免费智能真题库 > 历年试卷 > 系统集成项目管理工程师 > 2024年下半年 系统集成项目管理工程师 下午试卷 案例(第一批)
  第2题      
  知识点:   风险管理计划   项目风险管理   风险管理   风险清单

 
试题二(20分)
公司承接了某银行数据中心改造项目,任命小郭为项目经理,项目启动后小郭组织公司各部门召开会议对项目风险进行识别,并整理出项目风险清单,随后,小郭根据公司经验教训登记册中的类似项目经验,制定了项目风险管理计划,并针对每个风险制定了风险应对策略,项目风险及应对策略的内容如下:
 
问题:2.1   问题1(8分)
简要描述项目经理小郭在项目风险管理过程中存在的问题?
 
问题:2.2   问题2(6分)
结合案例,按照可预测性,将项目识别出的6条风险进行分类。
 
问题:2.3   问题3(6分)
针对威胁和机会,可以考虑的应对策略有哪些?
 
 
 

   知识点讲解    
   · 风险管理计划    · 项目风险管理    · 风险管理    · 风险清单
 
       风险管理计划
        风险管理计划是项目管理计划的组成部分,描述将如何安排与实施风险管理活动。风险管理计划包括以下内容:
        .方法论:确定项目风险管理将使用的方法、工具及数据来源。
        .角色与职责:确定风险管理计划中每个活动的领导者和支持者,以及风险管理团队的成员,并明确其职责。
        .预算:根据分配的资源估算所需资金,并将其纳入成本基准,制定应急储备和管理储备的使用方案。
        .时间安排:确定在项目生命周期中实施风险管理过程的时间和频率,制定进度应急储备的使用方案,确定风险管理活动并纳入项目进度计划中。
        .风险类别:规定对潜在风险成因的分类方法。风险分解结构(Risk Breakdown Structure, RBS)有助于项目团队在识别风险的过程中发现有可能引起风险的多种原因。不同的RBS适用于不同类型的项目。组织可使用预先准备好的分类框架,可以是简易的分类清单或结构化的风险分解结构。
        .风险概率和影响的定义:为了确保风险分析的质量和可信度,需要对项目环境中特定的风险概率和影响的不同层次进行定义。在规划风险管理过程中,应根据具体项目的需要,裁剪通用的风险概率和影响定义,供后续过程使用。
        .概率和影响矩阵:概率和影响矩阵是把每个风险发生的概率和一旦发生对项目目标的影响映射起来的表格。根据风险可能对项目目标产生的影响,对风险进行优先排序。通常由组织来设定概率和影响的各种组合,并据此设定高、中、低风险级别。
        .修订的干系人承受力:可在规划风险管理过程中对干系人的承受力进行修订,以适应具体项目的情况。
        .报告格式:如何记录、分析和沟通风险管理过程的结果,规定风险登记册及其他风险报告的内容和格式。
        .跟踪:如何记录风险活动以促进当前项目的开展,以及如何审计风险管理过程。
 
       项目风险管理
        项目风险管理的目标在于提高项目中积极事件的概率和影响,降低项目中消极事件的概率和影响。项目风险管理包括六个过程,分别为:
        .规划风险管理:定义如何实施项目风险管理活动的过程。
        .风险识别:判断哪些风险可能影响项目并记录其特征的过程。
        .定性风险分析:评估并综合分析风险的发生概率和影响,对风险进行优先排序,从而为后续分析或行动提供基础的过程。
        .定量风险分析:就已识别风险对项目整体目标的影响进行定量分析的过程。
        .规划风险应对:针对项目目标,制订提高机会、降低威胁的方案和措施的过程。
        .控制风险:在整个项目中实施风险应对计划、跟踪已识别风险、监督残余风险、识别新风险,以及评估风险过程有效性的过程。
        组织和干系人对待风险的态度受多种因素影响,对待风险的态度不同,愿意接受风险的程度也不同。这些因素大体可分为三类:
        .风险偏好:为了预期的回报,愿意承受不确定性的程度。
        .风险承受力:能承受的风险程度、数量或容量。
        .风险临界值:特别关注的特定的不确定性程度或影响程度。低于风险临界值会接受风险;高于风险临界值将不能承受风险。
        积极和消极风险通常称为机会和威胁。如果风险在可承受范围之内,并且与冒风险可能得到的回报相平衡,那么项目就是可接受的。为了增加价值,可以在风险承受力允许的范围内,追求那些能带来机会的积极风险。例如,采取激进的资源优化技术,就是为减少资源使用量而冒风险。
        以上项目风险管理各过程之间的依赖关系及输入、输出、工具与技术已经在知识结构图中给出,本节对各过程的输入、输出和工具技术进行进一步解释。
 
       风险管理
        没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。风险是指某种破坏或损失发生的可能性。潜在的风险有多种形式,并且不只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏;人为错误;设备故障;内、外部攻击;数据误用;数据丢失;程序错误,等等。在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
        风险管理是指识别、评估、降低风险到可以接受的程度,并实施适当机制控制风险保持在此程度之内的过程。风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别,进而确定信息系统的安全保护需求;风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施,提高信息系统的安全保障能力级别,使得信息系统的安全保障能力级别高于或者等于信息系统的安全保护等级。
               风险分析
               风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
               风险评估
               进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁以及威胁可能造成的影响,同时对已存在的或已规划的安全管制措施进行鉴定。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如:机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。信息安全风险评估的复杂程度将取决于风险的复杂程度和受保护资产的敏感程度,所采用的评估措施应该与组织对信息资产风险的保护需求相一致。
               控制风险
               对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要考虑如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
 
       风险清单
        风险清单是一种主要的风险管理工具,指明了服务在任何时候面临的最大风险。风险管理负责人应经常维护这张清单,直到结束前不断更新这张清单,并给这些风险排列优先顺序,更新风险解决情况,对这些风险的严重程度的变化保持警惕。
   题号导航      2024年下半年 系统集成项目管理工程师 下午试卷 案例(第一批)   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
 
第2题    在手机中做本题