7.4 項目風險管理要求

7.4 項目風險管理要求

7.4.1　項目風險管理內容

為控制災難恢復服務項目風險，服務提供方應對持續6個月以上的服務項目進行風險評估，并提出管控建議，以降低服務項目風險，項目風險管理的內容包括風險識別與評估、制定和實施風險管控計劃和跟蹤風險管控實施效果。

7.4.2　風險識別與評估要求

服務提供方應充分識別項目服務風險，并對風險發生對服務需求方造成的影響進行充分評估，以便制定有效的風險防范措施。風險識別與評估要求如下：
a） 服務提供方應從技術風險和管理風險兩個角度識別服務項目風險，其中技術風險包括所采用的技術和工具對原有環境的影響、技術可行性和成熟性、技術實施的難度、技術實施對現有系統造成的潛在影響等；管理風險包括其他參與方的協調配合、服務團隊的技能、服務團隊的穩定性對項目計劃和服務質量的影響等；
b） 服務提供方應對項目風險造成的影響范圍和程度進行充分評估，并進行風險等級劃分，以便制定差異化的風險管控措施；

7.4.3　風險管控計劃要求

服務提供方應依據風險等級要求，制定差異化的管控計劃，確保風險處置按計劃執行。風險管控計劃要求如下：
a） 風險管控計劃應明確各類風險處置的及時性和緊迫性，以控制風險影響程度和范圍，風險處置的緊迫程度從高到低應包括立即處置、在不影響系統正常運行的情況下處置、密切觀察暫不處置等；
b） 風險管控計劃應明確各類風險的處置策略和技術方案，并對技術方案的可行性進行評估；
c） 風險管控計劃應明確各類風險處置所需的資源，包括場地資源、設備資源、軟件資源和人力資源；

7.4.4　風險管控跟蹤要求

服務提供方應實時跟蹤風險處置策略執行的效果，并定期評估風險處置方案實施后的殘余風險，及時采取有效措施控制風險的蔓延。風險管控跟蹤要求如下：
a） 服務提供方應在風險處置方案實施后評估風險處置是否達到預期效果，對于未到達預期效果的處置方案應及時修改和調整；
b） 服務提供方應對風險處置方案實施后的殘余風險進行評估，及時采取有效措施控制風險蔓延，包括風險規避和風險轉移；