我们是一家小型网站开发公司,我们最终也希望发布网络应用程序。目前,我们正在进行一些风险评估,并想知道其他公司在安全和风险管理方面做了些什么。您的风险管理策略和实践是什么,技术和其他方面?
这是我到目前为止所做的事情(我将保留一份正在运行的清单):
技术
其他
答案 0 :(得分:2)
步骤0 - 为所有高风险技术问题确定并实施POC项目。
每周可交付的客户接受(即使它只是一个虚假的客户)。
答案 1 :(得分:2)
更抽象的层面:
保持风险列表中包含您可以想到的所有可能风险,无论大小,可能或不可能。每隔几周更新或至少重新检查此列表。这可能与“主服务器上的硬盘故障”或“竞争对手首先推出其产品”一样无形。
然后,对于每种风险,在某种程度上评估影响和概率(这可能是非常随意的)。真正的风险将与两者的产品成比例。 I.E.,具有极低概率的高潜在成本并不像中等成本那样具有高概率。这些数字只是帮助您分类风险,不要认真对待它们。
接下来,对于每种风险,考虑一下你可以采取的缓解措施,无论是对策,保险等等。再次,计算那些成本(而不是货币成本!)。
只有现在你才能真正决定每个风险的内容(如果有的话)。接受风险可能是目前可接受的解决方案,但不是更早。
您可能希望阅读Waltzing with Bears:管理软件项目的风险 作者:Tom DeMarco,Timothy Lister。好的时间。
答案 2 :(得分:1)
答案 3 :(得分:1)
您添加了一项有关基础架构的项目。
我建议将其扩展为包含数据保护。
崩溃和丢失数据会中断编码流并从备份中恢复所需的时间比从不丢失它的时间长得多。
答案 4 :(得分:0)
即使是一家小公司,我觉得'所有权'和'可回答性'是关键。如果你想要有很多社区项目,那么如果它变坏了谁又负责? 显然,这是应该与公司一起发展的事情,而对等级制度过于严格会导致被扼杀的团队。但是要考虑一下你想要在公司创造和培养的团队动力。
答案 5 :(得分:0)
您命名和列出的内容更像是缓解或避免某些或大多数相关风险的缓解措施或方法。应该首先评估风险并权衡风险,以了解您应该将精力集中在什么地方,以及为实现所希望的质量而付出多少实践和负担得起的费用。 作为经典全面,甚至敏捷的风险评估和风险管理的一部分,您通常首先要根据产品的预期用途定义危害来识别。例如,如果您构建待办事项应用程序,则通常不应考虑评估,衡量和减轻风险,如果有人将其私人医疗信息记录放入其中,从而导致您的待办事项应用程序有预期用途,而想法却不假定此类用途。在这种情况下,为这种应用提出安全方法将是昂贵且低效的。 一种用于处理危害和风险analisys的工具就是所谓的FTA-失败树Analysys,您可以在其中定义危害和风险并将其分解为可能的来源,以便在那里您会接近自己的特定风险来源和缓解措施,例如风险分散代码历史记录,并且由于没有相关的源代码控制而无法还原或分析历史记录更改。但是我们通常不需要分析源代码控制,因为它是已知的最佳实践和事实上的行业标准。但是,即使是关于此类最佳实践的分析仍有一些时机,例如,云或内部部署中的源代码控制。因此,我建议您可以将我的答案作为起点,如果这条路很有趣并且可以帮助您开发更多答案,那么请提出问题或发表评论。