机构或企业通过投资建设IT项目、运用信息技术、建立信息系统来提高工作绩效,实现业务目标。而IT基础设施项目是为IT关键设备和装置能安全、稳定和可靠运行而建设配置的基础工程。如:信息中心(数据中心)就是通常意义上提供一个物理空间与环境为计算机设备、服务器设备、存储设备、网络设备、通讯设备等IT关键设备实现对数据信息的集中处理、存储、传输、交换、管理的场所。信息中心(数据中心)的工程建设也就是一种典型的IT基础设施项目。
IT基础设施项目由于其特点与特征所导致着诸多方面的不确定性,按照现代项目管理的理论,即存在着风险的因素,这不仅对IT基础设施项目的范围、质量、进度、费用等基本目标的实现产生影响,而且,也对机构或企业的IT项目的整体目标的实现造成影响。为此,进行对IT基础设施项目的风险评估与管理是一项重要的也是基本的工作。
在控制it外包风险与安全方面,做到心中有底、手中有招、控制有术,建立事前预防、事中控制、事后监督的三道防线。(一)事前预防
在日常工作中,各种外包风险的前期预兆是会表现出来的,关键是没有及时发现,马上纠正或是对发现的问题思想麻痹,错误扩大化变成案件,形成损失并为纠正错误付出高昂代价。因此,把风险消灭在萌芽状态,才是风险控制的重点。
1、制定IT业务外包战略。银监会颁布的《银行信息科技风险管理指引》和《商业银行外包风险管理指引》中对外包业务都提出了要求,重点考虑IT业务外包要能促进公司的科技业务发展、信息系统安全运营和科技业务管理水平,紧密配合公司业务发展规划,全面权衡外包的利益与风险,决定将哪些IT业务外包,制定IT业务外包战略规划。
2、建立IT业务风险与安全管理体系。体系制定要做到统一框架,统一标准、统一措施、统一监督管理,内容由IT业务风险与安全管理策略、管理制度与规范、技术标准、指引、流程、 *** 作手册等组成。通过制定风险与安全管理体系,指导公司IT业务风险与安全管理工作的开展,使其符合国际、国内的有关安全标准和我国的法律法规;在公司内部形成一个信息科技风险与安全管理机制,确保落实,保护公司所有信息科技资源和资产的安全;明确信息系统的防护、检测和应急恢复等各项信息科技风险与安全管理指标、原则和违规行为的处理措施;对与公司合作组织、商业伙伴、承包商和服务提供者提出相关的安全约束。项目管理者联盟
3、做好IT业务风险与安全的认知与培训。通过举办培训班、研讨会、发送邮件、赠送报刊等方式,为公司科技人员和业务人员提供IT业务风险与安全方面知识的培训,通过持续不断的培训学习,掌握本公司IT业务风险与安全管理制度规范,提高全员风险与安全防范意识,积极参与信息科技风险与安全防范工作中,形成全员参与信息科技安全管理的风险管理文化。
4、建立IT业务外包供应商信息管理系统,设计科学、全面的风险指标评估体系。西格玛中有句名言:有什么样的指标、就有什么样的结果。建立科学的IT业务外包供应商评估指标体系,有利于统一供应商与银行的IT业务发展目标。该指标体系需要从质量、成本、交付、服务、技术、资产、流程这些方面入手,确定外包供应商成立及上市时间、行业经验、规模、安全、人力、财务、问题响应时间、是否有产品保险、企业文化以及各种认证等重点内容,详细设计3K(KCS、KCSA和KRI)指标,每一项指标都要给出相应的分值区间,通过建立外包供应商信息管理系统,把设计的评估指标纳入系统中,详细记录外包供应商及其供应链上的各方面信息,通过系统统计分析,从而科学有效的评估外包供应商的服务能力。
(二)事中控制
银行与外包合作商签署合同,项目正式进入合作 *** 作阶段,在日常IT项目运营过程中,银行作为甲方应做好如下几方面的工作。
1、认真执行制度、不断完善制度
从出现的有关银行计算机系统风险安全与犯罪案件分析中,大多数都是因为没有章不循,没有按制度办事,按业务处理流程办事造成的,这就要求银行加强对制度执行严肃性的管理,违章必究,否则制定的各项制度规范形同虚设,起不到应用的作用。同时,还要注意IT业务外包供应商风险与安全管理制度规范建设与信息系统同步规划、同步建设、同步管理,能紧随银行信息科技业务的发展、环境的变化、中心工作的更替、创新的要求,及时得到调整、修订和补充。
