全部科目 > 信息系统项目管理师 >
2019年下半年 上午试卷 综合知识
第 47 题
知识点 风险监控   风险管理   风险应对措施   有效性  
关键词 风险管理   风险应对   识别风险   有效性   风险  
章/节 项目风险管理过程  
 
 
( )检查并记录风险应对措施在处理已识别风险及其根源方面的有效性,以及风险管理过程的有效性
 
  A.  风险再评估
 
  B.  风险审计
 
  C.  偏差和趋势分析
 
  D.  技术绩效测量
 
 




 
 
相关试题     监控风险 

  第64题    2012年上半年  
下面(64)不是风险审计的目标。

  第50题    2008年上半年  
在处理已识别的风险及其根源时,(50)用来检查并记录风险应对策略的效果以及风险管理过程的效果。

  第35题    2016年上半年  
风险监控的输出不包括(35)。

 
知识点讲解
· 风险监控
· 风险管理
· 风险应对措施
· 有效性
 
        风险监控
        应该在项目生命周期中实施项目管理计划中所列的风险应对措施,还应该持续监督项目工作,以便发现新风险、风险变化以及过时的风险。
        输入
        1.风险登记册
        2.风险管理计划
        3.工作绩效信息
        工作绩效信息包括:
        .可交付物的状态。
        .进度进展情况。
        .已经发生的成本。
        4.绩效报告
        绩效报告从绩效测量中提取信息并进行分析来提供各种项目绩效信息,包括偏差分析、挣值数据和预测数据等。
        5.批准的变更请求
        工具与技术
        1.风险再评估
        风险监控经常需要识别新风险,对现有风险进行再评估以及删除已过时的风险。应该定期进行项目风险再评估,反复进行再评估的次数和详细水平,应根据相对于项目目标的项目进展情况而定。
        2.风险审计
        通过风险审计,检查并记录风险应对措施在处理已识别风险及其根源方面的有效性,以及风险管理过程的有效性。
        3.偏差和趋势分析
        很多控制过程都会借助偏差分析来比较计划结果与实际结果。为了监控风险事件,应该利用绩效信息对项目执行的趋势进行审查。可使用挣值分析以及项目偏差与趋势分析的其他方法对项目总体绩效进行监控。与基准计划的偏差可能表明威胁或机会的潜在影响。
        4.技术绩效测量
        技术绩效测量是把项目执行期间所取得的技术成果与项目管理计划所要求的技术成果进行比较。技术绩效测量指标可包括处理时间、缺陷数量和存储容量等。偏差值有助于预测项目范围方面的成功程度,还能揭示项目面临的技术风险程度。
        5.储备分析
        在项目执行过程中,有可能发生某些风险,会对预算和进度的应急储备产生正面的或负面的影响。储备分析是指通过比较剩余应急储备和剩余风险量,从而确定剩余储备是否仍然合理。
        6.状态审查会
        项目风险管理应该是项目定期状态审查会的一项议程。经常就风险进行讨论,可促使人们更充分地识别风险和机会。
        输出
        1.风险登记册(更新)
        风险监控过程对风险登记册的更新包括:
        .风险再评估、风险审计和定期风险审查的结果。
        .项目风险和风险应对的实际结果。
        2.申请的变更
        3.建议的纠正措施
        建议的纠正措施包括应急计划和权变措施。权变措施是针对以往未曾识别或被动接受的、目前正在发生的风险而采取的未经事先计划的应对措施。
        4.建议的预防措施
        采用建议的预防措施,使项目执行符合项目管理计划的要求。
        5.组织过程资产(更新)
        可能需要更新的组织过程资产包括:
        .风险管理计划的模板,包括概率影响矩阵,风险登记册。
        .风险分解结构。
        .从项目风险管理活动中得到的经验教训。
        6.项目管理计划(更新)
        如果批准的变更请求对风险管理过程存在影响,则应对项目管理计划的相应组成部分进行更新并重新签发,以反映批准的变更。
 
