ГОСТ Р ИСО/МЭК 16085-2007
Группа Т59
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Менеджмент риска
ПРИМЕНЕНИЕ В ПРОЦЕССАХ ЖИЗНЕННОГО ЦИКЛА СИСТЕМ И ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Risk management. Application for system and software life cycle processes
ОКС 35.180
Дата введения 2008-09-01
1 ПОДГОТОВЛЕН Открытым акционерным обществом "Научно-исследовательский центр контроля и диагностики технических систем" (ОАО "НИЦ КД") на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 10 "Перспективные производственные технологии, менеджмент и оценка рисков"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2007 г. N 568-ст
4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 16085:2006* "Разработка систем и программного обеспечения. Процессы жизненного цикла. Менеджмент риска"(ISO/IEC 16085:2006 "Systems and software engineering - Life cycle processes - Risk management", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5-2012 (пункт 3.5).
При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых приведены в дополнительном приложении ДА
5 ВВЕДЕН ВПЕРВЫЕ
6 ПЕРЕИЗДАНИЕ (январь 2019 г.) с поправкой* (ИУС 1-2008)
________________
* Текст документа соответствует оригиналу. - Примечание изготовителя базы данных.
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Настоящий стандарт устанавливает непрерывный процесс менеджмента риска программного обеспечения. Раздел 1 содержит краткое описание процесса, а также определение цели, области применения и критериев соответствия процесса менеджмента риска требованиям настоящего стандарта. В разделе 2 приведены ссылочные стандарты; дополнительные нормативные и справочные документы представлены в структурном элементе "Библиография". Раздел 3 содержит основные термины и определения. Раздел 4 конкретизирует применение менеджмента риска на стадиях жизненного цикла программного обеспечения. В разделе 5 установлены требования к процессу менеджмента риска.
В настоящем стандарте представлено четыре приложения. В приложениях А, В и С приведены примеры трех документов: плана менеджмента риска, информации о действиях с риском и плана обработки риска. Приложение D содержит обзор ссылок на менеджмент риска в стандартах серии ИСО/МЭК 12207 по стадиям жизненного цикла программного обеспечения. Эквивалентное приложение не включено в стандарт ИСО/МЭК 15288, относящийся к процессам жизненного цикла системы.
Приложение Е настояще
го стандарта содержит краткое описание ссылочных и взаимосвязанных с ним стандартов и других нормативных документов.
Настоящий стандарт устанавливает процесс менеджмента риска при заказе, поставке, разработке, эксплуатации и сопровождении программного обеспечения.
Целью настоящего стандарта является установление единых требований к процессу менеджмента риска программного обеспечения для поставщиков, заказчиков, разработчиков и менеджеров. Настоящий стандарт не содержит подробного описания методов менеджмента риска, а сосредоточивает внимание пользователей на определении общего процесса менеджмента риска, в котором могут быть применены любые методы менеджмента риска.
Настоящий стандарт устанавливает процесс менеджмента риска на различных стадиях жизненного цикла программного обеспечения. Стандарт может быть применен во всех проектах организации. Его применение может быть полезно для установления процесса менеджмента риска при разработке систем и/или программного обеспечения.
Настоящий стандарт совместим со стандартами серии ИСО/МЭК 12207, ИСО/МЭК 15288, но может быть применен самостоятельно.
1.3.1 Связь с ИСО/МЭК 12207
ИСО/МЭК 12207 описывает процессы заказа, поставки, разработки, эксплуатации и сопровождения программного обеспечения. Согласно этому стандарту менеджмент риска является одним из основных факторов, обеспечивающих успех организации при проектировании программного обеспечения. В ИСО/МЭК 12207 применены термины "риск" и "менеджмент риска", но процесс менеджмента риска не описан (см. приложение D). В настоящем стандарте описан процесс менеджмента риска в соответствии с его определением в поправках к ИСО/МЭК 12207 (ИСО/МЭК 12207:1995/Поправка 1, ИСО/МЭК 12207:1995/Поправка 2). Настоящий стандарт может быть использован руководством, персоналом и другими причастными сторонами для управления риском в организации или при разработке проекта в любой области и на любой стадии жизненного цикла.
В соответствии со структурой процесса жизненного цикла, установленной ИСО/МЭК 12207, менеджмент риска относится к процессам менеджмента жизненного цикла. Ответственность за работы и задачи процесса менеджмента несет организация, выполняющая процесс.
Использование настоящего стандарта совместно с ИСО/МЭК 12207 основано на предположении о том, что обработка риска должна быть выполнена в других процессах менеджмента и технических процессах в соответствии с ИСО/МЭК 12207. В настоящем стандарте рассмотрена также его взаимосвязь с ИСО/МЭК 12207.
