ГОСТ Р ИСО/МЭК 15288—2005
5.4.6.3 Деятельность процесса управления рисками
В процессе управления рисками организация должна осуществлять следующие действия в соответ
ствии с принятой политикой и процедурами:
a) утвердить систематический подход копределению рисков, их оценке и обработке.
Пр и м е ч а н и е — Кданному действию относят определение событий, которые неблагоприятно влияют на
систему, проект или организацию, а также классификацию рисков (при необходимости). В отношении качества,
затрат, сроков или технических характеристик определяют способ выражения рисков в соответствующих терми
нах. включая показатели там. где это возможно;
b
) идентифицировать и определять риски.
Пр и м е ч а н и е — Кэтому действию относят определение исходных событий, связанных с каждым риском
в каждой из категорий рисков, а также выявление взаимосвязей между источниками возникновения рисков. Опре
деляют способ выражения рисков в соответствующих терминах и. при возможности, в показателях;
c) определять вероятности событий, связанных с рисками, используя установленные критерии.
Примечание — Критерии могут учитывать затраты, официальные и предписанные требования, социаль
но-экономические аспекты и факторы внешней среды, интересы правообладателей, приоритеты и иные исход
ные данные для оценки;
d) оценивать риски в терминах их возможных последствий, используя установленные критерии:
e) определять градации рисков по их вероятности и последствиям;
f) определять стратегии реакции на риски.
П р и м е ч а н и е — Кэтому действию относятся;
1) предупреждение риска путем принятия решения об уклонении от вовлечения в опасную ситуацию либо
выхода из нее;
2) оптимизация риска, включая его уменьшение, для снижения негативных последствий и значений соответ
ствующих вероятностей. Оптимизация риска зависит от критериев риска, в том числе затрат и утвержденных
требований;
3) передача риска путем разделения ответственности за несение ущерба с другой стороной;
4) удержание риска в границах приемлемого ущерба:
д) определять значения допустимых границдля каждого идентифицированного риска:
h) определятьдействия по обработке рисков вслучае превышения ими допустимых границ.
П р и м е ч а н и е — Для рисков с тяжелыми последствиями необходимо составлять чрезвычайные планы,
которые будут реализовываться, если меры по уменьшению риска не привели к приемлемым результатам;
i) сообщать о морах по обработке рисков и их статусе в соответствии сдействующими соглашения
ми. политикой и процедурами;
j) вести учет рисков в течение всего жизненного цикла.
П р и м е ч а н и е — Учет включает определение текущего понимания рисков и отношения к мерам и
ресурсам, связанным с реакцией на риски. Такой учет позволяет отслеживать историю рисков, что помогает при
принятии решений и может оказаться примером для проектирования будущих систем.
5.4.7 Процесс управления конфигурацией
5.4.7.1 Цель процесса управления конфигурацией
Цель процесса управления конфигурацией состоит в установлении и поддержании целостности всех
идентифицированных выходных результатов проекта или процесса обеспечения доступа к ним любой за
интересованнойстороны.
5.4.7.2 Результаты процесса управления конфигурацией
В результате успешного осуществления процесса управления конфигурацией:
a) определяется стратегия управления конфигурацией;
b
) определяются элементы, нуждающиеся вуправлении конфигурацией:
c) устанавливается базовая линия конфигурации;
d) контролируются изменения элементов, нуждающихся в управлении конфигурацией;
е) контролируется конфигурация выделенныхэлементов:
0 становитсядоступным на протяжении всего жизненного цикла статусэлементов конфигурации, на
которые распространяется управление.
16