軟件風(fēng)險控制計劃案例

軟件風(fēng)險控制計劃

目錄1.

軟件項目風(fēng)險管理計劃

...........................................................................................................

2

2.

風(fēng)險條目表

...............................................................................................................................

2

2.1.

產(chǎn)品規(guī)模風(fēng)險

........................................................................................................................

2

2.2.

需求風(fēng)險

................................................................................................................................

2

2.3.

商業(yè)影響所帶來的風(fēng)險

........................................................................................................

2

2.4.

有關(guān)性風(fēng)險

............................................................................................................................

3

2.5.

管理風(fēng)險

................................................................................................................................

3

2.6.

技術(shù)風(fēng)險

................................................................................................................................

3

2.7.

開發(fā)環(huán)境風(fēng)險

........................................................................................................................

3

2.8.

人員數(shù)目及經(jīng)驗風(fēng)險

............................................................................................................

3

3.

風(fēng)險定性分析

...........................................................................................................................

4

4.

定量風(fēng)險預(yù)計

...........................................................................................................................

5

5.

風(fēng)險管理清單

...........................................................................................................................

5

6.

項目風(fēng)險方法應(yīng)對

...................................................................................................................

6

6.1.

網(wǎng)絡(luò)環(huán)境風(fēng)險和操作系統(tǒng)風(fēng)險

............................................................................................

8

6.2.

數(shù)據(jù)存取風(fēng)險

........................................................................................................................

9

6.3.

網(wǎng)上支付風(fēng)險

........................................................................................................................

9

7.

風(fēng)險儲藏

...................................................................................................................................

9

8.

風(fēng)險監(jiān)控

...................................................................................................................................

9

1.軟件項目風(fēng)險管理計劃本計劃重要針對項目開發(fā)涉及到的風(fēng)險，涉及在項目開發(fā)周期過程中可能出現(xiàn)的風(fēng)險以及項目實施過程中外部環(huán)境的變化可能引發(fā)的風(fēng)險等進行評定。在文中對所提到的風(fēng)險都一一做了分析，并提出了對應(yīng)的風(fēng)險回避方法。由于風(fēng)險是在項目開始之后才開始對項目的開發(fā)起負面的影響，因此風(fēng)險分析的局限性，或是風(fēng)險回避方法不得力，都很有可能造成項目開發(fā)的失敗。風(fēng)險分析是在事前的一種預(yù)計，憑借一定的技術(shù)手段和豐富的經(jīng)驗，基本能夠?qū)椖康娘L(fēng)險做出比較精確的預(yù)計，通過謹慎的考慮提出可行的風(fēng)險回避方法，是避免損失的重要環(huán)節(jié)。2.風(fēng)險條目表

2.1.

產(chǎn)品規(guī)模風(fēng)險由于采用功效點估算成本，代碼行不大于50000

行，權(quán)重擬定主觀，另外，功效點到代碼行的轉(zhuǎn)換率全憑業(yè)界經(jīng)驗所得產(chǎn)品的初定在線活躍顧客為

5000

人。軟件接口涉及財務(wù)分析軟件，薪酬管理軟件2.2.

需求風(fēng)險對在線活躍顧客缺少擬定的把握與其它部門溝通不協(xié)調(diào)分析員對業(yè)務(wù)理解不全方面需求不停變化，由于不擬定的需求造成新的市場

2.3.

商業(yè)影響所帶來的風(fēng)險增加了信息真?zhèn)卧u定成本簽約安全成本增加增加消費者的驗貨成本增加客服成本增加交易安全的法律成本延遲交付造成成本消耗2.4.

有關(guān)性風(fēng)險

財物資源有限

項目經(jīng)理管理經(jīng)驗局限性不可抗力造成的危害

高層管理人員對項目的時間規(guī)定不合理

2.5.

管理風(fēng)險

項目范疇定義不清晰

進度遲延溝通不善

2.6.

技術(shù)風(fēng)險

公司其它部門人員缺少培訓(xùn)

數(shù)據(jù)加密技術(shù)不夠安全特殊功效不能及時交付數(shù)據(jù)庫過小不能滿足需要避免黑客攻擊技術(shù)不夠

設(shè)計錯誤編碼造成程序?qū)崿F(xiàn)困難缺少測試計劃

缺少質(zhì)量跟蹤2.7.

開發(fā)環(huán)境風(fēng)險

所使用開發(fā)軟件的質(zhì)量問題

設(shè)計工具不合用

數(shù)據(jù)庫各子模塊對接困難設(shè)備不能準時到位

設(shè)備固定折損嚴重系統(tǒng)崩潰

備份環(huán)境不穩(wěn)定

2.8.

