IT项目风险评估的方法

答案如下：

如今中小型企业信息化推进速度在加快，

各种应用和业务系统在不断地增加中，所以对整个IT运维系统的安全性、稳定性以及出现状况时如何应对都比较重视，尤其是在预防和处理重大IT风险方面更加重视，主要体现在以下几方面:

一、IT机房安全风险

1、机房在无人值守的时候一定要锁上；

2、未经IT部门允许，无关人员不得随意进入机房；

3、机房内要严格采取防雷、防火、防尘、防静电等措施。

_

二、电源安全风险

1、必须启用UPS备用电源；

2、定期检查机房内供电系统和线路；

3、当机房发生突然停电，首先和相关部门确认停电原因，并确认UPS电池可用时间，并根据何时来电信息来决定是否要关闭相关IT设施。

_

三、消防安全风险

1、EHS部门要定期检查机房内消防设施，确保消防设施能够正常使用；

2、工作时间发生火灾时，应及时撤离机房周围人员并通知EHS部门，在保证自身安全并得到EHS部门许可的情况下，员工应关闭电源并使用合适的灭火器灭火，如果火势无法得到有效控制，应立即拨打119；

3、非工作时间发生火灾，值班人员应及时拨打119并上报相关人员，做好火灾处置工作；

4、火灾结束后，IT相关人员应立即到现场检查相关设备，及时评估事故损失情况，并给出相应的系统恢复解决方案。

_

四、数据安全风险

1、定期备份重要数据；

2、定期进行数据恢复验证

3、备份数据异地存放

_

以上就是IT运维风险处理计划，每个公司可能有所不同，但都是大同小异，预防和处理重大IT风险，IT运维人员在平时就要做足功课，以免临阵手忙脚乱。

瞬息万变的市场环境和激烈的市场竞争压力 迫使企业利用有限的企业资源来缩短产品交货期、提高产品质量、降低生产成本，因此，孕育并产生“外包“在企业寻求IT外包时，面临一系列的管控和运营风险，特别是在信息安全风险方面!

任何服务都是一柄双刃剑外包与不例外，其好处是可以向企业灌输技术与人才，帮助企业摆脱繁琐的IT业务，有效的外包能让公司更好的专注于核心业务。但是如果处理不好，反而会变成一场噩梦和致命的灾难。

IT外包服务要成为一种商品，就必须形成一套规范和标准，以约束买卖双方。目前国内IT外包服务领域既无统一规范也无公认标准，对于如何评估、签合同、质量控制和定价等都是潜在的风险。此外，IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。

在IT外包服务的过程中，IT外包服务商作为这项服务的承担者，中小企业以合同方式对其明确了服务内容和服务标准，但仍不能确定外包服务商最后是否能够提供合同约定的服务。从外包服务商的角度来说，主要会带来以下几方面风险。

IT外包服务商内部的不稳定性带来的风险。

在外包模式下，中小企业的IT应用在技术上依赖于外包服务商，服务商内部的不稳定性成为重要的风险来源。内部稳定性主要包括组织架构的稳定性、关键人员的稳定性和技术能力的稳定性。当前IT产业的高速发展使外包服务商的内部稳定性受到极大威胁，在合同执行期间，服务商的组织架构、关键人员、技术能力等方面的任何变化都有可能使IT外包服务陷入困境，最终导致服务商无力提供外包合同中规定的服务。

IT外包服务商对中小型企业业务需求理解不透彻带来的风险。

外包服务商的技术水平一般比较高，对IT的理解很透彻。但由于不了解行业，他们对企业的内部流程等业务需求有时不能充分了解。如果外包服务商没有和企业进行充分的沟通和交流，就容易导致在需求分析阶段无法进行高质量的需求分析，使后续阶段为改正需求分析阶段产生的错误付出高昂的代价。

