免费智能真题库 > 历年试卷 > 信息系统项目管理师 > 2016年下半年 信息系统项目管理师 上午试卷 综合知识
  第45题      
  知识点:   风险管理规划   风险管理   风险管理计划   项目风险管理
  关键词:   风险管理计划   项目风险管理   风险   风险管理   项目风险        章/节:   项目风险管理过程       

 
项目风险管理计划不包含的内容是(45)。
 
 
  A.  确定风险管理的方法
 
  B.  风险管理估算
 
  C.  风险类别
 
  D.  如何审计风险管理过程
 
 
 

 
  第46题    2022年下半年  
   68%
关于风险的描述,不正确的()。
  第46题    2017年上半年  
   50%
()不属于风险管理计划编制的成果。
  第63题    2011年上半年  
   57%
某系统集成企业为做好项目风险管理,给风险定义了3个参数:(1)风险严重性:指风险对项目造成的危害程度;(2)风险可能性:指风..
   知识点讲解    
   · 风险管理规划    · 风险管理    · 风险管理计划    · 项目风险管理
 
       风险管理规划
        风险管理规划是定义如何实施风险管理活动的过程。风险管理规划非常重要,它可以确保风险管理的程度、类型和可见度与风险以及项目对组织的重要性相匹配。另外,风险管理规划还可为风险管理活动安排充足的资源和时间,并为评估风险奠定一个共同认可的基础。
        风险管理规划在项目构思阶段就应开始,并在项目规划阶段的早期完成。
        输入
        1.企业环境因素
        可能影响风险管理规划的企业环境因素包括组织对风险的态度和承受力。它们代表组织愿意和能够承受的风险的程度。
        2.组织过程资产
        组织可能设有既定的风险管理方法,如风险分类、概念和术语的通用定义、标准模板、角色和职责、决策授权水平等。
        3.项目范围说明书
        项目范围说明书能让人们清楚地了解与项目及其可交付物有关的各种可能性,并建立一个框架,以便人们了解最终可能需要多大程度的风险管理。
        4.项目管理计划
        工具与技术
        规划会议和分析
        项目团队需要举行规划会议来制订风险管理计划。参会者可包括项目经理、相关项目团队成员和干系人、组织中负责风险管理规划和应对活动的人员,以及其他相关人员。
        规划会议包含的主要内容有:
        .确定实施风险管理活动的总体计划;
        .确定用于风险管理的成本种类和进度活动,并将其分别纳入项目的预算和进度计划中;
        .建立或评审风险储备的使用方法;
        .分配风险管理职责;
        .根据具体项目需要来“剪裁”组织中有关风险种类和术语定义等的通用模板,如果组织中缺乏所需使用的模板,会议也可能要制订这些模板。
        输出
        风险管理计划
        风险管理计划描述在项目中如何组织和执行风险管理活动,作为项目管理计划的一部分,包含以下内容:
        .方法论。风险管理使用的方法、工具及数据来源。
        .角色与职责。确定风险管理计划中每项活动的领导者和支持者以及风险管理团队成员,并明确其职责。
        .预算。
        .时间安排。
        .风险类别。组织可使用预先准备好的分类框架,它可能是一个简易分类清单,或风险分解结构(RBS)。RBS是按风险类别和子类别来排列已识别的项目风险的一种层级结构,用来显示潜在风险的所属领域和产生原因。
        .风险概率和影响的定义。需要对风险的概率和影响划分层次来确保实施定性风险分析过程的质量和可信度。
        .概率影响矩阵。进行风险优先排序的典型方法是使用查询表或概率影响矩阵。根据概率和影响的各种组合,把风险划分为高、中、低级别,以便进行相应的风险应对规划。通常由组织设定概率影响矩阵。
        .修订的干系人风险承受力。
        .报告格式。
        .跟踪方式。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
       风险管理计划
        为了确保系统转换的万无一失,不仅要在前期做很多次的模拟测试,对于最后的转换过程,也需要制定周密的风险管理计划,一般至少要包括以下这些方面。
        (1)系统环境转换。保证原来所有到旧系统的访问,都能被转换到新系统上,这不仅包括应用系统的前端,还包括各类周边的相关应用系统,必须要同时指向新的应用系统。如果这方面出现问题,则只好退回到原有系统上。通常这方面的问题在多次的测试过程中能够得到有效解决,但在向生产系统正式转换时,还是不可掉以轻心。
        (2)数据迁移。原有的旧系统从启用到被新系统取代,在其使用期间往往积累了大量珍贵的历史数据,其中许多历史数据都是新系统顺利启用所必需的。另外,这些历史数据也是进行决策分析的重要依据。数据迁移,就是将这些历史数据进行清洗、转换,并装载到新系统中的过程。在银行、电信、税务、工商、保险以及销售等领域发生系统转换时,一般都需要进行数据迁移。数据迁移的质量不仅仅是新系统成功上线的重要前提,同时也是新系统今后稳定运行的有力保障。如果数据迁移失败,新系统将不能被正常启用;如果数据迁移的质量较差,没能屏蔽全部的垃圾数据,对新系统将会造成很大的隐患,新系统一旦访问这些垃圾数据,可能会由这些垃圾数据产生新的错误数据,严重时还会导致系统异常。相反,成功的数据迁移可以有效地保障新系统的顺利运行,能够继承珍贵的历史数据。
        将业务数据从旧系统迁移到新的系统中,不仅要保证在数据转换过程中保持数据逻辑的一致性(如果新、旧系统的数据逻辑不同),而且在实际转换过程中,还要保证新旧系统之间数据的同步,保证在转换之前新旧系统的数据是一致的,在转换之后,新产生的业务数据都能反映到新的系统中,不会有任何遗漏。为了准备在出现意外时能够将新的业务数据传回到旧系统中,需要充分做好数据备份,做好数据从新系统向旧系统转换的准备,而且也要充分考虑到数据同步的问题。其实将新系统转换回旧系统,其面临的风险和需要解决的问题,基本上是相同的。在新旧系统之间的数据转换工作,可以在前期的测试中完成,但新旧系统之间的数据同步,只有在实际转换时才能完成,所以一般都会受到项目管理者的高度重视,成为大家关注的焦点。
        (3)业务操作的转换。由于新旧系统在业务操作方面可能会存在较大的变化,无论对业务人员做多少前期的培训,也难以完全改变旧的操作习惯,所以在转换到新的系统之后,还可能出现人为的业务操作方面的问题,导致业务处理方面出现差错。所以在系统转换后的相当时期内,仍然需要对业务处理进行跟踪检查,及时发现由于业务操作可能导致的问题。
        (4)防范意外风险。在风险管理中,除了计划内考虑到的可能的风险,还可能出现许多意料不到的风险,所以在风险管理计划中,不仅要有对已经识别的风险的应对措施,还要有防范其他意外的应对措施,这主要就是一种管理上的措施,一旦出现事先没有考虑到的情况,仍要能够有条不紊地应对,各种资源保持就位,随时注意发现异常情况,对于出现的问题及时报告,明确对各类问题做出判断和决策的责任归属。也就是说,要具备一套能够应对各种风险的报告、决策机制。
 
