第1章 IT操作风险管理概述 1
1.1 IT操作风险概念 1
1.1.1操作风险定义 1
1.1.2 IT操作风险 2
1.1.3 IT操作风险分类 3
1.2 IT操作风险管理标准和规范 3
1.2.1 IT操作风险管理相关标准 3
1.2.2 IT操作风险管理相关法规 5
1.3 IT操作风险管理流程 7
1.3.1软件开发风险管理流程 7
1.3.2系统运行维护风险管理流程 8
本章小结 9
参考文献 9
第2章 信息系统开发风险管理 11
2.1立项阶段的风险管理 11
2.1.1系统开发立项概述 12
2.1.2立项的风险点和指标体系 13
2.1.3立项的风险控制方法 17
2.2需求分析阶段的风险管理 19
2.2.1系统需求的概念 19
2.2.2需求分析流程与方法 20
2.2.3需求分析的风险点 23
2.2.4需求分析的风险分析方法 26
2.2.5需求变更管理的制度 27
2.3系统设计阶段的风险管理 30
2.3.1系统设计概述 30
2.3.2系统设计的风险识别 32
2.3.3系统设计的风险控制方法 38
2.4系统实施阶段的风险管理 44
2.4.1系统实施概述 44
2.4.2编码的风险管理 46
2.4.3测试的风险管理 54
2.4.4数据库建设与系统转换中的风险管理 61
本章小结 66
参考文献 67
第3章 服务外包风险指标体系及风险控制方法 70
3.1 IT服务的内容及分类 70
3.2 IT服务外包主要风险及风险控制方法 71
3.2.1 IT外包风险管理理论发展概述 71
3.2.2 IT外包风险控制方法概述 73
3.2.3软件项目的风险分类 74
3.3 IT服务外包风险控制方法 75
3.3.1按照风险来源的风险控制策略 75
3.3.2被动风险控制——选择服务商策略 76
3.3.3主动风险控制——依赖激励合同的设计 78
3.3.4主动风险控制——优化模型的建立 81
3.4案例分析——某交易中心软件外包风险控制 85
3.4.1软件外包风险指标体系——基于改进的层次全息模型 85
3.4.2软件外包风险因子的量化及模型计算 88
本章小结 93
参考文献 94
第4章 信息系统运维风险指标体系及监测方法 96
4.1信息系统运维管理行业标准 96
4.1.1 ITIL 96
4.1.2 ASL 100
4.1.3 BiSL 103
4.1.4 ISPL 104
4.1.5 ITS-CMM 104
4.1.6 BS7799. 107
4.1.7 COBIT 109
4.2信息系统运维管理流程识别与控制 111
4.2.1事件管理 111
4.2.2问题管理 112
4.2.3变更管理 113
4.2.4配置管理 114
4.2.5发布管理 115
4.2.6服务水平管理 116
4.2.7可用性管理 117
4.2.8能力管理 118
4.2.9 IT服务持续性管理 120
4.2.10财务管理 121
4.3信息系统运行监控体系 122
4.3.1 ICT基础设施管理 122
4.3.2应用管理 126
4.3.3生产运维环境中的运行监控 128
本章小结 145
参考文献 145
第5章 系统升级变更风险管理控制 147
5.1系统升级变更的目的、内容和特点 147
5.1.1系统升级变更的目的 147
5.1.2系统升级变更的内容 147
5.1.3系统升级变更的特点 149
5.2系统升级变更的一般过程 149
5.3系统升级变更风险管理及指标体系 150
5.3.1系统升级变更风险识别 150
5.3.2系统升级变更风险评估 154
5.3.3系统升级变更风险管理指标体系 159
5.4系统升级变更风险管理的配套管理措施 161
5.4.1项目组织结构管理 161
5.4.2流程管理 162
5.4.3系统升级变更过程管理 163
5.4.4变革管理 166
本章小结 167
参考文献 167
第6章 信息系统安全管理指标体系及监测方法 168
6.1信息安全风险管理 168
