《IT企業(yè)項目外包風(fēng)險識別與管理研究》15000字（論文）

IT企業(yè)項目外包風(fēng)險識別與管理研究目錄TOC\o"1-2"\h\u26150IT企業(yè)項目外包風(fēng)險識別與管理研究 136441IT外包項目的基本概念 1110522IT外包項目管理的相關(guān)理論 270303B公司CDD項目的風(fēng)險識別 485063.1公司和項目的簡介 5184903.2項目風(fēng)險識別的方法 5137653.3項目風(fēng)險識別的結(jié)果 6253914B公司CDD項目項目的風(fēng)險分析 9245074.1項目風(fēng)險定性分析 9263484.2項目風(fēng)險定量分析 11310515B公司CDD項目項目的風(fēng)險控制 17120405.1B公司CDD項目的風(fēng)險控制 17228315.2B公司CDD項目的風(fēng)險控制 217255.3云計算環(huán)境下的IT外包項目風(fēng)險控制 211IT外包項目的基本概念的合作，如果沒有發(fā)生重大的變故，企業(yè)一般不會終止或者解除合約或者伙伴關(guān)系。企業(yè)有很多種劃分外包的方式，無論以什么形式的外包最終的目的都是為了減少企業(yè)的運(yùn)營成本、提高企業(yè)的核心競爭力，將企業(yè)的IT全部或者部分業(yè)務(wù)轉(zhuǎn)移給更加專業(yè)的外部服務(wù)機(jī)構(gòu)來完成。對于HF銀行來說，采用IT外包的形式就企業(yè)內(nèi)部而言：一、可以提高效率、降低成本。銀行類業(yè)務(wù)的技術(shù)人員，除了研發(fā)以外，還要承擔(dān)著信息運(yùn)行維護(hù)的工作，以及容災(zāi)備份、規(guī)模擴(kuò)大，人員培訓(xùn)、核心業(yè)務(wù)升級等一系列的工作。將IT全部或者部分業(yè)務(wù)剝離交給專門的IT服務(wù)公司進(jìn)行研發(fā)維護(hù)，在一定程度上大大降低自身所需要投入的成本。二、有助于提高核心競爭力。IT外包服務(wù)契合靈活反應(yīng)的市場需求，借助外部的資源更好的完善自身的產(chǎn)品和競爭力。通過選擇專業(yè)性、服務(wù)性、技術(shù)性更好的IT公司順應(yīng)市場的技術(shù)更新、產(chǎn)品迭代，滿足自身的業(yè)務(wù)發(fā)展需要。三、可以分散風(fēng)險。通過外包服務(wù)，可以將風(fēng)險通過雙方合作的形式，共同承擔(dān)風(fēng)險，提高企業(yè)應(yīng)對市場風(fēng)險的反應(yīng)能力，從而將精力和資源更加多的分配在核心競爭力的打造上，提高企業(yè)的抗風(fēng)險能力，四、有助于提高服務(wù)質(zhì)量。通常IT外包的服務(wù)商都是有自己已經(jīng)成熟的系統(tǒng)和相應(yīng)的研發(fā)技能，可以根據(jù)不同的需求制定出相應(yīng)的業(yè)務(wù)研發(fā)、項目管理的計劃并且高效的實施起來，這樣可以大大提高了企業(yè)對外服務(wù)質(zhì)量和效率。2IT外包項目管理的相關(guān)理論項目管理作為管理學(xué)的分支科學(xué)之一，項目管理是以項目為管理的對象，通過運(yùn)用專業(yè)的知識、方法、理論和技能，對項目所涉及到的工作進(jìn)行有效的管理，使得項目實現(xiàn)預(yù)計的期望值或者最終的目標(biāo)結(jié)果。隨著社會的快速發(fā)展，項目管理開始逐步形成獨(dú)立發(fā)展的管理類學(xué)科。PMI（PurchasingManagers'Index，采購經(jīng)理人指數(shù)）把管理學(xué)劃分成時間管理、范圍管理、成本管理、風(fēng)險管理、質(zhì)量管理、人力資源管理、溝通管理、采購與合同管理、項目總體管理9大知識體系[14]。PMI九大知識體系在IT外包項目管理的領(lǐng)域發(fā)揮著重要的作用。PMI九大知識領(lǐng)域和IT外包項目管理過程的關(guān)系如表1.1所示：表1.SEQ2.\*ARABIC1PMI九大知識領(lǐng)域和IT外包項目管理過程的關(guān)系項目管理知識領(lǐng)域項目管理過程啟動計劃執(zhí)行控制收尾總體管理項目計劃編制項目計劃執(zhí)行總體變更控制工作范圍管理啟動工作范圍計劃工作范圍定義任務(wù)驗收范圍變更控制時間管理活動排序工期計算進(jìn)度表編制進(jìn)度控制費(fèi)用管理資源計劃費(fèi)用估算預(yù)算分配費(fèi)用控制質(zhì)量管理質(zhì)量計劃質(zhì)量保證質(zhì)量控制人力資源管理人員組織、分配團(tuán)隊建設(shè)溝通管理溝通計劃信息發(fā)布項目狀況匯報管理收尾風(fēng)險管理風(fēng)險管理計劃風(fēng)險識別風(fēng)險評估制定應(yīng)對方案風(fēng)險監(jiān)控采購管理采購計劃詢價計劃詢價供應(yīng)商選擇合同管理合同收尾科技的不斷進(jìn)步，互聯(lián)網(wǎng)高新科技的飛速發(fā)展推動著軟件行業(yè)的不斷迭代更新。但是IT項目仍然存在著一定的風(fēng)險和問題，IT項目無法按照預(yù)期完成交付的大部分原因并不是來自于技術(shù)，而是不是來自于管理。由此，風(fēng)險管理開始越來越被人們關(guān)注并且將風(fēng)險管理的概念引入到項目管理PMI九大知識體系當(dāng)中。1991年，美國卡耐基梅隆大學(xué)軟件工程研究所（SEI）推出了能力成熟度模型CMM(CapabilityMaturityModel)[15]。CMM的作用主要有兩方面：為軟件客戶提供評價軟件開發(fā)商能力的方法；幫助軟件開發(fā)商改進(jìn)其軟件過程，提高成熟度。CMMI(CapabilityMaturityModelIntegration)即能力成熟度模型集成，由CMM發(fā)展而來，它最早是應(yīng)用于軟件業(yè)的一個過程改進(jìn)模型，為軟件組織描述了從混亂的、不成熟的軟件過程向成熟有序的軟件過程進(jìn)行改進(jìn)的一條途徑。后來隨著應(yīng)用的推廣和模型本身的發(fā)展，CMMI逐漸演化成為一個被廣泛應(yīng)用的綜合性過程改進(jìn)模型。軟件過程成熟度指一個具體的軟件過程被明確和有效地定義、管理、度量、控制和實施的程度。軟件組織成熟的過程是一個不斷改進(jìn)、循序漸進(jìn)的過程，而不是通過革命性的革新快速實現(xiàn)的[16]。不成熟組織與成熟組織的對比如表1.2所示：表1.SEQ2.\*ARABIC2不成熟組織與成熟組織的對比不成熟的組織成熟的組織軟件過程中一般在項目進(jìn)行中臨時確定，有時確定了也不嚴(yán)格執(zhí)行。建立了機(jī)構(gòu)級別的軟件研發(fā)和維護(hù)過程，軟件人員按照計劃執(zhí)行任務(wù)。被動地處理軟件項目中的一些突然事情。