2、选择适合自己的外包供应商,签署合作合同
签署合同是IT业务外包不可避免的风险。因此,根据前期对市场的调研分析,搜集的供应商信息,寻找合格的IT服务供应商,询价和报价,通过招投标方式,建立适合公司科技与业务经营发展需要的供应商,并协同法律部门做好外包合同文本的制定和签署,合理规避和防范合同风险的发生。
3、加强与外包供应商的合作与交流
一旦项目签署合同开始启动,银行作为甲方要提供项目研发办公条件,尽快让外包商到行里来工作,向同事一样给予相关方面的必要帮助。同时,银行科技人员以及业务人员要参与到项目建设中,既可以让自己的技术和业务人员与外包公司技术人员熟悉、了解掌握产品技术性能和业务功能,便于项目研发过程中问题的沟通交流,还可以全程对项目进度、质量进行跟踪,以便于在规定的时间内,高质量的完成软件项目的研发投产,让项目利益所有者都满意。
4、建立外包供应商服务评价体系
因很多外包公司特别是跨国公司,外包、分包普遍存在,也就降低了供应链的透明性和可追溯性,有意无意的形成漏洞,加大了供应链风险。所以,要采取日常业绩跟踪和阶段性评比方法,更加深入的了解外包供应商及其供应链的一些情况,避免信息不对称,便于更好地建立外包供应商信息管理系统,根据有关业绩的跟踪记录,对供应商的业绩表现进行综合考核,全面、正确的评价外包商工作情况。
5、做好项目建设的计划与控制
为避免人员频繁变动、项目延期、交付的技术文档不齐全及系统上线后支持服务跟不上等现象。要求银行科技人员与外包项目经理及项目组成员建立项目进度与质量控制沟通机制(如周例会、项目周报、问题跟踪管理报告等),定期监测与度量项目进展情况,识别有否偏离计划之处,及时发现问题、反馈问题、了解原因、解决问题,确保实现项目目标。
6、建立应急管理机制,保持业务持续性
你不能防范每种风险,但是你却可以迅速发现问题,并提前思考解决方法,动员所有的选择,这才是风险与安全管理的精髓。银行要制定可行的外包供应商应急管理计划,项目外包会使得银行对外包供应商产生依赖,如果外包供应商不能如期履行合同,而导致银行业务中断所引起的后果必须高度重视。这就需要银行要严格审查外包供应商提供的执行方案,并针对外包供应商不履行合同或者发生紧急事件制定应急应对方案。
(三)事后监督
外包项目完成后,银行相关职能部门应做好对外包项目从立项、招投标、建设、投产使用等全过程进行检查审计,主要做好如下几方面工作。
1、与完善规章制度相结合,实现各项工作制度化
在事后监督检查过程中,加强检查IT业务外包制度是否建立健全、科学有效、符合工作实际,不断完善规章制度,使外包各项工作有章可依,工作制度化。
2、与奖惩相结合,维护法规与制度的严肃性
适当的处罚,能促进责任人改正错误,增强法律法规观念,更好的促进工作,依据制定的IT业务外包风险与安全管理制度规范,检查项目外包实施过程中各项工作是否按制度办事,针对检查出来的问题,要查明原因,对于不按制度办事的违章行为要给予处罚,做的好的要表彰,做到奖罚分明,维护制度的严肃性。
3、与内审计相结合,制定外审策略
在做好内审的同时,也可以邀请外审机构对外包商以及外包供应链上公司的风险与安全管理能力等进行全面的评估。
4、与规范化管理相结合,实现业务 *** 作程序化
事后监督工作要深入到科技业务一线,认真执行规范化 *** 作规程,从细节入手,查找不足、堵塞漏洞,促进外包供应商管理制度化、程序化、规范化。
5、与IT服务内容相结合,做好多外包商的监督管理
监督、定期重新评估外包风险,并把所搜集信息和评估结果纳入外包供应商信息系统管理,通过合同和SLA协议管理供应商,要注重周期性地审查外包合同,并根据环境和银行业务发展的需要及时修改合同、重新设定外包服务标准。