使中小企业隐性成本增加的潜在风险。

选择IT外包的一个重要目标是减少IT运行和投资的费用。随着对外包服务商的依赖性越来越强，中小型企业付出的隐性成本会在不知不觉中增加，如选择服务商时发生的交易成本、将IT业务交给服务商时发生的转换成本等。更严重的是，如果服务商不断追求先进的IT技术，却不能使IT设备得到有效运行或运行质量难以达到合理水平，中小企业会由于业务停顿而蒙受巨大损失。在实际外包过程中，很多中小型企业往往忽略了隐性成本的核算。

信息泄漏及知识产权风险

在IT外包服务过程中，中小型企业将自己的部分或全部信息系统提供给外包服务商运行和管理，服务商及其员工就有了接触公司机密资料的机会，这样中小型企业的商业秘密及其相关信息就极有可能会泄漏给竞争对手。此外，在些核心项目外包的过程中，外包服务商往往比中小型企业更具有知识产权意识，可能将共同设计、开发的项目抢先占为己有，从而导致知识产权纠纷。

中小型企业必须清醒地认识到，IT外包过程中的信息泄露和知识产权风险有可能导致严重后果，使中小型企业蒙受巨大损失。

那么如何避免或者减少这些风险，权衡中间的利弊关系呢

当前，中小型企业的信息化建设不是很成熟，基础仍然比较薄弱，还不具备实施应用系统外包或者业务流程外包的条件。但是，行业各级单位将最底层的IT基础服务外包出去的条件已经成熟，而且需求非常迫切。

根据以上情况，中小型企业在制定IT外包服务战略规划时应首先明确信息化业务的主次之分，划分优先等级，区分核心业务和非核心业务。

中小型企业应以逐步推进的方式，首先选择IT知识培训、桌面终端维护、通信网络维护等外围项目进行外包，取得预期效果后再考虑防病毒系统维护、数据中心运作管理、数据备份和灾难恢复等系统的外包。

对于影响中小型企业关键业务的核心应用系统的外包要谨慎对待，要进行充分的考察和评估。

1、 全面评估IT外包风险

2、 科学选择外包服务商

3、 管理好外包合同外包合同

4、严格监控IT外包服务

5、做好IT外包服务的过程管理

—————— 北京海宇勇创科技

一个风险评估与排序的实用模型

摘 要

本文阐述了一个基于简单数学模型的实用且简便的风险评估与排序方法

什么是风险

风险即是以下三个要素发生的机会:

威胁--事件或行为，一般来自系统外部，可能在某些地方会影响固有的弱点，造成影响

弱点--系统内部考虑之中的弱点，可能在某些地方受到威胁所利用

影响--短期与长期组织影响，威胁碰巧利用弱点

由于要求一个或更多的不预测的威胁与弱点的巧合，负面影响发生的可能性是很难确定的一个系统可能很长一段时间运行有弱点(的程序)而未受影响，直到一些实际的威胁存在或利用它在给定的时间筐架内一些威胁可能比另一些威胁更可能发生(例如:简单的键盘错误比中断更易发生)类似的，一些弱点可能只在短期内存在(如:当保安从运钞车进入金库时)而别的可能会长期存在(如:银行金库警报系统没有覆盖所有入口点)影响的变化也很大:有些可能使整个组织或系统置于严重的危险之中(如火灾)；有些可能会对整体来说无关重要

保险公司也许有能力去计算某种威胁与弱点存在的可能性并预测可能受到影响的程序，但是，这也是不严密的--或许艺术性多于科学承保人赌其涵盖了所有风险:尽管给定的事件是不可预测的，但在一定时期的多数事件发生的可能性可以很大的可信度估计，大部分是基于早期的经验尽管如此，这种手段仍存在着两个重要的问题一些极度影响事件(如你的首席行政长官遭遇雷击)是很少发生以至人类的本性倾向于忽略这类事件，因此，承保人发现很难以理想的价格去销售相应政策进一步，新的条件导入新的风险，但经验不足甚至使他们预测更困难高技术主题的电子商务变化得非常快以至IT专家也要尽力跟起而不致落后承保人在风险方面做得不比猜测多

威胁与弱点的特定组合也许仅仅偶尔存在("坏运气")，十分显然，几乎没有弱点与/或威胁的系统就不大可能长期受到影响另一方面，一个脆弱的系统，一个具有许多大的潜在影响(的系统)更有可能遭到毁坏，这是风险管理的基本点，它本身是任何一个组织完好管理中的重要元素

