全部科目 > 信息系统项目管理师 >
2008年下半年 上午试卷 综合知识
第 52 题
知识点 风险管理规划   风险管理  
关键词 风险管理   风险  
章/节 项目风险管理过程  
 
 
权变措施是在风险管理的(52)过程确定的。
 
  A.  风险识别
 
  B.  定量风险分析
 
  C.  风险应对规划
 
  D.  风险监控
 
 




 
 
相关试题     规划风险管理 

  第46题    2017年上半年  
()不属于风险管理计划编制的成果。

  第63题    2011年上半年  
某系统集成企业为做好项目风险管理,给风险定义了3个参数:(1)风险严重性:指风险对项目造成的危害程度;(2)风险可能性:指风险发生的几率;(3)风险系数:是风险严重性和风险可能性的乘积..

  第53题    2008年下半年  
项目经理向客户推荐了四种供应商选择方案。每个方案损益值已标在下面的决策树上。根据预期收益值,应选择设备供应商(53) 。

 
知识点讲解
· 风险管理规划
· 风险管理
 
        风险管理规划
        风险管理规划是定义如何实施风险管理活动的过程。风险管理规划非常重要,它可以确保风险管理的程度、类型和可见度与风险以及项目对组织的重要性相匹配。另外,风险管理规划还可为风险管理活动安排充足的资源和时间,并为评估风险奠定一个共同认可的基础。
        风险管理规划在项目构思阶段就应开始,并在项目规划阶段的早期完成。
        输入
        1.企业环境因素
        可能影响风险管理规划的企业环境因素包括组织对风险的态度和承受力。它们代表组织愿意和能够承受的风险的程度。
        2.组织过程资产
        组织可能设有既定的风险管理方法,如风险分类、概念和术语的通用定义、标准模板、角色和职责、决策授权水平等。
        3.项目范围说明书
        项目范围说明书能让人们清楚地了解与项目及其可交付物有关的各种可能性,并建立一个框架,以便人们了解最终可能需要多大程度的风险管理。
        4.项目管理计划
        工具与技术
        规划会议和分析
        项目团队需要举行规划会议来制订风险管理计划。参会者可包括项目经理、相关项目团队成员和干系人、组织中负责风险管理规划和应对活动的人员,以及其他相关人员。
        规划会议包含的主要内容有:
        .确定实施风险管理活动的总体计划;
        .确定用于风险管理的成本种类和进度活动,并将其分别纳入项目的预算和进度计划中;
        .建立或评审风险储备的使用方法;
        .分配风险管理职责;
        .根据具体项目需要来“剪裁”组织中有关风险种类和术语定义等的通用模板,如果组织中缺乏所需使用的模板,会议也可能要制订这些模板。
        输出
        风险管理计划
        风险管理计划描述在项目中如何组织和执行风险管理活动,作为项目管理计划的一部分,包含以下内容:
        .方法论。风险管理使用的方法、工具及数据来源。
        .角色与职责。确定风险管理计划中每项活动的领导者和支持者以及风险管理团队成员,并明确其职责。
        .预算。
        .时间安排。
        .风险类别。组织可使用预先准备好的分类框架,它可能是一个简易分类清单,或风险分解结构(RBS)。RBS是按风险类别和子类别来排列已识别的项目风险的一种层级结构,用来显示潜在风险的所属领域和产生原因。
        .风险概率和影响的定义。需要对风险的概率和影响划分层次来确保实施定性风险分析过程的质量和可信度。
        .概率影响矩阵。进行风险优先排序的典型方法是使用查询表或概率影响矩阵。根据概率和影响的各种组合,把风险划分为高、中、低级别,以便进行相应的风险应对规划。通常由组织设定概率影响矩阵。
        .修订的干系人风险承受力。
        .报告格式。
        .跟踪方式。
 
        风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有