总的来说,it外包要在国家法律法规和公司的制度规范内展开,要建立健全IT业务外包过程中信息披露和检查监督及考核机制,建立一个功能完善的外包供应商信息管理系统,有效防范IT业务外包风险,确保信息安全。
参考资料:
it系统属于风险管理基础设施,但数据不是,这个说法是错误的。 数据和IT系统都属于银行的风险管理基础设施。
都说企业信息安全很重要,许多企业的IT主管们都想方设想地去实现企业的信息安全,但总归是有一次次突发的事件,使得IT主管们认识到,越来越庞大的IT资产管理难度越来越大,特别是对于持续运行的大型IT系统而言,需要有一个清晰而明确的管理策略,而这些策略还需要前置,也就是IT系统的风险管理体系去支撑IT系统的运营。
一般来说,企业信息系统的安全主要有如下四个来源:人、流程、技术和其它因素,需要重点说明的一点是,在IT系统部署中,采用了太新的技术,往往也是一件高风险的事情,特别是这项技术没有经过充分验证的情况下,IT系统的风险会成几何倍数的增长。
同时,一个过于复杂的IT系统也是风险的源头之一,太过于复杂的系统,往往对于运营与维护的要求就非常高,在这个过程中往往容易出错,再者对 *** 作人员的能力水平要求也较高,这又是另一个难题。
而IT系统的风险往往会对业务带来如下影响:
1、性能:IT系统风险有的时候是致命的,但有的时候看起来也不是特别致命,无非是系统的性能慢一些,导致一线的许多 *** 作人员是“人等系统”,在这里IT系统的性能就影响到了人员的绩效,正好在英语中,性能与绩效是同一个词,看来这两者之间还真的是有非常大的关联。
2、安全:IT风险最大的风险,也是最直接的风险就是安全,这也会影响到业务的安全,如IT系统的数据由于服务器出问题全面丢失了,企业会面临着怎么样的问题?或者都有可能导致企业的关门大吉也不为过。
3、成本:包括金钱成本和时间成本:在不久之前,我就某房地产企业的ERP系统,由于性能问题,无法按照计划进行开盘,导致当天损失了上亿的交易额的问题,一怒之下直接将原有IT系统废除,重新构建的案例,在这个例子中就出现了典型的成本代价。
IT项目中的风险管理
软件项目的风险无非体现在以下四个方面:需求、技术、成本和进度。IT项目开发中常见的风险有如下几类:
需求风险
①需求已经成为项目基准,但需求还在继续变化;②需求定义欠佳,而进一步的定义会扩展项目范畴;③添加额外的需求;④产品定义含混的部分比预期需要更多的时间;⑤在做需求中客户参与不够;⑥缺少有效的需求变化管理过程。
计划编制风险
①计划、资源和产品定义全凭客户或上层领导口头指令,并且不完全一致;②计划是优化的,是"最佳状态",但计划不现实,只能算是"期望状态";③计划基于使用特定的小组成员,而那个特定的小组成员其实指望不上;④产品规模(代码行数、功能点、与前一产品规模的百分比)比估计的要大;⑤完成目标日期提前,但没有相应地调整产品范围或可用资源;⑥涉足不熟悉的产品领域,花费在设计和实现上的时间比预期的要多。
组织和管理风险
①仅由管理层或市场人员进行技术决策,导致计划进度缓慢,计划时间延长;②低效的项目组结构降低生产率;③管理层审查 决策的周期比预期的时间长;④预算削减,打乱项目计划;⑤管理层作出了打击项目组织积极性的决定;⑥缺乏必要的规范,导至工作失误与重复工作;⑦非技术的第三方的工作(预算批准、设备采购批准、法律方面的审查、安全保证等)时间比预期的延长。
人员风险
①作为先决条件的任务(如培训及其他项目)不能按时完成;②开发人员和管理层之间关系不佳,导致决策缓慢,影响全局;③缺乏激励措施,士气低下,降低了生产能力;④某些人员需要更多的时间适应还不熟悉的软件工具和环境;⑤项目后期加入新的开发人员,需进行培训并逐渐与现有成员沟通,从而使现有成员的工作效率降低;⑥由于项目组成员之间发生冲突,导致沟通不畅、设计欠佳、接口出现错误和额外的重复工作;⑦不适应工作的成员没有调离项目组,影响了项目组其他成员的积极性;⑧没有找到项目急需的具有特定技能的人。
