软件风险控制专题计划案例.doc

1、软件风险控制计划目录1.软件项目风险管理计划.22.风险条目表.22.1.产品规模风险.22.2.需求风险.22.3.商业影响所带来风险.22.4.相关性风险.32.5.管理风险.32.6.技术风险.32.7.开发环境风险.32.8.人员数目及经验风险.33.风险定性分析.44.定量风险估量.55.风险管理清单.56.项目风险方法应对.66.1.网络环境风险和操作系统风险.86.2.数据存取风险.96.3.网上支付风险.97.风险贮备.98.风险监控.91.软件项目风险管理计划本计划关键针对项目开发包含到风险，包含在项目开发周期过程中可能出现风险和项目实施过程中外部环境改变可能引发风险等进行评

2、定。在文中对所提到风险全部一一做了分析，并提出了对应风险回避方法。因为风险是在项目开始以后才开始对项目标开提议负面影响，所以风险分析不足，或是风险回避方法不得力，全部很有可能造成项目开发失败。风险分析是在事前一个估量，凭借一定技术手段和丰富经验，基础能够对项目标风险做出比较正确估量，经过慎重考虑提出可行风险回避方法，是避免损失关键步骤。2.风险条目表2.1.产品规模风险 因为采取功效点估算成本，代码行小于50000行，权重确定主观，另外，功效点到代码行转换率全凭业界经验所得产品初定在线活跃用户为5000人。 软件接口包含财务分析软件，薪酬管理软件2.2.需求风险 对在线活跃用户缺乏确定把握 和

3、其它部门沟通不协调 分析员对业务了解不全方面 需求不停改变，因为不确定需求造成新市场2.3.商业影响所带来风险 增加了信息真伪评定成本 签约安全成本增加 增加消费者验货成本 增加客服成本 增加交易安全法律成本 延迟交付造成成本消耗2.4.相关性风险 财物资源有限 项目经理管理经验不足 不可抗力造成危害 高层管理人员对项目标时间要求不合理2.5.管理风险 项目范围定义不清楚 进度拖延 沟通不善2.6.技术风险 企业其它部门人员缺乏培训 数据加密技术不够安全 特殊功效不能立即交付 数据库过小不能满足需要 预防黑客攻击技术不够 设计错误编码造成程序实现困难 缺乏测试计划 缺乏质量跟踪2.7.开发环境

4、风险 所使用开发软件质量问题 设计工具不适用 数据库各子模块对接困难 设备不能按时到位 设备固定折损严重 系统瓦解 备份环境不稳定2.8.人员数目及经验风险 人力资源有限 开发人员没有接收过正规培训 项目中有部分开发人员只能部分时间工作 开发人员不能按时到位 开发人员经验不足依据风险条目表制订风险分析计划以下（包含风险定性和定量分析）。3.风险定性分析本项目采取概率分布法针对风险概率及后果绩效定性进行评定类别潜在风险事件风险发生概率定性等级风险后果影响定性等级综合风险指数产品规模风险功效点估量不正确中轻度11产品初始在线活跃用户为5000人高严重5软件接口包含财务分析软件，薪酬管理软件极高严重

5、3需求风险对在线活跃用户缺乏确定把握高轻度9和其它部门沟通不协调高轻度18分析员对业务了解不全方面中轻微11需求不停改变，因为不确定需求造成新市场中轻度2商业影响所带来风险增加了信息真伪评定成本中轻微18签约安全成本增加低轻微19增加消费者验货成本中轻度11增加客服成本高轻度9增加交易安全法律成本低严重10延迟交付造成成本消耗中灾难性4相关性风险财物资源有限中轻度11项目经理管理经验不足极高严重3不可抗力造成危害低灾难性8高层管理人员对项目标时间要求不合理极高灾难性1风险管理项目规范定义不清楚高严重5进度拖延极高严重3沟通不善中轻度11技术风险企业其它部门人员缺乏培训中轻度11数据加密技术不够

6、安全极高灾难性1特殊功效不能立即交付中轻度11数据库过小不能满足需求低轻度11预防黑客攻击技术不够高严重5设计错误编码造成程序实现困难中严重6缺乏测试计划低轻度14缺乏质量跟踪高轻度9开发环境风险全部开发软件质量问题 中严重6设计工具不适用 低轻微19数据库模块对接困难 中严重6设备不能按时到位 低严重10设备固定折损严重 低轻度14系统瓦解 低灾难性8备份环境不稳定 中严重6人员数目及经验风险人力资源有限 中轻度11开发人员没有接收过正规培训 高轻微16项目中有部分开发人员只能部分时间工作 中轻度11开发人员不能按时到位 中轻度11开发人员经验不足 高严重5（1-5是不能接收风险；6-9是不