管理者一般通过引导通缉资源转向风险缓和的活动如设置合适的控制框架，来寻求减少弱点、威胁与影响。

一个简易风险模型的来源

管理企业远远超过无风险活动。的确，承受可接受的风险（有些可能导致破产）能取得利润。正确管理的关键是知道缓和哪种风险以及何时把握机会。这就是为什么对风险有个良好的认识的重要这所在。在这里，提供一个简单的类数学模型以助计量风险。考虑风险的性质，你将得到如下的公式:

风险=威胁+弱点+影响

表面上看，该公式意味着具有高威胁、弱点或影响的系统是高风险的系统。尽管如此，是威胁与弱点的组合造成影响的存在。而对组织的破坏的程度依赖于一个事件的发生与影响的促使。用数学语言来说，逻辑与计算需要乘积而不是和，如:

风险=威胁弱点影响

包含至少两个重要因素（如:高威胁与弱点）的组合能产生比仅具较低或中等水平因素组合更高的风险。任何一个因素降为零风险将降得更大。

计算风险

为了使用模型去计算风险，你得检查与计量各单独组成要素（威胁、弱点与影响）。

最简单的方法是将这三个要素分成高（3分），中（2分），低（1分）或零（0分）。产生的风险分值在0 至27之间。作为替代，你也许宁愿用一个持续的百分数尺。如:

0% 25% 50% 75% 100% 受雷击

+- ---------- -+- ---------- -+- ---------- -+- ---------- -+ 的威胁

人受雷击 建筑物受雷击 被静电击死

使用百分数尺能得到的最大风险计分是1,000,000（100100100）。因而能为组织确定风险提供足够的详细（情况）。不论什么量度，过程是一样的。我们比较与对比风险因素，寻求一个企业价值合理延伸。一具厌风险管理者比喜风险管理者更可能估价风险，但是价值延伸应当更广泛地比较。正是这延伸赋予模型其真实的能量，允许我们去给风险排序。

实践中应用风险模型

本模型在实践环节中有许多效用，如风险评估与审计计划程序:

这个过程有两个重要的输出:一个风险排列（对组织管理者是有用的）与相匹配的排列过的审计计划（构造内部或与外部审计师工作）。“定期涮新”提供反映变化的风险因素分值更新的机会，如内部控制环境（养活弱点）的提高或新的市场压力（增加威胁）。

这个程序的理论基础使得计划审计工作与组织风险间的联系更清楚。

类似地，项目风险也能利用该模型评估以形成基本的项目风险管理。项目威胁依靠于项目的性质，但典型的包括政治、经济、社会与技术方面（被称为PEST分析）弱点包括不合适技能，刺激机制，财务或别的资源限制等。项目失败影响一般分为:

过多成本

推迟完成

顾客满意度低

该模型也能被用来联系这些因素与风险是否重要的建议，形成一个管理活动日程。风险计算应当随着取得新信息在项目过程中更新。

IT有三个层次：

第一层是硬件，主要指数据存储、处理和传输的主机和网络通信设备；

第二层是指软件，包括可用来搜集、存储、检索、分析、应用、评估信息的各种软件，它包括我们通常所指的ERP(企业资源计划)、CRM(客户关系管理)、SCM(供应链管理)等商用管理软件，也包括用来加强流程管理的WF(工作流)管理软件、辅助分析的DW/DM(数据仓库和数据挖掘)软件等；

第三层是指应用，指搜集、存储、检索、分析、应用、评估使用各种信息，包括应用ERP、CRM、SCM等软件直接辅助决策，也包括利用其它决策分析模型或借助DW/DM等技术手段来进一步提高分析的质量，辅助决策者作决策(强调一点，只是辅助而不是替代人决策)。

