篇一：软件项目风险评估报告

引言
本文档的范围和目的
　　本文主要针对软件开发涉及到的风险，包括在软件开发周期过程中可能出现的风险以及软件实施过程中外部环境的变化可能引起的风险等进行评估。在文中对所提到的风险都一一做了详细的分析，并提出了相应的风险回避措施。  由于风险是在项目开始之后才开始对项目的开发起负面的影响，所以风险分析的不足，或是风险回避措施不得力，都很有可能造成软件开发的失败。风险分析是在事前的一种估计，凭借一定的技术手段和丰富的经验，基本能够对项目的风险做出比较准确的估计，经过慎重的考虑提出可行的风险回避措施，是避免损失的重要环节。
主要风险综述
　任何软件的开发，其主要风险均来自于两个方面，一是软件管理，二是软件体系结构。软件产品的开发是工程技术与个人创作的有机结合。软件开发是人的集体智慧按照工程化的思想进行发挥的过程。软件管理是保证软件开发工程化的手段。软件体系结构的合理程度是取决于集体智慧发挥的程度和经验的运用。
软件管理将影响到软件的下列因素：
　　软件是否能够按工期的要求完成：软件的工期常常是制约软件质量的主要因素。很多情况下，软件开发商在工期的压力下，放弃文档的书写，组织，结果在工程的晚期，大量需要文档进行协调的工作时，致使软件进度越来越慢。软件的开发不同于其他的工程，在不同的工程阶段，需要的人员不同，需要配合的方面也不同，所有这些都需要行之有效的软件管理的保证。
　软件需求的调研是否深入透彻：软件的需求是确保软件正确反映用户的对软件使用的重要的文档，探讨软件需求是软件开发的起始点，但软件的需求却会贯穿整个软件的开发过程，软件管理需要对软件需求的变化进行控制和管理，一方面保证软件需求的变化不至于造成软件工程的一改再改而无法按期完成；同时又要保证开发的软件能够为用户所接受。软件管理需要控制软件的每个阶段进行的成度，不能过细造成时间的浪费，也不能过粗，造成软件缺陷。
　　软件的实现技术手段是否能够同时满足性能要求：软件的构造需要对软件构造过程中的使用的各种技术进行评估。软件构造技术通常是这样：最成熟的技术，往往不能体现最好的软件性能；先进的技术，往往人员对其熟悉程度不够，对其中隐含的缺陷不够明了。软件管理在制定软件开发计划和定义里程碑时必须考虑这些因素，并做出合理的权衡决策。
　　软件质量体系是否能够被有效地保证：任何软件管理忽略软件质量监督环节都将对软件的生产构成巨大的风险。而制定卓有成效的软件质量监督体系，是任何软件开发组织必不可少的。软件质量保证体系是软件开发成为可控制过程的基础，也是开发商和用户进行交流的基础和依据。
　　软件体系结构影响到软件的如下质量因素：
　　软件的可伸缩性：是指软件在不进行修改的情况下适应不同的工作环境的能力。由于硬件的飞速发展和软件开发周期较长的矛盾，软件升级的需要显得非常迫切。如果软件的升级和移植非常困难，软件的生命期必定很短，使得化费巨大人力物力开发出的软件系统只能在低性能的硬件或网络上运行，甚至被废弃不用，造成巨大的浪费。
　　软件的可维护性：软件的维护也是必然的事情，为了保证软件的较长使用寿命，软件就必须适应不断的业务需求变化，根据业务需求的变化对软件进行修改。修改的成本和周期都直接和软件的体系结构相关。一个好的软件体系结构可以尽可能地将系统的变化放在系统的配置上，即软件代码无需修改，仅仅是在系统提供的配置文件中进行适当的修改，然后软件重新加载进入运行状态，就完成了系统部分功能和性能要求的变化。对于重大改动，需要打开源代码进行修改的，也仅仅是先继承原先的代码，然后用新的功能接替原先的调用接口，这样将把软件改动量减小到最低。
　　软件易用性：软件的易用性是影响软件是否被用户接受的关键之关键因素。在软件产品中，设计复杂，功能强大而完备，但因为操作繁复而被搁置者屡见不鲜。造成的主要原因在于缺乏软件开发中软件体系结构的宏观把握能力。另一方面，缺乏有效的手段进行软件需求的确定和对潜在需求的挖掘。
项目管理的风险
　　软件项目管理的风险来自于软件项目自身的特点：
　　软件产品不可见：开发的进展以及软件的质量是否符合要求难于度量，从而使软件的管理难于把握。软件的生产过程不存在绝对正确的过程形式：可以肯定的是不同的软件开发项目应当采用不同的或者说是有针对性的软件开发过程，而真正合适的软件开发过程是在软件项目的开发完成才能明了的。因此项目开发之初只能根据项目的特点和开发经验进行选择，并在开发过程中不断的调整。
　　大型软件项目往往是"一次性"的。以往的经验可以被借鉴的地方不多。回避和控制软件管理风险的唯一办法就是设立监督制度，项目开发中任何较大的决定都必须有主要技术环节甚至是由用户参与进行的。在该项目中项目监督由项目开发中的质量监督组来实施。
　　一般参与软件开发的人员（包括管理者和技术人员）和其责任进行分析如下：
　　参与者
  　　项目经理1人
  　　主要职责：进行全局把握，侧重于项目的商务方面，充当项目组同客户正式交流的接口环节。
　　　项目负责人1人
       主要职责：制定项目开发计划和开发策略，参与项目核心系统的分析设计，同时努力保证开发计划的按时完成和开发策略的真正贯彻落实。
　　　领域专家1或2人
　　主要职责：在软件分析阶段帮助分析人员界定系统实现边界和实现的功能，对特定检测点进行算法审核，同时对测试策略和软件操作界面提出参考意见。
　　　质量监督组1或2人
  　　主要职责：编制软件质量控制计划，并负责落实；控制必要文档的生产，通过文档，监督项目实施过程中软件的质量，并产生软件质量报告，提请项目经理和项目负责人审阅；对于项目中出现的质量问题，主持召开质量复审会议。
　　　系统分析员1或2人
　　主要职责：协同项目负责人进行软件系统的分析和设计工作，书写软件需求分析和系统设计相关文档。在软件实现阶段进行测试策略的编制和对性能测试的指导。
　　程序员2或3人
　　主要职责：协助分析人员进行详细设计，和软件系统的代码实现，并进行适当的白盒测试。
　　测试员2或3人
　　主要职责：已经实现的软件组件、构件或系统进行正确性验证测试，整合后的系统的性能测试等。书写测试报告和测试统计报告提请质量监督组复审。
　　技术支持2或3人
　　主要职责：协同系统分析人员听取用户需求，对需求分析进行参考性复审。协同测试人员进行测试，书写操作手册和在线帮助，在项目交付用户之后进行跟踪服务。
　文档组1或2人
　　主要职责：对各部门产生的文档进行格式规范、版本编号和控制、存档文件的检索；协助质量监督组进行软件质量监督。通过适当的人员配备和职责划分，能有效的降低软件开发在后期的失控的可能性，和软件对关键人员的依赖性。
软件技术风险
　　本系统拟订采用的两个重大的软件技术是面向对象的构件和基于微软的COM组件技术。组件和构件技术都是为了提高软件的可靠性和软件的可扩展性而采用的技术手段。从技术成熟度上说不存在风险，但为了实现良好的软件构架和稳定的组件，与传统开发方法比较，有相当的多的额外工作需要做，这会给项目工期带来较大的风险。
　　回避和控制这部分风险的办法是在项目进行的过程不断的对该阶段进行风险估计和指定有效的里程碑。同时采用"范例"方式提高开发人员的构件组件的分析识别能力，适时调整构件组件的数量和粒度。

