论文部分内容阅读
任何企业和项目都会存在风险,信息系统建设项目具有投资规模大、建设周期长、技术复杂性高,不确定性因素多等特点。信息化系统建设的重要内容之一是信息系统数据中心的基础设施建设。信息系统建设单位在项目建设中要特别重视项目风险的管理和控制。 以经典风险管理理论为基础,依据信息系统数据中心基础设施环境建设风险研究领域的特点,结合实际案例对象的服务特性,探索出的风险指标识别方法,现已成功应用于案例所描述的实际项目环境。 涉足风险管理领域,具体集中于风险指标识别与量化方法探索、风险指标的分析与控制,选取数据中心机房基础设施的一项真实案例为分析依据。 研究方法主要采用定性风险分析和基于行业经验分析为组合的应用分析法对风险进行处理。先定义出参考标准和评估基线标准,再通过数据资料的搜集、整理和分析,有效分类后进行威胁识别、脆弱性识别,利用简明的风险量化计算公式,对数据进行处理,推导出A公司的风险关注点,最后得出风险评估结论和控制策略。 创新之处体现为,根据数据中心机房的服务特性并结合行业经验分析,探索出适合机房风险的指标识别方法。通过对建设环境存在风险进行分类,对分类后的每项风险的威胁值和脆弱值进行定性评分,两项乘积即为此项风险的评估风险值。既可以参照单项风险间的风险值大小进行评估单项风险相对强弱,亦可将单项风险值求和后得出此项目风险总值与同行业建设项目进行比较。最后进行风险处置策略和管理措施的建议。 风险源于任何项目中都存在的不确定性。已知风险是指已经识别并分析过的风险,从而可对这些风险规划应对措施。对具体的未知风险,则无法主动进行管理,项目团队应该为未知风险创建应急计划。已经发生的项目风险也可视为一个问题。 规划风险管理是定义如何实施项目风险管理活动的过程。规划风险管理非常重要,它可以确保风险管理的程度、类型和可见度与风险以及项目对组织的重要性相匹配。规划风险管理的重要性还在于为风险管理活动安排充足的资源和时间,并为评估风险奠定一个共同认可的基础。 识别风险是判断哪些风险会影响项目并记录其特征的过程。识别风险是一个反复进行的过程,因为在项目生命周期中,随着项目的进展,新的风险可能产生或为人所知。反复的频率以及每一轮的参与者因具体情况而异。应该采用统一的格式对风险进行描述,确保可以把项目中一个风险事件的影响与其他事件进行比较。 实施定性风险分析是评估并综合分析风险的发生概率和影响,对风险进行优先排序,从而为后续分析或行动提供基础的过程。组织可以通过关注高优先级的风险来提升项目绩效。实施定性风险分析根据风险发生的相对概率或可能性、风险发生后对项目目标的相应影响以及其他因素,来评估已识别风险的优先级。 实施定量风险分析是就已识别风险对项目整体目标的影响进行定量分析的过程。实施定量风险分析的对象是在定性风险分析过程中被认为对项目的竞争性需求存在潜在重大影响的风险。实施定量风险分析过程就是对这些风险事件的影响进行分析。它可以为每个风险单独进行量化评级,或者可以评估所有风险对项目的总体影响。 实施定量风险分析通常在定性风险分析之后进行。有时,不需要实施定量风险分析,就可以制定出有效的风险应对措施。在特定的项目中,究竟采用哪种方法进行风险分析,取决于可用的时间和预算,以及对风险及其后果进行定性或定量描述的需要。在规划风险应对之后,应该随着监控风险过程的开展,重新实施风险定量分析,以确定项目总体风险的降低程度是否令人满意。通过反复进行定量风险分析,可以了解风险的发展趋势,并揭示增减风险管理措施的必要性。 案例风险评估对某外资保险(中国)有限公司(以下简称为A公司)的数据中心实际状况展开调研。A公司机房为自有的数据中心机房,为保障A公司数据中心系统稳定有效运行,防范由于基础设施风险对数据系统造成不良影响,对A公司数据中心开展机房环境风险分析工作。风险评估主要针对A公司数据中心场地环境开展风险分析工作,通过对数据中心场地环境运行状况的梳理,识别数据中心的潜在风险,并依据防范或控制风险的可行性,采取相应的风险控制措施,提高数据中心风险抵御能力。本次风险分析工作内容包括图纸资料查阅、场地环境勘察、基础设施管理人员调研以及风险评估报告撰写和沟通交流工作。 案例风险评估以电子计算机机房设计规范、电子计算机场地通用规范等为依据,配以同行业最佳实践,根据参与调研单位提供的文档资料和信息,以及A公司IT技术部相关访谈记录信息,得出评估结论。 案例风险评估是按照风险管理理论、行业经验、国家规范,结合机房场地的实际情况及访谈反馈内容进行综合评估。根据A公司数据中心面临的场地环境风险及风险控制策略的选取原则,建议对“资产风险汇总表”内各项风险的采取不同的风险管控策略,风险管控策略主要有两种,一种是加强管控后再次评估的策略,提出管控措施建议,由A公司决策采用相应的解决方案,通过加强管控措施的办法,降低风险至可接受的程度。另一种是作为遗留风险的策略,即不管采取何种措施都不能将风险降低到被A公司接受的水平,或是采取措施的实施成本太高不能被A公司接受,都将作为遗留风险处置。 最后得出数据中心机房环境风险评估结论,提出风险关注点和风险管控点,并对风险管控后的遗留风险进行说明,对未来风险再评估进行了展望。