具有對軟件項目的監(jiān)控和主動應(yīng)對風(fēng)險的能力進(jìn)度和經(jīng)費(fèi)預(yù)算預(yù)估的不準(zhǔn)確，進(jìn)度延期導(dǎo)致延期交付或者削減功能，降低品質(zhì)項目進(jìn)度和預(yù)算是根據(jù)已經(jīng)成功的項目經(jīng)驗，比較符合實際情況產(chǎn)品質(zhì)量難以預(yù)計軟件產(chǎn)品質(zhì)量由質(zhì)量部門保證并且監(jiān)控，風(fēng)險可預(yù)測CMMI是很多從事軟件行業(yè)的參照對象和提高自身能力的標(biāo)準(zhǔn)。用來反映軟件成熟的CMMI的五個等級，如表1.3所示：表1.SEQ2.\*ARABIC3CMMI的五個等級等級解釋初始級軟件過程是無序的，有時甚至是混亂的，對過程幾乎沒有定義，成功取決于個人努力。管理是反應(yīng)式的。已管理級建立了基本的項目管理過程來跟蹤費(fèi)用、進(jìn)度和軟件的功能特性。制定了必要的過程紀(jì)律，能重復(fù)早先類似應(yīng)用項目取得的成功經(jīng)驗。已定義級已將軟件管理和工程兩方面的過程文檔化、標(biāo)準(zhǔn)化，并綜合成該組織的標(biāo)準(zhǔn)軟件過程。所有項目均使用經(jīng)批準(zhǔn)、剪裁的標(biāo)準(zhǔn)軟件過程來開發(fā)和維護(hù)軟件。量化管理級分析軟件過程和產(chǎn)品質(zhì)量的詳細(xì)度量數(shù)據(jù)，對軟件過程和產(chǎn)品都有定量的理解與控制。管理活動有一個作出結(jié)論的客觀依據(jù)，能夠在定量的范圍內(nèi)預(yù)測性能。優(yōu)化管理級過程的量化反饋和先進(jìn)的新思想、新技術(shù)促使過程持續(xù)不斷改進(jìn)。有能力識別軟件過程中的薄弱環(huán)節(jié)，并有足夠的手段改進(jìn)它們，防止缺陷的產(chǎn)生。HF銀行和B公司之間的關(guān)系，除了是承包商與服務(wù)商之間的關(guān)系外，也是一種委托代理管理。在這種合作模式下，B公司的酬勞獲取方式是和該公司的服務(wù)成熟度（CMMI等級）相關(guān)的，B公司的服務(wù)成熟度越高，對風(fēng)險管理的質(zhì)量就越高。IT項目管理在整個軟件從開始到結(jié)束的整個過程中占據(jù)著核心位置。所以在IT項目管理的整個過程中需要考慮到PMI九大知識領(lǐng)域和公司的實際情況相結(jié)合，更好的進(jìn)行對項目的控制和管理。3B公司CDD項目的風(fēng)險識別本章節(jié)通過對B公司CDD軟件項目在實踐過程中進(jìn)行的深入調(diào)研，在上一章節(jié)是對云計算環(huán)境下外包項目風(fēng)險的一些相關(guān)理論基礎(chǔ)上。在這一章節(jié)里面，運(yùn)用項目管理中的風(fēng)險管理的理論，在云計算環(huán)境下對CDD軟件的現(xiàn)狀并進(jìn)行分析。3.1公司和項目的簡介3.1.1B公司簡介B公司是十九世紀(jì)八十年代在荷蘭成立的，是一家網(wǎng)絡(luò)遍布全球的專業(yè)服務(wù)機(jī)構(gòu)。在全球一百多個國家擁有十五萬名員工。為很多知名企業(yè)提供服務(wù)。隨著中國企業(yè)融入全球經(jīng)濟(jì)和境外企業(yè)大舉進(jìn)入中國市場，B公司將利用其豐富的國際經(jīng)驗和對市場的全面認(rèn)識等優(yōu)勢，在日趨復(fù)雜但又機(jī)遇處處的中國市場為客戶提供高品質(zhì)的服務(wù)。2017年，B在南京成立了分公司。主要從事系統(tǒng)應(yīng)用管理和維護(hù)、信息技術(shù)支持和管理，財務(wù)服務(wù)、銀行后臺服務(wù)，軟件開發(fā)，數(shù)據(jù)處理等信息技術(shù)和業(yè)務(wù)流程外包服務(wù)；依托計算機(jī)信息技術(shù)提供的人力資源管理、內(nèi)部數(shù)據(jù)分析、數(shù)據(jù)處理、數(shù)據(jù)錄入及財會方面遠(yuǎn)程技術(shù)管理咨詢服務(wù)等信息技術(shù)和業(yè)務(wù)流程外包服務(wù)。大數(shù)據(jù)處理相關(guān)服務(wù)及技術(shù)支持，包括數(shù)據(jù)開發(fā)、數(shù)據(jù)處理、數(shù)據(jù)挖掘等；計算機(jī)軟硬件的開發(fā)、設(shè)計、制作、許可，計算機(jī)系統(tǒng)集成，并提供相應(yīng)技術(shù)咨詢服務(wù)。及上述相關(guān)咨詢業(yè)務(wù)在此背景下，該公司正著力提升軟件服務(wù)的品質(zhì)，力求抓住機(jī)遇，以更加專業(yè)高效的服務(wù)在市場中獲取更大的發(fā)展空間。3.1.2CDD外包項目介紹CDD(商業(yè)盡職調(diào)查,CommercialdueDiligence)管理系統(tǒng)是HF銀行承包給B公司的一個外包項目。主要是對銀行的申請商業(yè)貸款的公司的一個背景調(diào)查的項目，從外部和內(nèi)部對公司業(yè)務(wù)發(fā)展的內(nèi)外部環(huán)境和情況進(jìn)行調(diào)查，對企業(yè)達(dá)到其發(fā)展計劃的關(guān)鍵因素進(jìn)行評估和分析。企業(yè)需要配合的CDD的調(diào)查有很多，需要根據(jù)不同的要求完成評估和風(fēng)險等級劃分。銀行根據(jù)CDD的評估等級，對企業(yè)的貸款資格和限額的進(jìn)行評定。因為調(diào)查的背景、數(shù)據(jù)、文稿有很多，而且涉及到敏感隱私。所以B企業(yè)需要考慮高效處理分析數(shù)據(jù)的同時，也同時需要考慮到數(shù)據(jù)安全、項目風(fēng)險等問題。整個項目的客戶上傳的文檔和數(shù)據(jù)都在亞馬遜云服務(wù)器上，項目主要部署和運(yùn)行在亞馬遜云上的虛擬機(jī)和服務(wù)器上的。程序研發(fā)人員，只能通過特定的研發(fā)服務(wù)器訪問數(shù)據(jù)、文檔、運(yùn)行環(huán)境，無法對數(shù)據(jù)進(jìn)行備份下載或者拷貝到其他地方。操作人員也只能通過IT人員配置好的權(quán)限進(jìn)行訪問，同樣也無權(quán)限對數(shù)據(jù)進(jìn)行備份下載或者轉(zhuǎn)移。B公司在承接了HF銀行的CDD項目的時，除了前期開發(fā)的時候需要研發(fā)、測試、運(yùn)維的團(tuán)隊意外，B公司還有專業(yè)的金融類人員，在項目上線后B公司將和HF銀行一起進(jìn)行對系統(tǒng)的操作人員培訓(xùn)上崗，共同完成對盡職調(diào)查的企業(yè)的調(diào)查。所以B項目上線前和上線后屬于兩種不同類型的外包模式。研發(fā)的過程中更多偏向于項目技術(shù)外包，而后期是屬于一個長期的合作人力外包。這有利于加強(qiáng)B公司和HF銀行的合作關(guān)系和緊密的，也有利于項目的更好的推進(jìn)。3.2項目風(fēng)險識別的方法在云計算環(huán)境下，CDD外包項目的風(fēng)險識別主要采用了以下兩種方式：（1）頭腦風(fēng)爆法。這一方法主要是可以在短時間內(nèi)產(chǎn)生出一系列大量的富有新意的想法去解決當(dāng)下遇到的某一個問題或困難。