风险管理规划是在项目正式启动前或启动初期对项目的一个纵观全局的基于风险角度的考虑、分析、规划，也是项目风险控制中最为关键的内容。一　风险形势评估风险形势评估以项目计划、项目预算、项目进度等基本资讯为依据，着眼于明确项目的目标、战略、战术以及实现项目目标的手段和资源。从而实现：通过风险的角度审查项目计划认清项目形势，并揭示隐藏的一些项目前提和假设，使项目管理者在项目初期就能识别出一些风险。尤其是项目建议书、可行性报告或项目计划一般都是在若干假设、前提、预测的基础上完成的，这些假设、前提、预测在项目实施期间有可能成立，也有可能不成立。而这其中隐藏的风险问题又通常是被忽视的。一旦问题发生，往往造成项目管理方的措手不及和无一应对。例如项目计划中假设用户实施小组全力支援、脱産或几乎脱産投入IT项目的实施，但在实际过程中，用户方人员却不得不抽出大量时间处理塬有的业务，造成IT项目实施进度的拖延和实施效果不尽人意的风险。诸如此类的例子还有很多。为了找出这些隐藏的项目条件和威胁，就需要对与项目相关的各种计划进行详细审查，如人力资源计划、合同管理计划、项目采购计划等等。由此我们可以得出，风险形势评估一般应重视以下内容：项目的起因、目的、项目的范围、组织目标与项目目标的相互关系、项目的贡献、项目条件、制约因素等。二　风险识别在对项目的基础的风险形势评估之上，就需要对各种显露的和潜在的风险进行识别。风险识别实际上是对将来可能发生的风险事件的一种设想和猜测。因此，一般的风险识别结果应包括风险的分类、来源、表现及其后果、以及引发的相关项目管理要求。在具体识别风险时，一方面可利用一些常识、经验和判断，通过以前经历的项目中积累起来的资料、资料、经验和教训，或者请教相关的专家和资深从业人员，采用集体讨论的方式。另一方面，可以通过分解项目的范围、结构来识别风险，理清项目的组成和各个组成部分的性质、之间的关系、与外因的联系等内容，从而减少项目实施过程中的不确定性。除此之外，还可以利用一些技术和工具。比如，结合经验和教训，将项目成功和失败的塬因罗列成一张核对表，或者是项目的实施范围、质量控制、项目进度、采购与合同管理、人力资源与沟通等。以上都是风险识别常用的一些手段和方法，当然还有其他更多的途径，因项目而异，灵活运用。三　风险分析和评价在进行风险识别并整理之后，必须就各项风险对整个项目的影响程度做一些分析和评价，通常这些评价建立在以特性为依据的判断和以资料统计为依据的研究上。风险分析的方法非常多，一般采用统计学范畴内的概率、分布频率、平均数衆数等方法。但无论是哪一种工具，都各有长短，而且不可避免的会受到分析者的主观影响。可以通过多角度多人员的分析或者采取头脑风暴法等尽可能避免。此外，我们应当明确，风险是一种变化着的事物，基于这种易变条件上的预测和分析，是不可能做到十分的精确和可靠的。所有的风险分析都只有一个目的，即尽量避免项目的失控和为具体的项目实施中的突发问题预留足够的后备措施和缓冲空间。风险评价之后，项目面临着两种选择，即面临着不可承受风险和可承受风险。对于前者，或者终止项目，或者采取补救措施，降低风险或改变项目;对于后者，则需要在项目之中进行风险控制。

风险可能性风险严重程度得分风险控制水平=风险系数

　IT战略规划是IT项目开始的首要活动，是实现企业和IT 目标的途径，也是进行后续项目的前提条件，所以我们就以IT规划为例，简要说明如何进一步预测IT风险。如下表所示，我们将IT战略规划进一步划分为6个小的问题，再分别计算出每一个小问题的风险系数，这样才能具体确认风险的具体来源。也只有这样，才能为下一步如何处置风险做出更精细的决策。

以上就是关于机房运维存在什么风险,怎么样去识别风险,有哪些手段可以降低风险,自己的风险全部的内容，包括:机房运维存在什么风险,怎么样去识别风险,有哪些手段可以降低风险,自己的风险、IT服务外包有什么风险、IT项目风险评估的方法等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！