Каковы ваши стратегии управления рисками?

Question

Мы являемся небольшим бизнесом по разработке веб-сайтов, и в итоге мы также хотим выпускать веб-приложения. Сейчас мы проводим оценку рисков и хотели бы знать, что другие компании делают для обеспечения безопасности и управления рисками. Каковы ваши стратегии и практики управления рисками, технические и другие?

Вот что я до сих пор (и я пополняемый список):

Технические

• управления Источник
• Модульное тестирование
• Последовательные стандарты кодирования
• Резервные копии на разных физических местоположения
• ошибка отслеживания
• QA тестирование
• аудит безопасности

Другое

• Явное подробные контракты
• Страхование бизнеса
• Доказательная планирования
• Weekly delivera BLES и клиент знак-офф
• Аудит Трассы для отчетности

Answer 1

На более абстрактном уровне:

Держите список рисков со всеми возможными рисками вы можете думать, будь то большие или малые, вероятность или невероятность. Обновите или, по крайней мере, перепроверьте этот список каждые несколько недель. Это может быть так же ощутимо, как «сбой жесткого диска на главном сервере» или как неосязаемый, так как «конкурент запускает свой продукт первым».

Затем для каждого риска оценивайте воздействие и вероятность в каком-либо масштабе (это может быть довольно произвольным). Реальный риск будет несколько пропорциональным продукту обоих. I.E., высокая потенциальная стоимость с очень низкой вероятностью не так плоха, как средняя стоимость с высокой вероятностью. Эти цифры есть, чтобы помочь вам разобраться в риске, не относитесь к ним серьезно.

Далее, для каждого риска подумайте о смягчающих мерах, которые вы можете принять, будь то контрмеры, страхование, что угодно. Опять же, укажите стоимость этих (не на денежной стоимости!).

Только теперь вы можете решить, что (и если вообще) делать с каждым риском. Просто принятие риска может быть приемлемым решением на данный момент, но не раньше.

Возможно, вы захотите ознакомиться с Waltzing with Bears: Управление рисками на программных проектах от Tom DeMarco, Timothy Lister. Хорошо.

Answer 2

Шаг 0 - определить и реализовать POC проект по всем техническим вопросам высокого риска.

Еженедельные поставки с принятием потребителя (даже если это просто искусственный клиент).

Answer 3

Даже с небольшой компанией я чувствую, что «собственность» и «ответственность» являются ключевыми. Если у вас будет много проектов сообщества, то кто ответит, если это будет плохо? Очевидно, что это то, что должно развиваться вместе с компанией, и быть слишком строгим в отношении иерархии ведет к задушенным командам. Но нужно подумать о такой командной динамике, которую вы хотите создать и поддержать в своей компании.

Answer 4

• план хорошего управление проектом (то есть: ИЕ, сбор требований, «как есть» модели, «чтобы быть» модель и т.д.)
• Хотя подпорки большого риска шаг управления , что многие человек/компании не принимают в Рассмотрение их процесса для резервное копирование. Я видел слишком много экземпляров, где процесс для резервного копирования (вставка лент, планирование, удаление лент, перемещение лент за пределами площадки и т. Д.) Было слишком легко сломать.

Answer 5

Вы указали один элемент об инфраструктуре.

• Резервные копии в разных местах

Я рекомендую расширять это, чтобы включить данные защиты.

• Оборудование, которое обеспечивает защиту от потери питания (батареи или механической мощности)
• аппаратного и программного обеспечения, которое поддерживает доступ к вашему коду и строит

сбоями и потери ваших перерывов данных кодирования потока и восстановление из резервное копирование занимает гораздо больше времени, чем никогда не потеряет его в первую очередь.