ISO/IEC 16085:2006 - Systems and software engineering

Systems and software engineering - Life cycle processes - Risk management

ISO/IEC 16085:2006 defines a process for the management of risk in the life cycle. It can be added to the existing set of system and software life cycle processes defined by ISO/IEC 15288 and ISO/IEC 12207, or it can be used independently. ISO/IEC 16085:2006 can be applied equally to systems and software. Risk management is a key discipline for making effective decisions and communicating the results within organizations. The purpose of risk management is to identify potential managerial and technical problems before they occur so that actions can be taken that reduce or eliminate the probability and/or impact of these problems should they occur. It is a critical tool for continuously determining the feasibility of project plans, for improving the search for and identification of potential problems that can affect life cycle activities and the quality and performance of products, and for improving the active management of projects.

Ingénierie des systèmes et du logiciel — Processus du cycle de vie — Gestion des risques

General Information

Status

Withdrawn

Publication Date

07-Dec-2006

Withdrawal Date

07-Dec-2006

ICS

35.080 - Software

Technical Committee

ISO/IEC JTC 1/SC 7 - Software and systems engineering

Drafting Committee

ISO/IEC JTC 1/SC 7 - Software and systems engineering

Current Stage

9599 - Withdrawal of International Standard

Start Date

15-Jan-2021

Completion Date

30-Oct-2025

Ref Project

Relations

Consolidated By

ISO 9241-11:2018 - Ergonomics of human-system interaction - Part 11: Usability: Definitions and concepts

Effective Date

06-Jun-2022

Revised

ISO/IEC/IEEE 16085:2021 - Systems and software engineering - Life cycle processes - Risk management

Effective Date

19-Aug-2017

Revises

ISO/IEC 16085:2004 - Information technology - Software life cycle processes - Risk management

Effective Date

15-Apr-2008

ISO/IEC 16085:2006 - Systems and software engineering -- Life cycle processes -- Risk management

Standard

ISO/IEC 16085:2006 - Systems and software engineering -- Life cycle processes -- Risk management

English language

34 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO/IEC 16085:2006

Russian language

35 pages

sale 15% off

Preview

sale 15% off

Preview

Frequently Asked Questions

What is ISO/IEC 16085:2006?

ISO/IEC 16085:2006 is a standard published by the International Organization for Standardization (ISO). Its full title is "Systems and software engineering - Life cycle processes - Risk management". This standard covers: ISO/IEC 16085:2006 defines a process for the management of risk in the life cycle. It can be added to the existing set of system and software life cycle processes defined by ISO/IEC 15288 and ISO/IEC 12207, or it can be used independently. ISO/IEC 16085:2006 can be applied equally to systems and software. Risk management is a key discipline for making effective decisions and communicating the results within organizations. The purpose of risk management is to identify potential managerial and technical problems before they occur so that actions can be taken that reduce or eliminate the probability and/or impact of these problems should they occur. It is a critical tool for continuously determining the feasibility of project plans, for improving the search for and identification of potential problems that can affect life cycle activities and the quality and performance of products, and for improving the active management of projects.

What is the scope of ISO/IEC 16085:2006?

What ICS categories does ISO/IEC 16085:2006 belong to?

ISO/IEC 16085:2006 is classified under the following ICS (International Classification for Standards) categories: 35.080 - Software. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO/IEC 16085:2006?

ISO/IEC 16085:2006 has the following relationships with other standards: It is inter standard links to ISO 9241-11:2018, ISO/IEC/IEEE 16085:2021, ISO/IEC 16085:2004. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I purchase ISO/IEC 16085:2006?

You can purchase ISO/IEC 16085:2006 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 16085
IEEE
Std 16085-2006
Second edition
2006-12-15
Systems and software engineering — Life
cycle processes — Risk management
Ingénierie des systèmes et du logiciel — Processus du cycle de vie —
Gestion des risques
Reference number
IEEE
Std 16085-2006
IEEE Std 16085-2006
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

ISO
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
ii
IEEE Std 16085:2006
(Revision of
IEEE Std 1540-2001)
Systems and software engineering —
Life cycle processes — Risk management
Sponsor
Software & Systems Engineering Standards Committee
of the
IEEE Computer Society
Abstract: A process for the management of risk in the life cycle is defined. It can be added to the
existing set of software life cycle processes defined by the ISO/IEC 12207 or ISO/IEC 15288
series of standards, or it can be used independently.
Keywords: integrity, risk, risk acceptance, risk analysis, risk management, risk treatment
This ISO/IEC/IEEE document is an International Standard and is copyright-protected by ISO, IEC, and the IEEE. Except as
permitted under the applicable laws of the user’s country, neither this ISO/IEC/IEEE standard nor any extract from it may be
reproduced, stored in a retrieval system or transmitted in any form or by any means, electronic, photocopying, recording or
otherwise, without prior written permission being secured.
Requests for permission to reproduce should be addressed to either ISO, IEC, or the IEEE at the addresses below.
ISO copyright office Head of Sales, Marketing & Institute of Electrical and
Information Services Electronics Engineers
Case postale 56
IEC Central Office
CH-1211 Geneva 20
Standards Association
Tel. + 41 22 749 01 11 3, rue de Varembé
Manager, Standards
PO Box 131
Fax + 41 22 749 09 47
Intellectual Property
CH-1211 Geneva 20
E-mail copyright@iso.org
445 Hoes Lane
Web www.iso.org Switzerland
Piscataway, NJ 08854
Tel:+41 22 919 02 11
E-mail: stds.ipr@ieee.org
Fax: +41 22 919 03 00
E-mail: info@iec.ch Web: www.ieee.org
Print: ISBN 0-7381-4968-3 SH95519
PDF: ISBN 0-7381-4969-1 SS95519
No part of this publication may be reproduced in any form, in an electronic retrieval system or otherwise, without the prior
written permission of the publisher.
FINAL DRAFT / PROJET FINAL
IEEE Std 16085-2006
International Standard ISO/IEC 16085:2006(E)
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information
technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International
Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as
an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 16085 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 7, Software and system engineering.

International Organization for Standardization/International Electrotechnical Commission
Case postale 56 • CH-1211 Genève 20 • Switzerland

IEEE Standards documents are developed within the IEEE Societies and the Standards Coordinating
Committees of the IEEE Standards Association (IEEE-SA) Standards Board. The IEEE develops its standards
through a consensus development process, approved by the American National Standards Institute, which brings
together volunteers representing varied viewpoints and interests to achieve the final product. Volunteers are not
necessarily members of the Institute and serve without compensation. While the IEEE administers the process
and establishes rules to promote fairness in the consensus development process, the IEEE does not independently
evaluate, test, or verify the accuracy of any of the information contained in its standards.
Use of an IEEE Standard is wholly voluntary. The IEEE disclaims liability for any personal injury, property or
other damage, of any nature whatsoever, whether special, indirect, consequential, or compensatory, directly or
indirectly resulting from the publication, use of, or reliance upon this, or any other IEEE Standard document.
The IEEE does not warrant or represent the accuracy or content of the material contained herein, and expressly
disclaims any express or implied warranty, including any implied warranty of merchantability or fitness for a spe-
cific purpose, or that the use of the material contained herein is free from patent infringement. IEEE Standards
documents are supplied “AS IS.”
The existence of an IEEE Standard does not imply that there are no other ways to produce, test, measure,
purchase, market, or provide other goods and services related to the scope of the IEEE Standard. Furthermore, the
viewpoint expressed at the time a standard is approved and issued is subject to change brought about through
developments in the state of the art and comments received from users of the standard. Every IEEE Standard is
subjected to review at least every five years for revision or reaffirmation. When a document is more than five
years old and has not been reaffirmed, it is reasonable to conclude that its contents, although still of some value,
do not wholly reflect the present state of the art. Users are cautioned to check to determine that they have the
latest edition of any IEEE Standard.
In publishing and making this document available, the IEEE is not suggesting or rendering professional or other
services for, or on behalf of, any person or entity. Nor is the IEEE undertaking to perform any duty owed by any
other person or entity to another. Any person utilizing this, and any other IEEE Standards document, should rely
upon the advice of a competent professional in determining the exercise of reasonable care in any given
circumstances.
Interpretations: Occasionally questions may arise regarding the meaning of portions of standards as they relate to
specific applications. When the need for interpretations is brought to the attention of IEEE, the Institute will initiate
action to prepare appropriate responses. Since IEEE Standards represent a consensus of concerned interests, it is
important to ensure that any interpretation has also received the concurrence of a balance of interests. For this
reason, IEEE and the members of its societies and Standards Coordinating Committees are not able to provide an
instant response to interpretation requests except in those cases where the matter has previously received formal
consideration. At lectures, symposia, seminars, or educational courses, an individual presenting information on
IEEE standards shall make it clear that his or her views should be considered the personal views of that individual
rather than the formal position, explanation, or interpretation of the IEEE.
Comments for revision of IEEE Standards are welcome from any interested party, regardless of membership affil-
iation with IEEE. Suggestions for changes in documents should be in the form of a proposed change of text,
together with appropriate supporting comments. Comments on standards and requests for interpretations should
be addressed to:
Secretary, IEEE-SA Standards Board
445 Hoes Lane
Piscataway, NJ 08854
USA
NOTEAttention is called to the possibility that implementation of this standard may require use of subject
matter covered by patent rights. By publication of this standard, no position is taken with respect to the
existence or validity of any patent rights in connection therewith. The IEEE shall not be responsible for
identifying patents for which a license may be required by an IEEE standard or for conducting inquiries into the
legal validity or scope of those patents that are brought to its attention.
Authorization to photocopy portions of any individual standard for internal or personal use is granted by the
Institute of Electrical and Electronics Engineers, Inc., provided that the appropriate fee is paid to Copyright
Clearance Center. To arrange for payment of licensing fee, please contact Copyright Clearance Center, Customer
Service, 222 Rosewood Drive, Danvers, MA 01923 USA; +1 978 750 8400. Permission to photocopy portions of
any individual standard for educational classroom use can also be obtained through the Copyright Clearance
Center.
IEEE Introduction
This introduction is not part of ISO/IEC/IEEE 16085:2006, Systems and software engineering — Life cycle
processes — Risk management.
Risk management is a key discipline for making effective decisions and communicating the results within
organizations. The purpose of risk management is to identify potential managerial and technical problems
before they occur so that actions can be taken that reduce or eliminate the probability and/or impact of these
problems should they occur. It is a critical tool for continuously determining the feasibility of project plans,
for improving the search for and identification of potential problems that can affect life cycle activities and
the quality and performance of products, and for improving the active management of projects.
This standard can be applied equally to systems and software. Annex D is specific to software and the ISO/
IEC 12207 series of life cycle standards, in order to summarize where risk management is mentioned, in lieu
of a specific risk management process.
Notice to users
Errata
Errata, if any, for this and all other standards can be accessed at the following URL: http://
standards.ieee.org/reading/ieee/updates/errata/index.html. Users are encouraged to check this URL for
errata periodically.
Interpretations
Current interpretations can be accessed at the following URL: http://standards.ieee.org/reading/ieee/interp/
index.html.
Patents
Attention is called to the possibility that implementation of this standard may require use of subject matter
covered by patent rights. By publication of this standard, no position is taken with respect to the existence or
validity of any patent rights in connection therewith. The IEEE shall not be responsible for identifying
patents or patent applications for which a license may be required to implement an IEEE standard or for
conducting inquiries into the legal validity or scope of those patents that are brought to its attention.
iv Copyright © 2006 IEEE. All rights reserved