软件过程风险
软件需求阶段的风险
　　软件的开发是以用户的需求开始，在大多数情况下，用户需求要靠软件开发方诱导才能保证需求的完整，再以书面的形式形成《用户需求》这一重要的文档。需求分析更多的是开发方确认需求的可行性和一致性的过程，在此阶段需要和用户进行广泛的交流和确认。需求和需求分析的任何疏漏造成的损失会在软件系统的后续阶段被一级一级地放大，因此本阶段的风险最大。
设计阶段的风险
　　设计的主要目的在于软件的功能正确的反映了需求。可见需求的不完整和对需求分析的不完整和错误，在设计阶段被成倍地放大。设计阶段的主要任务是完成系统体系结构的定义，使之能够完成需求阶段的即定目标；另一方面也是检验需求的一致性和需求分析的完整性和正确性。
　　设计本身的风险主要来自于系统分析人员。分析人员在设计系统结构时过于定制，系统的可扩展性较弱，会给后期维护带来巨大的负担，和维护成本的激增。对用户来说系统的使用比例会有明显的折扣，甚至造成软件寿命过短。反之，软件结构的过于灵活和通用，必然引起软件实现的难度增加，系统的复杂度会上升，这又会在实现和测试阶段带来风险，系统的稳定性也会受到影响。从另一个角度上看，业务规则的变化，或说用户需求和将来软件运行环境的变化都是必然的情况，目前软件设计的所谓"通用性"是否就能很好的适应将来需求和运行环境的的变化，是需要认真折衷的。这种折中也蕴涵着很大的风险。
　　设计阶段蕴涵的另一种风险来自于设计文档。文档的不健全不仅会造成实现阶段的困难，更会在后期的测试和维护造成灾难性的后果，例如根本无法对软件系统进行版本升级，甚至是发现的简单错误都无从更正。实现阶段引入的风险软件的实现从某种意义上讲是软件代码的生产。原代码本身也是文档的一部分，同时它又是将来运行于计算机系统之上的实体。源代码书写的规范性，可读性是该阶段的主要风险来源。规范的代码生产会把属于程序员自身个性风格的成分引入代码的比例降到最低限度，从而减小了系统整合的风险。
维护阶段的风险
　　软件维护包含两个主要的维护阶段，一个是软件生产完毕到软件试运行阶段的维护，这个阶段是一种实环境的测试性维护，其主要目的是发现在测试环境中不能或未发现的问题；另一个阶段是当软件的运行不再能适应用户业务需求或是用户的运行环境（包括硬件平台，软件环境等）时进行的软件维护，具体可能是软件的版本升级或软件移植等。