开发环境风险
①设施未及时到位;②设施虽到位,但不配套,如没有电话、网线、办公用品等;③设施拥挤、杂乱或者破损;④开发工具未及时到位;⑤开发工具不如期望的那样有效,开发人员需要时间创建工作环境或者切换新的工具;⑥新的开发工具的学习期比预期的长,内容繁多。
客户风险
①客户对于最后交付的产品不满意,要求重新设计和重做;②客户的意见未被采纳,造成产品最终无法满足用户要求,因而必须重做;③客户对规划、原型和规格的审核 决策周期比预期的要长;④客户没有或不能参与规划、原型和规格阶段的审核,导致需求不稳定和产品生产周期的变更;⑤客户答复的时间(如回答或澄清与需求相关问题的时间)比预期长;⑥客户提供的组件质量欠佳,导致额外的测试、设计和集成工作,以及额外的客户关系管理工作。
产品风险
①矫正质量低下的不可接受的产品,需要比预期更多的测试、设计和实现工作;②开发额外的不需要的功能(镀金),延长了计划进度;③严格要求与现有系统兼容,需要进行比预期更多的测试、设计和实现工作;④要求与其他系统或不受本项目组控制的系统相连,导致无法预料的设计、实现和测试工作;⑤在不熟悉或未经检验的软件和硬件环境中运行所产生的未预料到的问题;⑥开发一种全新的模块将比预期花费更长的时间;⑦依赖正在开发中的技术将延长计划进度。
设计和实现风险
①设计质量低下,导致重复设计;②一些必要的功能无法使用现有的代码和库实现,开发人员必须使用新的库或者自行开发新的功能;③代码和库质量低下,导致需要进行额外的测试,修正错误,或重新制作;④过高估计了增强型工具对计划进度的节省量;⑤分别开发的模块无法有效集成,需要重新设计或制作。
过程风险
①大量的纸面工作导致进程比预期的慢;②前期的质量保证行为不真实,导致后期的重复工作;③太不正规(缺乏对软件开发策略和标准的遵循),导致沟通不足,质量欠佳,甚至需重新开发;④过于正规(教条地坚持软件开发策略和标准),导致过多耗时于无用的工作;⑤向管理层撰写进程报告占用开发人员的时间比预期的多;⑥风险管理粗心,导致未能发现重大的项目风险。
软件项目风险管理模型
针对软件项目中的风险管理问题,不少专家、组织提出了自己的风险管理模型。主要的风险管理模型有:Boehm模型,CRM模型和SERIM模型。
Barry Boehm模型
模型:RE=P(UO)L(UO)
其中RE表示风险或者风险所造成的影响,P(UO)表示令人不满意的结果所发生的概率,L(UO)表示糟糕的结果会产生的破坏性的程度。Boehm思想的核心是10大风险因素列表。针对每个风险因素,都给出了一系列的风险管理策略。在实际 *** 作时,Boehm以10大风险列表为依据,总结当前项目具体的风险因素,评估后进行计划和实施,在下一次定期召开的会议上再对这10大风险因素的解决情况进行总结,产生新的10大风险因素表,依此类推。
SEI的CRM(Continuous Risk Management)模型
SEI CRM模型的风险管理原则是:不断地评估可能造成恶劣后果的因素;决定最迫切需要处理的风险;实现控制风险的策略;评测并确保风险策略实施的有效性。CRM模型要求在项目生命期的所有阶段都关注风险识别和管理,它将风险管理划分为个步骤:风险识别、分5析、计划、跟踪、控制。
SERIM(Software Engineering Risk Model)模型
SERIM从技术和商业两个角度对软件风险管理进行剖析,考虑的问题涉及开销、进度、技术性能等。它还提供了一些指标和模型来估量和预测风险,由于这些数据来源于大量的实际经验,因此具有很强的说服力。
结
语
IT项目管理从某种意义上讲,就是风险管理。我们尽量去定义明确不变的需求,以便进行计划并高效管理,但商业环境总是快速变化的,甚至是无序的变化。所以,软件企业在进行项目管理的过程中,必须采用适合自己的风险管理方法进行风险管理,以确保软件项目在规定的预算和期限内完成项目。
希望上述提供的资料对您有所帮助!
