软件开发风险评估报告

　软件开发风险评估报告

　　CRM系统项目风险评估报告

　　建立日期:XX-8-10修改日期:XX-8-18

　　文控编号:XX(项目名称)-07(阶段序号)_XXX(流水号)

　　售前顾问：日期：客户经理：日期：

　　周成

　　第1页共5页

　　第2页共5页

　　第3页共5页

　　填表说明：风险级别说明

　　L低M中H高H+非常高

　　第4页共5页

　　文件编号:

　　编制人：

　　审核人:

　　批准人受控状态：

　　风险评估报告

　　version：

　　日期:日期:日期:

　　目录

　　1.2.

　　目的..................................................................................................................................................4适用范围..........................................................................................................................................4风险评估的范围包括：................................................................................................................4风险评估所涉及的业务活动包括：............................................................................................43.

　　风险评估引用文件..........................................................................................................................4风险评估引用文件包括................................................................................................................44.

　　风险评估程序及准则......................................................................................................................5

　　风险评估准备阶段：.............................................................................................................5

　　资产清点阶段：............................................................................................................................5风险评估阶段...............................................................................................................................65.

　　风险评估结果..................................................................................................................................7可接受及不可接受风险划分标准................................................................................................7信息安全风险概况........................................................................................................................7各部门详细风险概况....................(转载于:写论文网:软件开发风险评估报告)................................................................................................86.

　　风险控制措施选择..........................................................................................................................9

　　1.目的

　　本次风险评估是公司为建立信息安全管理体系所进行的初始风险评估，其目的通过系统地识别公司核心业务以及支持性业务所面临的风险，并根据风险评估准则，对不可接受的风险进行确定。

　　2.适用范围

　　风险评估的范围包括：

　　公司所属部门、子公司。

　　风险评估所涉及的业务活动包括：

　　与公司核心业务相关的所有业务过程，包括：

　　?软件外包服务?信息服务外包?软件设计与开发?系统解决方案设计与维护

　　与公司支持性业务相关的所有业务过程，包括：

　　?企业内部信息化管理过程?品质管理?财务与人力资源?IT网络服务?行政后勤

　　风险评估时间

　　XX年4月12日至XX年5月13日。

　　3.风险评估引用文件

　　风险评估引用文件包括

　　1）ISO27001：XX信息安全管理实施指南2）ISO27002:XX信息安全管理体系规范3）ISO27001实施指南–风险评估与风险管理指南

　　4.风险评估程序及准则

　　风险评估准备阶段：

　　风险评估准备阶段主要完成以下工作：

　　1）组建风险评估团队

　　2）建立风险评估准则3）进行风险评估培训和研讨

　　信息中心作为公司信息安全管理的职能部门，负责组织本次风险评估，并组建了风险评估团队，风险评估团队成员主要来自各部门的信息安全员。

　　风险评估准则参照ISO27001风险评估与风险管理指南编制，并结合考虑公司的特点，主要风险评估准则包括：

　　1）资产重要性评估准则

　　2）威胁及脆弱性评分准则3）风险判定准则

　　4）风险评估过程使用的各类模版

　　在风险评估过程中使用了一系列模板，这些模版包括：

　　1）各部门资产清单模版2）资产汇总模版2）资产重要性评估模版3）威胁及脆弱性对照表4）风险评估表模版

　　资产清点阶段：

　　风险评估的第一个步骤是针对评估范围的所有重要的信息资产分类与清点，根据BS7799风险评估与管理指南中的建议，将重要的信息资产分为以下几类：

　　1）电子信息，包括：数据库及数据文件、系统文件、培训资料等等2）纸面文件，包括：合同、公司人事档案等

　　3）软件资产，包括：操作系统、应用系统、开发工具、实用程序等4）计算机设备，包括：台式电脑、服务器、手提电脑等5）通讯设备，包括：路由器、交换机、电缆、传真机、电话等6）存储媒介，包括：磁带、光盘等

　　保密风险评估报告

　　编写人：XX

　　XX网络科技有限公司

　　XX年XX月XX日

　　目录

　　概述......................................................................................................................................................................3

　　背景..............................................................................................................................................3

　　风险评估的依据..........................................................................................................................4

　　风险评估的目的..........................................................................................................................5

　　风险评估的措施..........................................................................................................................5

　　1.风险评估..............................................................................................................................................8

　　涉密人员风险评估......................................................................................................................8

　　涉密载体风险评估......................................................................................................................9

　　涉密设备风险评估....................................................................................................................11

　　涉密场所风险评估....................................................................................................................13

　　涉密项目风险评估....................................................................................................................14