人員數(shù)目及經(jīng)驗風(fēng)險

人力資源有限

開發(fā)人員沒有接受過正規(guī)培訓(xùn)

項目中有某些開發(fā)人員只能部分時間工作

開發(fā)人員不能準時到位

開發(fā)人員經(jīng)驗局限性根據(jù)風(fēng)險條目表制訂風(fēng)險分析計劃以下（涉及風(fēng)險的定性和定量分析）。3.

風(fēng)險定性分析

本項目采用概率分布法針對風(fēng)險概率及后果績效定性的進行評定類別潛在風(fēng)險事件風(fēng)險發(fā)生概率的定性等級風(fēng)險后果影響的定性等級綜合風(fēng)險指數(shù)產(chǎn)品規(guī)模風(fēng)險功效點預(yù)計不精確中輕度11產(chǎn)品的初始在線活躍顧客為5000人高嚴重5軟件接口涉及財務(wù)分析軟件，薪酬管理軟件極高嚴重3需求風(fēng)險對在線活躍顧客缺少擬定的把握高輕度9與其它部門溝通不協(xié)調(diào)高輕度18分析員對業(yè)務(wù)理解不全方面中輕微11需求不停變化，由于不擬定的需求造成新的市場中輕度2商業(yè)影響所帶來的風(fēng)險增加了信息真?zhèn)卧u定成本中輕微18簽約安全成本增加低輕微19增加消費者的驗貨成本中輕度11增加客服成本高輕度9增加交易安全的法律成本低嚴重10延遲交付造成成本消耗中災(zāi)難性4有關(guān)性風(fēng)險財物資源有限中輕度11項目經(jīng)理管理經(jīng)驗局限性極高嚴重3不可抗力造成的危害低災(zāi)難性的8高層管理人員對項目的時間規(guī)定不合理極高災(zāi)難性的1風(fēng)險管理項目規(guī)范定義不清晰高嚴重5進度遲延極高嚴重3溝通不善中輕度11技術(shù)風(fēng)險公司其它部門人員缺少培訓(xùn)中輕度11數(shù)據(jù)加密技術(shù)不夠安全極高災(zāi)難性1特殊功效不能及時交付中輕度11數(shù)據(jù)庫過小不能滿足需求低輕度11避免黑客攻擊技術(shù)不夠高嚴重5設(shè)計錯誤編碼造成程序?qū)崿F(xiàn)困難中嚴重6缺少測試計劃低輕度14缺少質(zhì)量跟蹤高輕度9開發(fā)環(huán)境風(fēng)險全部開發(fā)軟件的質(zhì)量問題

中嚴重6設(shè)計工具不合用

低輕微19數(shù)據(jù)庫模塊對接困難

中嚴重6設(shè)備不能準時到位

低嚴重10設(shè)備固定折損嚴重

低輕度14系統(tǒng)崩潰

低災(zāi)難性8備份環(huán)境不穩(wěn)定中嚴重6人員數(shù)目及經(jīng)驗風(fēng)險人力資源有限中輕度11開發(fā)人員沒有接受過正規(guī)培訓(xùn)高輕微16項目中有某些開發(fā)人員只能部分時間工作中輕度11開發(fā)人員不能準時到位中輕度11開發(fā)人員經(jīng)驗局限性高嚴重5（1-5

是不能接受的風(fēng)險；6-9

是不但愿有的風(fēng)險；10-17

是有控制的接受的風(fēng)險；

18-20

是不經(jīng)評審即可接受的風(fēng)險）4.

定量風(fēng)險預(yù)計實施后，有

75%的成功率，25%的失敗率。25%的概率項目有高性能的回報為800000，

75%概率虧本的回報為-100000。由此，項目成功的損益盼望值為（800000*25%-100000*75%）*75%=93750，項目失敗的盼望值為-50000，則實施后的損益盼望值為93750-50000=

43750，不實施此項目計劃的損益盼望值為0。能夠決定實施本項目。5.風(fēng)險管理清單風(fēng)險類別概率影響排序項目經(jīng)理管理經(jīng)驗局限性有關(guān)性風(fēng)險98%41數(shù)據(jù)加密技術(shù)不夠安全技術(shù)風(fēng)險97%52需求不停變化，由于不擬定的需求造成新的市場需求風(fēng)險95%53高層管理人員對項目的時間規(guī)定不合理有關(guān)性風(fēng)險93%54進度遲延管理風(fēng)險92%45軟件接口涉及財務(wù)分析軟件，薪酬管理軟件產(chǎn)品規(guī)模風(fēng)險91%56開發(fā)人員經(jīng)驗局限性人員數(shù)目及經(jīng)驗風(fēng)險85%47產(chǎn)品的初定在線活用顧客為5000人產(chǎn)品規(guī)模風(fēng)險80%48項目范疇定義不清晰管理風(fēng)險75%49延遲交付造成成本消耗

商業(yè)影響所帶來的風(fēng)險60%510

6.