IT项目的风险管理
风险一词越来越被概念化,并随着人类活动的复杂性和深刻性而逐步深化,及时在IT项目同样存在,下面我为大家准备了关于IT项目风险管理的文章,欢迎阅读。
一、风险的定义
风险有两种定义:一种定义强调了风险表现为不确定性;而另一种定义则强调风险表现为损失的不确定性。
若风险表现为不确定性,说明风险产生的结果可能带来损失、获利或是无损失也无获利,属于广义风险,金融风险属于此类。而风险表现为损失的不确定性,说明风险只能表现出损失,没有从风险中获利的可能性,属于狭义风险。
广义的风险展现出来的是机会,虽然这种机会可能让我们的项目变得颗粒无收,但如果一旦机会有利于项目,则可以大赚一笔,风险投资家们心中的风险正是广义的风险,所以风险才会吸引他们投入巨大的资金。而作为项目管理者来说,风险对他们意味着失败的危险,因此必须将任何风险扼杀于摇篮之中。
二、IT项目风险的特征
由于软件本身的特点,导致IT项目与传统项目有很大差异,因此IT项目的风险管理难度要比传统项目大。
1需求不稳定
软件项目的需求多变已成为软件业界的共识,正因为需求的多变,才让瀑布模型一直遭受到软件工程界的抨击,因此诞生了原形模型。在IBM的RUP和众多的敏捷方法论中,一直将需求不确定列为软件项目的最大特点,因而出现了拥抱变化一说。
当一个IT项目开始实施的时候,如果客户连他需要做什么,要实现一些什么功能都不能确定的话,那么做软件实施的工程师他们又如何能够知道自己要开发一个什么样的软件系统出来呢所以他们只有在漫长的等待过程中,不断遭受到客户的“批评”,在经历了“九九八十一次磨难”之后,才恍然大悟,原来就是要做一个这样的系统啊!
这有点像盲人走路一样,盲人根本就不知道前面是什么,因此他往前走一小步,如果不是路,则向左旋转一点点,再次用脚探探前面,如果是路的话,则可以往前迈一步。如果这个盲人运气不好的话,第一脚就在悬崖边上踏空,那么他将跌入万劫不复的深渊。我们的项目也如同这个盲人,稍有不慎就可能让自己走向失败,这是一个多么大的风险啊。
2项目规模估计不准确
当老师给我们布置作业的时候,如果他多布置了几个题目,下面的同学便会大声地嘘叹,开始私下的嘟噜:“又要做一个多小时了!”。学生们在很短的`时间内就能够准确的估计作业量大不大,他们的估计凭借着他们每天一次的做作业的经验和那一瞬间对题目的印象,虽然他们并没有做过刚布置的这些题目,但是估计得仍然是那么的准确。
任何一个建筑工程的项目经理都能对自己的项目进度掌握准确,在他们的眼中,只要资金到位,则进度就可以得到保证。工地需要多少人,什么时候需要开始进行什么工序的施工,什么时候需要加班,这些都在他们的心中掌握着。资金就是他们最大的风险。
而软件项目与之不同,在软件项目开始后,很少有缺钱的。只看到过资金没有到位的“烂尾楼”,但是从来没有看到过由于项目资金没有到位的问题而导致未完成的软件项目,就算是缺钱也是因为签合同的时候要少了。
再优秀的软件项目经理,他也无法预计好自己的项目什么时候能够完成,因为在他进行估算的时候,客户的需求还没有搞清楚呢!再者,建筑工程可以通过预算很准确地得出整个建筑的工程造价,而软件项目却很难,因为不管是代码行估算法,还是功能点方法,都远不及“我猜,我猜,我猜猜猜”中猜得准确,这些方法很多时候甚至不如算命先生算得准。
3人的因素对项目影响很大
人可以说是整个软件项目的灵魂,软件项目不需要钢筋、水泥和沙石,也不需要任何的施工机械。软件项目的原材料就是人的思想和智慧,而计算机和CASE软件则是项目的施工工具。通过键盘和鼠标,无数的程序代码在程序员手中诞生了。如果要问软件项目最大的成本在哪里,那么答案只有一个,就是人力成本。