Participants
The following individuals participated in the development of this standard.
Robert N. Charette, Chair
Paul R. Croll
Cheryl Jones
Garry J. Roedler
James W. Moore
When the IEEE-SA Standards Board approved this standard, it had the following membership:
Steve M. Mills, Chair
Richard H. Hulett, Vice Chair
Don Wright, Past Chair
Judith Gorman, Secretary
Mark D. Bowman William B. Hopf T. W. Olsen
Dennis B. Brophy Lowell G. Johnson Glenn Parsons
Joseph Bruder Herman Koch Ronald C. Petersen
Richard Cox Joseph L. Koepfinger* Gary S. Robinson
Frank Stone
Bob Davis David J. Law
Malcolm V. Thaden
Julian Forster* Daleep C. Mohla
Paul Nikolich Richard L. Townsend
Joanna N. Guenin
Joe D. Watson
Mark S. Halpin
Howard L. Wolfman
Raymond Hapeman
*Member Emeritus
Also included are the following nonvoting IEEE-SA Standards Board liaisons:
Satish K. Aggarwal, NRC Representative
Richard DeBlasio, DOE Representative
Alan H. Cookson, NIST Representative
Michael D. Fisher
IEEE Standards Project Editor
Contents
1. Overview. 1
1.1 Scope. 1
1.2 Purpose. 1
1.3 Field of application . 2
1.4 Conformance. 2
1.5 Disclaimer. 3
2. Normative references. 3
3. Definitions . 3
4. Application of this standard. 6
5. Risk management in the life cycle. 6
5.1 Risk management process. 6
5.2 Null Clause . 15
Annex A (informative) Risk management plan. 16
Annex B (informative) Risk action request . 19
Annex C (informative) Risk treatment plan . 21
Annex D (informative) Application of risk management in the software life cycle . 23
Annex E (informative) Annotated bibliography. 30
vi Copyright © 2006 IEEE. All rights reserved

Systems and software engineering —
Life cycle processes —
Risk management
1. Overview
This standard prescribes a continuous process for risk management. Clause 1 provides an overview and
describes the purpose, scope, and field of application, as well as prescribing the conformance criteria. Clause
2 lists the normative references; informative references are provided in Annex E. Clause 3 provides
definitions. Clause 4 describes how risk management is applied to the life cycle. Clause 5 prescribes the
requirements for a risk management process.
There are several informative annexes. Annex A, Annex B, and Annex C recommend content of three docu-
ments: Risk Management Plan, Risk Action Request, and Risk Treatment Plan. Annex D summarizes where
risk management is mentioned in the ISO/IEC 12207 series of software life cycle process standards. An
equivalent annex is not included for ISO/IEC 15288, the system life cycle process standard, since it includes
a risk management process. Annex E, as previously mentioned, is an annotated bibliography of standards
and other documents related to the material covered in this standard.
1.1 Scope
This standard describes a process for the management of risk during systems or software acquisition, supply,
development, operations, and maintenance.
1.2 Purpose
The purpose of this standard is to provide suppliers, acquirers, developers, and managers with a single set of
process requirements suitable for the management of a broad variety of risks. This standard does not provide
detailed risk management techniques, but instead focuses on defining a process for risk management in
which any of several techniques may be applied.
1.3 Field of application
This standard defines a process for the management of risk throughout the life cycle. This standard is suit-
able for adoption by an organization for application to all appropriate projects. This standard is useful for
managing the risks associated with organizations dealing with system or software issues.
FINAL DRAFT / PROJET FINAL
IEEE Std 16085-2006
This standard may be applied in conjunction with the ISO/IEC 12207:1995 series of standards, ISO/IEC
15288, or applied independently.
1.3.1 Application with ISO/IEC 12207:1995 series
ISO/IEC 12207:1995 is currently the ISO's “umbrella” standard describing standard processes for the acqui-
sition, supply, development, operations, and maintenance of software. The standard recognizes that actively
managing risk is a key success factor in the management of a software project. ISO/IEC 12207:1995 men-
tions risk and risk management in several places, but did not provide a process for risk management (see
Annex D). This risk management standard provides that process in a manner aligned with the risk manage-
ment process definition provided by subsequent amendments to ISO/IEC 12207. This standard may be used
for managing organizational-level risk or project-level risk, in any domain or life cycle phase, to support the
perspectives of managers, participants, and other stakeholders.
In the life cycle process framework provided by ISO/IEC 12207:1995, risk management is an “organiza-
tional life cycle process.” The activities and tasks in an organizational process are the responsibility of the
organization using that process. The organization therefore ensures that this process has been established.
When used with ISO/IEC 12207:1995, this standard assumes that the other management and technical pro-
cesses of ISO/IEC 12207 perform the treatment of risk. Appropriate relationships to those processes are
described.
1.3.2 Application with ISO/IEC 15288:2002 series
ISO/IEC 15288:2002 includes a risk management process and mentions risk and risk management in several
places. This standard may be used for managing organizational-level risk, enterprise-level risk, or project-
level risk, in any domain or life cycle stage, to support the perspectives of managers, participants, and other
stakeholders.
16085 is broadly compatible with the risk management process documented in ISO/IEC 15288:2002 and
provides additional process information to aid planning and execution of risk management. When used with
ISO/IEC 15288:2002, this standard assumes that the other management and technical processes of ISO/IEC
15288 perform the treatment of risk. The scope, purpose, field of application, and conformance requirements
in Clause 1 can be interpreted for system life cycle application. The definitions (Clause 3), process informa-
tion (Clause 5) and outlines for the risk management plan (Annex A), risk action request (Annex B), and risk
treatment plan (Annex C) can be directly applied to the system life cycle.
1.3.3 Application independent of ISO/IEC series
This standard may be used independently of any particular systems or software life cycle process standard.
When used in this manner, the standard applies additional provisions for the treatment of risk.
1.4 Conformance
An organization or project may claim conformance to this standard by implementing a process, demonstrat-
ing through plans and performance all of the requirements (specified as mandatory by the word shall) in the
activities and tasks described in Clause 5.
Note that in those instances where this standard is applied independently of ISO/IEC 12207:1995 or ISO/
IEC 15288:2002, an additional set of requirements for risk treatment is provided in 5.1.4.2.
2 Copyright © 2006 IEEE. All rights reserved