        风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
        风险应对措施
        到目前为止,我们先后介绍了制定风险管理计划、识别并分析风险。我们最终的目的是减少项目中风险发生的可能性、降低风险带来的危害、提高风险带来的收益。可见,还必须针对识别出的风险制定相应的措施来防范风险的发生或增加风险收益,这些措施就体现在风险应对计划中。在风险应对计划中,包括了应对每一个风险的措施、风险的责任人等内容。项目经理可以将风险应对措施和责任人编排到项目进度表中,并进行跟踪和监控。
        制定风险应对计划时有多种不同的策略,对于相同的风险,采用不同的应对策略会有不同的应对方法。通常可以把风险应对策略分为两种类型:防范策略和响应策略。防范策略指的是在风险发生前,项目组会采取一定的措施对风险进行防范;而响应策略则是在风险发生后采取相应措施以降低风险带来的损失。
               制订风险防范策略
               消极的风险(负面风险,威胁)防范策略是最常用的策略,其目的是降低风险发生的概率或减轻风险带来的损失。例如:避免策略、转移策略和减轻策略。
               (1)避免策略。指想方设法阻止风险的发生或消除风险发生的危害。避免策略如果成功则可以消除风险对项目的影响。例如,针对技术风险可以采取聘请技术专家的方法;针对项目进度风险可以采取延长项目时间或缩减项目范围的办法。
               (2)转移策略。指将风险转嫁给其他的组织或个体,通过这种方式来降低风险发生后的损失。例如,在固定成本的项目中,进行需求签字确认,对于超出签字范围的需求变更需要客户增加费用。这种方式就是一种将需求风险转移的策略。经过转移的风险并没有消失,其发生的可能性也没有变化,但对于项目组而言,风险发生后的损失降低了。
               (3)减轻策略。当风险很难避免或转移时,可以考虑采取减轻策略来降低风险发生的概率或减轻风险带来的损失。风险是一种不确定因素,可以通过前期的一些工作来降低风险发生的可能性,或者也可以通过一些准备来降低风险发生的损失。例如,对于需求风险,如果认为需求变化可能很剧烈,那么可以考虑采用柔性设计的方法降低需求变更的代价。尤其对于IT项目而言,越早发现问题越容易解决。例如,对于需求风险带来的问题,在设计阶段发现要好过编码阶段才发现。针对这种特点,也可以采用尽早暴露风险的方法降低风险发生的损失。
               对于正向风险(机会)的应对策略也有3种,分别是开拓、分享和强大。
               (1)开拓。当组织希望更充分地利用机会的时候采用开拓策略,其目的是创造条件使机会确实发生,减少不确定性。一般的做法是分配更多的资源给该项目,使之可以提供比计划更好的成果。
               (2)分享。包括将相关重要信息提供给一个能够更加有效利用该机会的第3方,使项目得到更大的好处。
               (3)强大。目的是通过增加可能性和积极的影响来改变机会的大小,发现和强化带来机会的关键因素,寻求促进或加强机会的因素,积极地加强其发生的可能性。
               需要说明的是,制定出的风险防范措施需要对应到项目进度表中,安排出专门的人员来执行一些工作来防范风险的发生。否则制定出风险防范措施也不会对项目有太大的意义。
               制订风险响应策略
               虽然我们采用了很多方法来防范风险的发生。但风险本身就是一种不确定因素,不可能在项目中完全消除。那么,我们还需要制定一些风险发生后的应急措施来解决风险带来的问题。例如,对于系统性能的风险,由于不清楚目前的系统体系结构是否能够满足用户的需求,可能在系统发布后出现系统性能不足的问题。对于这个风险,我们可以定义其风险响应策略来增加硬件资源以提高系统性能。
               风险响应策略与风险防范策略不同,无论风险是否发生,风险防范策略都需要体现在项目计划中,在项目过程中需要有人来执行相应的防范策略;而风险响应策略是事件触发的,直到当风险发生后才会被执行,如果始终没有发生该风险,则始终不会被安排到项目活动中。
 
        有效性
        有效性是指软件产品在指定的使用环境下,使用户获得满足准确度和完整性要求的规定目标的能力。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有