这个项目风险挺高的:技术风险(多系统集成)、安全风险(等保三级)、进度风险(12个月工期紧)、合规风险(医疗数据)。我用概率-影响矩阵识别出5个高风险,制定了应对措施。等保测评第一次没通过,我整改后二次通过。
项目主要风险:技术风险(接口兼容性)、安全风险(患者隐私)、进度风险(工期紧)、合规风险(等保三级)。
我建立了风险登记册,包含风险描述、概率、影响、等级、应对策略、责任人。
我用头脑风暴、核查表、专家判断,识别出18项风险。
我用概率×影响矩阵,识别出5个高风险:接口兼容性、数据安全、进度延误、等保测评、人员流失。
接口兼容性风险:概率4分×影响5分=20分,属于高风险。
高风险应对策略:接口兼容性(提前验证+适配器)、数据安全(等保+加密)、进度延误(应急储备)、等保测评(外包)、人员流失(知识备份)。
项目第10个月,等保机构反馈:2个高危漏洞(SQL注入、明文传输)、5个中危漏洞,需要整改20天!
1)组织专家复测漏洞;
2)制定整改方案:SQL注入用预编译、明文传输用SM4加密;
3)周末紧急整改10天;
4)等保机构加急复测,通过!
我每周更新风险登记册,项目期间发生3次风险触发,都及时处理了。
风险管理要持续——不是一次性的事;
高风险要重点关注——资源向高风险倾斜;
应对要有预案——提前准备,别等出了问题才着急。