LIFE CYCLE PROCESSES — RISK MANAGEMENT
IEEE Std 16085-2006
1.5 Disclaimer
This standard establishes minimum requirements for a risk management process, activities and tasks. Imple-
menting these requirements or the preparation of risk management plans or risk action requests according to
this standard does not ensure an absence of risks. Conformance with this standard does not absolve any party
from any social, moral, financial, or legal obligation.
2. Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments or corrigenda) applies.
ISO/IEC 12207:1995, Information Technology — Software Life Cycle Processes.
ISO/IEC 12207:1995/AMD.1:2002, Information Technology — Software Life Cycle Processes —
Amendment 1.
ISO/IEC 12207:1995/AMD.2:2003, Information Technology — Software Life Cycle Processes —
Amendment 2.
ISO/IEC 15026:1998, Information Technology — System and Software Integrity Levels.
ISO/IEC 15288: 2002, Systems Engineering — System life cycle processes
NOTES
1—ISO/IEC 12207:1995 is not needed if this standard is being applied independently of ISO/IEC 12207.
2—IEEE/EIA 12207.0-1996 may be used as a replacement for ISO/IEC 12207:1995.
3—ISO/IEC 15288:2002 is not needed if this standard is being applied independently of ISO/IEC 15288.
3. Definitions
For the purposes of this document, the following terms and definitions apply. The Authoritative Dictionary
of IEEE Standard Terms [B19] should be referenced for terms not defined in this clause.
3.1 consequence: An outcome of an event.
NOTES
1—There can be more than one consequence from one event.
2—Consequences can range from positive to negative. However, consequences are always negative for safety aspects.
3—Consequences can be expressed qualitatively or quantitatively.
[ISO Guide 73:2002, definition 3.1.2]
3.2 event: The occurrence of a particular set of circumstances.
ISO/IEC publications are available from the ISO Central Secretariat, Case Postale 56, 1 rue de Varembé, CH-1211, Genève 20, Swit-
zerland/Suisse (http://www.iso.ch/). ISO/IEC publications are also available in the United States from Global Engineering Documents,
15 Inverness Way East, Englewood, Colorado 80112, USA (http://global.ihs.com/). Electronic copies are available in the United States
from the American National Standards Institute, 11 West 42nd Street, 13th Floor, New York, NY 10036, USA (http://www.ansi.org/).
IEEE publications are available from the Institute of Electrical and Electronics Engineers, 445 Hoes Lane, P.O. Box 1331, Piscat-
away, NJ 08855-1331, USA (http://standards.ieee.org/).
IEEE Std 16085-2006
NOTES
1—The event can be certain or uncertain.
2—The event can be a single occurrence or a series of occurrences.
3—The probability associated with the event can be estimated for a given period of time.
[ISO Guide 73:2002, definition 3.1.4]
3.3 probability: The extent to which an event (3.1.4) is likely to occur
NOTES
1—ISO 3534-1:1993, definition 1.1, gives the mathematical definition of probability as “a real number in the scale 0 to
1 attached to a random event. It can be related to a long-run relative frequency of occurrence or to a degree of belief that
an event will occur. For a high degree of belief, the probability is near 1.”
2—Frequency rather than probability may be used in describing risk.
3—Degrees of belief about probability can be chosen as classes or ranks, such as
— rare/unlikely/moderate/likely/almost certain, or
— incredible/improbable/remote/occasional/probable/frequent.
[ISO Guide 73:2002, definition 3.1.3]
3.4 project risk profile: A project's current and historical risk-related information; a compendium or aggre-
gate of all of the individual risk profiles in a project.
NOTE—The project risk profile information includes the risk management context, along with the chronological record
of risks and their individual risk profiles, priority ordering, risk-related measures, treatment status, contingency plans,
and risk action requests. A project risk profile consists of a collection of the risk profiles of all the individual risks, which
in turn includes the current and historical risk states. See risk profile and risk state.
3.5 risk: The combination of the probability of an event and its consequence.
NOTES
1—The term “risk” is generally used only when there is at least the possibility of negative consequences.
2—In some situations, risk arises from the possibility of deviation from the expected outcome or event.
3—See ISO/IEC Guide 51 for issues related to safety.
[ISO Guide 73:2002, definition 3.1.1]
3.6 risk acceptance: The decision to accept a risk.
NOTES
1—The verb “to accept” is chosen to convey the idea that acceptance has its basic dictionary meaning.
2—Risk acceptance depends on risk criteria.
[ISO Guide 73:2002, definition 3.4.10]
3.7 risk action request: The recommended treatment alternatives and supporting information for one or
more risks determined to be above a risk threshold.
3.8 risk category: A class or type of risk (e.g., technical, legal, organizational, safety, economic, engineer-
ing, cost, schedule).
NOTE—A risk category is a characterization of a source of risk. See source.
3.9 risk criteria: The terms of reference by which the significance of risk is assessed.
4 Copyright © 2006 IEEE. All rights reserved

LIFE CYCLE PROCESSES — RISK MANAGEMENT
IEEE Std 16085-2006
NOTE—Risk criteria can include associated cost and benefits, legal and statutory requirements, socio-economic and
environmental aspects, the concerns of stakeholders, priorities and other inputs to the assessment.
[ISO Guide 73:2002, definition 3.1.6]
3.10 risk exposure: The potential loss presented to an individual, project, or organization by a risk; a func-
tion of the probability that the risk will occur and the magnitude of the consequences of its occurrence.
NOTE—Risk exposure is commonly defined as the product of a probability and the magnitude of a consequence, i.e., an
expected value or expected exposure. This risk management standard takes a broader view that includes qualitative
expressions of risk exposure.
3.11 risk management plan: A description of how the elements and resources of the risk management pro-
cess will be implemented within an organization or project.
3.12 risk management process: A continuous process for systematically identifying, analyzing, treating,
and monitoring risk throughout the life cycle of a product or service.
3.13 risk management system: set of elements of an organization's management system concerned with
managing risk.
NOTES
1—Management system elements can include strategic planning, decision making, and other processes for dealing with
risk.
2—The culture of an organization is reflected in its risk management system.
[ISO Guide 73:2002, definition 3.1.8]
3.14 risk profile: A chronological record of a risk's current and historical risk state information.
3.15 risk state: The current project risk information relating to an individual risk.
NOTE—The information concerning an individual risk may include the current description, causes, probability, conse-
quences, estimation scales, confidence of the estimates, treatment, threshold, and an estimate of when the risk will reach
its threshold.
3.16 risk threshold: A condition that triggers some stakeholder action.
NOTE—Different risk thresholds may be defined for each risk, risk category or combination of risks based upon differ-
ing risk criteria.
3.17 risk treatment: The process of selection and implementation of measures to modify risk.
NOTE
1—The term “risk treatment” is sometimes used for the measures themselves.
2—Risk treatment measures can include avoiding, optimizing, transferring or retaining risk.
[ISO Guide 73:2002, definition 3.4.1]
3.18 source: An item or activity having a potential for a consequence.
NOTE—In the context of safety, source is a hazard (refer to ISO/IEC Guide 51:1999).
[ISO Guide 73:2002, definition 3.1.5]
3.19 stakeholder: Any individual, group or organization that can affect, be affected by, or perceive itself to
be affected by, a risk.
IEEE Std 16085-2006
NOTES
1—The decision-maker is also a stakeholder.
2—The term “stakeholder” includes but has a broader meaning than interested party (which is defined in ISO
9000:2000).
[ISO Guide 73:2002, definition 3.2.1]
4. Application of this standard
To facilitate use with ISO/IEC 12207:1995 and ISO/IEC 15288, this standard is written using many of the
same conventions for process descriptions. The risk management life cycle process discussed herein is
divided into a set of activities; and the requirements of each activity are specified in a set of tasks. Second-
level subclauses (x.1) denote processes, third-level subclauses (x.x.1) denote activities, and fourth-level sub-
clauses (x.x.x.1) denote tasks.
This risk management standard supports the acquisition, supply, development, operation, and maintenance
of products and services. Application of this standard does not require any particular life cycle process
model.
Project-level risk management is most effective when used along with risk management processes operating
at the organizational level. The processes, activities, and tasks of this risk management standard should be
integrated with other organization risk management practices and systems. If the organizational risk man-
agement processes do not exist, this standard may be useful as a guide for building them.
Further, while application of the standard focuses on system and software risks, the process should be inte-
grated and coordinated with an organization's problem management approaches, e.g., in the event that a
contingency plan must be implemented. The risk treatment activity should be managed in the same manner
as other project management activities.
Risk management is most effective when it is integrated with the measurement process. ISO/IEC 15939,
defines a measurement process applicable to all engineering and management disciplines. The measurement
process defined in ISO/IEC 15939 works in conjunction with the risk management activities and tasks
defined in 16085 to help characterize and quantify risks.
5. Risk management in the life cycle
The purpose of the risk management is to identify, analyze, treat and monitor risks continuously. As a result
of successful implementation of risk management
a) The scope of risk management to be performed is determined.
b) Appropriate risk management strategies are defined and implemented.
c) Risks are identified as they develop and during the conduct of a project.
d) Risks are analyzed, and the priority in which to apply resources to treatment of these risks are deter-
mined.
e) Risk measures are defined, applied, and assessed to determine changes in the status of risk and the
progress of the treatment activities.
f) Appropriate treatment is taken to correct or avoid the impact of risk based on its priority, probabil-
ity, and consequence.
6 Copyright © 2006 IEEE. All rights reserved

