论政府门户网站建设和信息系统项目风险管理

政府门户网站是政府主办的，并且以政府名义在工信部ICP备案、公安部备案的政府官方网站，也是对外宣传的网站。展示本地区形象，是连接各地区的信息化网络平台，也是跨部门、跨地区的综合业务受理系统。通过门户网站，企业、公民、政府可以便捷获得相关部门的政务信息和工作职责，并得到针对自己的个性化服务，使用户得到信息、处理相关业务更加高效便捷。

某政府门户网站项目从2018年3月开始启动，笔者全程参与了该项目的开发工作。项目采用服务器端与应用端分离，VPN专线与各市、县、区政府相连，使用B/S、C/S结合的架构。服务器端管理、维护采用C/S架构，提高访问速度；与省、市政府门户网站相连和用户网页浏览采用B/S架构，减少客户端负载；服务器端采用Linux操作系统。开发语言后台采用PHP+MySQL架构，前端采用JAVA+CSS+JS。之所以这样使用，是应用户需求，后台传输实时数据量大，反应时间短，采用比较流行、稳定性好的数据库和架构，前端考虑实时传输速度和负载量等综合因素，这样可以提高系统的稳定性和反应时间。

网站栏目分为领导之窗、政务公开、政务服务、投资招商、旅游资源、网上办事、互动交流、专题专栏等相关子系统。其中政务公开包括各部门政府信息公开内容，方便查看本地区相关政策法规；网上办事栏目提供各部门的办事入口和流程，足不出户就可以办理相关业务；查询栏目与省、市政府门户网站建立接口，实现所有信息、政策法规在政府网站的实时查询，方便广大用户使用。市政府也保留后台登录接口，可以实时更新信息，查看相关数据，这样既提高了政务公开办事效率，又增加了政务公开的透明度。

该项目经过一年的开发，于2019年1月正式交付政府试运行，经过3个月试运行，项目组开发的政府门户网站于4月正式投入使用。该项目具有实时数据交互性强、不允许停机、瞬时数据量大等特点。如中途停机，将造成政府门户网站无法访问，出现负面舆情，影响群众办理相关业务。

为了按照既定的成本、质量、进度目标完成项目，笔者按照项目管理理论知识，结合本项目的实际，严格把控风险管理，确保了项目的圆满完成。

项目架构图

项目是在复杂的自然和社会环境下进行的，受众多因素的制约。对于这些内外因素，项目主体往往认识不足或没有能力加以控制。项目的过程和结果往往出乎意料，使其蒙受各种损失，但也可能带来机会。为了减少损失，将损失转化为机会，就要掌握风险的来源、性质及规律，进而有效地控制。

风险是涉及某种偶然性、不确定性或某种选择时，才能称为风险。以上三点是风险定义的必要条件，不是充分条件，具有不确定性的事件不一定是风险。风险一般具有随机性、相对性、可变性三个基本属性。

风险一般分为以下几个过程：

1.风险管理计划编制

这一阶段主要描述如何完成和管理项目的风险管理活动。笔者采用的主要工具是：计划会议。输出为风险管理计划，将组织、执行风险管理作为项目管理的一部分，并定义了方法论、分工和职责以及预算等，制定执行计划表，定义风险管理过程到项目进度，定义风险的类别和影响矩阵，修订项目干系人对风险的容忍度，建立项目干系人跟踪管理制度等。

2.风险识别

这一阶段主要是认识何种风险可能对项目产生影响，并将这些影响形成文件。笔者采用的工具和技术是：因果图、访谈、SWOT分析、系统流程图、影响图、头脑风暴法、Delphi法等。汇总风险分类，如意外安全风险、硬件安全风险、软件安全风险、无恶意安全风险、恶意人为风险等，增加了架构风险、规划风险、运行风险的识别机制。

3.定性风险分析

这一阶段主要是确定风险的先后次序、发生概率、影响程度等内容。笔者采用的工具和技术是：概率-影响矩阵、紧急度评估、风险数据质量评估等。形成风险记录，包括项目风险的优先级，按种类分组和风险监视表等。

4.定量风险分析

这一阶段主要定量风险对项目的影响。笔者采用的工具和技术是：专家判断、决策树、建模和仿真、乐观、悲观、中性估计等。技术上需要做好政府信息化的安全保障工作，如数据加密工具、数字证书、SSL、网页防篡改工具、防火墙等，对后台传输、上传数据进行加密和隐藏，确保数据在传输中的完整性。

5.风险应对计划编制

这一阶段通过开发备用方法、应对措施等提高项目成功的机会，降低风险。采用的工作思路：一是负面影响的应对是回避、减轻、转移，二是正面影响的应对是强大、开拓、分享。这时要归纳已识别的风险、受影响的领域、成因以及影响目标的结果，形成风险的责任人和职责，定性、定量的分析结果，一致认可的应对策略，风险发生时的预警和信号，风险的应急储备量等。

6.风险监控

这一阶段是控制已识别风险，发现新风险，执行降低风险计划，评价工作有效性。技术和方法是风险评估、技术绩效评估、预留管理、差异和趋势分析、风险审计或定期风险评审。

笔者在项目识别阶段将项目风险分为三类：技术风险、团队风险、外部风险，现就其产生根源及应对措施论述如下。

1.技术风险

技术风险包括技术不熟悉、需求变化、质量降低、进度滞后等。由于项目的人员是在各个职能部门事先分配的，共11人，包含系统分析师2人，开发人员4人，测试、美工、配置管理员、数据库工程师、项目经理各1人。其中两名开发人员和一名系统分析师是没有开发经验和工作经验的应届毕业生，给项目的进度、质量成本带来了很大压力。针对以上情况，采取AB制，即一名经验丰富人员带一至两名学生，这样既解决了技术问题，又有效减少了人员流动带来的风险。项目组还聘请了单位内部资深工程师做为项目顾问，项目遇到难题时先组内研究，如不能解决，再请专家指导。

针对需求变化的问题，项目组在其政府内部网站上设立了《政府门户网站建设修改意见》专栏，将项目的需求、进度、待签文件等全部公开在网站上。这样可以方便各部门对系统提出意见，也可以督促建设方及时签署相关文件，即使是签署人在外地出差，也能通过内网看到待签内容。同时，在项目执行过程中，给定提交需求变更的截止时间，确保项目能够按时、高质量完成。

2.团队风险

包括团队成员流失、缺乏合适技术人员等。通过分析发现，一是因为异地开发，工程技术人员要往返开发地与本部之间，开发人员容易疲劳，心生厌倦；二是因为项目组开发人员大多是应届毕业生，经验、技术水平有限，影响了开发质量与进度。

在识别风险后，经过定性、定量分析、形成风险应对计划。能在开发地聘请到的非关键环节开发人员，优先考虑本地开发人员；所有硬件全部在本地采购，一定程度上降低了团队风险。在风险监控中，项目组把人员流动作为关注重点，在实行AB制的基础上，采取各种团队建设，充分发挥人员的最大价值。

3.项目组外风险

主要是预算资金不能及时到位，一方面由于建设方的主观原因；另一方面是建设方资金短期出现困难。经过双方协商，通过在项目成本中加入总价格的10%风险管理基金，作为建设方的备用资金预留在项目中，确保项目按时完成。

为期一年的时间，在领导的支持以及全体人员的共同努力下，项目组将风险降到了最低，达到成本、质量、进度的统一，项目验收后运行良好。但项目中也有不完善的地方，如需求变更频繁、人员技术水平低等，在以后的项目中会加以改进和提高。

来源：《网络安全和信息化》杂志

（本文不涉密）