軟件風險管理計劃

軟件風險管理計劃XXX軟件風險管理計劃

期XXXX公司

1

軟件風險管理計劃文件更控制記錄版本

日期

更改人

更改內(nèi)XXXX公司

2

軟件風險管理計劃目錄1引...........................................................................................................................................51.1目.51.2項.51.3術(shù).51.4參.52軟的全級....................................................................................................................63風管范............................................................................................................................63.1產(chǎn).63.2產(chǎn)段6...........................................................................................................................6

...............................................................................................67.......................................................................................................7...........................................................................................................................73.3風.84責和力分........................................................................................................................94.1成理94.2風組95風管的動審..............................................................................................................5.1風評.105.2風施評5.3剩評5.4風告116風可受準..................................................................................................................6.1風準.116.2危率時受146.3可析:147驗.........................................................................................................................................14XXXX公司

3

軟件風險管理計劃7.1風施已證147.2風效險158確.........................................................................................................................................159與集評相生和生后息關(guān)活.................................................................159.1信.159.2售.16XXXX公司

4

軟件風險管理計劃1言1.1目的和范圍本文給出XXX風險管理計劃，用于指導風險管理過程的實施。本文預(yù)期的讀者為XXXX本計劃適用于本項目的軟件風險管理和控制。本文檔包括風險等級定義，權(quán)力劃分，評估標準等。1.2項目簡介++1.3術(shù)語及縮略語術(shù)語及略語

定義1.4參考資料編號

資料名

來源XXXX公司

5

軟件風險管理計劃2件的安全性級別根據(jù)XXX,軟件的安全性級別定義為A級。3險管理范圍3.1產(chǎn)品概述主要原理：XXX遠程醫(yī)療影像通訊軟件由XXX組成，包含XXX功能。3.2產(chǎn)品生命階段動3.2.1需求分析任務(wù)完成對軟件的需求定義輸入：系統(tǒng)要求，設(shè)計任務(wù)，相關(guān)標準輸出：軟件開發(fā)計劃，文檔：系統(tǒng)需求，系統(tǒng)測試計劃及規(guī)范風險管理活動：形成風險管理計劃，識別需求風險，初步進行需求風險分析3.2.2功能規(guī)范及體系結(jié)構(gòu)設(shè)計完成軟件的功能規(guī)范及體系結(jié)構(gòu)設(shè)計輸入：需求XXXX公司

6

軟件風險管理計劃輸出：設(shè)計和設(shè)計文檔，集成測試計劃及規(guī)范文檔：功能規(guī)范，風險分析報告風險管理活動：識別需求風險，功能風險分析，F(xiàn)TA或FMEA分析，根據(jù)風險分析得到處理措施并在功能規(guī)范中實現(xiàn)措施，風險措施的再評估3.2.3詳細設(shè)計，軟件實現(xiàn)，集成完成軟件設(shè)計和實現(xiàn)輸入：軟件設(shè)計輸出：軟件設(shè)計文檔，軟件程序風險管理活動：實現(xiàn)風險措施，風險措施初步驗證3.2.4軟件測試驗證與發(fā)布完成對系統(tǒng)測試及驗證，發(fā)布輸入：軟件設(shè)計輸出：產(chǎn)品（安裝程序，

用戶文檔）風險管理活動：風險措施驗證，剩余風險評估，風險效益分析，風險管理報告3.2.5產(chǎn)品維護實施對軟件的維護輸入：更改需求輸出：升級產(chǎn)品XXXX公司

7

軟件風險管理計劃風險管理活動：更改的風險分析管理計劃，識別風險，制定風險措施，實施風險措施，驗證風險措施，形成風險分析報告。3.3風險活動計劃序號

風險管理實施步驟

輸出文件或表格

主要參加人員

計劃完成時間1

說明產(chǎn)品預(yù)期

風險析報組長（項目經(jīng)理或項用途或預(yù)期目的

告

目技術(shù)負責人）2

風險分析報告

風險析報項目經(jīng)理目成員、中識別危害和原因

告

組長和公司風險管理小組代表3

風險分析報告

風險析報項目經(jīng)理目成員、中風險評估

告

項目風險管理人員和公司風險管理小組代表4

風險分析報告中風險措施及

風險析報項目經(jīng)理目成員、告及審記項目風險管理人員和評審

錄

公司風險管理小組代表56

風險措施驗證計劃風險措施驗證確認

風險施驗風險措施設(shè)計人員和證計包測試人員含在件測試規(guī)范中）實驗告及項目經(jīng)理和公司風險風險施驗管理小組代表XXXX公司

8

7

對風險措施作

軟件風險管理計劃證匯總表風險析報項目經(jīng)理目成員、風險評估

告

項目風險管理人員和公司風險管理小組代表8

對剩余風險作

風險析報項目經(jīng)理目成員、風險評估

告

項目風險管理人員和公司風險管理小組代表9

軟件維護期的風險管理

風險析報參與維護的人員告4任和權(quán)力劃分4.1成立風險管理組風險管理小組須在產(chǎn)品設(shè)計的同時組建慮到產(chǎn)品特點組成員由相關(guān)領(lǐng)域的專業(yè)技術(shù)人員組成。XXX小組成員如下：組長：組員:4.2風險管理小組責

