ГОСТ Р ИСО/МЭК 12207-2010 Информационная технология (ИТ). Системная и программная инженерия. Процессы жизненного цикла программных средств

     6.3.4 Процесс менеджмента рисков

6.3.4.1 Цель

Цель процесса менеджмента рисков заключается в постоянном определении, анализе, обработке и мониторинге рисков. Процесс менеджмента рисков является непрерывным процессом для систематичной адресации риска по всему жизненному циклу системного или программного продукта или услуги. Это может быть применимо к рискам, связанным с приобретением, разработкой, сопровождением или применением по назначению системы.

6.3.4.2 Выходы

В результате успешного осуществления процесса менеджмента рисков:

a) определяется область применения выполняемого менеджмента рисков;

b) определяются и выполняются соответствующие стратегии менеджмента рисков;

c) определяются риски по мере их выявления и в течение проведения проекта;

d) риски анализируются и определяются приоритеты использования ресурсов для обработки этих рисков;

e) определяются, применяются и оцениваются степени риска для установления изменений состояния риска и прогресса в действиях по его обработке;

f) предпринимается обработка для исправления или уклонения от воздействия риска, основанная на его приоритете, вероятности и последствиях или другом определенном пороговом значении риска.

6.3.4.3 Виды деятельности и задачи

В проекте должны реализоваться следующие виды деятельности и задачи в соответствии с принятыми в организации политиками и процедурами в отношении процесса менеджмента рисков.

Примечание - В [22] процесс менеджмента рисков предусматривает более детальную совокупность действий и задач, которые согласуются с действиями и задачами, представленными ниже.

6.3.4.3.1 Планирование менеджмента рисков

Данный вид деятельности состоит из решения следующих задач:

6.3.4.3.1.1 Должны быть определены политики менеджмента рисков, описывающие руководящие указания, регламентирующие выполнение менеджмента рисков.

6.3.4.3.1.2 Должно быть документировано описание осуществляемого процесса менеджмента рисков.

6.3.4.3.1.3 Должны быть определены стороны, ответственные за выполнение менеджмента рисков, их роли и обязанности.

6.3.4.3.1.4 Ответственные стороны должны быть обеспечены ресурсами, достаточными для выполнения процесса менеджмента рисков.

6.3.4.3.1.5 Должно быть предоставлено описание процесса оценки и совершенствования процесса менеджмента рисков.

Примечание - Эта задача включает в себя накопление полученных знаний и опыта.

6.3.4.3.2 Менеджмент профиля рисков

Данный вид деятельности состоит из решения следующих задач:

6.3.4.3.2.1 Содержание процесса менеджмента рисков должно быть определено и документировано.

Примечание - Эта задача включает в себя описание перспектив правообладателей, категорий риска и описание (возможно посредством ссылки) технических и управленческих целей, допущений и ограничений.

6.3.4.3.2.2 Должны быть документированы пороговые значения риска, определяющие условия, при которых уровень риска может быть принят.

6.3.4.3.2.3 Должен устанавливаться и поддерживаться профиль рисков.

Примечание - Записи профиля рисков включают в себя содержание менеджмента рисков; запись каждого состояния риска, включая его вероятность, последствия и пороговые значения риска; приоритет каждого риска, основанный на критериях риска, представленных правообладателями; требования по осуществлению действий, связанных с состоянием и обработкой риска. Профиль рисков обновляется, если имеются изменения в отдельном состоянии риска. Приоритеты в профиле рисков используются для определения применения ресурсов для обработки рисков.