LIFE CYCLE PROCESSES — RISK MANAGEMENT
IEEE Std 16085-2006
5.1 Risk management process
The risk management process is a continuous process for systematically addressing risk throughout the life
cycle of a product or service.
This process consists of the following activities:
a) Plan and implement risk management
b) Manage the project risk profile
c) Perform risk analysis
d) Perform risk monitoring
e) Perform risk treatment
f) Evaluate the risk management process
The risk management process is illustrated in Figure 1. Note that the performance of risk treatment is
assumed to be part of general technical and managerial processes.
The numbers in the discussion below refer to the appropriate box in Figure 1.
Figure 1—Risk management process model (informative)
IEEE Std 16085-2006
Managerial and technical processes involving the stakeholders define the information requirements (i.e., the
information the stakeholders require to make informed decisions involving risks) the risk management
process must supportn. These information requirements are passed to both the “plan and implement risk
management” and the “manage the project risk profile” activities. In the “plan and implement risk
management” activityo, the policies regarding the general guidelines under which risk management will be
conducted, the procedures to be used, the specific techniques to be applied, and other matters relevant to risk
planning are defined.
In the “manage the project risk profile” activityp, the current and historical risk management context and
risk state information are captured. The project risk profile includes the sum total of all the individual risk
profiles (i.e., the current and historical risk information concerning an individual risk), which, in turn,
includes all the risk states.
The project risk profile information is continually updated and maintained through the “perform risk analy-
sis” activityq, which identifies the risks, determines their probability and consequences, determines their
risk exposures, and prepares risk action requests recommending treatment for risks determined to be above
their risk threshold(s).
Treatment recommendations, along with the status of other risks and their treatment status, are sent to man-
agement for reviewr. Management decides what risk treatment is implemented for any risk found to be
unacceptable. Risk treatment plans are created for risks that require treatment. These plans are coordinated
with other management plans and other ongoing activities.
All risks are continually monitored until they no longer need to be tracked, e.g., they are retired, during the
“perform risk monitoring” activitys. In addition, new risks and risk sources are sought out.
Periodic evaluation of the risk management process is required to ensure its effectiveness. During the
“evaluate the risk management process” activityt, information, including user and other feedback, is
captured for improving the process or for improving the organization’s or project’s ability to manage risk.
Improvements defined as a result of evaluation are implemented in the “plan and implement risk
management” activityo.
The risk management process is applied continuously throughout the product life cycle. However, activities
and tasks of the risk management process interact with the individual risks in an iterative manner once the
risk management process begins. For example, in the “perform risk analysis” activityq, a risk may be re-
estimated several times during the performance of risk evaluation due to an increase in knowledge about the
risk gained during the evaluation task itself. The risk management process is not a “waterfall” process.
5.1.1 Plan and implement risk management
The purpose of the “plan and implement risk management” activity is to establish a risk management
process. Where an organizational risk management process exists, the risk management process should be
aligned to it. This activity shall establish who is to perform risk management, define the specific risk
management process to be used, assign the resources required to implement the process, and define how
risks and their treatment are to be communicated and coordinated among stakeholders.
This activity should be performed at the beginning of the project and repeated when information needs
change. Information created during this activity shall be documented in a risk management plan such as that
found in Annex A.
NOTE—IEEE Std 1058-1998 [B24] requires the documentation of a risk management plan in the software project man-
agement plan. AS/NZ Std 4360 [B2] provides a general framework for establishing and implementing a risk
management system within an organization.
This activity consists of the tasks listed in 5.1.1.1 through 5.1.1.5.
8 Copyright © 2006 IEEE. All rights reserved

LIFE CYCLE PROCESSES — RISK MANAGEMENT
IEEE Std 16085-2006
5.1.1.1 Establish risk management policies
Risk management policies describing the guidelines under which risk management is to be performed shall
be explicitly defined. The policies shall support gathering risk related information needed by the
stakeholders. The policies should discuss how
a) Risk management is to be implemented, administered, and supported by management and staff
b) Ongoing commitment to risk management by stakeholders is to be obtained and maintained
c) The risk management process is to be coordinated among stakeholders
d) Orientation and training of personnel in the risk management process is to be conducted and what
experience is required of personnel
e) Risk information, e.g., the project risk profile, is to be communicated and reviewed by stakeholders
and how often
f) Resources are to be made available to treat risks
The policies should align with existing organizational risk management policies whenever feasible. A
documented organizational risk management policy that defines the above may be referenced and only the
specifics for a project need to be documented.
5.1.1.2 Establish the risk management process.
A description of the risk management process to be implemented shall be documented and promulgated. The
description of the procedures that implement the risk management process should include
a) The frequency at which risks are to be reanalyzed and monitored
b) The type of risk analysis required (quantitative and/or qualitative)
c) The scales to be used to express risk probability and consequences and their descriptive and mea-
surement uncertainty
d) The types of risk thresholds to be used
e) The types of measures used to track and monitor the state of the risks
f) How risks are to be prioritized for treatment
g) Which stakeholder(s) perspectives the risk management process supports
h) The risk sources and risk categories to be considered
During this task, risk management process, specific procedures, and techniques should be selected to match
the project situation.
NOTE—IEC Guide 60300-3-9:1995 [B7] provides guidelines for the selection and utilization of commonly used risk
analysis techniques. IEC Std 61508-7:2000 [B16] provides useful material related to measures and techniques related to
safety.
The risk management process should align with existing organizational risk management processes
whenever feasible. A documented organizational risk management process that defines the previous list may
be referenced and only the specifics for a project need to be documented.
5.1.1.3 Establish responsibility
The parties responsible for performing risk management and their roles and responsibilities shall be
explicitly identified. Parties shall be assigned responsibility for the risk management process within the
organizational unit.
IEEE Std 16085-2006
5.1.1.4 Assign resources
The responsible parties shall be provided with adequate resources to perform the risk management process.
5.1.1.5 Establish the risk management process evaluation
A description of the process for evaluating and improving the risk management process, along with how
information will be captured for lessons learned, shall be provided. Any relevant lessons from prior use of
the process should be incorporated into this implementation of the process.
5.1.2 Manage the project risk profile
The purpose of the “manage the project risk profile” activity is to create a consistent current and historical
view of the risks present along with their treatment, so that the risks can be communicated fully and
succinctly to relevant stakeholders. It includes the risk management context, the current risk state, and risk
history.
The project risk profile shall be maintained throughout the life cycle.
This activity consists of the tasks listed in 5.1.2.1 through 5.1.2.4.
5.1.2.1 Define the risk management context
The context of the risk management process shall be defined and documented.
The definition of the risk management context shall include a description of one or more stakeholders'
perspectives that the risk action request supports and one or more risk categories to be managed. Security,
safety, or other categories of risk that are perceived to be of special importance may be addressed separately.
NOTE—IEEE Std 1228-1994 [B26], ISO Std 14791[B33], IEC Std 60300 series [B5]-[B7] and IEC Std 61508 series
[B10]-[B16] may be used in conjunction with this standard to address risks related to safety.
The risk management context definition shall also include a description (perhaps by reference) of the
technical and managerial
a) Objectives (e.g., what are the key technical, political or economic performance criteria that must be
met for the project to be considered successful?)
b) Assumptions (e.g., what is considered outside the control of the project?)
c) Constraints (e.g., what limits have been placed on the project?)
Any other relevant information that may influence the analysis or treatment of risk (e.g., is the project able
to openly communicate risk-related information, or is there a reason this is prohibited?) should also be
included.
5.1.2.2 Establish risk thresholds
Risk thresholds, defining the conditions under which a level of risk may be accepted, shall be documented.
Risk thresholds are the maximum levels of measured risk criteria that are acceptable without explicit review
by the stakeholders. Risk thresholds shall be defined for individual risks or combinations of risks. A risk
threshold for the project as a whole should be defined. Risk thresholds should be derived for system and
software from the system integrity levels in accordance with the provisions of ISO/IEC 15026:1998. Risk
thresholds may also be defined for cost, schedule, technical, and other relevant consequences or exposure
values.
10 Copyright © 2006 IEEE. All rights reserved

LIFE CYCLE PROCESSES — RISK MANAGEMENT
IEEE Std 16085-2006
Measures
...

МЕЖДУНАРОДНЫЙ
ISO/IEC
СТАНДАРТ
IEEE
Std 16085-2006
Второе издание
2006-12-15
Системы и разработка программного
обеспечения. Процессы жизненного
цикла. Управление рисками
Systems and software engineering — Life cycle processes — Risk
management
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
IEEE
Std 16085-2006
IEEE Std 16085-2006
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на установку интегрированных шрифтов в компьютере, на котором ведется редактирование. В случае загрузки
настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение лицензионных условий
фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF оптимизированы для печати. Были приняты во внимание все меры
предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами – членами ISO. В
редких случаях возникновения проблемы, связанной со сказанным выше, просим информировать Центральный секретариат
по адресу, приведенному ниже.
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

© ISO
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
ii
IEEE Std 16085-2006
Пересмотр
IEEE Std 1540-2001
Системы и разработка программного обеспечения.
Процессы жизненного цикла. Управление рисками
Спонсор
Комитет стандартов по Системам и разработке программного обеспечения
общества IEEE по вычислительным машинам

Аннотация: определяется процесс управления рисками в жизненном цикле. Он
может быть добавлен к существующей совокупности процессов жизненного цикла
программного обеспечения, которые определяются в серии стандартов ISO/IEC 12207
или ISO/IEC 15288, или он может использоваться независимо.
Ключевые слова: целостность, риск, приемка, анализ рисков, управление рисками,
средства обращения с рисками.
Настоящий документ ISO/IEC/IEEE является международным стандартом и права на этот документ защищают
организации ISO, IEC и IEEE. За исключением случая, разрешенного приемлемыми законами страны
пользователя, ни настоящий стандарт ISO/IEC/IEEE, ни любое извлечение из него не могут быть воспроизведены,
храниться в системе поиска (информации) или передаваться в любой форме или любыми средствами,
электронными, фотокопировальными, регистрирующими или другими, без предварительного письменного
гарантированного разрешения.
Запросы на разрешение воспроизводства настоящего документа следует адресовать в ISO, IEC или IEEE по
следующим адресам.
Печать: ISBN 0-7381-4968-3 SH95519
PDF:  ISBN 0-7381-4969-1 SS95519
Никакая часть настоящей публикации не может быть воспроизведена в какой-либо форме, в электронной
системе поиска информации или иначе без предварительного письменного разрешения издателя.