頭腦風(fēng)暴的側(cè)重點(diǎn)是在于產(chǎn)生想法，而并不是在過程中去分析問題。一般在實施頭腦風(fēng)暴的時候，會要求團(tuán)隊的每一個成員積極參與，公司的專家、產(chǎn)品經(jīng)理、項目經(jīng)理、研發(fā)經(jīng)理、架構(gòu)師、資深的研發(fā)工程師等共同開會討論云計算環(huán)境下的CDD項目可能存在那些風(fēng)險，將可能存在的風(fēng)險都記錄下來，這一過程就是在短時間內(nèi)收集到大量的可能存在風(fēng)險問題的一些意見和想法。在此之后，為了保證風(fēng)險的可識別性和有效分析，將這些風(fēng)險進(jìn)行討論分析并進(jìn)行分類。（2）德爾菲法。在頭腦風(fēng)爆法的討論過程中，需要了解風(fēng)險的優(yōu)先級，但是團(tuán)隊中可能出現(xiàn)特別厲害的成員的個人觀點(diǎn)直接影響團(tuán)隊觀點(diǎn)，因此需要德爾菲法對風(fēng)險進(jìn)行一個匿名的問卷調(diào)查去收集交流信息。德爾菲法一般都是采用問卷調(diào)查或者郵件的方式收集團(tuán)隊成員對可能會出現(xiàn)的問題或者風(fēng)險的一些想法。B公司是一家跨國公司，在中國、英國、葡萄牙、印度等不同的國家都有CDD團(tuán)隊的成員。通過頭腦分析法收集到的項目風(fēng)險進(jìn)行歸納分類后，通過電子郵件邀請各地方的成員進(jìn)行對項目風(fēng)險的打分或者補(bǔ)充。最后根據(jù)頭腦風(fēng)暴和德爾菲法得到的郵件反饋進(jìn)行總結(jié)和排序，將風(fēng)險進(jìn)行在此的歸納排序得到初步的風(fēng)險識別后的結(jié)果。3.3項目風(fēng)險識別的結(jié)果通過頭腦風(fēng)暴和德爾菲法對CDD項目的風(fēng)險識別后得到的初步的風(fēng)險識別的結(jié)果。本文將CDD項目南京團(tuán)隊的風(fēng)險結(jié)果進(jìn)行了總結(jié)和歸類，如圖3.1所示。圖3.SEQ3.\*ARABIC1CDD項目風(fēng)險分析結(jié)構(gòu)3.3.1戰(zhàn)略風(fēng)險（1）云服務(wù)商不可替代風(fēng)險CDD項目目前是在亞馬遜云服務(wù)平臺上進(jìn)行研發(fā)、實施部署的。想要往其他云服務(wù)平臺進(jìn)行遷移的成本和難度都十分的大。CDD項目和亞馬遜云平臺綁定后，將受限于云平臺服務(wù)，如果未來亞馬遜云平臺關(guān)閉或者被其他公司收購后，將對公司的項目產(chǎn)生巨大的影響。（2）客戶對云服務(wù)外包的認(rèn)同風(fēng)險CDD項目所選擇的云服務(wù)平臺是亞馬遜云服務(wù)平臺。相較于傳統(tǒng)的軟件運(yùn)行部署在本地服務(wù)器有很大的不一樣。特別是和B公司合作的公司來說，會對數(shù)據(jù)安全產(chǎn)生懷疑和擔(dān)心。CDD項目是B公司轉(zhuǎn)型的項目，如果項目失敗將給公司造成巨大的損失，公司付出的財力、物力、人力的投入將付諸東流，給公司造成巨大的損失。3.3.2管理風(fēng)險（1）云計算成本控制云計算是一種基于互聯(lián)網(wǎng)的新型信息資源服務(wù)系統(tǒng)，不同用戶配置資源對應(yīng)不同的服務(wù)費(fèi)用，是需要根據(jù)用戶的需求進(jìn)行彈性化定制的虛擬化資源服務(wù)[26]。CDD項目涉及到中國、葡萄牙、印度等國家，需要使用的云服務(wù)資源也不相同，需要根據(jù)每個地區(qū)的研發(fā)、測試、運(yùn)維、用戶等建立不同的體系和若干個環(huán)境，這也將大大提高了成本費(fèi)用。與此同時，為了防止數(shù)據(jù)丟失或其他異常情況的發(fā)生，需要對數(shù)據(jù)進(jìn)行備份的操作。在研發(fā)測試的時候為了保證上線后系統(tǒng)的同步性需要對測試環(huán)境的相應(yīng)配置，這也是需要一定的成本費(fèi)用的。由此，云服務(wù)不能進(jìn)行有效的管理，將很難控制云計算服務(wù)的成本費(fèi)用。（2）云計算環(huán)境下權(quán)限管理風(fēng)險CDD項目涉及到一些敏感信息和身份信息，是需要嚴(yán)格保密的。云計算環(huán)境的開放性，加上項目本身外包性質(zhì)，因為也要對可以操作數(shù)據(jù)的研發(fā)人員、操作人員，進(jìn)行不同權(quán)限和訪問級別的設(shè)定。（3）項目進(jìn)度逾期風(fēng)險云計算是比較新的技術(shù)，研發(fā)的時候可能會出現(xiàn)項目延期的可能。此外，CDD系統(tǒng)功能復(fù)雜，系統(tǒng)需要處理大量用戶數(shù)據(jù)，研發(fā)人員對于云計算技術(shù)不熟悉等原因都可能造成項目進(jìn)度緩慢。如果CDD系統(tǒng)上線延期的話，客戶很可能對B公司失去信心，同時B公司的市場推廣產(chǎn)生不利影響。3.3.3技術(shù)風(fēng)險（1）云計算環(huán)境下開發(fā)技術(shù)風(fēng)險云計算是一個比較新興的技術(shù)，團(tuán)隊的研發(fā)人員需要招聘一些有云計算研發(fā)經(jīng)驗的人員。這對研發(fā)團(tuán)隊來說是一個不小的挑戰(zhàn)，傳統(tǒng)的軟件研發(fā)在本地的服務(wù)器就可以調(diào)試，但是云服務(wù)需要程序運(yùn)行在亞馬遜云服務(wù)器上，這個極大的增加了操作難度。（2）云計算環(huán)境下系統(tǒng)部署風(fēng)險在傳統(tǒng)的IT模式下，項目的部署都有相應(yīng)比較成熟的流程可以參照。在云計算環(huán)境下，部署人員可以不僅沒有可以參照的成熟流程，更要求短時間內(nèi)一次性完成所有的部署。隨著用戶量的不斷增多和規(guī)模的不斷擴(kuò)大，部署的難度也不斷的提高。3.3.4安全風(fēng)險（1）云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險在CDD項目中，所有的數(shù)據(jù)都統(tǒng)一存儲在云平臺上，這將使得項目面臨很大的數(shù)據(jù)丟失的風(fēng)險。傳統(tǒng)軟件系統(tǒng)的部署方式，是將每個用戶的數(shù)據(jù)都獨(dú)立存儲在各自的數(shù)據(jù)服務(wù)器上，由此把數(shù)據(jù)丟失、泄露的風(fēng)險進(jìn)行分散，但是一旦云平臺上的用戶數(shù)據(jù)因意外操作、黑客攻擊、設(shè)備損壞等原因?qū)е聛G失，將對系統(tǒng)造成傷害并影響數(shù)據(jù)安全[27]。（2）知識產(chǎn)權(quán)泄漏風(fēng)險項目本身是外包的性質(zhì)，HF銀行作為承包方需要保證產(chǎn)品的知識產(chǎn)權(quán)不被泄露。因此邀請B公司對其知識產(chǎn)權(quán)的保護(hù)，所有的研發(fā)源代碼都必須托管在本公司內(nèi)部服務(wù)器上。