核心内容摘要
信息安全管理与评估广东省2026模块一参考答案
风险管理各过程
常见问题1规划风险管理问题类型具体表现计划缺失或不规范• 未开展风险管理规划• 由项目经理一人编制计划未团队参与• 仅照搬历史模板未结合当前项目特点流程缺陷• 计划未经讨论直接签发实施• 缺乏沟通导致计划脱离实际关键原则风险管理计划应全员参与、贴合实际、评审通过。
2识别风险问题类型具体表现执行缺位• 未进行风险识别• 仅凭个人经验识别未组织团队头脑风暴覆盖不全• 仅识别主要风险忽略次要但潜在高影响风险• 未将风险识别作为迭代过程应贯穿项目始终意识薄弱• 团队成员缺乏风险意识• 对项目整体风险认识不足✅正确做法使用多种技术如头脑风暴、德尔菲法、SWOT、检查表并定期再识别。
3实施定性风险分析问题类型具体表现• 未开展定性分析• 分析方法不合理如主观臆断未使用概率-影响矩阵4实施定量风险分析问题类型具体表现• 未开展定量分析适用于高风险或大型项目• 方法不当如未使用蒙特卡洛模拟、决策树等5规划风险应对问题类型具体表现• 未制定应对计划• 仅凭经验制定未基于定性/定量分析结果排序后制定• 应对策略与风险性质不匹配6实施风险应对问题类型具体表现• 未执行应对措施• 项目经理“大包大揽”未将责任分配到具体责任人• 应对措施设计不合理如成本过高、效果差7监督风险问题类型具体表现• 未监控风险状态• 未及时发现新风险如天气、人员变动• 未进行风险再识别与审计• 风险应对各自为政缺乏统一协调与沟通⚠️典型后果风险失控 → 成本超支、进度延误、质量下降。
风险管理计划主要内容高级16年上考点内容项说明
风险管理策略整体方针如“主动规避高影响风险”
方法论使用的风险管理工具与技术如SWOT、蒙特卡洛
角色与职责谁负责识别、分析、应对、监控
资金应急储备、管理储备预算
时间安排各风险管理活动的时间点如每阶段末评审
风险类别使用风险分解结构RBS分类如技术、组织、外部
干系人风险偏好高层是风险厌恶型还是风险中性
风险概率和影响定义明确“高/中/低”的具体标准
概率和影响矩阵用于定性分析的评估工具见下表
报告格式风险登记册、风险报告模板
跟踪机制如何更新风险状态、关闭已解决风险
风险应对策略高频考点高级22年上、23年下第4批
消极风险威胁应对策略策略说明示例上报超出项目权限提交给更高层级处理法律合规风险上报公司法务部规避改变计划以消除风险或保护目标取消高风险功能模块转移将风险后果转移给第三方购买保险、外包给供应商减轻降低概率或影响增加测试轮次、引入冗余设计接受承认风险存在不主动应对分为主动/被动预留应急储备应对小概率事件
积极风险机会应对策略策略说明示例上报机会超出项目范围上报组织新技术可提升公司竞争力上报CTO开拓主动确保机会实现组建专项小组开发新功能分享与第三方合作共享收益与高校合作研发创新模块提高增加机会发生的概率或积极影响提前培训团队掌握新技术接受不主动追求但准备利用若客户临时增加预算则扩展功能
整体项目风险应对策略规避 / 开拓转移 或 分享减轻 或 提高接受✅口诀威五策上规转减接机五策上开分提接
风险等级与分类
风险等级计算{风险值} {发生概率}*{影响程度}通常用高/中/低或1~5分制量化
按可预测性分类类型定义示例已知风险可明确识别且后果可预见需求变更、人员离职可预测风险可预见发生但后果不确定新技术引入可能失败不可预测风险未知风险发生可能性无法预知地震、突发政策变化管理重点已知风险 → 制定应对计划可预测风险 → 监控预案不可预测风险 → 依赖管理储备
风险识别与分析工具
SWOT 分析Strengths优势Weaknesses劣势Opportunities机会Threats威胁 用于从组织内外部视角识别整体项目风险
其他风险参数补充评估维度参数说明紧迫性风险需多快响应邻近性风险距离当前时间/阶段多近潜伏期从触发到显现的时间可管理性/可控性是否能被项目团队控制可监测性能否被有效跟踪连通性是否与其他风险关联战略影响力对组织战略的影响程度密切度与项目目标的相关性
风险登记册内容演进阶段登记册主要内容风险识别后• 已识别风险清单• 潜在责任人• 潜在应对措施定性分析后• 每项风险的概率与影响评估• 风险优先级/分值• 指定责任人• 风险类别与紧迫性• 低优先级风险观察清单• 需进一步分析的风险风险登记册是动态文件随项目进展不断更新。
风险报告内容识别阶段内容说明
整体项目风险来源哪些因素构成最大不确定性如技术、资源
单个风险概述• 威胁与机会数量• 风险在各类别中的分布• 关键测量指标与趋势如高风险项占比上升
影响风险承受能力的因素收益大小潜在回报越高越愿承担风险投入大小投入越大越倾向规避风险主体地位与资源资源丰富、地位高的组织/个人风险承受力更强示例初创公司愿冒高风险博高回报政府项目倾向规避风险保稳定。
✅