7、期望有风险；10-17是有控制接收风险；18-20是不经评审即可接收风险）4.定量风险估量实施后，有75%成功率，25%失败率。25%概率项目有高性能回报为800000，75%概率赔本回报为-100000。由此，项目成功损益期望值为（800000*25%-100000*75%）*75%=93750，项目失败期望值为-50000，则实施后损益期望值为93750-50000=43750，不实施此项目计划损益期望值为0。能够决定实施本项目。5.风险管理清单风险类别概率影响排序项目经理管理经验不足相关性风险98%41数据加密技术不够安全技术风险97%52需求不停改变，因为不确定需求造成新市场需求风险9

8、5%53高层管理人员对项目标时间要求不合理相关性风险93%54进度拖延管理风险92%45软件接口包含财务分析软件，薪酬管理软件产品规模风险 91%56开发人员经验不足人员数目及经验风险 85%47产品初定在线活用用户为5000人产品规模风险80%48项目范围定义不清楚管理风险75%49延迟交付造成成本消耗商业影响所带来风险 60%5106.项目风险方法应对风险意识风险应对方法项目管理过程潜在风险事件风险发生后果应急方法预防方法产品规模风险功效点估量不正确 工期延误 追加资源 加班加点产品初定在线活跃用户为5000人系统不稳定追加服务器资源采取大型服务器软件接口包含财务分析软件，薪酬管理软件数据

9、库不能共享请顾问教授优化软件接口需求风险对在线活跃用户缺乏确定把握系统瓦解修改系统采取大型服务器和其它部门沟通不协调软件不能满足业务需求立即和部门进行沟通指定沟通管理计划分析员对业务了解不全方面系统不能满足业务需求依据部门经理要求修改让用户确定需求汇报需求不停改变，因为不确定需求造成新市场项目变得没完没了提交讨论决定建立范围变更程序商业影响所带来风险增加了信息真伪评定成本用户拒绝使用系统推广网站著名度增设信用评级签约安全成本增加企业诚信降低追加成本布署安全协议增加消费者验货成本消费者担心商品不能按时送达加派人手送货提升物流部门运输效率增加客服成本失去用户群降价策略完善客服系统增加交易安全法律成

10、本负担法律责任和用户和解提升法律意识延迟交付造成成本消耗项目进度拖期加班加点定制时间管理计划相关性风险财务资源有限项目不能按期完成追加成本降低资源消耗项目经理管理经验不足项目拖期，阻碍职员能力发挥培训或换人配置有经验管理者高层管理人员对项目标时间要求不合理项目不能完成立即沟通平时加强沟通管理风险项目规范定义不清楚项目没完没了根据用户要求变更事先定义清楚并取得用户确定进度拖延项目拖期加班加点制订详尽工作计划沟通不善项目拖期立即沟通制订详尽沟通计划技术风险企业其它部门人员缺乏培训系统功效不能完全实现一对一培训制订培训计划数据加密技术不够安全被商业间谍盗取备份加强安全管理特殊功效不能立即交付不能满足

11、用户需求追加模块沟通机制数据库过小不能满足数据溢出将现有数据备份应用较大数据库预防黑客攻击技术不够数据丢失数据还原提升系统安全性设计错误编码造成程序实现困难质量问题修改设计编码之前进行设计评审缺乏测试计划项目拖期，质量问题发觉不了追加测试计划事先评审测试计划缺乏质量跟踪质量问题立即处理问题制订质量跟踪计划开发环境风险所使用开发软件质量问题项目拖期更换开发软件选择正版软件设计工具不适用项目拖期更换开发软件选择适宜设计工具数据库各个模块对接困难轻易造成各供给商之间相互推诿和扯皮并借机增加协议价格现象，影响项目成本转移给机房子系统供给商分工和界面进行提前界定设备不能按时到位项目进度拖期催设备供给商提

12、前采购或协议约束设备固定折损严重项目拖期修改或换设备加强设备预防性维修系统瓦解高管理要求负担损失加紧修复事先备份备份环境不稳定用户投诉重新生成数据做好备份人员数据及经验风险人力资源有限项目拖期添加人手制订合理时间管理计划开发人员没有接收过正规培训项目拖期增加专员开发提前培训项目中有部分开发人员只能部分时间工作项目拖期增加专员开发安排好开发人员时间开发人员不能按时到位项目拖期增加专员开发项现在约定到位时间开发人员经验不足项目拖期增加专员开发做好培训对电子商务系统安全而言，风险识别目标关键是对电子商务系统网络环境风险、数据存取风险和网上支付风险进行识别。电子商务风险识别最常见一个方法就是搜集多种曾