每一位員工的電腦都必須經(jīng)過受公司域網(wǎng)絡(luò)的管理，防止員工把公司的產(chǎn)品源代碼外泄。但是由于CDD項目的軟件系統(tǒng)都部署在亞馬遜云平臺上，有可能被其他人非法拷貝系統(tǒng)程序，被競爭對手使用,造成公司知識產(chǎn)權(quán)的外泄與損失。（3）網(wǎng)絡(luò)攻擊風(fēng)險CDD項目系統(tǒng)業(yè)務(wù)比較復(fù)雜，且有中國、英國、印度、葡萄牙等多個國家和地區(qū)的開發(fā)團(tuán)隊參與。隨著開發(fā)環(huán)境的復(fù)雜程度的提高的同時，也相應(yīng)的增加了受到網(wǎng)絡(luò)攻擊的風(fēng)險。在傳統(tǒng)IT系統(tǒng)環(huán)境中，由于大多數(shù)是運(yùn)行在企業(yè)內(nèi)部網(wǎng)絡(luò)內(nèi)，外部攻擊者很難利用軟件漏洞來進(jìn)行攻擊。現(xiàn)在CDD項目的軟件系統(tǒng)部署在云環(huán)境下，增加了網(wǎng)絡(luò)攻擊者利用軟件漏洞進(jìn)行攻擊的可能性。4B公司CDD項目項目的風(fēng)險分析項目風(fēng)險分析是對己經(jīng)識別出的風(fēng)險評估其發(fā)生的可能性和帶來的影響。本章使用了定性分析和定量分析相結(jié)合的方法對已經(jīng)識別出來的云計算環(huán)境下項目風(fēng)險進(jìn)行分析。定性分析是通過使用概率與風(fēng)險影響矩陣，評估已識別風(fēng)險發(fā)生的概率和可能帶來的影響[28]。定量分析，是進(jìn)一步進(jìn)行量化項目風(fēng)險的方法，并作為風(fēng)險監(jiān)控和風(fēng)險控制的組成部分[29]。4.1項目風(fēng)險定性分析為了簡化對云計算環(huán)境下項目風(fēng)險的描述，項目中指定了概率和風(fēng)險評估標(biāo)準(zhǔn)的矩陣參照表，如表4.1所示。表4.SEQ4.\*ARABIC1項目風(fēng)險評估概率風(fēng)險概率非常高0.9高0.7中0.5低0.3非常低0.1項目發(fā)生風(fēng)險后需要考慮風(fēng)險影響程度，主要分成了四類：關(guān)鍵的（系數(shù)最大：1）、重點(diǎn)的（系數(shù)：0.7）、一般的（系數(shù)：0.4）、可忽略的（系數(shù)：0.1）。具體的對應(yīng)系數(shù)和分析影響如表4.2所示。表4.SEQ4.\*ARABIC2項目風(fēng)險評級風(fēng)險影響關(guān)鍵的重點(diǎn)的一般的可忽略的10.70.40.1可以將風(fēng)險評估概率和風(fēng)險和項目風(fēng)險評級整合作為風(fēng)險評估的優(yōu)先級。風(fēng)險的概率與風(fēng)險影響公式：風(fēng)險系數(shù)等級=風(fēng)險評估概率*風(fēng)險評級。風(fēng)險從到到底分別是：非常低(0-0.1)、低(0.1-0.29)、中(0.3-0.48)、高(0.49-1)。項目影響/概率風(fēng)險評級如表4.3所示。表4.SEQ4.\*ARABIC3項目影響/概率風(fēng)險評級（優(yōu)先級）影響/概率關(guān)鍵的重點(diǎn)的一般的可忽略的非常高高（0.9）高（0.63）中（0.36）非常低（0.09）高高（0.7）高（0.49）中（0.28）非常低（0.07）中高（0.5）中（0.35）低（0.2）非常低（0.05）低中（0.3）低（0.21）非常低（0.12）非常低（0.03）非常低非常低（0.1）非常低（0.07）非常低（0.04）非常低（0.01）在云計算環(huán)境下的風(fēng)險識別過程中總結(jié)出的十個風(fēng)險：客戶對云服務(wù)外包的認(rèn)同風(fēng)險、云服務(wù)商無法替換風(fēng)險、云計算環(huán)境下權(quán)限管理風(fēng)險、云計算成本失控風(fēng)險、項目進(jìn)度逾期風(fēng)險、云計算環(huán)境下開發(fā)技術(shù)風(fēng)險、系統(tǒng)部署風(fēng)險、云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險、知識產(chǎn)權(quán)泄漏風(fēng)險、網(wǎng)絡(luò)攻擊風(fēng)險。通過專業(yè)的技術(shù)團(tuán)隊和專家成員的研討分析，分別對發(fā)生概率和影響成都進(jìn)行評分統(tǒng)計。通過風(fēng)險的概率與影響公式計算出相應(yīng)的風(fēng)險優(yōu)先級。項目風(fēng)險概率、影響與風(fēng)險評級的對應(yīng)關(guān)系如表4.4所示。表4.SEQ4.\*ARABIC4項目風(fēng)險概率和影響的風(fēng)險評級表風(fēng)險概率*影響優(yōu)先級客戶對云服務(wù)外包的認(rèn)同風(fēng)險0.3*1=0.3中云服務(wù)商無法替換風(fēng)險0.5*0.4=0.2低云計算環(huán)境下權(quán)限管理風(fēng)險0.3*0.4=0.12非常低云計算成本失控風(fēng)險0.5*0.7=0.35中項目進(jìn)度逾期風(fēng)險0.7*0.7=0.49高云計算環(huán)境下開發(fā)技術(shù)風(fēng)險0.9*07=0.63高系統(tǒng)部署風(fēng)險0.3*0.4=0.12非常低云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險0.3*1=0.3中知識產(chǎn)權(quán)泄漏風(fēng)險0.1*0.07=0.07非常低網(wǎng)絡(luò)攻擊風(fēng)險0.1*0.07=0.07非常低4.2項目風(fēng)險定量分析項目經(jīng)過定性分析過后，需要進(jìn)一步的用定量分析法去分析、評估項目的風(fēng)險。為了盡可能的消除主觀判斷的影響，對各個風(fēng)險進(jìn)行更細(xì)致的量化處理，本章節(jié)使用了層次分析法對云計算環(huán)境下的項目風(fēng)險進(jìn)行定量分析。4.2.1構(gòu)建項目風(fēng)險層次結(jié)構(gòu)模型通過層次結(jié)構(gòu)模型，對云計算環(huán)境下已經(jīng)識別出來的項目風(fēng)險建立項目的風(fēng)險層次結(jié)構(gòu)。項目的風(fēng)險層次結(jié)構(gòu)如表4.5所示。表4.SEQ4.\*ARABIC5項目風(fēng)險層次結(jié)構(gòu)層次一層次二層次三項目總體風(fēng)險戰(zhàn)略風(fēng)險客戶對云服務(wù)外包的認(rèn)同風(fēng)險云服務(wù)商無法替換風(fēng)險管理風(fēng)險云計算環(huán)境下權(quán)限管理風(fēng)險云計算成本失控風(fēng)險項目進(jìn)度逾期風(fēng)險技術(shù)風(fēng)險云計算環(huán)境下開發(fā)技術(shù)風(fēng)險系統(tǒng)部署風(fēng)險安全風(fēng)險云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險知識產(chǎn)權(quán)泄漏風(fēng)險網(wǎng)絡(luò)攻擊風(fēng)險4.2.2構(gòu)建兩兩相互對比的判斷矩陣1、在矩陣比較之前，需要優(yōu)先考慮設(shè)計出兩兩判斷比較的標(biāo)尺。