Управление рисками
С.1 Общие сведения
Если управление рисками должно использоваться в качестве контрольного мероприятия, то потребуются подкрепляющие его стандарты. В настоящем приложении рассмотрена приемлемость для этой цели уже существующих стандартов.
Примечание - Настоящий обзор предназначен только для целей настоящего стандарта, затрагивая и резюмируя только вопросы, имеющие к нему отношение. Он не должен использоваться в качестве полного руководства в каком-либо отношении и для какой-либо цели (в случае необходимости, следует обратиться к исходным документам и компетентным национальным органам).
С.2 Атрибуты, необходимые для успешного внедрения процессов управления рисками
Для успешного применения управления рисками к программным продуктам для сферы здравоохранения в стандартах, руководствах и инструментах должны присутствовать ключевые атрибуты, а именно:
- доступный для понимания базовый процесс, включающий логику вычисляемых результатов и не привлекающий внешний персонал и других специалистов;
- совокупность всех основных составляющих риска;
- возможность измерения и взвешивания элементов на языке здравоохранения и в контексте незавершенного исторического события и данных об инциденте, позволяющая реализацию количественного подхода;
- гибкость в терминах детализации анализа и рекомендаций по средствам контроля, соответствующих сложности программного продукта для сферы здравоохранения, вычисленным уровням риска и стадии разработки продукта;
- способность итерационного повторения и расширения возможностей по оценке и управлению рисками в ходе разработки программного продукта для сферы здравоохранения;
- поддержка составных процессов и сложной природы программных продуктов для сферы здравоохранения в форме баз знаний, чтобы помочь их использованию "неспециалистами".
Данные атрибуты были использованы для оценки разных кандидатов в стандарты.
С.3 Минимум компонентов, необходимых для эффективного управления рисками
Во многих областях, смежных с разработкой программных продуктов для сферы здравоохранения, таких как информационная безопасность, с определенным успехом внедрены процессы управления рисками (см. С.6). Однако существуют установленные на практике общие компоненты управления рисками, являющиеся полезными индикаторами приемлемого процесса при разработке программных продуктов для сферы здравоохранения:
- идентификация свойств компонентов программного продукта для сферы здравоохранения, а также факторов риска и уязвимости этих свойств;
- оценка влияния (на изготовителя, пользователя и пациента со стороны программного продукта для сферы здравоохранения);
- вероятность угроз и оценка степени защищенности;
- определение уровней рисков (как составного результата уровней влияния, угроз и степени защищенности);
- идентификация рекомендуемых средств контроля (то есть обоснованных и соответствующих);
- сравнение с существующими средствами контроля для определения областей корректируемого риска;
- дополнительные возможности для обработки риска, включая прямое управление, признание, предотвращение, управляемый перевод риска и т.п.;
- планирование обработки риска (то есть реализация контроля).
С.4 Процессы управления рисками на предприятии
С.4.1 Общие сведения
"Управление рисками на предприятии" - это новый термин, используемый для большего акцентирования комплексной природы процесса и, следовательно, применимости процесса к организации и осуществляемым ей действиям.
Можно ожидать, что стандарты по управлению рисками на предприятии являются высокоуровневыми документами, определяющими общую структуру, а не подробную модель процессов с сопутствующими базами знаний или экспертных знаний для поддержки анализа рисков и управления рисками от программных продуктов для сферы здравоохранения.
С.4.2 PD 6668:2000 "Управления рисками при корпоративном управлении"