10、软件项目经常遇到的 15 种可预料的（包括已知的）风险及其预防措施 （1）合同风险 预防这种风险的办法是项目建设之初项目经理就需要全面准确地了解合同各条款的内容、尽早和合同各方就模糊 或不明确的条款签订补充协议。 （2）需求变更风险 预防这种风险的办法是项目建设之初就和用户书面约定好需求变更控制流程、记录并归档用户的需求变更申请。 （3）沟通不良风险 预防这种风险的办法是项目建设之初就和项目各干系方约定好沟通的渠道和方式、项目建设过程中多和项目各干系 方交流和沟通、注意培养和锻炼自身的沟通技巧。 （4）缺乏领导支持风险 预防这种风险的办法是主动争取领导对项目的重视、确保和领导的沟通渠道畅通、经常向领导汇报工作进展。 （5）进度风险 预防这种风险的办法是分阶段交付产品、增加项目监控的频度和力度、多运用可行的办法保证工作质量避免返工。 （6）质量风险 预防这种风险的办法一般是经常和用户交流工作成果、采用符合要求的开发流程、认真组织对产出物的检查和评 审、计划和组织严格的独立测试等。 （7）系统性能风险 预防这种风险的办法一般是在进行项目开发之前先设计和搭建出系统的基础架构并进行性能测试，确保架构符合性 能指标后再进行后续工作。 （8）工具风险 预防这种风险的办法一般是在项目的启动阶段就落实好各项工具的来源或可能的替代工具，在这些工具需要使用之 前（一般需要提前一个月左右）跟踪并落实工具的到位事宜。 （9）技术风险 预防这种风险的办法是选用项目所必须的技术、在技术应用之前，针对相关人员开展好技术培训工作。 （10）团队成员能力和素质风险 预防这种风险的办法是在用人之前先选对人、开展有针对性的培训、将合适的人安排到合适的岗位上。 （11）团队成员协作风险 预防这种风险的办法是项目在建设之初项目经理就需要将项目目标、工作任务等和项目成员沟通清楚，采用公平、 公正、公开的绩效考评制度，倡导团结互助的工作风尚等。 （12）人员流动风险 预防这种风险的办法是尽可能将项目的核心工作分派给多人（而不要集中在个别人身上）、加强同类型人才的培养 和储备。 （13）工作环境风险 预防这种风险的办法是在项目建设之前就选择和建设好适合项目特点和满足项目成员期望的办公环境、在项目的建 设过程中不断培育和调整出和谐的人文环境。 （14）系统运行环境风险 预防这种风险的办法是和用户签定相关的协议、跟进系统集成部分的实施进度、及时提醒用户等。 （15）分包商风险 预防这种风险的办法一般是指定分包经理全程监控分包商活动、让分包商采用经认可的开发流程、督促分包商及时 提交和汇报工作成果、及时审计分包商工作成果等。 11、项目管理中蒙特卡罗模拟方法的一般步骤是： 蒙特卡罗模拟是一种有效的统计实验计算，蒙特卡罗方法需要大量的实验。实验次数越多，所得到的结果才越精 确。蒙特卡罗方法实现了两大优点：一是简单，省却了繁复的数学报导和演算过程，使得一般人也能够理解和掌握；二 是快速。简单和快速，是蒙特卡罗方法在现代项目管理中获得应用的技术基础。 ⑴对每一项活动，输入 小、 大和 可能估计数据，并为其选择一种合适的先验分布模型。 ⑵计算机根据上述输入，利用给定的某种规则，快速实施充分大量的随机抽样。 ⑶对随机抽样的数据进行必要的数学计算，求出结果。 ⑷对求出的结果进行统计学处理，求出 小值， 大值及数学期望值和单位标准偏差 ⑸根据求出的统计学处理数据，让计算机自动生成概率分布曲线和累积概率曲线（通常是基于正态分布的概率累积 S 曲 线 ⑹依据累积概率曲线进行项目风险分析 12、怎样做好软件项目风险计划 风险计划的要素有： ⑴风险描述 对于风险情况的介绍。 ⑵可能性 风险发生的可能性。风险不是必然要发生的，如果一个对项目存在危害的事件是必然要发生的，那这个事件就 不能作为风险。对于风险可能性的标识有助于对那些高可能性的风险投入更大的关注。 ⑶严重性 风险如果发生对于项目的危害程度。 ⑷危害值 一个综合考虑可能性和严重型后对风险的一个评估，这个评估反应了风险应该被关注的程度。 ⑸对策 对策分为两个部分：一是对于采取预防措施以阻止风险的发生，另一方面也要考虑如果风险发生后需要采取什么 措施。这两方面的计划构成了完整的风险对策。 ⑹触发标志 风险是一种可能性，并且制定风险主要的出发点是预防它，但也要考虑到风险发生后情况。对于风险发生后 的应对策略，需要争取一定的提前时间以启动必要的各项工作，设立触发标志是为设立一个判别标识，在该触发标志所 标明的条件具备时，说明风险已经越来越可能成为现实了。 ⑺风险责任人 风险预防和跟踪需要有人的参与，在风险计划中责任明确是一个重要的原则，对每一个列入了视线的风险 都要指定对风险预防和跟踪负责的人员。 13、风险管理可以分为四个步骤：识别风险、衡量风险、管理风险、监控项目进程与状态。 （1）风险识别：风险识别包括确定风险的来源，风险产生的条件，描述其风险特征和确定哪些风险事件有可能影响本项 目。风险识别不是一次就可以完成的事，应当在项目的自始至终定期进行。 （2）风险量化：涉及对风险及风险的相互作用的评估，是衡量风险概率和风险对项目目标影响程度的过程。风险量化的 基本内容是确定那些事件需要制定应对措施。。 （3）风险应对计划制定：针对风险量化的结果，为降低项目风险的负面效应制定风险应对策略和技术手段的过程。风险 应对计划依据风险管理计划、风险排序、风险认知等依据，得出风险应对计划、剩余风险、次要风险以及为其它过程提 供得依据。 （4）风险监控：涉及整个项目管理过程中的风险进行应对。该过程的输出包括应对风险的纠正措施以及风险管理计划的 更新。 每个步骤所使用的工具和方法详见表 1：

2012年最新医疗技术风险管理与预警制度.doc

消化内镜技术风险评估及应急预案.docx

医疗技术风险处置与损害处置预案.ppt

ISO27005信息安全技术风险管理白皮书.pdf

系统技术风险应对措施-灰度分布。主要内容：01 l 课程目标 02 l 应用发布遇到的的问题 03 l 为啥引入灰度发布 04 l 灰度发布具体怎么做 05 l 课程总结

完整英文版ISO/IEC 27005：2018 Information technology - Security techniques - · Information security risk management(信息技术 - 安全技术 - 信息安全风险管理)。 本标准提供了信息安全风险管理指南，支持ISO / IEC 27001中指定的一般概念，旨在帮助基于风险管理方法令人满意地实施信息安全。

ISO 27005 2008_信息安全技术风险管理_(中文版)