免费智能真题库 > 历年试卷 > 软件评测师 > 2021年下半年 软件评测师 上午试卷 综合知识
  第41题      
  知识点:   软件风险分析   风险管理
  关键词:   风险管理   风险        章/节:   软件测试过程模型       

 
风险管理中,通常需要进行风险监测,其目的不包括()。
 
 
  A.  主动避免风险
 
  B.  评估所预测的风险是否发生
 
  C.  保证正确实施了风险缓解步骤
 
  D.  收集用于后续进行风险分析的信息
 
 
 

 
  第54题    2012年下半年  
   30%
通用的风险分析表应包括(54)。
①风险问题②发生的可能性③影响的严重性 ④风险预测值⑤风险优先级
  第53题    2012年下半年  
   41%
造成软件测试风险的主要原因不包括(53)。
 
   知识点讲解    
   · 软件风险分析    · 风险管理
 
       软件风险分析
        风险分析是一个对潜在问题识别和评估的过程,即对测试的对象进行优先级划分。风险分析包括两个部分:
        ①发生的可能性—发生问题的可能性有多大。
        ②影响严重性—如果问题发生了会有什么后果。
        风险分析由以下几个步骤组成:首先列出潜在问题,然后对标识的每个潜在问题发生的可能性和影响严重性赋值,进行风险测定。测试人员根据测试分析结果的排列,关注潜在问题,设计与选择测试用例。
        通常风险分析采用两种方法:表格分析法和矩阵分析法。通用的风险分析表包括以下几项内容。
        ①风险标识(ID)——表示风险事件的惟一标识。②风险问题——问题发生现象的简要描述。
        ③发生的可能性——可能性值从1(低)~10(高)。
        ④影响的严重性——严重性值从1(低)~10(高)。
        ⑤风险预测值——发生可能性和影响严重性的乘积。
        ⑥风险优先级——风险预测值从高到低的排序。
        软件风险分析表的例子如下表所示。
        
        软件风险分析表
        可能性与严重性的乘积产生的风险预测值,决定了风险优先级的排序。预测值越高,优先级别越高,针对该问题的测试就越重要。根据表4-1的计算结果风险问题的排列为B、A、D、C、E。在风险计算过程中,可能出现具有相同预测值的情况,有的测试机构可以通过将可能性和严重性分别加权计算来进行进一步的分析。
        本书风险分析的可能性值和严重性值的范围推荐使用从1~10,有些机构可能使用值的范围为1~100,或0~1之间的小数,也有的机构使用高、中、低三个等级来表示。至于使用哪种等级表示并不是很重要,只要这些值在分析过程中的使用是一致的,分析的效果都是一样的。
        风险矩阵是风险分析的另一种有效的方法,测试人员可根据需要对风险潜在问题的可能性和严重性采用高(1)、中(2)、低(3)三个等级来表示,形成一个二维风险矩阵,而风险优先级可用二者值之和表示。这样,可能存在五个风险等级(即6、5、4、3、2,如下图所示)。
        总之,风险优先级是由软件潜在问题影响的严重性确定的,是个相对值,而潜在问题的影响严重性是根据问题的可能性来评定的。
        如下图中的风险优先级的确定是使用可能性和严重性等级值相加,但是如果使用两者值相乘,将会扩大有风险的区域。
        
        软件风险分析矩阵
        综上所述,软件风险分析的目的是:确定测试对象、确定优先级,以及测试深度。在测试计划阶段,可以用风险分析的结果来确定软件测试的优先级。对每个测试项和测试用例赋予优先级代码,将测试分为高、中和低的优先级类型,这样可以在有限的资源和时间条件下,合理安排测试的覆盖度与深度。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
   题号导航      2021年下半年 软件评测师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第41题    在手机中做本题