13、经发生过电子商务攻击事件（不仅局限于本企业），经过分析提取出若干特征，将其存储到“风险”库，作为识别潜在风险参考。因为电子商务系统特殊性，我们对以下影响本电子商务系统特殊问题进行具体分析：6.1.网络环境风险和操作系统风险网络服务器常遭受到黑客攻击，部分网络中信息系统受到攻击后无法恢复正常运行；网络软件常常被人篡改或破坏；网络中存放或传输数据常常被未经授权者篡改、增删、复制或使用。风险应对方法：大部分管理员采取安全漏洞扫描工具对整个系统进行扫描，了解系统安全情况，如MicrosoftBaselineSecurityAnalyze.很多国产杀毒软件也提供安全测试程序：将存在漏洞标示出来，并提供对

14、应处理方法来指导用户进行修补。扫描方法漏洞检测工具往往无法得到目标系统正确信息，所以无法正确判定目标系统安全情况。模拟攻击测试是处理这一问题有效方法，能够正确判定目标系统是否存在测试漏洞。不过因为漏洞多样性和复杂性，现有模拟攻击测试系统发展缓慢。过滤保护分析全部针对受保护对象访问，过滤恶意攻击和可能带来不安全原因非法访问；安全检测保护对全部用户操作进行分析，阻止那些超越权限用户操作和可能给操作系统带来不安全原因用户操作；在特殊需要时间段内，对某一个或一些进程或线程实施隔离，该时间段结束后解除隔离；在软件层面上对各个进程访问权限实施控制和限制，以达成隔离效果；采取加密算法对对应对象进行加密。6.

15、2.数据存取风险因为数据存取不妥所造成风险。这种风险关键来自于企业内部。一是未经授权人员进入系统数据库修改、删除数据；二是企业工作人员操作失误，受其错误数据影响而带来风险，其结果肯定是使企业效益受到损失，或是使用户利益受到损失。风险应对方法：为了预防信息被窃取，应该对发送全部信息进行加密。加密传输形式是一种将传送内容变成部分不规则数据，只有经过正确密钥才能够恢复原文面貌。依据密钥特点，加密算法分为对称密钥加密算法（私钥密码体制）和非对称密钥加密算法（公钥密码体制）。现在常见对称密钥加密算法有DES（Data Encryption Standard）算法和IDEA（International D

16、ata Encryption Algorithm）算法。常见非对称密钥加密算法有RSA算法和EIGamal算法。数据库安全最关键一点就是确保只授权给有资格用户访问数据库权限，同时令全部未被授权人员无法靠近数据，这关键经过数据库系统存取控制机制实现；采取身份认证技术；6.3.网上支付风险网上支付一直被认为是制约中国电子商务发展最大瓶颈，很多企业和个人担心交易安全性而不愿使用网上支付。风险应对方法：和采取其它交易方法相比，采取电子商务交易模式各方还有更多风险，这些在电子商务中所特有风险有：卖方在网站上对产品进行不实宣传，欺诈行为风险；买方发出恶意订单风险；交易一方对电子协议否认风险；交易信息传送风

17、险，如信息被窃、被修改等风险。这些风险存在，需要设置第三方认证技术中心，为在网上交易各方交易资料传输进行加密、验证和对交易过程进行监察。CA认证技术中心是一个确保信任权威实体，它关键职责是颁发证书，验证用户身份真实性。任何相信CA人，根据第三方信任标准，也全部应该相信持有证实用户。7.风险贮备预提风险贮备金3500元。用来消减项目成本、进度、范围、质量和资源等方面风险。8.风险监控制订计划，实施保护方法，在保护方法实施每一个阶段全部要进行监控和跟踪。风险贯穿于电子商务项目标整个生命周期中，所以风险管理是个动态、连续过程。所以制订了风险防范计划后，还需要时刻监督风险发展和改变情况。电子商务开展以信息技术为基础，怎样处理电子商务中存在安全问题已成为一个迫在眉睫课题。电子商务风险是不可能完全消除，因为它是和电子商务共生，是电子商务肯定产物，不过，能够将风险限制在影响最小范围之内。只有了解风险，才能规避风险。