全面保护，以免其在设计过程中受到过多外界因素的影响。这样一来，设计人员与设计团队能够对工程应用的设备与技术进行很好的掌握，对于产品设备的选择以及技术路线的设计也可以得到更好的优化。从2005年中华人民共和国国家发展和改革委员会公布的《工程咨询单位资格认定办法》，到期间对认定办法的修改，到2017年国务院发布《国务院关于取消一批行政许可事项的决定》取消工程咨询单位资格认定，《工程咨询行业管理办法》从执业人员、咨询工程师、咨询企业，到整个行业，都做了一个完整要求、监督、检查体制，这一系列行动必将推动我国咨询行业的发展，也是有效的风险控制机制措施之一。

3.3 编制信息系统工程风险管理计划

在不同信息系统工程项目中，可能存在的风险也是不同的，所需要采取的风险控制措施也是不同的，因此对于风险管理计划的编制非常必要。首先，企业要结合以往经验以及历史项目资料，对项目特点和可能存在的风险进行分析与预测，同时，还要将预测风险按照技术风险、人力资源风险等类别进行分类，并分别确定风险责任人与责任内容。

3.4 信息系统工程信息安全体系的建立

我们已经身处信息时代，计算机和INTERNET已经成为各类组织不可或缺的工具，信息价值的与日俱增，同时面临各种各样安全威胁及风险。在信息系统工程的建设中，采用ISMS标准，通过整体计划 - 执行 - 检查 - 行动（PDCA）的方法对信息系统所面临的网络威胁以及自身存在的安全风险、信息系统安全资产等进行识别，可以预防信息安全事故，保持工程建设的有效运行，降低工程建设的风险，同时节省成本。