IEEE Std 16085-2006
Международный стандарт ISO/IEC 16085:2006(R)
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) образуют специализированную систему для всемирной стандартизации. Национальные органы,
которые являются членами ISO или IEC, участвуют в разработке международных стандартов через
технические комитеты, созданные соответственной организацией, чтобы работать в конкретных
областях технической деятельности. Технические комитеты ISO и IEC сотрудничают в областях,
представляющих взаимный интерес. Другие международные организации, правительственные и
неправительственные, поддерживающие связь с ISO и IEC, также участвуют в этой работе. В области
информационных технологий, ISO и IEC учредили совместный технический комитет, ISO/IEC JTC 1.
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Основная задача технических комитетов заключается в подготовке международных стандартов.
Проекты международных стандартов, принятые техническими комитетами, рассылаются комитетам-
членам на голосование. Для их опубликования в качестве международных стандартов требуется
одобрение со стороны не менее 75 % комитетов-членов, принимающих участие в голосовании.
Следует иметь в виду, что некоторые элементы настоящего международного стандарта могут быть
объектом патентных прав. Международная организация по стандартизации не может нести
ответственность за идентификацию какого-либо одного или всех патентных прав.
ISO/IEC 16085 подготовлен совместным техническим комитетом ISO/IEC JTC 1, Информационные
технологии, Подкомитетом SC 7, Системы и разработка программного обеспечения.

Международная организация по стандартизации/Международная электротехническая комиссия
Case postale 56 • CH-1211 Geneve 20 • Switzerland

Документы Стандарты IEEE разрабатываются в обществах и комитетах по координации стандартов под руководством
профессионального объединения Института инженеров по электротехнике и электронике (IEEE), выпускающего свои
собственные стандарты на основе процессов согласованной разработки и с утверждением Национальным институтом
стандартизации США (ANSI). Этот институт объединяет разработчиков, представляющих разные точки зрения и интересы для
достижения конечного продукта. Не обязательно, чтобы разработчики были членами ANSI. Все они вносят свой вклад в
разработку стандартов добровольно и без вознаграждения. Несмотря на то, что IEEE осуществляет административное
управление процессом и устанавливает правила, способствующие справедливости в процессе согласованной разработки
стандартов, сам институт не делает независимую оценку, не проводит испытания и не проверяет правильность какой-либо
информации, содержащейся в выпускаемых стандартах.
Использование стандарта IEEE осуществляется на принципе добровольности, поэтому IEEE не берет на себя ответственность
за травмы, вред имуществу или другие повреждения любого характера, то ли специальные, косвенные или компенсационные,
если они нанесены, прямо или косвенно, в результате публикации, использования или доверия к настоящему или любому
другому стандарту IEEE.
Институт IEEE не гарантирует правильность и не представляет содержание материала в настоящем стандарте. Он решительно
отказывается от выраженной или предполагаемой гарантии, включая любой намек о его пригодности к продаже или
адекватности для любой цели, а также в отношении свободного использования материала стандарта с нарушением патентных
прав. Документы “стандарты IEEE” поставляются в том виде, как они есть.
Существование стандарта IEEE не подразумевает того, что нет других путей, чтобы производить, испытывать, измерять,
покупать, выставлять на рынок или предоставлять другие товары и услуги, имеющие отношение к области применения
стандарта IEEE. Более того, точка зрения, выраженная во время одобрения и выпуска стандарта, подлежит изменению,
осуществляемому через современные разработки или замечания, полученные от пользователей определенного стандарта.
Каждый стандарт IEEE подлежит пересмотру, по меньшей мере, через каждые пять лет для внесения изменений и повторного
подтверждения. Когда документ используется больше пяти лет, но не был заново подтвержден, то целесообразно заключить,
что его содержание, хотя еще имеющее некоторую ценность, не отражает полностью современное состояние науки и техники.
Пользователям стандартов IEEE следует проверять используемый стандарт, чтобы удостовериться, что они имеют самое
последнее его издание.
Когда IEEE публикует и обеспечивает доступность своих документов, то институт не предлагает или способствует или
предоставляет услуги от имени какого-либо лица или экономического объекта. Он также не предпринимает каких-либо дел,
чтобы выполнять какое-либо обязательство, взятое любым лицом или объектом по отношению к другому лицу или объекту.
Любому человеку, использующему настоящий или любой другой документ IEEE, следует полагаться на совет компетентного
профессионала при определении разумной осторожности в любых заданных обстоятельствах.
Интерпретации: время от времени могут возникать вопросы, касающиеся смысла частей стандартов в отношении их
специального применения. Когда внимание IEEE обращается на необходимость интерпретаций выпускаемых им стандартов, то
институт должен инициировать действия на подготовку подходящих ответов. Так как стандарты IEEE представляют согласие
заинтересованных сторон, то важно обеспечить, чтобы любая интерпретация получила согласованность баланса интересов. По
это причине IEEE и члены его обществ и комитетов по координации стандартов не имеют возможности давать немедленный
ответ на запросы интерпретации, кроме случаев, когда дело было ранее принято для официального рассмотрения. На лекциях,
симпозиумах, семинарах или образовательных курсах индивидуально представленная информация по стандартам IEEE должна
быть ясной в том смысле, что взгляд выступающего следует рассматривать скорее как его личное мнение, чем официальная
позиция, объяснение или интерпретация IEEE.
Замечания по ревизии стандартов IEEE принимаются от любой заинтересованной стороны, независимо от членства в IEEE.
Предложения по изменениям в документах следует делать в форме предложенного изменения текста вместе с подходящими
поддерживающими комментариями. Замечания по стандартам и запросы для интерпретации следует направлять по адресу:
Secretary, IEEE-SA Standards Board
445 Hoes Lane
Piscataway, NJ 08854, USA
ПРИМЕЧАНИЕ – Обращается внимание на возможность того, что реализация настоящего стандарта может потребовать
использование патентных прав. Публикация настоящего стандарта не нарушает существование или действительность любых
патентных прав в связи с этим. IEEE не берет на себя ответственность за идентификацию патентов, по которым может
потребоваться лицензия по стандарту IEEE или для наведения справок в отношении законной силы или области применения
упомянутых патентов, на которые обращается внимание IEEE.
Разрешение на копирование частей любого отдельного стандарта для внутреннего или личного пользования дает Институт
инженеров по электротехнике и электронике при условии платы соответствующего взноса в Центр очистки от авторского права,
который находится по адресу: 222 Rosewood Drive, Danvers, MA 01923 USA; +1 978 750 8400. Разрешение на копирование частей
отдельного стандарта для образовательных целей также может быть получено через Центр очистки от авторского права.

Введение IEEE
Это вступление не является частью ISO/IEC/IEEE 16085:2006, Системотехника и программотехника.
Процессы жизненного цикла. Управление рисками
Управление рисками является основной дисциплиной для принятия эффективных решений и обмена
информацией о результатах среди организации. Цель управления рисками заключается в
идентификации потенциальных управленческих и технических проблем до того, как они возникнут,
чтобы можно было принять меры по снижению или исключению вероятности и/или влияния этих
проблем в случае их возникновения. Это есть важный инструмент для непрерывного установления
осуществимости намеченных планов, для повышения эффективности поиска и идентификации
потенциальных проблем, которые влияют на действия жизненного цикла, качество и
функционирование продуктов, а также для улучшения активного менеджмента проектов.
Настоящий стандарт может быть применен к системам и программному обеспечению. Приложение D
является специфическим для программного обеспечения и серии стандартов ISO/IEC 12207 по
жизненному циклу, чтобы подвести итог случаям, когда упоминается менеджмент рисков вместо
процесса управления специфическими рисками.
Замечание для пользователей
Список опечаток
Список опечаток, если они есть, в этом или других стандартах может быть доступным на следующем
унифицированном указателе информационного ресурса (URL): http://standards.ieee.org/reading/
ieee/updates/errarta/index.html. Пользователям рекомендуется периодически проверять этот URL для
выявления опечаток.
Интерпретации
Текущие интерпретации могут быть доступными на следующем URL: http://standards.ieee.org/reading/
ieee/interp/index.html.
Патенты
Обращается внимание на возможность, что для реализации настоящего стандарта может
потребоваться использование предмета обсуждения, охваченного патентными правами. Публикация
настоящего стандарта не затрагивает существование или действительность любых патентных прав,
связанных с применением настоящего стандарта. Институт инженеров по электротехнике и
электронике не должен быть ответственным за идентификацию патентов или применений, требующих
лицензию для реализации стандарта IEEE или для направления запросов в отношении законности или
области применения тех патентов, на которые обращается внимание института.
iv © IEEE 2006 – Все права сохраняются

Участники
Следующие лица участвовали в разработке настоящего стандарта:

Когда правление ассоциации IEEE по стандартам одобрило настоящий стандарт, то в состав
правления входили следующие члены:

Следующие лица также входили в состав правления ассоциации IEEE без права голоса.