項目風(fēng)險方法應(yīng)對風(fēng)險意識風(fēng)險應(yīng)對方法項目管理過程潛在風(fēng)險事件風(fēng)險發(fā)生后果應(yīng)急方法防止方法產(chǎn)品規(guī)模風(fēng)險功效點預(yù)計不精確

工期延誤追加資源

加班加點產(chǎn)品的初定在線活躍顧客為5000人系統(tǒng)不穩(wěn)定追加服務(wù)器資源采用大型服務(wù)器軟件接口涉及財務(wù)分析軟件，薪酬管理軟件數(shù)據(jù)庫不能共享請顧問專家優(yōu)化軟件接口需求

風(fēng)險對在線活躍顧客缺少擬定的把握系統(tǒng)崩潰修改系統(tǒng)采用大型服務(wù)器與其它部門溝通不協(xié)調(diào)

軟件不能滿足業(yè)務(wù)需求立刻與部門進行溝通指定溝通管理計劃分析員對業(yè)務(wù)理解不全方面系統(tǒng)不能滿足業(yè)務(wù)需求根據(jù)部門經(jīng)理規(guī)定修改讓顧客確認需求報告需求不停變化，由于不擬定的需求造成新的市場項目變得沒完沒了提交討論決定建立范疇變更程序商業(yè)

影響所帶來的風(fēng)險增加了信息真?zhèn)卧u定成本顧客回絕使用系統(tǒng)推廣網(wǎng)站出名度增設(shè)信用評級簽約安全成本增加公司誠信減少追加成本布署安全合同增加消費者的驗貨成本消費者緊張商品不能準時送達加派人手送貨提高物流部門運輸效率增加客服成本失去客戶群降價方略完善客服系統(tǒng)增加交易安全的法律成本承當法律責(zé)任與顧客和解

提高法律意識延遲交付造成成本消耗項目進度拖期加班加點定制時間管理計劃有關(guān)

性風(fēng)

險財務(wù)資源有限項目不能按期完畢追加成本減少資源消耗項目經(jīng)理管理經(jīng)驗局限性項目拖期，妨礙員工能力的發(fā)揮培訓(xùn)或者換人配備有經(jīng)驗的管理者高層管理人員對項目的時間規(guī)定不合理項目不能完畢及時溝通平時加強溝通管理

風(fēng)險項目規(guī)范定義不清晰項目沒完沒了按照顧客規(guī)定變更事先定義清晰并獲得顧客確認進度遲延項目拖期

加班加點制訂詳盡工作計劃溝通不善項目拖期及時溝通制訂詳盡溝通計劃

技術(shù)風(fēng)險公司其它部門人員缺少培訓(xùn)系統(tǒng)功效不能完全實現(xiàn)一對一培訓(xùn)制訂培訓(xùn)計劃數(shù)據(jù)加密技術(shù)不夠安全被商業(yè)間諜盜取備份

加強安全管理特殊功效不能及時交付不能滿足顧客需求

追加模塊

溝通機制

數(shù)據(jù)庫過小不能滿足

數(shù)據(jù)溢出將現(xiàn)有數(shù)據(jù)備份

應(yīng)用較大的數(shù)據(jù)庫避免黑客攻擊技術(shù)不夠數(shù)據(jù)丟失

數(shù)據(jù)還原提高系統(tǒng)安全性設(shè)計錯誤編碼造成程序?qū)崿F(xiàn)困難質(zhì)量問題修改設(shè)計編碼之邁進行設(shè)計評審缺少測試計劃項目拖期，質(zhì)量問題發(fā)現(xiàn)不了追加測試計劃事先評審測試計劃缺少質(zhì)量跟蹤質(zhì)量問題及時解決問題制訂質(zhì)量跟蹤計劃開發(fā)環(huán)境風(fēng)險所使用開發(fā)軟件質(zhì)量問題項目拖期更換開發(fā)軟件選擇正版軟件設(shè)計工具不合用項目拖期更換開發(fā)軟件選擇適宜的設(shè)計工具數(shù)據(jù)庫各個模塊對接困難容易造成各供應(yīng)商之間互相推諉和扯皮并借機增加合同價格的現(xiàn)象，影響項目成本轉(zhuǎn)移給機房子系統(tǒng)供應(yīng)商分工和界面進行提前界定

