GB/T 20918-2007信息技術(shù)軟件生存周期過程風險管理

ICS35.080L77中華人民共和國國家標準GB/T20918-2007信息技術(shù)軟件生存周期過程風險管理Informationtechnology--Softwarelifecycleprocesses-一Riskmanagement2007-04-30發(fā)布2007-07-01實施中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布中國國家標準化管理委員會

GB/T20918-2007三次前言引言1范圍2規(guī)范性引用文件3術(shù)語和定義………4本標準的應(yīng)用5軟件生存周期中的風險管理附錄A（資料性附錄），風險管理計劃附錄B（資料性附錄)避險措施請求附錄C（資料性附錄)風險處理計劃14參考文獻

GB/T20918-2007前本標準的附錄A、附錄B和附錄C為資料性附錄本標準由中華人民共和國信息產(chǎn)業(yè)部提出。本標準由全國信息技術(shù)標準化技術(shù)委員會歸口本標準起草單位：中國電子技術(shù)標準化研究所。本標準主要起草人：陳靜、韓紅強、王瑋、楊根興

GB/T20918-2007軟件風險管理是進行有效決策并與軟件組織交流結(jié)果的關(guān)鍵準則。風險管理的目的在于,在潛在的管理和技術(shù)上的問題出現(xiàn)以前對其加以標識,以便采取措施減少或排除這些問題出現(xiàn)的概率和/或影響。風險管理是一個關(guān)鍵工具,有助于持續(xù)地確定項目計劃的可行性.改進對于那些影響軟件生存周期活動和軟件產(chǎn)品質(zhì)量與性能的潛在問題所進行的查找和識別.改進對于軟件項目的積極管理。成功地實施本標準，可：標識潛在間題；了解這些風險的概率和后果確定所涉及風險的優(yōu)先次序：給出超出其風險閩值的每個潛在風險可供選擇的處理建議：對超出其閩值的風險選擇合適的處理措施;監(jiān)督每項處理措施的有效性；獲取信息來改進風險管理策略：-定期評價并改進風險管理過程和規(guī)程。本標準支持軟件產(chǎn)品和服務(wù)的獲取、供應(yīng)、開發(fā)、運行和維護。本標準是為那些負責組織中定義、策劃、實施或支持軟件風險管理的人員而編寫的。使用領(lǐng)域、軟件項目或產(chǎn)品所在的軟件生存周期的階段和組織的具體特性將影響本標準在實踐中的應(yīng)用。本標準定義了一個適用于所有與軟件有關(guān)的工程和管理準則的持續(xù)的軟件風險管理過程。風險管理過程由許多重復(fù)運行的活動和任務(wù)組成。該過程定義了風險管理過程的最小活動集、要求的和獲取的風險管理信息及其在管理風險中的用法。本標準所定義的風險管理過程適用于在組織級或項目級使用.也適用于不同類型和規(guī)模的項目及處在不同生存周期階段的項目.并支持不同共利益者的觀點。由于個別組織和項目將對本標準進行剪裁以滿足其具體情況和需要，因此，本標準不規(guī)定為實施風險管理的任何具體風險管理技術(shù)或相關(guān)組織結(jié)構(gòu)的用法。本標準的用戶可參考IECStd60812：1985、IECStd61025:1990或IECGuide6o300-3-9:1995的指南來選擇和使用不同的風險分析技術(shù)與方法。然而.本標準無保留地支持使用能使風險管理成為一個持續(xù)過程的工具和技術(shù)。鼓勵項目中的所有相關(guān)人員以電子形式獲取并交流與風險有關(guān)的信息。本標準可單獨使用，也可與GB/T8566一起使用。當單獨使用本標準時,本標準提供了對應(yīng)用于整個軟件生存周期的軟件風險管理過程的完整且自包含的描述。當本標準與GB/T8566一起使用時.本標準在GB/T8566—2007所定義的軟件生存周期過程集合中增加了一個管理風險的過程。這意味著本標準假定涉及風險處理的活動遵從GB/T8566的管理慣例。因此，典型的風險處理將使用相同的管理措施。本標準持這樣的觀點，軟件風險管理是軟件工程技術(shù)和管理過程的重要組成部分,它不能由一個單獨的組織元素執(zhí)行。如果出于某些原因,例如：由于軟件項目的規(guī)模和性質(zhì)、包含的風險的大小和數(shù)量，或者將不遵循（B/T8566.而要求由一個單獨的組織元素來執(zhí)行風險處理,則本標準仍適用。為便于與GB/T8566標準一起使用.本標準按GB/T8566的術(shù)語和格式進行編寫

GB/T20918-2007信息技術(shù)軟件生存周期過程風險管理范圍1.1目的本標準描述了軟件獲取、供應(yīng)、開發(fā)、運作和維護過程中的風險管理過程。建議整個組織中的技術(shù)和管理人員都使用本標準。本標準的目的是為軟件供方、需方、開發(fā)者和管理者提供適合于管理廣泛、多樣的風險的一組過程要求。本標準不提供詳細明確的風險管理技術(shù),但致力于定義一個任何技術(shù)都可應(yīng)用于其中的風險管理過程。1.2應(yīng)用領(lǐng)域本標準定義了一個貫穿于軟件生存周期的風險管理過程。它適合由組織采用.用于所有適當?shù)捻椖炕騿蝹€項目。盡管本標準是為軟件項目中的風險管理而編寫的.但它也可用于系統(tǒng)級或組織級風險的管理。本標準可以與GB/T8566一起使用，也可以單獨使用1.2.1與GB/T8566一起使用GB/T8566描述了軟件的獲取、供應(yīng)、開發(fā)、運作和維護的標準過程。該標準考慮到積極地管理風檢是成功進行軟件項目管理的關(guān)鍵因素。GB/T8566標準中多處提到風險和風險管理.但卻沒有給出風險管理的過程。本標準給出了這個過程。為了支持管理者、參與者和其他共利益者等各方的觀點，在任何領(lǐng)域或生存周期階段，本標準都可用于管理組織級風險或者項目級風險。在由GB/T8566所給出的生存周期過程框架中.風險管理是一個“組織的生存周期過程”。在一個組織級生存周期過程中，使用該過程的組織負責該過程中的活動和任務(wù)。因此.組織應(yīng)確保過程存在并發(fā)揮作用。當和GB/T8566一起使用時.本標準假定GB/T8566的其他管理和技術(shù)過程執(zhí)行風險處理.并描述與這些過程的正確關(guān)系1.2.2單獨使用本標準本標準可以不依賴于任何特定的軟件生存周期過程標準而單獨使用。當以這種方式使用時，將運用本標準風險處理的附加條款1.3符合性組織或項目在計劃中列出并執(zhí)行本標準第5章中描述的活動和任務(wù)中的所有要求（用“應(yīng)“規(guī)定為必須執(zhí)行的)就可以聲稱符合本標準。在不依賴于GB/T8566而使用本標準的那些實例中,有關(guān)風險處理的附加要求在5.1.4.2中給出。1.4免責聲明本標準建立了軟件風險管理過程、活動和任務(wù)的最小要求集。實施這些