進(jìn)行兩兩相互比較，風(fēng)險標(biāo)度1到5表示重要程度由低到高。風(fēng)險重要性判斷標(biāo)尺如圖4.6所示。表4.SEQ4.\*ARABIC6風(fēng)險重要性兩兩比較法的判斷尺度定義標(biāo)度風(fēng)險一比風(fēng)險二絕對重要5風(fēng)險一比風(fēng)險二重要得多4風(fēng)險一比風(fēng)險二重要3風(fēng)險一比風(fēng)險二稍微重要2風(fēng)險一比風(fēng)險二同樣重要12、構(gòu)造判斷矩陣。兩兩相互比較，是將屬于同一個層次里面的風(fēng)險進(jìn)行兩兩比較，通過收集各類專業(yè)人員對風(fēng)險的評分問卷，進(jìn)行平均數(shù)取整后，建立各層次的判斷矩陣。表4.7是A-B層次的風(fēng)險進(jìn)行兩兩比對的矩陣，表4.8是B-C層次的風(fēng)險進(jìn)行兩兩比對的矩陣。判斷標(biāo)尺參照上文的風(fēng)險重要性兩兩比較法的判斷尺度。表4.SEQ4.\*ARABIC7層次一到層次二風(fēng)險判斷矩陣戰(zhàn)略風(fēng)險管理風(fēng)險技術(shù)風(fēng)險安全風(fēng)險戰(zhàn)略風(fēng)險1/11/41/21/3管理風(fēng)險4/11/13/12/1技術(shù)風(fēng)險2/11/31/11/2安全風(fēng)險3/11/22/11/1表4.SEQ4.\*ARABIC8層次二到層次三風(fēng)險判斷矩陣戰(zhàn)略風(fēng)險判斷矩陣戰(zhàn)略風(fēng)險客戶對云服務(wù)外包的認(rèn)同風(fēng)險云服務(wù)商無法替換風(fēng)險客戶對云服務(wù)外包的認(rèn)同風(fēng)險1/13/1云服務(wù)商無法替換風(fēng)險1/31/1管理風(fēng)險判斷矩陣管理風(fēng)險云計算環(huán)境下權(quán)限管理風(fēng)險云計算成本失控風(fēng)險項目進(jìn)度逾期風(fēng)險云計算環(huán)境下權(quán)限管理風(fēng)險1/11/31/4云計算成本失控風(fēng)險3/11/11/2項目進(jìn)度逾期風(fēng)險4/12/11/1技術(shù)風(fēng)險判斷矩陣技術(shù)風(fēng)險云計算環(huán)境下開發(fā)技術(shù)風(fēng)險系統(tǒng)部署風(fēng)險云計算環(huán)境下開發(fā)技術(shù)風(fēng)險1/12/1系統(tǒng)部署風(fēng)險2/11/1安全風(fēng)險判斷矩陣安全風(fēng)險云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險知識產(chǎn)權(quán)泄漏風(fēng)險網(wǎng)絡(luò)攻擊風(fēng)險云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險1/15/12/1知識產(chǎn)權(quán)泄漏風(fēng)險1/51/11/2網(wǎng)絡(luò)攻擊風(fēng)險1/22/11/14.2.3確定風(fēng)險要素的相對重要程度首先需要對每一個風(fēng)險層次根據(jù)上一層的風(fēng)險計算出相對的權(quán)重。第一步，先計算出相對重要程度；第二步，風(fēng)險的一致性判斷；第三步，計算綜合重要程度。計算出相對重要程度。首先計算矩陣A的各行之和，然后計算各行的平均值，然后經(jīng)過歸一化處理得到相對重要度，將各行除以所有行的和，于是得到風(fēng)險矩陣的特征向量W。風(fēng)險矩陣的特征向量計算公式如下所示。（2）風(fēng)險的一致性判斷。為了保證數(shù)據(jù)量化分析的有效性，需要對風(fēng)險矩陣X進(jìn)行一致性的校驗。根據(jù)上一步特征向量W計算矩陣的最大特征值，風(fēng)險矩陣的最大特征值計算公式如下所示。相容性公式歸一化CR公式如下所示。其中C.R.為隨機(jī)性指標(biāo)，數(shù)值見表4.9所示。表4.9隨機(jī)性指標(biāo)C.R.數(shù)值n12345C.R.000.580.91.12如果一致性指標(biāo)CR<0.1,則認(rèn)為權(quán)重向量W可以接受；如果CR>0.1，則需要對風(fēng)險矩陣進(jìn)行調(diào)整。根據(jù)計算公式得到了層次一到層次二的風(fēng)險矩陣，歸一化后的值如表4.10所示：表4.10層次一到層次二的風(fēng)險矩陣歸一化CR表各行矩陣相加元素除以個數(shù)n（4）權(quán)重向量W戰(zhàn)略風(fēng)險2.08330.52080.0929管理風(fēng)險102.50.4461技術(shù)風(fēng)險3.83330.95830.171安全風(fēng)險6.51.6250.29A-B的風(fēng)險矩最大特征值根據(jù)計算是4.04。依次算出C.I.=0.013，查表4.9得到四階矩陣的C.R.=0.9，最終算出CR值為0.014。CR<0.1，滿足條件。根據(jù)計算公式得到了層次二到層次三的戰(zhàn)略風(fēng)險矩陣，歸一化后的值如表4.11所示：表4.SEQ4.\*ARABIC11戰(zhàn)略風(fēng)險矩陣歸一化CR表各行矩陣相加元素除以個數(shù)n（2）權(quán)重向量W客戶對云服務(wù)外包的認(rèn)同風(fēng)險420.75云服務(wù)商無法替換風(fēng)險1.33330.66670.25根據(jù)計算公式得到了層次二到層次三的管理風(fēng)險矩陣，歸一化后的值如表4.12所示：表4.SEQ4.\*ARABIC12管理風(fēng)險矩陣歸一化CR表各行矩陣相加元素除以個數(shù)n（3）權(quán)重向量W云計算環(huán)境下權(quán)限管理風(fēng)險1.58330.52780.121云計算成本失控風(fēng)險4.51.50.3439項目進(jìn)度逾期風(fēng)險72.3330.535根據(jù)計算公式得到了層次二到層次三的技術(shù)風(fēng)險矩陣，歸一化后的值如表4.13所示：表4.SEQ4.\*ARABIC13技術(shù)風(fēng)險矩陣歸一化CR表各行矩陣相加元素除以個數(shù)n（2）權(quán)重向量W云計算環(huán)境下開發(fā)技術(shù)風(fēng)險31.50.6667系統(tǒng)部署風(fēng)險1.50.750.3333根據(jù)計算公式得到了層次二到層次三的安全風(fēng)險矩陣，歸一化后的值如表4.14所示：表4.SEQ4.