信息工程监理风险评估

信息工程监理中的风险评估

一．摘要 信息系统工程监理制度在我国已形成一定的规模，并已经发挥了重要作用。本文从信息系统项目的内部、外部来分析信息系统工程监理存在的风险，简要介绍当前常用的一些分析方法

[关键词] 信息工程监理风险评估模糊综合评价

在对信息系统工程监理时，风险是影响结果的重要环节。监理方受业主委托，依法对信息工程项目的全过程进行监督管理，并站在第三方的立场上，协调业主方和承建方的关系。监理方不仅要对自身风险进行分析，同时也要为承建方及业主进行风险评估。

二．本论

(一).信息系统工程监理及风险管理的含义

1.信息系统工程监理

根据信息产业部的《信息系统工程监理暂行条例规定》，信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位，受业主单位委托，依据国家有关法律、法规、技术标准和信息系统工程监理合同，对信息系统工程项目实施的监督管理。

信息系统工程监理的内容可概括为以下几项：三监理（事前监理、事中监理、事后监理）、四控制（质量控制、进度控制、投资控制、变更控制）、三管理（合同管理、信息管理、安全管理）、一协调。

2.风险管理

风险是指对无法达到预定目标的可能性和结果的一种评测。

项目风险管理是指通过风险识别、风险分析和风险评价去认识项目的风险，并以此为基础合理地使用各种风险应对措施、管理方法、技术和手段对项目的风险实行有效的控制，妥善处理风险事件造成的不利后果，以最少的成本保证项目总体目标实现的管理工作。

（二）.风险概述

1.监理风险来源

（1）.外部风险

国家、全球政策风险：因政府法律、法规、政策、规划的变动，例如加入世贸组织、双边贸易摩擦等造成的影响。

经济环境风险：在监理过程中，由于预测失误、供求关系变化、通货膨胀、汇率变动等所导致经济损失的风险。

社会环境风险：近年来，监理得到了前所未有的重视，社会对监理工程师寄予了极大的期望，同时人们对监理认识也产生了某些偏差和误解，有可能形成一种对监理的健康发展不利的社会环境。

（2）.内部风险

业主引起的风险：在我国由于信息工程监理刚刚起步，某些业主对信息工程监理认识不清，对监理人员不信任，对监理工作不配合，使监理工作失去理性和相应的权利。

信息工程承建商引起的风险：例如，承建商对监理认识不清，不配合监理工作。许多系统集成商误认为监理是业主派来监督他们的，所以不愿意接受监理，自然不会配合监理工程师的工作。

信息工程监理方引起的风险：有的监理咨询机构为了迎合业主的意图，对工程质量、工期及投资控制进行不切实际的盲目承诺或采取压价的方式来承揽项目。使监理工作不能正常运行，达不到监理效果，直接损害了业主的利益，同时也使监理组织的社会形象受到极大损害。长此将失去社会及业主的信任，给整个信息工程监理行业带来巨大的行业风险。

2. 评估目的

进行风险评估的目的通常包括以下几个方面：

（1）了解组织的管理、网络和系统安全现状；

（2）确定可能对资产造成危害的威胁，包括入侵者、罪犯不满员工，恐怖分子和自然灾害

（3）通过对历史资料和专家的经验确定威胁实施的可能性

（4）对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的

（5）对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破话

（6）明晰组织的安全需求，知道组织建立安全管理框架，提出安全建议，合理规划未来的安全建设和投入

3. 评估内容

（1）通过弱点检测，识别在技术层面存在的安全弱点

（2）通过采集本地安全信息，过的目前安全控制、人员、安全策略、等方面的信息，并进行相应的分析

（3）通过对组织的人员、制度等相关安全管理措施的分析，了解组织现有的管理状况

（4）通过对以上各种安全风险的分析和汇总，形成组织安全风险评估报告

（三）. 实施风险及措施

1..制定风险应对计划（风险管理计划，应急计划，应急储备）

2．应对风险的3项措施（规避，接受，减轻）

（四）．评估成果输出

1.项目工作清单

项目工作和计划描述文档，即本文档。内容包括：

（1）项目概述

（2）技术评估与系统优化

（3）实施风险及规避措施

（4）评估成果输出

（5）项目实施计划

2.风险评估报告及修补建议

（1）.报告形式

主要内容以中文描述，漏洞内容可以是英文格式

（2）.描述

安全评估报告将包含以下内容：

安全评估结果摘要

安全评估对象说明

安全隐患统计表

漏洞情况以及解决方法分析

参考资料

词汇表

（3）.验收标准

客户认可，签字

3. 测试报告

（1）.描述

测试目标选择

目标的基本情况

安全隐患及相关联威胁分析

实施方法

最终实施报告

（2）．验收标准

客户认可，签字。

（五）．实施计划

1. 评估环境准备

（1）.甲方配合需求

确定客户实施负责人，成立评估小组。准备相关文档，相关的安全管理规章和制度等。

（2）.人员配合需求

双方应安排专门的固定项目总体负责人，总体负责风险评估工作。

双方可针对风险评估工作进展的不同阶段，安排人员进行项目的中间协调。

我方安全调查和安全审计工作时，需安排管理员配合我方的工作。

我方开展的所有评估工作，均应尽量安排安全人员参加

2. 质量管理与保障

（1）.变更控制管理

不受控制的项目变更，包括目标变更，范围变更，人员变更，文档修改等等是对整个项目质量的最大威胁。

在项目实施过程中，将以实施方案的维护未核心，对实施方案及其衍生文档地进行正规的变更控制管理。

（2）.评估过程控制

为保证评估项目中的各评估小组有效的工作，并保证整个项目的可控，需要双方共同组成评估小组并在评估之前举行会议，予以讨论，并形成正式文字材料，即书面确定双方在评估工作中的哲人和一位，在评估期间双方将本着友好合作的态度完成各自的职责。

六．结论

安全生产是企业的头等大事，如何完善工作机制，加强队伍建设和推动安全法制建设，是当前及今后一个时期电力监理企业对工程建设安全监管的基础性工作，对于我们实现安全管理模式创新具有非常重要的意义，值得我们不断深入地研究和探讨。