決定風險控制引用的標準制定風險控制實施步驟XXXX公司

9

軟件風險管理計劃保證風險控制的正確、有效工作劃分：組長（由公司風險管理小組指派，可由項目經(jīng)理或技術(shù)負責承擔1負責風險管理的策劃2負責組織編寫風險管理的相關(guān)文件和評審；3負責全過程的控制及有效性。組員：1）指導風險管理組長按風險管理相關(guān)文件開展工作；2）對主要的文件和計劃進行審核，保證正確性和全面性；3）對風險管理全過程進行監(jiān)督。5險管理的活動評5.1風險分析的評風險分析的評審在第XXXX階段都要進行評審審時注意查對風險識別的完整性，危害程度和機率的合理性，處理措施是否可行。5.2風險處理措施驗證與評審措施的驗證在第XXX階段進行。評審時，需要對驗證方法及過程進行檢查，并對驗證結(jié)果進行確認XXXX公司

10

軟件風險管理計劃5.3剩余風險的評的評審措施的驗證在第XX階段進行審時要對剩余風險的危害度的評估結(jié)果進行檢查，5.4風險管理報告評審措施的驗證在第XX階段進行。評審時，需要報告的完整性進行檢查6險可接受性準則6.1風險可接受準對已識別出來的危險，需要評估其風險等級。風險評估可以采用定性或定量的方法擬采用定性的評估方法）定性評估方法對某一風險從危害的嚴重性和危害可能發(fā)生的概率兩個方面進行評估。其定義如下：

a)危害的嚴重性的定義如下表所示：危害類別

輕微

中等

嚴重

災(zāi)難XXXX公司

11

人員

軟件風險管理計劃輕微害可中等傷害的可能嚴重傷害或傷殘性使人輕度不性，如中度不適的可能性，醫(yī)治適不會留下后或有損無法保證不出現(xiàn)

嚴性能導致死亡。后遺癥。

傷，但不會留下可能影響正常生影響正常生理功理能后能的后遺癥。癥死亡。

Seriousordeath.財產(chǎn)

因故導部因故障可能導致因故障可能導致

不適用損壞

整個系統(tǒng)毀壞

很多臺設(shè)備的毀壞環(huán)境

因故可導因故障可能導致因故障可能導致設(shè)備用域使用區(qū)域以外出使用區(qū)域以外出環(huán)境污染現(xiàn)當?shù)胤煞ㄒ?guī)現(xiàn)當?shù)胤煞ㄒ?guī)禁止的污染禁止的污染并出現(xiàn)重大的經(jīng)濟損失，如罰款，必要補措等。

不適用b)危害可能發(fā)生的概率的定義如下表所示：絕不可能

不可能

極少

偶爾

有時

經(jīng)常XXXX公司

12

通過估計，

軟件風險管理計劃好象不會在使用在使用在系統(tǒng)使用

好象有在系統(tǒng)使用期間不會發(fā)生

可能出現(xiàn)

期能至期定會期間出現(xiàn)好少現(xiàn)一出現(xiàn)一次幾次次以上

多次評審每一個危險是否需要采取降低風險的措施，首先是要評審該危險的風險等級是否可以接受。定性評估的風險控制標準按下圖所示進行控制：a)低風險損壞/傷害的程度和出現(xiàn)的可能性很少日常生活中可接受的風險相比種風險出現(xiàn)的可能性非常小。不需要主動采取風險控制，也就是說不需要采取其它減少風險的措施b)中等風險中等風險區(qū)可以根據(jù)可接受標準分成兩部分，分別要求不同的行動。每一種中等風險必須降低到可接受標準線之下。如果剩余風險出現(xiàn)在中等風險區(qū)里可接XXXX公司

13

軟件風險管理計劃受標準之上，必須進行風險效益分析，并決定如何處理。說明：這個區(qū)域是根據(jù)IEC60601-1-4規(guī)定的“最低的合理可行的程度”(ALARP)定義的。c)高風險在這種情況下，風險危害程度很高以致不能忍受。這種類型的風險必須降低到由風險可接受標準線之下。在高風險區(qū)域，任何風險效益分析都是不可以接受的。6.2危害發(fā)生概率法估計時的風接受準則對于無法估計危害概率時，先假定概率最大，通過實驗進行驗證，得出實驗概率后，根據(jù)實驗結(jié)果減少概率，最后檢查是否符后規(guī)定的風險接受條件。6.3可不繼續(xù)分析事件:(1)有實驗無理論推導的事件(2)顯而易見的事件(3)已在其它設(shè)備用過證明可行的事件7證7.1風險控制措施設(shè)計中已實行驗證風險控制措施需要體現(xiàn)在風險分析報告，軟件功能規(guī)范以及軟件設(shè)計規(guī)范XXXX公司

14

軟件風險管理計劃中，驗證主要通過對這些文件的檢查并配合軟件測試來驗證相應(yīng)的措施是否已在最終的設(shè)計中實施了。7.2風險措施有效低了風險的驗通過風險驗證計劃和驗證報告（可包含軟件驗證報告中）檢查實施了風險措施的效果。風險措施的驗證報告需要給出驗證方