\*ARABIC14技術(shù)風(fēng)險矩陣歸一化CR表各行矩陣相加元素除以個數(shù)n（3）權(quán)重向量W云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險82.66670.6061知識產(chǎn)權(quán)泄漏風(fēng)險1.70.56670.1288網(wǎng)絡(luò)攻擊風(fēng)險3.51.16670.2652層次二到層次三的四個風(fēng)險矩帶入公式進(jìn)行計算，戰(zhàn)略風(fēng)險和技術(shù)風(fēng)險都是二階矩，二階矩陣的C.R.的值為0，滿足風(fēng)險一致性檢驗的條件。管理風(fēng)險矩陣最大特征根3.03,CI=0.0127，三階矩陣C.R=0.58,一致性指標(biāo)CR=0.022<0.1，管理風(fēng)險判斷矩陣滿足風(fēng)險一致性檢驗的條件。安全風(fēng)險判斷矩陣最大特征根入max=3.01,CI=0.0037，三階矩陣C.R=0.58,一致性指標(biāo)CR=0.006<0.1安全風(fēng)險判斷矩陣滿足一致性檢驗。計算綜合重要程度。計算得到每一層的風(fēng)險和對上一級風(fēng)險的相對重要程度，就得出各層風(fēng)險對于CDD項目系統(tǒng)總體風(fēng)險的綜合重要度。上一層的風(fēng)險為A，共有n個風(fēng)險，對于的風(fēng)險為X1，X2，...Xn，對于的風(fēng)險重要程度是x1，x2，...xn。下一層的風(fēng)險為X，共有m個風(fēng)險，對于的風(fēng)險為Y1，Y2，...Ym，對于的風(fēng)險重要程度是y1，y2，...yn。因此，Y層次的風(fēng)險計算綜合公式如下所示。根據(jù)以上的綜合計算，得出CDD項目的風(fēng)險綜合權(quán)重表如表4.15所示。表4.SEQ4.\*ARABIC15CDD項目風(fēng)險綜合權(quán)重表層次B層次C戰(zhàn)略風(fēng)險0.0929管理風(fēng)險0.4461技術(shù)風(fēng)險0.171安全風(fēng)險0.29權(quán)重排序項目進(jìn)度逾期風(fēng)險0.5350.23871云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險0.60610.17582云計算成本失控風(fēng)險0.34390.15343云計算環(huán)境下開發(fā)技術(shù)風(fēng)險0.66670.11404網(wǎng)絡(luò)攻擊風(fēng)險0.26520.07695客戶對云服務(wù)外包的認(rèn)同風(fēng)險0.750.06976系統(tǒng)部署風(fēng)險0.33330.05707云計算環(huán)境下權(quán)限管理風(fēng)險0.1210.05408知識產(chǎn)權(quán)泄漏風(fēng)險0.12880.03749云服務(wù)商無法替換風(fēng)險0.250.0232105B公司CDD項目項目的風(fēng)險控制通過上文B公司CDD軟件項目的風(fēng)險分析和評估，以及結(jié)合風(fēng)險管理的一些相關(guān)理論，本章節(jié)主要討論云計算環(huán)境下CDD軟件項目的風(fēng)險管理的風(fēng)險控制，并根據(jù)實際的項目狀況提出相應(yīng)的控制措施。針對云計算環(huán)境下的項目普遍存在的一些嚴(yán)重的風(fēng)險問題，提出合理的風(fēng)險控制管理措施。5.1B公司CDD項目的風(fēng)險控制云計算環(huán)境下軟件外包項目的風(fēng)險控制過程包括處理已知風(fēng)險的具體方法和技術(shù)以及用于完成這些任務(wù)的時間規(guī)劃。風(fēng)險控制的最終目的是使項目處于風(fēng)險管理計劃中的可接受的風(fēng)險水平。文章總結(jié)了四種策略來處理項目中可能存在的威脅或風(fēng)險：避免風(fēng)險、轉(zhuǎn)移風(fēng)險、減輕風(fēng)險、接受風(fēng)險。四種風(fēng)險規(guī)避策略如表5.1所示。表5.SEQ5.\*ARABIC1風(fēng)險的四種規(guī)避策略風(fēng)險規(guī)避策略策略解釋避免風(fēng)險這需要采取實際的行動來消除風(fēng)險發(fā)生的可能性或者風(fēng)險影響。避免風(fēng)險的措施會使風(fēng)險完全避開，但是不是所有的風(fēng)險都能完全回避消除的，只是針對特定的風(fēng)險才可以做到這一點(diǎn)的。轉(zhuǎn)移風(fēng)險轉(zhuǎn)移風(fēng)險的措施是將風(fēng)險轉(zhuǎn)移給第三方，第三方來負(fù)責(zé)管理風(fēng)險和承擔(dān)風(fēng)險的影響。將風(fēng)險轉(zhuǎn)移給第三方來消除風(fēng)險需要一定條件，一般把風(fēng)險轉(zhuǎn)移給專業(yè)承擔(dān)風(fēng)險或應(yīng)對風(fēng)險的機(jī)構(gòu)組織。轉(zhuǎn)移風(fēng)險的同時可能會帶來新的風(fēng)險，如：支付風(fēng)險溢價。減輕風(fēng)險減輕風(fēng)險是采取一些行動或措施降低風(fēng)險的概率或影響。減輕風(fēng)險的策略一般是在風(fēng)險的早期采取行動，風(fēng)險發(fā)生前采取這一措施會更加容易、付出的成本也更低。接受風(fēng)險接受風(fēng)險的措施就是承擔(dān)風(fēng)險發(fā)生后的后果。最常見的接受策略是通過時間、金錢等資源來應(yīng)對風(fēng)險。選擇接受策略的往往是由于風(fēng)險的影響較小或發(fā)生概率較低。CDD項目風(fēng)險影響和采取措施對應(yīng)關(guān)系如表5.2所示。表5.SEQ5.\*ARABIC2項目風(fēng)險影響和采取措施對應(yīng)關(guān)系表風(fēng)險影響風(fēng)險措施一、關(guān)鍵的項目進(jìn)度逾期風(fēng)險減輕云計算環(huán)境下開發(fā)技術(shù)風(fēng)險二、重點(diǎn)的云計算成本失控風(fēng)險減輕、避免云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險客戶對云服務(wù)外包的認(rèn)同風(fēng)險三、一般的網(wǎng)絡(luò)攻擊風(fēng)險減輕、避免系統(tǒng)部署風(fēng)險云計算環(huán)境下權(quán)限管理風(fēng)險知識產(chǎn)權(quán)泄漏風(fēng)險四、可忽略的云服務(wù)商無法替換風(fēng)險接受5.1.1關(guān)鍵的風(fēng)險應(yīng)對對項目有關(guān)鍵性影響的風(fēng)險主要有：項目進(jìn)度逾期風(fēng)險和云計算環(huán)境下開發(fā)技術(shù)風(fēng)險。需要采取積極的態(tài)度消除相關(guān)的風(fēng)險對項目的影響。主要采取的風(fēng)險措施是：減輕風(fēng)險。（1）項目逾期風(fēng)險應(yīng)對釆取減輕風(fēng)險應(yīng)對措施。