ГОСТ Р ИСО/МЭК 16085-2007 Менеджмент риска. Применение в процессах жизненного цикла систем и программного обеспечения
Приложение С
(справочное)
План обработки риска
С.1 Цель
Основной целью плана обработки риска является определение способов обработки риска, признанного недопустимым. План обработки риска - это механизм выполнения выбранного рекомендованного метода обработки риска в информации о действиях с риском.
С.2 План обработки риска
После того как один из рекомендованных методов обработки, описанных в информации о действиях с риском, был выбран, должен быть разработан план обработки риска, включающий в себя разделы, приведенные в рамке ниже. Часть информации плана обработки риска может быть приведена в информации о действиях с риском. В этом случае информация о действиях с риском должна быть приведена в плане обработки риска. Если информация, подходящая для раздела или параграфа отсутствует, в плане обработки должна быть приведена фраза "Параграф не применяют в настоящем плане" ниже раздела или заголовка параграфа вместе с указанием причин исключения. При необходимости может быть включена дополнительная информация.
Чтобы исключить разработку индивидуальных планов обработки риска для каждого индивидуального риска, можно использовать общие планы обработки риска для рисков, имеющих схожие характеристики.
Схема плана обработки риска:
1 Краткий обзор 1.1 Дата выпуска и статус 1.2 Организация-разработчик 1.3 Подписи лиц, уполномоченных утверждать и согласовывать план 1.4 Данные об актуализации 2 Область применения 3 Ссылочные документы 4 Термины и определения 5 Запланированные действия и задачи обработки риска [Организация должна описать особенности обработки риска, выбранной для одного риска или комбинации рисков, признанных недопустимыми. Должны быть описаны любые трудности, которые могут появиться при проведении обработки риска] 6 План обработки 7 Выделение ресурсов для обработки риска и их распределение 8 Ответственность и полномочия [Организация должна назначить лиц, ответственных за выполнение обработки риска и описать их полномочия] 9 Контрольные измерения при обработке риска [Организация должна определить мероприятия, необходимые для определения результативности обработки риска] 10 Стоимость обработки риска 11 Интерфейсы с заинтересованными сторонами [Организация должна описать способы координации деятельности причастных сторон с планом владельца проекта, которая необходима для проведения обработки риска надлежащим образом] 12 Производственная среда и инфраструктура [Организация должна описать требования к производственной среде и инфраструктуре и возможные воздействия на них, например безопасность и нарушение безопасности под воздействием опасного события] 13 Процедуры изменения плана обработки риска и хронология |