　　招投标风险评估................................................................................................................14

　　设计方案风险评估............................................................................................................16

　　软件开发设计过程风险评估............................................................................................17

　　分保方案使用风险评估.........................................................................................17

　　第三方软件采购风险评估.....................................................................................18

　　项目实施风险评估.................................................................................................18

　　审查验收风险评估.................................................................................................19

　　项目材料移交风险评估.........................................................................................19

　　运行维护风险评估.................................................................................................20

　　项目流程图.............................................................................................................21

　　2.持续性改进机制................................................................................................................................24

　　3.风险评估小结....................................................................................................................................28

　　概述

　　背景

　　?公司发展历史及现状

　　海口XXX有限公司于xx年XX月注册成立。注册资金XX万元，公司员工56人。公司成立初期主要业务范围是以系统集成为主，最近两年，主营业务逐渐由系统集成向软件开发转变。

　　公司也在此期间取得了多项行业相资质：ISO9001：XX质量体系认证;信息系统集成三级资质；软件能力成熟度CMMI3认证，并具备海南省政府及海南省各市县级政府的供应商资格，还是中石化海南炼化和中海油东方石化等能源化工企业的合法供应商。目前公司现经营地址为xxx，拥有办公场地300多平方米，客户遍及政府安监、政府应急，生产制造，能源化工等各大行业和机构，现已成为一家有着深厚技术实力和良好合作支持,以软件开发，系统集成,智能工厂，IT外包等服务为主的综合性IT企业。

　　?公司人员结构

　　公司注重团队建设和人才的培养，员工80%以上是本科以上文化程度，技术人员具备机电工程、建筑智能化工程、计算机系统集成、计算机网络应用、软件开发等所需的各种专业资质证书和从业证书，并且也取得国际认证的软、硬件工程师证书及各生产厂家认证的工程师证书。公司拥有已有认证的计算机信息系统集成项目经理8人，高级项目经理4人，均具有本行业多年从业经验，并参与了各种大型软件开发项目的设计与实施。公司的技术副总从业17年，独立完多项大型软件项目的设

　　计开发及管理工作。

　　?公司所在周边地理环境

　　风险评估点：

　　a)公司周边是否有驻外大使馆

　　b)公司周边是否存在外资企业

　　c)公司周边是否有商业区

　　针对风险点的防控措施：我公司位于海口市南海大道国家高新区创业孵化中心，周边不存在驻外大使馆、外资企业及商业区，进出入办公楼均有收发人员管理登记。

　　?公司内部物理环境

　　海口XXX有限公司位于XXX，此楼5层有两个入口；进入创业孵化中心有安保人员看守，各电梯内装有视频监控系统。从单独的大门入口进入公司。

　　存在的风险：

　　a)外来人员随意进出较随意

　　b)创业孵化中心聚集了多家IT企业，IT企业人员众多、混杂，对保密信息的安全性造成潜在的安全隐患。

　　针对存在风险点的防控措施：在公司门口处设立登记处，由专人来负责登记和接待。

　　风险评估的依据

　　依据国家保密局发布的《涉密信息系统集成资质保密标准》、BMB17《涉及国家秘密的信息系统分级保护技术要求》、BMB20《涉及国家秘密

　　的信息系统分级保护管理规范》、BMB23《涉及国家秘密的信息系统分级保护管理规范》

　　风险评估的目的

　　保密风险评估是保密工作的重要组成部分。保密风险评估要坚持实事求是的原则，深入调查研究，全面掌握保密风险因素及其影响，进而科学分析企业保密工作面临的形势、存在的问题，在此基础上提出切实可行的关于风险防范控制措施的建议方案。

　　保密风险一词包括了两方面的内涵。其一，风险意味着会对企业正常的工作带来不良影响；其二，这种影响的出现与否是一种不确定性随机现象，它可用概率表示出现的可能程度，但不能对出现与否做出确定性判断。从而可知，风险因素、风险事故和影响密切相关，它们构成了企业保密风险存在与否的基本条件。因此，要真正领悟企业保密风险的本质，就必须弄清这三个概念及其相互联系。

　　简单概括而言：风险因素引起风险事故，风险事故导致对企业带来不良影响。

　　风险评估的措施

　　随着信息技术的飞速发展，现代办公设备已经走进了企业的日常工作，保密工作面临着一种全新环境，同时所面临的保密形势日益严峻。

　　保密风险评估，作为企业开展保密工作的前提，能为单位领导准确把握本单位保密工作所面临的风险，进行重点防控提供科学依据。根据对本公司保密状况的分析，认为本公司应当主要从加强保密条件建设方