CDD系統(tǒng)本身具有一定的復(fù)雜性，需要團(tuán)隊成員熟悉云計算的技術(shù)，由于云技術(shù)在團(tuán)隊中有成員對該技術(shù)還不熟悉，這會導(dǎo)致項目推進(jìn)緩慢。團(tuán)隊大部分不熟悉云計算技術(shù)的研發(fā)人員，在短時間內(nèi)很難迅速的提高云技術(shù)的技能，所以增加人員或者培訓(xùn)的效果并不能應(yīng)對項目逾期的風(fēng)險。項目的負(fù)責(zé)人員或管理人員應(yīng)該重新去指定系統(tǒng)功能范圍，保留核心的功能，對非核心的功能較少的安排或者添加在后續(xù)版本里面。這樣可以讓產(chǎn)品正常上線發(fā)布出去，避免了項目逾期的風(fēng)險。在后續(xù)的版本迭代更新后，團(tuán)隊的整體技術(shù)能力提高后，再根據(jù)能力調(diào)整相應(yīng)的研發(fā)計劃。（2）云計算環(huán)境下開發(fā)技術(shù)風(fēng)險應(yīng)對釆取減輕風(fēng)險應(yīng)對措施。針對項目技術(shù)的風(fēng)險，可以在公司內(nèi)部開展技術(shù)培訓(xùn)課程，邀請公司對云計算研究比較深入的同事經(jīng)常分享交流和傳授自己的經(jīng)驗和技術(shù)。同時，也可以邀請專業(yè)的外部云計算的專家進(jìn)行技術(shù)指導(dǎo)，或者遠(yuǎn)程解答研發(fā)中遇到的問題。在項目進(jìn)展過程中，對項目階段性的成功進(jìn)行討論分析，找出不足并逐步的修正。5.1.2重點(diǎn)的風(fēng)險應(yīng)對項目的重點(diǎn)的風(fēng)險主要有：云計算成本失控風(fēng)險、云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險、客戶對云服務(wù)外包不認(rèn)同的風(fēng)險。主要采取的風(fēng)險應(yīng)對措施有：減輕、預(yù)防。（1）云計算成本失控風(fēng)險應(yīng)對釆取減輕、預(yù)防相結(jié)合的風(fēng)險應(yīng)對措施。定期及時刪除不在使用的云資源或者過期的資源。通過亞馬遜云平臺的自動化腳本工具自動釋放被占用的資源。對服務(wù)進(jìn)行性能測試，優(yōu)化服務(wù)性能，合理配置資源。同時還需要每個月核對費(fèi)用賬單，防止額外超出預(yù)算過多的情況出現(xiàn)。（2）云計算環(huán)境下數(shù)據(jù)丟失的風(fēng)險應(yīng)對釆取減輕、預(yù)防相結(jié)合的風(fēng)險應(yīng)對措施。亞馬遜云平臺上的虛擬機(jī)全部需要安裝全面的防護(hù)系統(tǒng)。設(shè)置可信任的機(jī)器才能進(jìn)行通訊的協(xié)議，防止被惡意攻擊。同時對交互的數(shù)據(jù)進(jìn)行加密傳輸。為了保證數(shù)據(jù)的安全性需要定期的巡檢各個系統(tǒng)中是否存在安全漏洞和隱患，對代碼和系統(tǒng)安全也要進(jìn)行相應(yīng)的審核管理。（3）客戶對云服務(wù)外包的認(rèn)同風(fēng)險應(yīng)對釆取預(yù)防風(fēng)險應(yīng)對措施。項目的各類文檔資料、會議資料、設(shè)計資料等需要保存好。再將項目展現(xiàn)給用戶講解的時候，過濾掉敏感信息將項目進(jìn)度、產(chǎn)品設(shè)計、新的功能研發(fā)展示給用戶觀看。同時也會向用戶進(jìn)行疑惑解答，保證產(chǎn)品滿足客戶需求的同時，也會對客戶反饋的問題進(jìn)行認(rèn)真的分析跟蹤，提高用戶的認(rèn)同性。5.1.3一般風(fēng)險應(yīng)對項目的一般風(fēng)險影響主要有：網(wǎng)絡(luò)攻擊風(fēng)險、系統(tǒng)部署風(fēng)險、云計算環(huán)境下權(quán)限管理風(fēng)險和知識產(chǎn)權(quán)泄露風(fēng)險。主要采取的風(fēng)險應(yīng)對措施有：預(yù)防、減輕。（1）網(wǎng)絡(luò)攻擊風(fēng)險應(yīng)對釆取是預(yù)防為主的應(yīng)對措施。為了保證系統(tǒng)不受到惡意的網(wǎng)絡(luò)攻擊，首先需要先保證項目自身的系統(tǒng)和代碼的安全合規(guī)，建立公司內(nèi)部的代碼審核制度和系統(tǒng)安全管理制度。其次，加強(qiáng)網(wǎng)絡(luò)保護(hù)措施，優(yōu)化網(wǎng)絡(luò)保護(hù)系統(tǒng)，安裝網(wǎng)絡(luò)防火墻。最后，還需要建立嚴(yán)格的網(wǎng)絡(luò)檢查和檢測機(jī)制，及時的去發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)風(fēng)險并積極的采取安全防護(hù)措施。（2）系統(tǒng)部署風(fēng)險應(yīng)對釆取減輕、預(yù)防相結(jié)合的風(fēng)險應(yīng)對措施。亞馬遜云服務(wù)平臺上的虛擬機(jī)全部需要安裝全面的防護(hù)系統(tǒng)。設(shè)置可信任的機(jī)器才能進(jìn)行通訊的協(xié)議，防止被惡意攻擊。同時對交互的數(shù)據(jù)進(jìn)行加密傳輸。為了保證數(shù)據(jù)的安全性需要定期的巡檢各個系統(tǒng)中是否存在安全漏洞和隱患，對代碼和系統(tǒng)安全也要進(jìn)行相應(yīng)的審核管理。（3）云計算環(huán)境下權(quán)限管理風(fēng)險應(yīng)對釆取減輕風(fēng)險應(yīng)對措施。項目研發(fā)團(tuán)隊開發(fā)了一套權(quán)限管理系統(tǒng)對權(quán)限、角色、用戶進(jìn)行了詳細(xì)的劃分和管理。與此同時，在項目中添加權(quán)限審查機(jī)制，對于權(quán)限越界、權(quán)限配置的修改、再分配、撤銷等都有權(quán)限設(shè)置的各種設(shè)置。也相應(yīng)的包括權(quán)限越界的報警機(jī)制和攔截機(jī)制。（4）知識產(chǎn)權(quán)泄露風(fēng)險應(yīng)對釆取預(yù)防風(fēng)險應(yīng)對措施。云服務(wù)的使用公司分配的賬號進(jìn)行使用，不再使用個人賬號登錄。同時，設(shè)置相應(yīng)的網(wǎng)絡(luò)規(guī)則，員工只有使用公司的電腦才能登錄云服務(wù)的系統(tǒng)環(huán)境。設(shè)置完這些后，還需要做好監(jiān)控，對公司電腦設(shè)備進(jìn)行監(jiān)控，禁止員工私自轉(zhuǎn)移或者備份項目相關(guān)的資料。員工離職后，除了電腦設(shè)備要回收，訪問權(quán)限也需要同步禁止掉。此外，員工在入職之前也必須簽到好保密協(xié)議。5.1.4可接受的風(fēng)險應(yīng)對項目的可接受風(fēng)險影響主要有：云服務(wù)商無法替換風(fēng)險。主要采取的風(fēng)險應(yīng)對措施有：接受。