© IEEE 2006 – Все права сохраняются v

Содержание Страница
1 Общее представление.1
1.1 Область применения.1
1.2 Цель .1
1.3 Поле применения.1
1.4 Соответствие.2
1.5 Отказ .3
2 Нормативные ссылки.3
3 Определения .3
4 Применение настоящего стандарта.6
5 Управление рисками в жизненном цикле. .6
5.1 Процесс управления рисками.7
5.2 Нулевой раздел . 15
Приложение A (информативное) План управления рисками . 16
Приложение B (информативное) Запрос действия риска. 19
Приложение C (информативное) План обращения с рисками . 21
Приложение D (информативное) Применение менеджмента рисков в жизненном цикле
программного обеспечения. 23
Приложение E (информативное) Аннотированная библиография . 30
vi © IEEE 2006 – Все права сохраняются

Системы и разработка программного
обеспечения. Процессы жизненного цикла.
Управление рисками
1 Общее представление
Настоящий стандарт предписывает непрерывный процесс для управления рисками. Раздел 1 дает
общее представление и описание цели, предел действия и поля применения, а также предписание
критериев соответствия. Раздел 2 перечисляет нормативные ссылки; информативные ссылки даются в
Приложении E. Раздел 2 содержит определения. Раздел 4 излагает применение управления рисками к
жизненному циклу. Раздел 5 предписывает требования к процессу управления рисками.
Имеется несколько информационных приложений: A, B и С, которые рекомендуют содержание трех
документов: План управления рисками, Запрос действия риска и План обращения с рисками.
Приложение D подводит итог в случае, когда управление рисками упоминается в серии стандартов
ISO/IEC 12207, рассматривающих процесс жизненного цикла программного обеспечения.
Эквивалентное приложение не включается в стандарт ISO/IEC 15288, который рассматривает процесс
жизненного цикла системы, так как этот стандарт содержит процесс управления рисками. Как было
упомянуто раньше, Приложение E является аннотированной библиографией стандартов и других
документов, имеющих отношение к материалу, охваченному в настоящем стандарте.
1.1 Область применения
Настоящий стандарт дает описание процесса для управления риском во время приобретения,
поставки, разработки, эксплуатации и сопровождения систем или программного обеспечения.
1.2 Цель
Целью настоящего стандарта является обеспечение поставщиков, покупателей, разработчиков и
менеджеров отельным набором требований к процессу, подходящих для управления широким
разнообразием рисков. Настоящий стандарт не предоставляет подробные технические приемы
управления рисками, но вместо этого он обращает основное внимание на определение процесса для
управления рисками, в котором может быть применен один из нескольких приемов или способов
управления.
1.3 Поле применения
Настоящий стандарт определяет процесс управления рисками на протяжении жизненного цикла. Он
подходит для принятия организацией с целью приложения ко всем подходящим проектам. Настоящий
стандарт является полезным для управления рисками, связанными с организациями, которые
занимаются выпуском системы или программного обеспечения.
Настоящий стандарт может быть применен вместе с серией стандартов ISO/IEC 12207:1995, ISO/IEC
15288 или независимо.
© IEEE 2006 – Все права сохраняются 1

IEEE Std 16085-2006
1.3.1 Применение с серией ISO/IEC 12207:1995
ISO/IEC 12207:1995 является в настоящее время “наиболее широким” документом ISO, в котором
дается описание стандартных процессов для приобретения, поставки, разработки, эксплуатации и
сопровождения программного обеспечения. Этот стандарт распознает, какой риск с активным
управлением является ключевым фактором успеха в менеджменте проектирования программного
обеспечения. ISO/IEC 12207:1995 упоминает риск и управление риском в нескольких местах, но не
дает процесс для управления риском (см. Приложение D). Настоящий стандарт управления рисками
предоставляет такой процесс на манер, согласованный с определением процесса управления рисками.
Это определение содержится в последующих уточнениях ISO/IEC 12207. Настоящий стандарт может
быть применен к управлению рисками на организационном или проектном уровне, в любом домене или
на любой фазе жизненного цикла, чтобы поддерживать вид на будущее для менеджеров, участников
общего дела и других заинтересованных сторон.
В структуре процесса жизненного цикла, которая предоставлена ISO/IEC 12207:1995, управление
рисками есть “организационный процесс жизненного цикла”. Действия и задачи в организационном
процессе составляют ответственность организации, использующей этот процесс. Поэтому организация
гарантирует установку этого процесса.
Когда настоящий стандарт используется с ISO/IEC 12207:1995, то полагают, что другие
управленческие и технические процессы, изложенные в ISO/IEC 12207, выполняют трактовку риска.
Соответственно дается описание подходящих взаимоотношений между этими процессами.
1.3.2 Применение с серией ISO/IEC 15288:2002
ISO/IEC 15288:2002 включает процесс управления рисками и в нем менеджмент риска упоминается в
нескольких местах. Этот стандарт может быть использован для управления рисками на
организационном уровне, на уровне предприятия и проектном уровне в любом домене или на любой
стадии жизненного цикла, чтобы поддерживать вид на будущее для менеджеров, участников общего
дела и других заинтересованных сторон.
16085 является широко совместимым с процессом управления рисками, который документально
подтвержден в ISO/IEC 15288:2002. Он предоставляет дополнительную информацию о процессах для
оказания помощи в планировании и исполнении менеджмента рисков. Когда настоящий стандарт
используется с ISO/IEC 15288:2002., то полагают, что другие управленческие и технические процессы,
изложенные в ISO/IEC 15288, выполняют трактовку риска. Пределы действия, цель, поле применения
и требования соответствия в Разделе 1 могут быть интерпретированы для применения жизненного
цикла системы. Определения (Раздел 3), информация о процессе (Раздел 5) и основные положения
плана управления рисками (Приложение A), запроса действия риска (Приложение B) и плана
обращения к риску (Приложение C) могут быть непосредственно применены к жизненному циклу
системы.
1.3.3 Применение, независимое от серий ISO/IEC
Настоящий стандарт может быть использован независимо от каких-либо конкретных систем или
стандарта процесса жизненного цикла программного обеспечения.
1.4 Соответствие
Организация может предъявить или проект может содержать требования соответствия настоящему
стандарту путем реализации процесса, демонстрации через планы и функционирование всех
требований (заданных как обязательные словом “должны”) в действиях и задачах, изложенных в
Разделе 5.
Заметим, что в этих примерах, где настоящий стандарт применяется независимо от ISO/IEC 12207:1995 или
ISO/IEC 15288:2002, дополнительный набор требований для обращения с рисками предоставляется в
5.1.4.2.
2 © IEEE 2006 – Все права сохраняются

ПРОЦЕССЫ ЖИЗНЕННОГО ЦИКЛА. УПРАВЛЕНИЕ РИСКАМИ   ISO/IEC 16085:2006(R)
IEEE Std 16085-2006
1.5 Отказ
Настоящий стандарт устанавливает минимальные требования для процесса управления рисками,
действий и задач. Выполнение этих требований или приготовление плана управления рисками, или
запросы действий рисков согласно настоящему стандарту не гарантируют отсутствие рисков.
Соответствие настоящему стандарту не освобождает любую сторону от какого-либо социального,
морального, финансового или правового обязательства.
2. Нормативные ссылки
Следующие нормативные документы являются обязательными для применения с настоящим
международным стандартом. Для жестких ссылок применяются только указанное по тексту издание.
Для плавающих ссылок необходимо использовать самое последнее издание нормативного ссылочного
документа (включая любые изменения).
ISO/IEC 12207:1995, Информационные технологии. Процессы жизненного цикла программного
обеспечения
ISO/IEC 12207:1995/AMD.1:2002, Информационные технологии. Процессы жизненного цикла
программного обеспечения. Изменение 1
ISO/IEC 12207:1995/AMD.2:2003, Информационные технологии. Процессы жизненного цикла
программного обеспечения. Изменение 2
ISO/IEC 15026:1998, Информационные технологии. Системные и программные уровни целостности
ISO/IEC 15288:2002, Системы программного обеспечения. Процессы жизненного цикла
ПРИМЕЧАНИЯ
1 – ISO/IEC 12207:1995 не нужен, если настоящий стандарт применяется независимо от ISO/IEC 12207.
2 – IEEE/EIA 12207.0-1996 может быть использован в качестве замены ISO/IEC 12207:1995.
3 – ISO/IEC 15228:2002 не нужен, если настоящий стандарт применяется независимо от ISO/IEC 15288.
3. Определения
В настоящем документе применяются следующие термины и определения. К официальному словарю
терминов стандартов IEEE [B19] следует обращаться за терминами, которые не определены в
настоящем разделе.
3.1 consequence (последствие): результат события.
ПРИМЕЧАНИЯ
1 Может быть больше чем одно последствие от события.
2Последствия могут простираться от позитива до негатива. Однако последствия всегда являются негативными
для аспектов обеспечения безопасности.
3 Последствия могут быть выражены качественно или количественно.