　　从软件工程的角度看，软件维护费用约占总费用的55%~70%，系统越大，该费用越高。对系统可维护性的轻视是大型软件系统的最大风险。在软件漫长的运营期内，业务规则肯定会不断发展，科学的解决此问题的做法是不断对软件系统进行版本升级，在确保可维护性的前提下逐步扩展系统。
　　在软件系统运营期间，主要的风险源自于技术支持体系的无效运转。科学的方法是有一支客户支持队伍不断收集运行中发现的问题，并将解决问题的方法传授给软件系统的所有使用者。
项目风险表
　　风险评估表中所提到的风险是一般项目在开发过程中都客观存在的，表中所列出的风险系数是指在不对风险进行深入的分析和有效的规避的情况下，该风险项发生的概率。比如软件产品的设计目标是运行十年，体系结构不合理的风险是40%的含义是，如果不对系统进行深入的分析，未采用最合理的软件技术进行设计，则生产出一个不具备可扩展性的软件系统的概率是40%。由于客户公司是仍将不断发展的，在十年内，该软件系统都能满足公司运营要求的可能性极低。由此而可能产生的灾难性后果是公司在业务发展的时候，必须重新开发新系统。
　　向客户提供风险评估，是按照国际惯例进行的例行操作，一方面让客户对潜在的风险有更充分的了解，表明公司诚信为本的态度，另一方面也用以鞭策和激励全体开发人员严格执行开发标准，共同监督项目开发过程，努力避免风险的发生。

风险概率影响
--------------------------------------------------
规模估计过低 60% 严重的
交付期限太紧张 50% 严重的
用户需求变化频繁 75% 严重的
技术达不到预期效果 30% 轻微的
质量保证体系的措施实施不利 60% 严重的
软件体系结构设计不合理 40% 灾难性的
人员流动 30% 严重的