由于云服務(wù)商無法替換風(fēng)險對目前的項目影響較小，可以先采取接受風(fēng)險的應(yīng)對措施。當(dāng)系統(tǒng)再次升級時，再采取相應(yīng)的措施來減輕云服務(wù)商無法替換的風(fēng)險。5.2B公司CDD項目的風(fēng)險控制風(fēng)險控制是風(fēng)險控制的非常重要的一個部分。項目采取了風(fēng)險應(yīng)對措施以后，仍然需要對風(fēng)險進(jìn)行監(jiān)控并且評估風(fēng)險的應(yīng)對措施的效果。風(fēng)險的監(jiān)控是一個貫穿項目全過程的一項活動，即使是已經(jīng)處理完成的項目風(fēng)險，仍然需要監(jiān)控，防止后期出現(xiàn)變化，影響項目的正常進(jìn)行。在CDD項目的整個風(fēng)險監(jiān)控的過程。項目需要創(chuàng)建專門供團(tuán)隊監(jiān)控使用的風(fēng)險管理系統(tǒng)，包括信息的記錄、跟蹤和風(fēng)險監(jiān)控警報等。同時需要定期的將風(fēng)險總結(jié)報告發(fā)送給風(fēng)險管理人員，以便清晰的了解CDD項目的各類風(fēng)險情況。對系統(tǒng)識別出來的風(fēng)險，研發(fā)團(tuán)隊需要定期的開展風(fēng)險管理會議，去討論和應(yīng)對相應(yīng)的風(fēng)險。根據(jù)風(fēng)險系統(tǒng)的報告，將已經(jīng)識別出來的風(fēng)險的內(nèi)容、所屬的風(fēng)險類別、風(fēng)險的等級、風(fēng)險負(fù)責(zé)人、風(fēng)險處理狀況進(jìn)行分類討論和記錄跟蹤。如果是新識別出來的項目風(fēng)險或者之前的風(fēng)險仍然有殘余的風(fēng)險問題，在風(fēng)險識別、風(fēng)險分析過后，系統(tǒng)會提高該風(fēng)險的等級，并且會指派給專門的負(fù)責(zé)人，對該風(fēng)險進(jìn)行處理和應(yīng)對。5.3云計算環(huán)境下的IT外包項目風(fēng)險控制云計算環(huán)境下的IT外包項目，在服務(wù)的高可用、高拓展性、高彈性架構(gòu)等優(yōu)勢下，也有存在這一些風(fēng)險問題。軟件外包項目，因為數(shù)據(jù)資源的在發(fā)包方和承包方之間的共享性就會導(dǎo)致一些風(fēng)險問題，而云計算服務(wù)由于本身資源共享架構(gòu)的模式，發(fā)生安全事故的后果比傳統(tǒng)給的軟件外包服務(wù)更加嚴(yán)重。使用云計算服務(wù)的外包項目，云服務(wù)平臺的安全風(fēng)險是云服務(wù)平臺的主要項目風(fēng)險之一。于此同時為了解決云計算風(fēng)險問題，企業(yè)則需要采取更加全面、適用云計算特點(diǎn)的安全防范措施。否則除了對外包的項目產(chǎn)生嚴(yán)重威脅外，還會嚴(yán)重影響到公司的信譽(yù)和形象，損害公司的利益和未來的發(fā)展道路。5.3.1云計算環(huán)境下IT外包項目的服務(wù)安全風(fēng)險控制云服務(wù)平臺是虛擬技術(shù)化的服務(wù)，虛擬化技術(shù)在提升服務(wù)性能的同時也帶來了一些新的安全問題。傳統(tǒng)的IT的外包服務(wù)，數(shù)據(jù)和服務(wù)的安全風(fēng)險控制可以通過安裝防護(hù)軟件、網(wǎng)絡(luò)防火墻、數(shù)據(jù)檢測軟件等工具進(jìn)行防護(hù)。在云服務(wù)器上這些都是需要占用巨大的資源，并且云服務(wù)器上的虛擬器很容易遭受到其他虛擬機(jī)的惡意攻擊，因此需要對各個虛擬機(jī)進(jìn)行隔離和保護(hù)。在云計算環(huán)境下IT外包項目中，數(shù)據(jù)和服務(wù)器的安全性是項目可交付的一項重要的標(biāo)準(zhǔn)。在云計算環(huán)境下的項目，可以通過云平臺進(jìn)行配置，對沒有相互通訊需求的虛擬機(jī)進(jìn)行隔離。這樣可以保證虛擬機(jī)的相互獨(dú)立性，即使一臺虛擬服務(wù)器出現(xiàn)安全風(fēng)險也不影響其他虛擬服務(wù)器的使用。同時，為了保證服務(wù)的安全性，云環(huán)境下的用戶，必須通過特定的VPN軟件來遠(yuǎn)程訪問，而且設(shè)置時效性，超出一定范圍的時間沒有任何操作將中斷鏈接。這樣來確保網(wǎng)絡(luò)的通訊傳輸安全性。同時，因為是外包的項目，不僅需要對云端用戶進(jìn)行身份驗證，還需要對不同的用戶進(jìn)行權(quán)限管理設(shè)置。云服務(wù)器上的虛擬機(jī)之間的交互是依靠虛擬網(wǎng)絡(luò)來進(jìn)行的，因此虛擬機(jī)之間的流量交互處于不可控的狀態(tài)。為了確保流量交互的安全，云服務(wù)器上的虛擬機(jī)一般都會部署相應(yīng)的流量監(jiān)控進(jìn)行實時的檢測。這樣在項目交付的時候，發(fā)包方可以及時的回收一些臨時分配給承包方的權(quán)限，同時實時的對系統(tǒng)安全進(jìn)行監(jiān)控，來確保項目安全風(fēng)險的控制和管理。5.3.2云計算環(huán)境下IT外包項目的數(shù)據(jù)安全風(fēng)險控制傳統(tǒng)的軟件服務(wù)數(shù)據(jù)所有權(quán)和管理器都是屬于用戶的。而在云計算環(huán)境下，數(shù)據(jù)的所有權(quán)和管理權(quán)是分離的，用戶需要把數(shù)據(jù)提交給云服務(wù)供應(yīng)商[30]。與此同時，軟件外包的服務(wù)中，發(fā)包方和承包方之間也是共享數(shù)據(jù)的。在這樣的情況下，數(shù)據(jù)的管理權(quán)不在僅僅屬于發(fā)包方，而是三方（發(fā)包方、承包方、云服務(wù)提供商）。因此，在云計算環(huán)境下的項目安全需要注意以下幾點(diǎn)：一、云計算環(huán)境下數(shù)據(jù)安全需要新的機(jī)制來確保數(shù)據(jù)的機(jī)密性。二、云計算環(huán)境下的用戶數(shù)據(jù)共享基礎(chǔ)設(shè)施和混合存儲需要有效的隔離機(jī)制。三、云計算環(huán)境下存儲的冗余數(shù)據(jù)需要保證數(shù)據(jù)備份的一致性。一般的軟件服務(wù)、操作環(huán)境都部署在企業(yè)的內(nèi)部環(huán)境中，外界難以觸及。軟件外包服務(wù)中，需要考慮數(shù)據(jù)安全問題也主要集中在發(fā)包人和承包人之間，承包人和發(fā)包人做好內(nèi)部數(shù)據(jù)安全交互可以大大降低數(shù)據(jù)安全風(fēng)險。然而，云計算環(huán)境下的軟件服務(wù)需要將數(shù)據(jù)放到公共網(wǎng)絡(luò)上，這大大增加了數(shù)據(jù)的安全風(fēng)險。因此，云服務(wù)下的數(shù)據(jù)安全需要根據(jù)云平臺的特點(diǎn)采用一套安全機(jī)制來保證數(shù)據(jù)的安全。這里以B公司使用的亞馬遜