       项目风险管理
        项目风险管理的目标在于提高项目中积极事件的概率和影响,降低项目中消极事件的概率和影响。项目风险管理包括六个过程,分别为:
        .规划风险管理:定义如何实施项目风险管理活动的过程。
        .风险识别:判断哪些风险可能影响项目并记录其特征的过程。
        .定性风险分析:评估并综合分析风险的发生概率和影响,对风险进行优先排序,从而为后续分析或行动提供基础的过程。
        .定量风险分析:就已识别风险对项目整体目标的影响进行定量分析的过程。
        .规划风险应对:针对项目目标,制订提高机会、降低威胁的方案和措施的过程。
        .控制风险:在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险,以及评估风险过程有效性的过程。
        组织和干系人对待风险的态度受多种因素影响,对待风险的态度不同,愿意接受风险的程度也不同。这些因素大体可分为三类:
        .风险偏好:为了预期的回报,愿意承受不确定性的程度。
        .风险承受力:能承受的风险程度、数量或容量。
        .风险临界值:特别关注的特定的不确定性程度或影响程度。低于风险临界值会接受风险;高于风险临界值将不能承受风险。
        积极和消极风险通常称为机会和威胁。如果风险在可承受范围之内,并且与冒风险可能得到的回报相平衡,那么项目就是可接受的。为了增加价值,可以在风险承受力允许的范围内,追求那些能带来机会的积极风险。例如,采取激进的资源优化技术,就是为减少资源使用量而冒风险。
        以上项目风险管理各过程之间的依赖关系及输入、输出、工具与技术已经在知识结构图中给出,本节对各过程的输入、输出和工具技术进行进一步解释。
   题号导航      2016年下半年 信息系统项目管理师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第45题    在手机中做本题