…… …… 余下全文

篇二：风险评估报告

1. 目的.... 4

2. 适用范围.... 4

2.1风险评估的范围包括：... 4

2.2 风险评估所涉及的业务活动包括：... 4

3. 风险评估引用文件.... 4

3.1风险评估引用文件包括... 4

4. 风险评估程序及准则.... 5

4.1 风险评估准备阶段：... 5

4.2资产清点阶段：... 5

4.3 风险评估阶段... 6

5. 风险评估结果.... 7

5.1可接受及不可接受风险划分标准... 7

5.2信息安全风险概况... 7

5.3各部门详细风险概况... 8

6. 风险控制措施选择.... 9

修订文档历史记录

1. 目的

本次风险评估是公司为建立信息安全管理体系所进行的初始风险评估，其目的通过系统地识别公司核心业务以及支持性业务所面临的风险，并根据风险评估准则，对不可接受的风险进行确定。

2. 适用范围

2.1风险评估的范围包括：

公司所属部门、子公司。

2.2 风险评估所涉及的业务活动包括：

2.2.1与公司核心业务相关的所有业务过程，包括：

Ø 软件外包服务

Ø 信息服务外包

Ø 软件设计与开发

Ø 系统解决方案设计与维护

…… …… 余下全文

篇三：项目风险评估报告

CRM系统项目风险评估报告

建立日期: 20##-8-10

修改日期: 20##-8-18

文控编号: XX(项目名称)-07(阶段序号)_XXX(流水号)

填表说明：

风险级别说明

L 低（30％以下）

M 中（30％－60％）

H 高（60％－80％）

H+ 非常高（80％以上）

…… …… 余下全文

篇四：软件项目风险评估报告

工程项目风险分析与应对论文

软件项目风险评估报告

由于风险是在项目开始之后才开始对项目的开发起负面的影响，所以风险分析的不足，或是风险回避措施不得力，都很有可能造成软件开发的失败。风险分析是在事前的一种估计，凭借一定的技术手段和丰富的经验，基本能够对项目的风险做出比较准确的估计，经过慎重的考虑提出可行的风险回避措施，是避免损失的重要环节。

主要风险综述

任何软件的开发，其主要风险均来自于两个方面，一是软件管理，二是软件体系结构。软件产品的开发是工程技术与个人创作的有机结合。软件开发是人的集体智慧按照工程化的思想进行发挥的过程。软件管理是保证软件开发工程化的手段。软件体系结构的合理程度是取决于集体智慧发挥的程度和经验的运用。

软件管理将影响到软件的下列因素：

软件是否能够按工期的要求完成：软件的工期常常是制约软件质量的主要因素。很多情况下，软件开发商在工期的压力下，放弃文档的书写，组织，结果在工程的晚期，大量需要文档进行协调的工作时，致使软件进度越来越慢。软件的开发不同于其他的工程，在不同的工程阶段，需要的人员不同，需要配合的方面也不同，所有这些都需要行之有效的软件管理的保证。

软件需求的调研是否深入透彻：软件的需求是确保软件正确反映用户的对软件使用的重要的文档，探讨软件需求是软件开发的起始点，但软件的需求却会贯穿整个软件的开发过程，软件管理需要对软件需求的变化进行控制和管理，一方面保证软件需求的变化不至于造成软件工程的一改再改而无法按期完成；同时又要保证开发的软件能够为用户所接受。软件管理需要控制软件的每个阶段进行的成度，不能过细造成时间的浪费，也不能过粗，造成软件缺陷。

软件的实现技术手段是否能够同时满足性能要求：软件的构造需要对软件构造过程中的使用的各种技术进行评估。软件构造技术通常是这样：最成熟的技术，往往不能体现最好的软件性能；先进的技术，往往人员对其熟悉程度不够，对其中隐含的缺陷不够明了。软件管理在制定软件开发计划和定义里程碑时必须考虑这些因素，并做出合理的权衡决策。

…… …… 余下全文

篇五：风险评估报告

风险评估过程主要包括：“数据采集、安全评测、安全分析、报告处理”

