Wie wird ein Risikoprofil erstellt?

Ich habe vor kurzem begonnen, an einem Rechenzentrums-Migrationsprojekt für einen großen Finanzdienstleistungskunden zu arbeiten.

Eine der Aufgaben, für die ich verantwortlich bin, ist die Erstellung von Risikoprofilen für die Migration basierend auf der Ist- und Soll-Lösungsplanung – Eingaben werden Dinge wie der geplante Migrationsansatz, die Geschäfts- und IT-Servicearchitektur und andere domänenspezifische Informationen sein.

Kann jemand Techniken zur Erstellung von Risikoprofilen und die ihnen zugrunde liegende Logik beschreiben?

Können Sie erklären, was Sie mit „Risikoprofilerstellung“ meinen und wie sich das von „Risikobewertung“ unterscheidet?
Nicht genau das, wonach Sie suchen, aber vielleicht finden Sie diesen Blogbeitrag von mir relevant und nützlich: 0rsk.com: Ursache + Risiko + Wirkung

Antworten (3)

TL;DR

Risikobewertung ist ein breites Thema, das viele Bücher füllen kann (und hat). Es gibt keine einfache Antwort auf Ihre Frage. Ansatzpunkte gibt es aber durchaus.

Ausleihen von Security/Audit

Für die Bereiche Sicherheit und Audit gibt es einige gut definierte Bedrohungs-(Risiko-)Bewertungsmodelle. Beispielsweise beschreibt OWASP den Microsoft Threat Modeling Process . Obwohl sich dieses Modell mehr auf die Informationssicherheit als auf das Projektrisiko im Allgemeinen konzentriert, ist es dennoch ein solider Ansatz zur Risikountersuchung.

Standards zur kommerziellen Risikobewertung

Es gibt auch eine Reihe von im Handel erhältlichen Rahmenwerken und Standards zur Risikobewertung. Diese schließen ein:

ISO 31000 scheint am domänenunabhängigsten zu sein und sagt, dass es "von jeder Organisation unabhängig von ihrer Größe, Aktivität oder Branche verwendet werden kann". Ihr Kilometerstand kann diesbezüglich variieren.

Sie sollten in der Lage sein, andere Frameworks für Nicht-IT-Projekte zu finden, aber Sie müssen einige domänenspezifische Kenntnisse verwenden, um die Probleme zu untersuchen, wenn Sie mehr als einen allgemeinen Ansatz wünschen. Wenn Sie hingegen nur einen generischen Ansatz wünschen, sollte jedes der Risikobewertungsmodelle ausreichen; Passen Sie sie einfach an die jeweilige Geschäftsdomäne Ihres Projekts an.

Zusätzlich zu den Ratschlägen von @CodeGnome können Sie sich auch an die Society of Information Risk Analysts wenden .

riskscience podcast diskutiert derzeit Konzepte der Risikotoleranz, die möglicherweise mit "Risikoprofilierung" zusammenhängen. In einer kürzlich erschienenen Folge haben sie eine Reihe von Risiko-Frameworks diskutiert, die über die von @CodeGnome zitierten hinausgehen. Sie konzentrieren sich auf die Informationsrisikoanalyse, nicht auf die Projektrisikoanalyse, aber ich kann ihre Arbeit sehr empfehlen, insbesondere die Arbeit von Tony Cox zur Begrenzung von PIG (Probability Impact Graphs).

PMI veröffentlicht den Praxisstandard für Projektrisikomanagement – ​​der maßgeblich, aber teuer ist.

@CodeGnome erwähnt den NIST 800-30-Leitfaden, dem ich skeptisch gegenüberstehe; Für den Einstieg ins Risikomanagement ist es ausreichend, aber die Werte sind eher nicht kalibriert und für Entscheidungen nicht brauchbar - der Standard von PMI ist besser, aber ich denke, er bleibt hinter dem eigentlichen Ziel zurück. Ich glaube nicht, dass ich eine Monte-Carlo-Analyse auf Risikobewertungen stützen möchte, die mit beiden Systemen durchgeführt wurden.

FAIR ist ein teures System am anderen Ende des Spektrums; es ist sehr wahrscheinlich mehr als Sie brauchen (teurer, gründlicher und komplizierter). Aber wenn Sie es mit Risikomanagement ernst meinen, empfehle ich dringend, FAIR zu lernen. (Ich kann es mir im Moment nicht leisten, aber ich habe lange genug an den Rändern herumgehangen, um die Methodik zu verstehen, auch wenn mir die Details fehlen.)

Bevor Sie mit der Bewertung beginnen, überlegen Sie, wie Sie sie präsentieren werden

@CodeGnome und @Mark C. Wallace haben Ihnen hervorragende Referenzen für die Risikobewertung gegeben. Es ist jedoch gut, darüber nachzudenken, wie Sie Ihre Ergebnisse präsentieren werden, bevor Sie sich darauf einlassen.

Ich empfehle, es in einem Probability Impact Grid darzustellen, das mit der Risikobereitschaft des Unternehmens überlagert ist:Wahrscheinlichkeitsauswirkungsraster

„Jedes Risiko sollte hinsichtlich seiner Eintrittswahrscheinlichkeit und Auswirkung auf das Projekt bewertet werden. Diese Zahlen sollten miteinander multipliziert werden, um eine individuelle Bewertung für jedes Risiko in Prozent zu ermitteln. Wahrscheinlichkeit x Auswirkung x 100 = Risikoprozentsatz. In der obigen Tabelle , die Grenzwerte waren <5 % (grün), >5 % bis <15 % (gelb) oder >15 % (rot)"

Wenn Sie beispielsweise die Wahrscheinlichkeit als sehr gering und die Auswirkung als mittel einschätzen, wird dieses Risiko dem 2 %-Feld zugeordnet.

Hervorragender Start; besser als viele. Kalibrierung erfordert Aufwand. Was sind 2 %? wie misst du es? Messen Sie es genauso wie die Leute, die es lesen werden? Tony Cox hat bewiesen, dass diese Methode dazu führen kann, dass Sie Fehler in Bezug auf die Priorität von Risiken machen, und sie sagt nichts über Kombinationen von Risikoereignissen aus, die sehr wahrscheinlich sind.
Wie wird ein Risikoprofil erstellt?
AntwortenHierDatenschutz-Bestimmungen1y, 0v