一个优秀的程序员的工作效率要远远高于一个蹩脚的程序员,一个程序新手甚至根本就不能够产生任何生产效率。不仅如此,新手的错误行为,将让熟练员工牺牲很多时间来帮助新手纠正他们的错误,甚至可能导致降低软件开发的效率。
虽然软件项目已经实施角色分工和管理,但是相对于其他工程的分工来说则分工比较单一。软件项目中,一般分有:系统分析师、架构师、设计师、程序员、测试工程是及配置管理人员和项目经理等。这样的分工并不能有效地降低他们工作内容的复杂度。如果能像建筑工程中的砌墙、浇注混凝土、搭脚手架那样分工细致的话,则培训软件蓝领也不会需要费如此大的力气了。
;如今中小型企业信息化推进速度在加快
各种应用和业务系统在不断地增加中,所以对整个IT运维系统的安全性、稳定性以及出现状况时如何应对都比较重视,尤其是在预防和处理重大IT风险方面更加重视,主要体现在以下几方面:
一、IT机房安全风险
1、机房在无人值守的时候一定要锁上;
2、未经IT部门允许,无关人员不得随意进入机房;
3、机房内要严格采取防雷、防火、防尘、防静电等措施。
_
二、电源安全风险
1、必须启用UPS备用电源;
2、定期检查机房内供电系统和线路;
3、当机房发生突然停电,首先和相关部门确认停电原因,并确认UPS电池可用时间,并根据何时来电信息来决定是否要关闭相关IT设施。
_
三、消防安全风险
1、EHS部门要定期检查机房内消防设施,确保消防设施能够正常使用;
2、工作时间发生火灾时,应及时撤离机房周围人员并通知EHS部门,在保证自身安全并得到EHS部门许可的情况下,员工应关闭电源并使用合适的灭火器灭火,如果火势无法得到有效控制,应立即拨打119;
3、非工作时间发生火灾,值班人员应及时拨打119并上报相关人员,做好火灾处置工作;
4、火灾结束后,IT相关人员应立即到现场检查相关设备,及时评估事故损失情况,并给出相应的系统恢复解决方案。
_
四、数据安全风险
1、定期备份重要数据;
2、定期进行数据恢复验证
3、备份数据异地存放
_
以上就是IT运维风险处理计划,每个公司可能有所不同,但都是大同小异,预防和处理重大IT风险,IT运维人员在平时就要做足功课,以免临阵手忙脚乱。
项目的风险无非体现在以下四个方面:需求、技术、成本和进度,而IT项目管理中时主要会遇到风险:包括技术风险、管理风险对项目产生影响的不确定因素。
IT项目管理从某种意义上讲,就是风险管理。因此IT企业在进行项目管理的过程中,必须采用适合自己的风险管理方法进行风险管理,并且确保软件项目在规定的预算和期限内完成项目。
风险的自然属性。
通过对风险类型的了解,
可以确定应对风险的责任人和应对策略。
风险的
类型包括:
领导力(或称执行力)
业务
项目
资源
技术
变革管理
培训和文档
影响类型
如果不采取风险管理措施,该风险会影响项目的那些方面:
项目延迟
成本增加
质量下降
项目中止
对风险影响类型的评估会影响到规避策略使用的层度。
在不同的项目阶段,
对同一种风险影
响类型使用的规避策略层度不同,
并且规避策略之间可能会有妥协。
例如如果为了保证上线
日期,某些细小方面的质量下降可能会被接受;而在项目开始阶段,将会更注重于质量。
发生的可能性
风险发生的可能性,分为:高、中、低三类。
以上就是关于IT项目风险评估与企业风险评估的区别全部的内容,包括:IT项目风险评估与企业风险评估的区别、IT外包有何风险及如何防范、it系统属于风险管理基础设施,但数据不是等相关内容解答,如果想了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)