6.1.1信息安全风险管理相关概念 168
6.1.2国内外信息安全风险管理现状 169
6.1.3信息安全风险管理主要内容 172
6.2信息安全风险识别 183
6.2.1威胁点识别 184
6.2.2脆弱点识别 186
6.2.3威胁可能分析 188
6.2.4脆弱性分析 189
6.2.5风险后果分析 189
6.3信息安全风险评估 190
6.3.1定量信息安全风险评估方法 190
6.3.2定性信息安全风险评估方法 191
6.3.3威胁脆弱性风险评估 192
6.3.4绝对量化信息资产风险评估 193
6.3.5模糊评价的信息安全综合评估 195
6.4信息安全风险控制 196
6.4.1反应性方法 196
6.4.2前瞻性方法 197
6.5案例分析 198
6.5.1风险发生可能性计算 198
6.5.2风险发生影响量化 202
本章小结 204
参考文献 204
第7章 模拟测试质量与成本管理 206
7.1模拟测试方法与流程 206
7.1.1性能测试 206
7.1.2兼容性测试 210
7.1.3网络测试 212
7.1.4安全性测试 213
7.1.5可靠性测试 214
7.1.6功能测试 216
7.1.7标准符合性测试 216
7.1.8易用性测试 216
7.1.9强度测试 218
7.2控制模拟测试质量的管理方法 218
7.2.1保证测试质量的组织和环境 219
7.2.2模拟测试的质量管理 224
7.2.3模拟测试管理内容 227
7.2.4模拟测试的成本管理 238
7.2.5测试管理策略 257
7.2.6模拟测试度量 259
7.3衡量模拟测试质量的指标体系 260
7.3.1测试指标 260
7.3.2功能性 261
7.3.3可靠性 261
7.3.4易用性 262
7.3.5效率 263
7.3.6可维护性 263
7.3.7可移植性 264
7.3.8负载压力测试指标 264
7.3.9网络测试指标 266
7.3.10安全性 266
7.3.11兼容性 267
7.4测试工具和测试管理工具 267
7.4.1软件测试工具 267
7.4.2测试管理工具典型产品的比较 277
7.5某企业模拟测试的成本分析 287
7.5.1项目介绍 287
7.5.2测试的成本分析 287
7.5.3基于成本分析的测试方案 296
本章小结 299
参考文献 299
第8章 灾难备份系统建设 302
8.1灾难备份概述 302
8.1.1灾难备份概念及形成原因 302
8.1.2发展历程 303
8.1.3“9·11”事件对金融容灾的影响 303
8.1.4国际通行灾难备份技术及产品 309
8.2灾难备份模型 311
8.2.1 BCP(Business Continuity Planning)模型 311
8.2.2现有模型的不足 316
8.2.3指标建模 316
8.3灾难备份关键技术与方案 318
8.3.1数据库备份技术 318
8.3.2基于磁盘系统的PPRC数据级灾难备份方案及技术特点 330
8.3.3 IBM HAGEO方案 334
8.4灾难备份制度建设 335
8.4.1灾难恢复的组织机构及其职责 335
8.4.2灾难恢复流程 336
8.4.3应急演练制度 338
8.5指标分析的实证分析 341
8.5.1 ANP与AHP特征比较介绍 341
8.5.2优势度 342
8.5.3构造ANP典型结构与实际问题分析 342
8.5.4 ANP结构的超矩阵与加权超矩阵 343
8.5.5信息系统及指标建模 344
8.5.6结果分析 346
8.6国内外灾难备份案例 346
8.6.1中国银联灾难备份案例 346
8.6.2日本Nihon Trusty Bank和韩国koram银行对IPStor技术的应用 351
8.6.3美国State Farm基于主机卷灾备恢复方案 353
本章小结 353
参考文献 354
附录A 编码部分风险点识别调查问卷 355