Публикации ISO/IEC являются доступными из центрального секретариата ISO, Case Postale 56, 1 rue de Varembe, CH-1211,
Geneve 20, Switzerland/Suisse (http://www.iso.ch/). Публикации ISO/IEC являются также доступными в Соединенных Штатах из
Глобальных технических документов, 15 Inverness Way East , Englewood, Colorado 80112, USA (http://global.his.com/).
Электронные копии являются доступными в Соединенных Штатах из Национального института стандартизации США, 11 West
42nd Street , 13th Floor, New York, NY 10036,USA (http://www.ansi.org/).
Публикации IEEE являются доступными из Института инженеров по электротехнике и электронике, 445 Hoes Lane, P.O. Box
1331, Piscataway, NJ 08855-1331, USA (http://standards.ieee.org).
© IEEE 2006 – Все права сохраняются 3

IEEE Std 16085-2006
[ISO Guide 73:2002, определение 3.1.2]
3.2 event (событие): возникновение конкретной совокупности обстоятельств.
ПРИМЕЧАНИЯ
1 Событие может быть определенным или неопределенным.
2 Событие может быть единичным явлением или серией явлений.
3 Вероятность, связанная с событием, может оцениваться за данный период времени.
[ISO Guide 73:2002, определение 3.1.4]
3.3 probability (вероятность): степень вероятного свершения события (3.1.4)
ПРИМЕЧАНИЯ
1 ISO 3534-1:1993, определение 1.1, дает математическое определение “вероятности как реальное число на
шкале 0 – 1, приписанное к случайному событию. Оно может быть отнесено к длительной относительной
частоте случая или к степени веры, что событие произойдет. Для высокой степени веры эта вероятность
близка к 1”.
2 Скорее частота, чем вероятность может быть использована при описании риска.
3 Степени веры о вероятности могут быть выбраны как классы или ранги, например,
− редкий/маловероятный/умеренный/вероятный/почти определенный или
− немыслимый/невероятный/удаленный/случайный/возможный/частый.
[ISO Guide 73:2002, определение 3.1.3]
3.4 project risk profile (профиль риска проекта): текущая и историческая информация, имеющая
отношение к риску проекта; компендиум или множество всех профилей отдельных рисков в проекте.
ПРИМЕЧАНИЕ − Информация о профиле риска проекта включает контекст управления риском с хронологической
записью рисков и их отдельными профилями, приоритетное упорядочение, меры, связанные с риском, статус
способа обращения, чрезвычайные планы и запросы действий рисков. Профиль риска проекта состоит из
коллекции профилей всех отдельных рисков, которые в свою очередь включают текущие и исторические
состояния рисков. См. профиль риска и состояние риска.
3.5 risk (риск): комбинация вероятности события и его последствие.
ПРИМЕЧАНИЯ
1Термин “риск” обычно используется только в случае, когда имеется, по меньшей мере, вероятность негативных
последствий.
2 В некоторых ситуациях риск возникает из возможности отклонения от ожидаемого результата или события.
3 См. Guide 51 ISO/IEC по вопросам, имеющим отношение к обеспечению безопасности.
[ISO Guide 73:2002, определение 3.1.1]
3.6 risk acceptance (принятие риска): решение о признании риска.
ПРИМЕЧАНИЯ
1 Глагол “принять” выбирается для передачи идеи, что принятие имеет свое основное словарное значение.
2 Принятие риска зависит от критериев риска.
[ISO Guide 73:2002, определение 3.4.10]
3.7 risk action request (запрос действия риска): рекомендованные альтернативы способа обращения
и поддерживающая информация для одного или более рисков, о которых установлено, что они
превышают порог риска.
4 © IEEE 2006 – Все права сохраняются

ПРОЦЕССЫ ЖИЗНЕННОГО ЦИКЛА. УПРАВЛЕНИЕ РИСКАМИ   ISO/IEC 16085:2006(R)
IEEE Std 16085-2006
3.8 risk category (категория риска): класс или тип риска (например, технический, правовой,
организационный, связанный с обеспечением безопасности, экономический, инженерный, связанный
со стоимостью или расписанием).
ПРИМЕЧАНИЕ – Категория риска есть характеристика источника риска. См. источник.
3.9 risk criteria (критерии риска): термины ссылки, с помощью которой оценивается значимость риска.
ПРИМЕЧАНИЕ – Критерии риска могут включать ассоциированные издержки и выгоды, правовые и
установленные законом требования, социально-экономические и окружающие природные аспекты,
деловые отношения заинтересованных сторон, приоритеты и другие входные данные для оценки.
[ISO Guide 73:2002, определение 3.1.6]
3.10 risk exposure (подверженность воздействию риска): потенциальная утрата, причиненная
отдельному лицу, проекту или организации риском; функция вероятности возникновения риска и
величина последствий его появления.
ПРИМЕЧАНИЕ – Подверженность воздействию риска обычно определяется как произведение вероятности и
величины последствия, т.е. ожидаемое значение или ожидаемое воздействие. Настоящий стандарт управления
рисками охватывает более широкий взгляд, который включает качественные показатели воздействия риска.
3.11 risk management plan (план управления рисками): описание того, как элементы и ресурсы
процесса управления рисками будут реализованы в рамках организации или проекта.
3.12 risk management process (процесс управления рисками): непрерывный процесс для
систематической идентификации, анализа, способа обращения и мониторинга риска на протяжении
жизненного цикла изделия или службы.
3.13 risk management system (система управления рисками): набор элементов системы
менеджмента организации, если эта система занимается управлением рисками.
ПРИМЕЧАНИЯ
1 Элементы системы менеджмента могут включать стратегическое планирование, принятие решений и другие
процессы, чтобы заниматься рисками.
2 Культура организации отражается в системе управления ее рисками.
[ISO Guide 73:2002, определение 3.1.8]
3.14 risk profile (профиль риска): хронологическая запись информации о текущем и историческом
состоянии рисков.
3.15 risk state (состояние риска): информация текущего проектного риска, имеющая отношение к
отдельному риску.
ПРИМЕЧАНИЕ – Информация, касающаяся отдельного риска, может включать текущее описание, причины,
вероятность, последствия, оценочные шкалы, доверие к оценкам, способ обращения, порог и оценку того, когда
риск достигнет своего порога.
3.16 risk threshold (порог риска): условие, которое запускает действие организатора общего дела.
ПРИМЕЧАНИЕ – Разные пороги рисков могут быть определены для каждого риска, категории риска или
комбинации рисков на основе разных критериев риска.
3.17 risk treatment (способ обращения с риском): процесс выбора и реализации мер для
видоизменения риска.
ПРИМЕЧАНИЯ
1 Термин “способ обращения с риском” иногда используется для самих мер.
2 Меры обращения с рисками могут включать способы уклонения, оптимизации, пересылки или сдерживания
риска.
[ISO Guide 73:2002, определение 3.4.1]
© IEEE 2006 – Все права сохраняются 5

IEEE Std 16085-2006
3.18 source (источник): Отдельный предмет или действие, имеющее потенциал для последствия.
ПРИМЕЧАНИЕ – В контексте обеспечения безопасности источником является возможность нанесения вреда (см.
Руководство 51:1999 ISO/IEC)
[ISO Guide 73:2002, определение 3.1.5]
3.19 stakeholder (организатор совместного дела, заинтересованная сторона): любой субъект,
группа людей или организация, которые могут влиять на риск, подвергаться воздействию риска или
воспринимать себя возможной жертвой воздействия риска.
ПРИМЕЧАНИЯ
1 Субъект, принимающий решение, также является организатором совместного дела.
2 Термин “организатор совместного дела“ включает заинтересованную сторону, но имеет более широкий смысл
(определение “заинтересованная сторона” дано в ISO 9000:2000).
[ISO Guide 73:2002, определение 3.2.1]
4 Применение настоящего стандарта
Чтобы облегчить использование ISO/IEC 12207:1995 и ISO/IEC 15288, настоящий стандарт написан с
применением многих из некоторых условных обозначений для характеристики процесса. Процесс
управления рисками жизненного цикла, который рассматривается в настоящем стандарте, делится на
ряд действий. Требования к каждому действию задаются в совокупности задач. Подразделы второго
уровня (x.1) обозначают процессы, подразделы третьего уровня (x.x.1) обозначают действия и
подразделы четвертого уровня (x.x.x.1) обозначают задачи.
Настоящий стандарт управления рисками поддерживает приобретение, снабжение, разработку,
функционирование и сопровождение изделий и услуг. Применение настоящего стандарта не требует
какой-либо особой модели процесса жизненного цикла.
Управление рисками на уровне проектирования является наиболее эффективным при использовании
вместе с процессами управления рисками, действующими на организационном уровне. Процессы,
действия и задачи настоящего стандарта управления рисками следует интегрировать с другой
практической деятельностью и системами. Если процессы управления организационными рисками не
существуют, то настоящий стандарт может быть полезным в качестве руководства для их построения.
Далее, в то время как применение этого стандарта сосредоточено на рисках системы и программного
обеспечения, процесс следует интегрировать и координировать с подходами к менеджменту проблем
организации, например, в случае, когда должен быть выполнен план действий в аварийных ситуациях.
Деятельность по обращению с рисками следует осуществлять в то же самой манере, в какой
осуществляются действия менеджмента проекта.
Управление рисками является наиболее эффективным при интеграции с процессами измерений.
Стандарт ISO/IEC 15939 определяет измерительный процесс, приемлемый для всех технологических и
управленческих дисциплин. Измерительный процесс, определенный в ISO/IEC 15939, работает в
соединении с действиями управления рисками и задачами, определенными в 16085 с целью оказания
помощи в характеристике и количественной оценке рисков.
5 Управление рисками в жизненном цикле.
Целью управления рисками является идентификация, анализ, способ обращения и текущий контроль
рисков, осуществляемые непрерывно. В результате успешной реализации управления рисками
a) Устанавливается граница управления рисками, которое нужно осуществлять.
b) Определяется и реализуется подходящая стратегия управления рисками.
c) Риски выявляются по мере их развития и на протяжении сопровождения проекта.
d) Риски анализируются, а также устанавливается приоритетность применения ресурсов для
обращения с этими рисками.
6 © IEEE 2006 – Все права сохраняются