1.3.2 Связь с ИСО/МЭК 15288
ИСО/МЭК 15288 устанавливает процесс менеджмента риска и использует термины "риск" и "менеджмент риска" в нескольких местах. Настоящий стандарт может быть использован для менеджмента риска организации или проекта в любой области и на любой стадии жизненного цикла продукции и может быть полезен при планировании перспективного развития руководству, персоналу и другим причастным сторонам.
Настоящий стандарт совместим с процессом менеджмента риска, установленным ИСО/МЭК 15288, и содержит дополнительную информацию о планировании и реализации процесса менеджмента риска.
Использование настоящего стандарта совместно с ИСО/МЭК 15288 основано на предположении о том, что обработка риска должна быть выполнена в других процессах менеджмента и технических процессах в соответствии с ИСО/МЭК 15288. Цели, область применения и требования, приведенные в разделе 1 настоящего стандарта, могут быть интерпретированы для применения к жизненному циклу системы. Термины и определения (раздел 3), информация о процессе (раздел 5), а также основные положения плана менеджмента риска (приложение А), информация о действиях с риском (приложение В) и план обработки риска (приложение С) могут быть непосредственно применены к жизненному циклу системы.
1.3.3 Самостоятельное применение стандарта
Настоящий стандарт может быть использован независимо от других стандартов, относящихся к процессам жизненного цикла программного обеспечения. В этом случае для применения настоящего стандарта должны быть установлены дополнительные требования по обработке риска.
Соответствие организации или проекта требованиям настоящего стандарта может быть достигнуто путем разработки и внедрения соответствующих планов и выполнения всех необходимых требований (обязательность которых подчеркнута словом "должен"), установленных в разделе 5.
Для случаев применения настоящего стандарта независимо от ИСО/МЭК 12207 или ИСО/МЭК 15288 дополнительные требования по обработке риска приведены в 5.1.4.2.2.
Настоящий стандарт устанавливает минимальные требования для процесса, действий и задач менеджмента риска программного обеспечения. Выполнение этих требований, подготовка планов менеджмента риска программного обеспечения или информации о действиях с риском программного обеспечения в соответствии с настоящим стандартом не гарантирует отсутствие другого риска. Соответствие настоящему стандарту не освобождает организацию или другие заинтересованные стороны от любых социальных, моральных, финансовых и/или юридических обязательств.
В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:
________________
* Таблицу соответствия национальных стандартов международным см. по ссылке. - Примечание изготовителя базы данных.
ISO/IEC Guide 51:1999, Safety aspects - Guidelines for their inclusion in standards (Аспекты безопасности. Руководящие указания по включению их в стандарты)
________________
Заменен на ISO/IEC Guide 51:2014.
ISO Guide 73:2009, Risk management - Vocabulary (Менеджмент рисков. Словарь)
ISO 3534-1:2006, Statistics - Vocabulary and symbols - Part 1: General statistical terms and terms used in probability (Статистика. Словарь и условные обозначения. Часть 1. Общие статистические термины и термины, используемые в теории вероятности)
ISO 10006:2003, Quality management systems - Guidelines for quality management in projects (Системы менеджмента качества. Руководящие указания по менеджменту качества проектов)
________________
Заменен на ISO 10006:2017.
ISO/IEC 12207:1995, Information technology - Software life cycle processes (Информационные технологии. Процессы жизненного цикла программного обеспечения)
________________
Заменен на ISO/IEC/IEEE 12207:2017.
ISO/IEC 12207:1995/Amd.1:2002, Information technology - Software life cycle processes - Amendment 1 (Информационные технологии. Процессы жизненного цикла программного обеспечения. Изменение 1)
________________
Заменен на ISO/IEC 12207:2008.
ISO/IEC 12207:1995/Amd.2:2004, Information technology - Software life cycle processes - Amendment 2 (Информационные технологии. Процессы жизненного цикла программного обеспечения. Изменение 2)
________________
Заменен на ISO/IEC 12207:2008.
ISO 14971:2007, Medical devices - Application of risk management to medical devices (Изделия медицинские. Применение менеджмента риска к медицинским изделиям)
ISO/IEC 15026:1998, Information technology - System and software integrity levels (Информационные технологии. Системные и программные уровни целостности)
________________
Заменен на ISO/IEC 15026-3:2015.
ISO/IEC 15288:2002, Systems engineering - System life cycle processes (Системотехника. Процессы жизненного цикла системы)
________________
Заменен на ISO/IEC/IEEE 15288:2015.
ISO/IEC 15939:2007, Systems and software engineering - Measurement process (Технология программного обеспечения. Процесс измерения)
________________
Заменен на ISO/IEC/IEEE 15939:2017.
ISO/IEC ТR 19760:2003, Systems engineering - A guide for the application of ISO/IEC 15288 (System life cycle processes) [Системотехника. Руководство по применению ISO/IEC 15288 (Процессы жизненного цикла системы)]
________________
Заменен на ISO/IEC TR 24748-2:2011.