一、数据采集方法有：问卷调查、人员访谈、漏洞扫描、渗透性测试等

1、问卷调查：下图是微软的Microsoft Security Assessment Tool一款风险评估应用程序，目的是提供一些与信息技术 (IT) 基础架构中的安全最佳经验有关的信息和建议。此应用程序是专为拥有 50 到 500 台台式机和（或）100 到 1,000 名员工的组织设计的。它首先采集一些信息（已问卷调查的形式），如下图所示。通过填写一些配置信息（图左上），然后通过它的一套算法最后生成一个报告。

产生的分析报表：

2、人员访谈也可以以调查问卷的形式作为系统参数的输入配置

3、漏洞扫描、渗透性测试等数据可以通过漏洞扫描器等检测工具获得，输入本系统

二、安全评测、安全分析、报告处理等都属于本系统的功能，并采用前面数据采集得到的数据

目前常见的自动化风险评估工具还包括：

CORA —— CORA（Cost-of-Risk Analysis）是由国际安全技术公司（International

Security Technology, Inc. www.ist-usa.com）开发的一种风险管理决策支持系统，它采用典型的定量分析方法，可以方便地采集、组织、分析并存储风险数据，为组织的风险管理决策支持提供准确的依据。

ASSET —— ASSET（Automated Security Self-Evaluation Tool）是美国国家标准技术协会（National Institute of Standard and Technology，NIST）发布的一个可用来进行安全风险自我评估的自动化工具，它采用典型的基于知识的分析方法，利用问卷方式来评估系统安全现状与NIST SP 800-26 指南之间的差距。NIST SpecialPublication 800-26，即信息技术系统安全自我评估指南（Security Self-AssessmentGuide for Information Technology Systems），为组织进行IT 系统风险评估提供了众多控制目标和建议技术。ASSET 是一个免费工具，可以在NIST 的网站下载：http://icat.nist.gov。

…… …… 余下全文

篇六：软件项目风险评估的研究

软件项目风险评估的研究

专业：信息与计算科学081 姓名：胡阳红学号：0802021012

摘要:随着IT产业的发展和软件规模的提高，软件项目开发和使用过程中超支、延时、技术缺陷等现象越来越严重。如何在项目实施的过程中进行有效地评估和预防这些风险，以达到识别和消除不利因素对软件开发的影响，都属于软件项目风险管理问题。在软件项目的开发过程中，准确地识别项目中存在的风险、对风险加以分析并采取有效的预防措施是保证项目成功的关键因素之一。风险评估是软件开发风险管理的重要组成部分，目前已经发展成为软件项目开发与控制的常用管理方法。本文研究Boehm关于风险评估的经典理论、SEI基于问卷调查的风险评估法、基于成本估算的风险评估法以及该领域的其它最新研究进展。

关键词：软件项目;风险评估;评估模型

Abstract:With the development of IT industry and the improvement of software scale, the Phenomena of delaying delivering end products, overrunning budget and technical defects are becoming more and more serious in software development process.In the process of implementing projects, how to conduct effective evaluation and prevent these risks so as to identify and eliminate the negative factors’ effects upon software development belongs to problem of software project risk management.In software development process, risk identification, risk analysis and risk prevention are three key measurements ensuring project success.Risk assessment is an important part of risk management, and now is becoming a management technique in common use in software development and control.This paper studies Boehom's classical risk assessment theory，SEI's TBQ risk assessment method，cost-based risk assessment method and other recent advanced risk assessment methods.

…… …… 余下全文

篇七：《风险评估报告(模板)》供软件中报告格式参考(1)

××××系统防御效能评估报告

为对报告内容的描述，不需写入报告格式中。

评估技术组成员通过技术人员访谈、资料及文档信息挖掘、专家分析研讨等手段，利用量化评估指标体系，对××××系统的防御效能进行了量化评估，评估最终结果为：系统风险事件发生概率=××，系统风险事件发生后的影响=××，系统整体风险值=××，最终系统风险等级为：××（1~5之间的整数，参考系统设计需求文档）详细评估数据分析结果如下：

