我们是一家小型网站开发公司,我们最终也希望发布网络应用程序。目前,我们正在进行一些风险评估,并希望知道其他公司在安全和风险管理方面所做的工作。什么是风险管理策略和实践,技术和其他?你有什么风险管理策略?
这里是我到目前为止所(我会保持运行列表):
技术
其他
在一个更抽象的层次:
保持一个风险清单,你能想到的所有可能的风险,无论是大或小,可能或不可能的。每隔几周更新或至少重新检查一次该列表。这可能与“主服务器上的硬盘故障”或“竞争对手首先推出他的产品”一样无形。
然后,对于每个风险,评估一些规模的影响和概率(这可能是非常随意的)。真正的风险将与两者的乘积成比例。 I.E.,具有非常低概率的高潜在成本并不像中等成本那样差,而是具有高概率。这些数字只是为了帮助你分类风险,不要认真对待它们。
接下来,对于每个风险,考虑可以采取的缓解措施,无论是对策,保险等等。再次,计算这些成本(不包括货币成本!)。
只有现在你才能真正决定对每一种风险做些什么(如果有的话)。在这一点上接受风险可能是一个可以接受的解决方案,但不是更早。
您可能需要阅读Tom DeMarco,Timothy Lister撰写的关于软件项目管理风险的软件项目风险管理。好的时间。
步骤0 - 确定和实施POC项目,所有高风险的技术问题。
每周交付与客户接受(即使它只是一个虚假的客户)。
即使有一家小公司,我觉得'所有权'和'应答性'是关键。如果你将会有很多社区项目,那么如果这个项目变坏,谁来负责呢?显然,这是公司应该发展的事情,对于层次结构过于严格会导致窒息的团队。但是要想一想你想在公司创造和培育的团队动力。
你认为一个不太容易被破坏的好备份过程是什么?你能形容它吗? – VirtuosiMedia 2009-02-11 20:43:11
您包含了一个关于基础设施的项目。
我建议扩大这包括数据保护。
崩溃和丢失数据中断从编码流和恢复备份需要比从不丢失它的时间长得多。
我想知道'应答性'是否是一个不好的标准。许多公司在假设他们在某种程度上对灾难负有责任的情况下选择微软。虽然技术上属实,但他们不承担法律责任,因此不会挽救他们。 – Joshua 2009-02-11 20:53:09
您是否在谈论公司内部的个人责任或企业对客户的责任? – VirtuosiMedia 2009-02-11 20:57:57