项目风险分析列表V1.0

中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》（YD/T 1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。

第二条本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

第三条本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

第五条涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求第六条风险评估内容及组织方式1（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。

修订历史记录目录1目的 (3)2范围 (3)3定义 (3)3.1风险 (3)3.2风险管理 (3)3.3风险严重性 (4)3.4风险可能性 (4)3.5风险系数 (4)3.6风险的状态 (5)3.7风险管理活动 (5)4角色与职责 (5)4.1开发部总经理......................................................... 错误！未定义书签。

4.2开发部经理............................................................. 错误！未定义书签。

4.3项目组长 (5)4.4项目组成员 (5)4.5配置管理员 (5)5入口准则 (5)6输入 (6)7活动步骤 (6)7.1概述 (6)7.2风险识别 (6)7.3风险分析 (7)7.4风险减缓 (7)7.5风险跟踪 (8)7.6风险经验管理 (9)8输出 (9)9相关／支持性文件清单 (9)1目的风险管理（Risk Management ，RiskM ）的目的是在风险对项目产生危害之前识别它们，从而有计划地，系统地消除或削弱风险。

风险减缓和风险跟踪，2范围风险管理是一种有计划的主动式管理活动，过程覆盖软件产品项目计划后的生命周期，并适用于应用软件开发组所有软件开发项目。

3 定义3.1 风险 所有可能危害项目的因素都称为风险。

被刻画为风险的事件最终可能发生，也可能不发生。

3.2 风险管理风险管理是一个连续的前瞻性的过程，它是业务和技术管理过程的重要组成部分。

具体说，它是软件开发中主动去分析、去衡量某种情况下的风险的一种方法。

通过使用参数设计可对所含风险给出比较准确的推测，对风险进行控制，防止风险产生真正的危害。

为了便于风险管理，本公司给风险设计了3个参数：● 风险严重性：指风险对项目造成的危害程度。

● 风险可能性：指风险发生的几率。

● 风险系数：是风险严重性和风险可能性的乘积。

中国移动网络与信息安全风险评估管理办法第一章总则第一条为在确保中国移动通信有限公司（以下简称“有限公司”）及各省公司（有限公司和各省公司统称“中国移动”）网络安全前提下，高效、可控地推动网络与信息系统风险评估工作，依据《电信网和互联网安全防护管理指南》（YD/T 1728-2008）、《电信网和互联网安全风险评估实施指南》（YD/T1730-2008）等国家政策、行业标准和有限公司相关规定，制定本办法。

第二条本办法所指的网络和信息系统安全风险评估（以下简称“风险评估”）是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威胁、发生概率、安全事件影响等安全风险情况进行分析，找出安全风险，有针对性的提出改进措施的活动。

第三条本办法自发布之日起实施，各省公司应制定具体实施细则。

第二章适用范围第四条本办法适用于有限公司、各省公司根据行业监管要求或者自身安全要求，针对中国移动通信网、业务网、各支撑系统以及其它服务类信息系统，如电梯控制系统、门禁系统等发起的各类风险评估。

第五条涉及的部门包括：总部及各省公司网络与信息安全工作办公室，其它网络安全工作管理职能部门，各级通信网、业务网和各支撑系统维护部门，如网络部门、业务支撑部门、管理信息系统部门、办公设施管理部门等等。

第三章评估工作宏观要求第六条风险评估内容及组织方式1（一）风险评估以识别网络和信息系统等信息资产的价值，发现信息资产在技术、管理等方面存在的脆弱性、威胁，评估威胁发生概率、安全事件影响，计算安全风险为主要目标，同时有针对性的提出改进措施、技术方案和管理要求。

（二）有限公司和各省公司应重点针对没有具体、可操作安全规范指导或者管理办法要求的安全领域，如电信业务流程层面，进行风险评估；（三）风险评估原则上以自评估为主，如自身人员数量、技术水平、评估标准支撑能力等不足或者时间紧迫、意义重大，可在上报有限公司审批、加强管理的前提下引入第三方评估，并应侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程和通信协议中存在的漏洞等等。

项目测试管理CheckList Prepared by Date 2009-10-26
编制日期
Reviewed by Date
审核日期
Authorized by Date
批准日期
All rights reserved
版权所有违版必究
1、内容填写说明
A、项目基本信息由测试用例设计者填写。

B、自检，根据检查结果在自检结果“是、否、免”相应栏中作“V”标记；是：满足要求，否：不满足要求，免：内容不涉及此项目；在“否、免”栏作“V”标记，必须在自检说明中填写原因。

C、审查，确认自检结果是否正确，如与审查项目一致：在互检结果“是”栏作“V”标记，否则：在审核结果“否”栏作“V”标记，并在审核说明中填写原因。

D、“自检结论及问题说明”由测试用例设计者填写，在此栏说明该项目检视的要点，方便审核者检查。

“审核结论及问题说明”由审核者填写，在此栏列出审核结果中为“否”的所有问题。

E、最终QA将此文档提交给运作支持部，进行数据备份，整个过程由运作支持部跟踪。

附录A CMMI-DEV 1.3过程域一览表附录B CMMI特定目标（SG）和特定实践（SP）汇总CMMI通用目标（GG）和通用实践（GP）汇总GG1 Achieve Specific Goals 实现特定目标GP 1.1 Perform Specific Practices 执行特定实践GG2 Institutionalize a Managed Process 使已管理的过程制度化GP 2.1 Establish an Organizational Policy 建立组织政策GP 2.2 Plan the Process 过程计划GP 2.3 Provide Resources 提供资源GP 2.4 Assign Responsibility 分配职责GP 2.5 Train People 人员培训GP 2.6 Control Work Products 控制工作产品GP 2.7 Identify and Involve Relevant Stakeholders 识别并引入相关的利益相关者GP 2.8 Monitor and Control the Process 监督和控制过程GP 2.9 Objectively Evaluate Adherence 坚持客观的评价GP 2.10 Review Status with Higher Level Management 更高层领导审核状态GG3 Institutionalize a Defined Process 使已定义的过程制度化GP 3.1 Establish a Defined Process 建立一个已定义的过程GP 3.2 Collect Process Related Experiences 收集过程相关经验。