1、系统资产情况

系统中共有被测资产××个，其中资产价值为高中低的资产数量及其对比情况如下所示：

【图】各级资产数量对比图（柱图）、占比图（饼图）

重要资产（5≤资产价值＜4）；中等资产（4≤资产价值＜1）；次要资产（1≤资产价值≤0）

分析可见，系统中最重要的资产为：××。列举5个最重要资产

2、系统风险情况

系统中共存在风险××项，其中高危、中危、低危风险的数量及其对比情况如下所示：

【图】各级别风险的数量对比图（柱图）、占比图（饼图）

高危风险（1≤风险值＜0.8）；中危风险（0.8≤风险值＜0.2）；低危风险（0.2≤风险值≤0）

分析可见，系统面临的最严重风险为：××。列举5个最严重风险

3、资产／风险分析

系统中共存在资产××项，其中面临风险最高的资产为××，其风险汇总值为××。高危、中危、低危资产的数量及其对比情况如下所示：

【图】柱图显示数值对比、饼图显示占比计算资产面临的风险值的和，根据结果范围确定资产风险级别：高危资产、中危资产、低危资产。

资产风险级别划分依据：

? 高危资产（1*资产风险值上限≤目标资产风险值＜0.8*资产风险值上限） ? 中危资产（0.8*资产风险值上限≤目标资产风险值＜0.2*资产风险值上限） ? 次要风险（0.2*资产风险值上限≤目标资产风险值≤0）

分析可见，系统中面临风险最严重的资产为：××。列举5个最高危资产

…… …… 余下全文

篇八：20xx-20xx年中国电子游戏厅行业深度分析及投资风险评估报告

电子游戏厅

什么是行业研究报告

行业研究是通过深入研究某一行业发展动态、规模结构、竞争格局以及综合

20xx20xx年中国电子游戏厅行业深度分析及投资风险评估报告

经济信息等，为企业自身发展或行业投资者等相关客户提供重要的参考依据。

企业通常通过自身的营销网络了解到所在行业的微观市场，但微观市场中的假象经常误导管理者对行业发展全局的判断和把握。一个全面竞争的时代，不但要了解自己现状，还要了解对手动向，更需要将整个行业系统的运行规律了然于胸。

行业研究报告的构成

20xx20xx年中国电子游戏厅行业深度分析及投资风险评估报告

一般来说，行业研究报告的核心内容包括以下五方面：

行业研究的目的及主要任务

行业研究是进行资源整合的前提和基础。

对企业而言，发展战略的制定通常由三部分构成：外部的行业研究、内部的企业资源评估以及基于两者之上的战略制定和设计。

行业与企业之间的关系是面和点的关系，行业的规模和发展趋势决定了企业

20xx20xx年中国电子游戏厅行业深度分析及投资风险评估报告

的成长空间；企业的发展永远必须遵循行业的经营特征和规律。

行业研究的主要任务：

解释行业本身所处的发展阶段及其在国民经济中的地位

分析影响行业的各种因素以及判断对行业影响的力度

预测并引导行业的未来发展趋势

判断行业投资价值

揭示行业投资风险

为投资者提供依据

2016-20xx年中国电子游戏厅行业深度分析及投资风险评

估报告

? 【出版日期】20xx年【交付方式】Email电子版/特快专递【价格】纸介版：7000元电子版：7200元纸介+电子：7500元

报告目录

对电子游戏厅一律按最高20%的税率征收营业税，对核定征收个人所得税的电子游戏厅，一律调高50%的个人所得税定额，同时对公益性青少年活动场所暂免征收企业所得税。

经营电子游戏厅有着很严格的规定，比如设置什么类型的游戏机要到相关部门去报批，其中对机型和机种都有很明确的规定，擅自变更机型也是不允许的；国家法定节假日以外不得接纳未成年人进入电子游戏厅等电子娱乐场所；游戏设施设备不可以设置具有押分、退币、退钢珠等赌博功能；另外，这些电子游戏厅等场所的人流比较多，要落实消防设施和消防器材配备情况，保证疏散通道、楼梯、安全出口设置的通畅等。

…… …… 余下全文

软件风险评估报告

2.1风险评估的范围包括：

2.2 风险评估所涉及的业务活动包括：

软件项目风险评估报告