設(shè)備不能準時到位項目進度拖期催設(shè)備供應(yīng)商提前采購或合同約束設(shè)備固定折損嚴重項目拖期

修改或換設(shè)備

加強設(shè)備防止性維修系統(tǒng)崩潰高管理規(guī)定承當損失加緊修復(fù)事先備份備份環(huán)境不穩(wěn)定顧客投訴重新生成數(shù)據(jù)做好備份人員數(shù)據(jù)及經(jīng)驗風(fēng)險人力資源有限項目拖期添加人手制訂合理的時間管理計劃開發(fā)人員沒有接受過正規(guī)培訓(xùn)項目拖期增加專人開發(fā)提前培訓(xùn)項目中有某些開發(fā)人員只能部分時間工作項目拖期增加專人開發(fā)安排好開發(fā)人員的時間開發(fā)人員不能準時到位項目拖期增加專人開發(fā)項現(xiàn)在商定到位時間開發(fā)人員經(jīng)驗局限性項目拖期增加專人開發(fā)做好培訓(xùn)對電子商務(wù)系統(tǒng)的安全而言，風(fēng)險識別的目的重要是對電子商務(wù)系統(tǒng)的網(wǎng)絡(luò)環(huán)境風(fēng)險、

數(shù)據(jù)存取風(fēng)險和網(wǎng)上支付風(fēng)險進行識別。電子商務(wù)風(fēng)險識別最慣用的一種辦法就是收集多個

曾經(jīng)發(fā)生過的電子商務(wù)攻擊事件（不僅局限于本公司），通過分析提取出若干特性，將其存

儲到“風(fēng)險”庫，作為識別潛在風(fēng)險的參考。

由于電子商務(wù)系統(tǒng)的特殊性，我們對下列影響本電子商務(wù)系統(tǒng)的特殊問題進行具體分析：

6.1.

網(wǎng)絡(luò)環(huán)境風(fēng)險和操作系統(tǒng)風(fēng)險

網(wǎng)絡(luò)服務(wù)器常遭受到黑客的攻擊，個別網(wǎng)絡(luò)中的信息系統(tǒng)受到攻擊后無法恢復(fù)正常運

行；網(wǎng)絡(luò)軟件經(jīng)常被人篡改或破壞；網(wǎng)絡(luò)中存儲或傳遞的數(shù)據(jù)經(jīng)常被未經(jīng)授權(quán)者篡改、增刪、

復(fù)制或使用。

風(fēng)險應(yīng)對方法：大部分管理員采用安全漏洞掃描工具對整個系統(tǒng)進行掃描，理解系統(tǒng)的安全

狀況，如Microsoft

Baseline

Security

Analyze.許多國產(chǎn)殺毒軟件也提供安全測試程序：將存

在的漏洞標示出來，并提供對應(yīng)的解決辦法來指導(dǎo)顧客進行修補。掃描方式的漏洞檢測工具

往往無法得到目的系統(tǒng)的精確信息，因此無法精確判斷目的系統(tǒng)的安全狀況。模擬攻擊測試

是解決這一問題的有效辦法，能夠精確判斷目的系統(tǒng)與否存在測試的漏洞。但是由于漏洞的

多樣性和復(fù)雜性，現(xiàn)有的模擬攻擊測試系統(tǒng)發(fā)展緩慢。

過濾保護分析全部針對受保護對象的訪問，過濾惡意攻擊以及可能帶來不安全因素的非

法訪問；安全檢測保護對全部顧客的操作進行分析，制止那些超越權(quán)限的顧客操作以及可能

給操作系統(tǒng)帶來不安全因素的顧客操作；在特殊需要的時間段內(nèi)，對某一種或某些進程或線

程實施隔離，該時間段結(jié)束后解除隔離；

在軟件層面上對各個進程的訪問權(quán)限實施控制和

限制，以達成隔離的效果；

采用加密算法對對應(yīng)的對象進行加密。6.2.

數(shù)據(jù)存取風(fēng)險

由于數(shù)據(jù)存取不當所造成的風(fēng)險。這種風(fēng)險重要來自于公司內(nèi)部。一是未經(jīng)授權(quán)的人員進入系統(tǒng)的數(shù)據(jù)庫修改、刪除數(shù)據(jù)；二是公司工作人員操作失誤，受其錯誤數(shù)據(jù)的影響而帶來的風(fēng)險，其成果必然是使公司效益受到損失，或者是使顧客利益受到損失。

風(fēng)險應(yīng)對方法：為了避免信息被竊取，應(yīng)當對發(fā)送的全部信息進行加密。加密傳輸形式是一

種將傳送的內(nèi)容變成某些不規(guī)則的數(shù)據(jù)，只有通過對的的密鑰才能夠恢復(fù)原文的面貌。根據(jù)

密鑰的特點，加密算法分為對稱密鑰加密算法（私鑰密碼體制）和非對稱密鑰加密算法（公

鑰密碼體制）。現(xiàn)在慣用的對稱密鑰加密算法有DES（Data

Encrypt