6.3.4.3.3.2 Должна быть оценена вероятность возникновения и последствия каждого идентифицированного риска.
6.3.4.3.3.3 Каждый риск должен быть оценен по отношению к его пороговым значениям.
6.3.4.3.3.4 Для каждого риска, который находится выше его порогового значения, должны быть определены и документированы рекомендуемые стратегии обработки. Измеримые значения показателей, характеризующих результативность альтернативных вариантов обработки, также должны быть определены и документированы.
Примечание - Стратегии обработки риска включают в себя, по крайней мере: устранение риска, уменьшение вероятности его появления или серьезности последствий или принятие риска.
6.3.4.3.4 Обработка рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.4.1 Правообладатели должны предоставлять рекомендованные альтернативы обработки риска в требованиях на действия по отношению к риску.
6.3.4.3.4.2 Если правообладатели посчитают, что следует предпринять действия для того, чтобы сделать риск приемлемым, то должна быть реализована альтернатива обработки риска.
6.3.4.3.4.3 Если правообладатели принимают риск, который превышает пороговое значение, то этот риск должен рассматриваться как высоко приоритетный и непрерывно контролироваться для определения необходимых будущих действий по его обработке.
6.3.4.3.4.4 Как только обработка риска выбрана, она должна следовать тем же действиям, что и при менеджменте проблем, в соответствии с действиями по аттестации и управлению, изложенными в 6.3.2 настоящего стандарта или в [18].
6.3.4.3.5 Мониторинг рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.5.1 Все риски и содержание менеджмента рисков должны подвергаться мониторингу для выявления изменений. В случае изменения состояния риска должна быть выполнена его оценка.
6.3.4.3.5.2 Для оценки результативности обработки риска должны разрабатываться и контролироваться соответствующие измеримые показатели.
6.3.4.3.5.3 В течение всего жизненного цикла проекта должен проводиться постоянный мониторинг возникновения новых рисков и их источников.
6.3.4.3.6 Оценка процесса менеджмента рисков
Данный вид деятельности состоит из решения следующих задач:
6.3.4.3.6.1 Должна собираться информация в течение всего жизненного цикла проекта для целей улучшения процесса менеджмента рисков и извлечения практических уроков.
Примечание - Информация о рисках включает в себя идентифицированные риски, их источники, причины, обработку и примеры успешного применения выбранных вариантов обработки.
6.3.4.3.6.2 Процесс менеджмента рисков должен периодически пересматриваться в плане его результативности и эффективности.
6.3.4.3.6.3 Информация об идентифицированных рисках, их обработке и примерах успешной обработки должна периодически пересматриваться с целью выявления системных проектных и организационных рисков.
6.3.5 Процесс менеджмента конфигурации
6.3.5.1 Цель
Цель процесса менеджмента конфигурации состоит в установлении и поддержании целостности всех идентифицированных, выходных результатов проекта или процесса обеспечения доступа к ним любой заинтересованной стороны.
6.3.5.2 Выходы
В результате успешного осуществления процесса менеджмента конфигурации:
а) определяется стратегия менеджмента конфигурации;
b) определяются составные части, нуждающиеся в менеджменте конфигурации;
c) устанавливается базовая линия конфигурации;
d) осуществляется управление изменениями в составных частях, находящихся под менеджментом конфигурации;
e) осуществляется управление конфигурацией составных частей, входящих в выпуск;
f) статус составных частей, на которые распространяется менеджмент конфигурации, становится доступным на протяжении всего жизненного цикла.
Примечание - Процесс менеджмента конфигурации программных средств является специальным случаем процесса менеджмента конфигурации и входит в группу процессов поддержки программных средств.
6.3.5.3 Виды деятельности и задачи
В проекте должны осуществляться следующие виды деятельности и задачи в соответствии с принятыми в организации политиками и процедурами в отношении процесса менеджмента конфигурации.
6.3.5.3.1 Планирование менеджмента конфигурации
Данный вид деятельности состоит из решения следующих задач:
6.3.5.3.1.1 В проекте должна быть определена стратегия менеджмента конфигурации.
Примечание - К этой задаче относят: определение полномочий на запрет или разрешение доступа, выпуск и управление изменениями элементов конфигурации; определение места и условий хранения, включая требования к окружающей среде, а в случае информации - определение носителей для хранения в соответствии с назначенными уровнями целостности, защищенности и безопасности; определение критериев или событий, соответствующих началу управления конфигурацией и сопровождению базовых линий развития конфигураций; определение стратегии аудита и ответственности за гарантии непрерывной целостности и защищенности информации, описывающей конфигурацию. Деятельность менеджмента конфигурации следует согласовать с руководством, представленным в [6].
6.3.5.3.1.2 В проекте должны быть идентифицированы составные части, которые являются предметом управления конфигурацией.
Примечание - Составные части, где это необходимо, различаются уникальными долговременными идентификаторами или маркировками. Идентификаторы должны соответствовать стандартам и соглашениям производственного сектора так, чтобы составные части, находящиеся под управлением конфигурации, однозначно соответствовали своим спецификациям или их эквивалентам, документированным описаниям.
6.3.5.3.2 Осуществление менеджмента конфигурации
Данный вид деятельности состоит из решения следующих задач:
6.3.5.3.2.1 Проект должен поддерживать информацию о конфигурации на приемлемом уровне целостности и защищенности.
Примечание - При решении этой задачи необходимо учитывать особенности составных частей, находящихся под управлением конфигурацией. Конфигурация описывает, где это возможно, соответствие технологическим стандартам или стандартам на продукцию. Необходимо гарантировать, что информация о конфигурации позволяет иметь прямую и обратную прослеживаемость к другим состояниям конфигурации, описываемым базовой линией. Необходимо объединять развивающиеся состояния составных частей конфигурации для формирования документированной базовой линии на определенные моменты времени или при определенных обстоятельствах. Необходимо регистрировать обоснования для базовой линии и связанных с этим полномочий по отношению к данным о базовой линии конфигурации. Необходимо поддерживать записи о конфигурации в течение всего жизненного цикла системы и архивировать их в соответствии с соглашениями, законодательством или передовым производственным опытом.
6.3.5.3.2.2 При реализации проекта необходимо гарантировать надлежащее проведение идентификации, регистрации, оценивания, утверждения, внедрения и верификации при изменениях базовой линии конфигурации.
Примечание - Эта задала также может включать в себя объединение в процессе развития конфигурации состояний ее составных частей для формирования документированной базовой линии на определенный момент времени или при определенных обстоятельствах; регистрацию состояний конфигурации, обоснования для базовой линии и связанных с этим полномочий по отношению к данным о базовой линии конфигурации; поддержку записей о конфигурации в течение всего жизненного цикла системы и архивирование в соответствии с соглашениями, законодательством или наилучшей производственной практикой; управление выполнением записей, изменениями и утверждениями текущего статуса конфигурации и статуса всех предыдущих конфигураций для подтверждения корректности, своевременности, целостности и защищенности информации; проведение аудита для проверки соответствия базовой линии чертежам, документам по управлению интерфейсами и другим согласованным требованиям.
6.3.6 Процесс менеджмента информации
6.3.6.1 Цель
Цель процесса менеджмента информации состоит в своевременном предоставлении заинтересованным сторонам релевантной, своевременной, полной, достоверной и, если требуется, конфиденциальной информации в течение и соответственно после завершения жизненного цикла системы.