ПРОЦЕССЫ ЖИЗНЕННОГО ЦИКЛА. УПРАВЛЕНИЕ РИСКАМИ   ISO/IEC 16085:2006(R)
IEEE Std 16085-2006
e) Меры, связанные с рисками, определяются, проводятся и оцениваются, чтобы установить
изменения статуса риска и прогресс действий по обращению с рисками.
f) Берутся подходящие способы обращения с рисками, чтобы скорректировать или избежать
воздействия риска на основе его приоритета, вероятности и последствия.
5.1 Процесс управления рисками
Процесс управления рисками является непрерывным процессом для систематической адресации
риска на протяжении жизненного цикла изделия или службы.
Этот процесс состоит из следующих действий:
a) Планировать и осуществлять управление рисками.
b) Управлять профилем риска проекта.
c) Выполнять анализ рисков.
d) Осуществлять текущий контроль рисков.
e) Осуществлять трактовку рисков.
f) Оценивать процесс управления рисками.
Процесс управления рисками иллюстрируется на Рисунке 1. Заметим, что выполнение трактовки риска
(или обращения с риском) считается частью общих технических и управленческих процессов.
Цифры, указанные при последующем обсуждении, относятся к соответствующему блоку на Рисунке 1.

Рисунок 1 – Модель (информативная) процесса управления рисками
© IEEE 2006 – Все права сохраняются 7

IEEE Std 16085-2006
Управленческие и технические процессы, вовлекающие участников общего дела, определяют
информационные требования (т.е. необходимость в информации, которая нужна заинтересованным
сторонам, чтобы принимать компетентные решения, связанные с рисками). Эти требования должны
поддерживать процесс управления рисками . Информационные требования пропускаются через “план
и реализацию управления рисками” и действия по “управлению профилем риска проекта”. В
деятельности согласно “плану и реализации управления рисками”  определяются линии поведения в
отношении общих руководящих указаний по менеджменту рисков, процедуры, которые необходимо
использовать, специфические технические приемы, которые надлежит применять, и другие вопросы,
значимые для планирования рисков.
Деятельность по “управлению профилем риска проекта” охватывает текущий и исторический контекст
управления рисками и информацию о состоянии рисков. Профиль риска проекта включает сумму
профилей всех отдельных рисков (т.е. текущую и историческую информацию, касающуюся отдельного
риска). В свою очередь профили отдельных рисков включают все состояния рисков.
Информация о профиле риска проекта непрерывно обновляется и поддерживается через
деятельность по “выполнению анализа рисков” . Эта деятельность выявляет риски, устанавливает их
вероятность и последствия, определяет подверженность их воздействию и готовит запросы действия
риска с рекомендациями обращения с рисками, для которых установлено, что они превышают свои
пороги.
Рекомендации по трактовке риска вместе со статусом других рисков и статусом обращения с ними,
посылаются в менеджмент для обзора Менеджмент решает, какой способ обращения с риском
реализуется для любого риска, который обнаружен как неприемлемый. Планы обращения с рисками
составляются для рисков, для которых требуется их трактовка. Эти планы координируются с другими
планами управления и другими текущими действиями.
Все риски непрерывно контролируются до тех пор, пока отслеживание больше не требуется, например,
они сбрасываются в ходе “выполнения мониторинга рисков” . Кроме того, осуществляется поиск новых
рисков и источников рисков.
Требуется периодическая оценка процесса управления рисками, чтобы гарантировать его
эффективность. В течение “оценки процесса управления рисками” принимается информация от
пользователей и по линии обратной связи для улучшения этого процесса и повышения способности
организации или проекта справляться с рисками. Улучшения, определенные в результате оценки,
осуществляются в ходе деятельности по “планированию и реализации управления рисками” .
Процесс управления рисками применяется непрерывно через цикл жизни изделия. Однако действия и
задачи процесса управления рисками взаимодействуют с отдельными рисками в повторяющейся
манере с началом процесса управления рисками. Например, по ходу деятельности “выполнить анализ
рисков” переоценка риска может быть сделана несколько раз на протяжении оценки рисков благодаря
накоплению знаний о риске, полученных в ходе самой задачи оценки. Процесс управления рисками не
является “водопадным” процессом.
5.1.1 Планирование и реализация управления рисками
Цель деятельности по “планированию и реализации управления рисками” заключается в учреждении
процесса управления рисками. В случае, когда существует процесс управления организационными
рисками, то процесс менеджмента рисков следует с ним согласовать. Эта деятельность должна
устанавливать, кто должен выполнять управление рисками, определять процесс управления
специфическими рисками, который нужно использовать, назначать ресурсы, необходимые для
реализации процесса, и определять, как риски и обращение с ними предполагается передавать по
линиям связи и координировать среди заинтересованных сторон.
Эту деятельность следует осуществлять в начальной стадии проектирования и повторять при
изменении информационных потребностей. Информация, полученная в ходе этой деятельности,
должна быть подтверждена документами в плане управления рисками, например, как указано в
Приложении A.
ПРИМЕЧАНИЕ –IEEE Std 1058-1998 [B24] требует подтверждение документами плана управления рисками в
плане менеджмента программного обеспечения проекта. AS/NZ Std 4360 [B2] предоставляет структуру
учреждения и реализации системы управления рисками в границах организации.
Эта деятельность состоит из задач, перечисленных в 5.1.1.1 – 5.1.1.5.
8 © IEEE 2006 – Все права сохраняются

ПРОЦЕССЫ ЖИЗНЕННОГО ЦИКЛА. УПРАВЛЕНИЕ РИСКАМИ   ISO/IEC 16085:2006(R)
IEEE Std 16085-2006
5.1.1.1 Учредить профили управления рисками
Должны быть подробно определены линии поведения менеджмента рисками, дающие описание
руководящих указаний, по которым надлежит осуществлять управление рисками. Эти линии поведения
должны поддерживать сбор информации, имеющей отношение к рискам, которая необходима
заинтересованным сторонам. В линиях поведения следует обсудить, как
a) Управление рисками нужно осуществлять, администрировать и поддерживать со стороны
руководящего и штатного состава.
b) Текущие обязательства заинтересованных сторон в отношении управления рисками могут быть
получены и поддержаны.
c) Процесс управления рисками нужно координировать среди участников общего дела.
d) Ориентацию и обучение персонала в процессе управления рисками нужно проводить, и какой
опыт персонала требуется.
e) Информацию о рисках, например, профиле риска проекта, предполагается передавать по
линиям связи и пересматривать заинтересованными сторонами и как часто.
f) Ресурсы сделать доступными для обращения с рисками.
Линии поведения следует привести в соответствие с существующей политикой менеджмента
организационных рисков в тех случаях, когда это выполнимо. Можно делать ссылку на
подтвержденную документами политику менеджмента организационными рисками, которая
определяет упомянутые выше линии поведения, но специфику потребности проекта нужно
обязательно подтверждать документами.
5.1.1.2 Учредить процесс управления рисками
Описание процесса управления рисками, который нужно реализовать, должно быть подтверждено
документами и объявлено. В описание процедур, которые реализуют процесс управления рисками,
следует включить следующее
a) Частоту, с которой риски нужно анализировать снова и контролировать.
b) Тип необходимого анализа рисков (качественного и/или количественного).
c) Шкалы, которые нужно использовать для выражения вероятности и последствий риска и их
описательной и измерительной неопределенности.
d) Типы порогов рисков, которые нужно использовать.
e) Типы используемых мероприятий, чтобы отслеживать и контролировать состояние рисков.
f) Как риски следует распределить по важности для обращения с ними.
g) Какие перспективы заинтересованных сторон поддерживает процесс управления рисками.
h) Источники рисков и категории рисков, подлежащие рассмотрению.
В течение выполнения этой задачи следует выбрать процесс управления рисками, специальные
процедуры и технические приемы, чтобы соответствовать проектной ситуации.
ПРИМЕЧАНИЕ – IEC Guide 60300-3-9:1995 [B7] содержит руководящие указания для выборки и применения
общепринятых способов анализа рисков. IEC Std 61508-7:2000 [B16] предоставляет полезный материал, имеющий
отношение к мерам и способам, связанным с обеспечением безопасности.
Процесс управления рисками следует приводить в соответствие с существующими процессами
менеджмента организационных рисков в тех случаях, когда это выполнимо. Можно делать ссылку на
подтвержденный документами процесс управления организационны
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Systems and software engineering - Life cycle processes - Risk management

Ingénierie des systèmes et du logiciel — Processus du cycle de vie — Gestion des risques

General Information

Relations

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You