KM of NASA

Abstract#

リスクマネージメントは、大切です。基本は、リスクを特定して、確率と影響の大きさを測り、それに応じて対処を決めていくというものです。ここでは、そのリスク管理について、記録します。

What's new!?#

• 2009年7月5日に[NASAのリスクマネージメント]について追記

Topic#

基本！？#

• リスクを特定しましょう。

Fig.1 Risk Matrix from PMBOK

• 確率とインパクトの大きさを測り、上記の表にプロットしましょう。
• Highリスクなものは、すべてにおいて、何らかの対応を行い、リスクを軽減しましょう。
• Midiumもとくにインパクトの大きいものは、これが起こったときの対応プランを考えておくべき。このあたり指数法則にしたがった複雑システムのにおいがしますね。また、インパクトは小さいけれどよくおこるものは、設計でシステムにマージンを持たせて対応すべき。
• Lowは無視するという対策をしましょう。

例#

• プロジェクトにおけるリスク

お金、スケジュール、技術的パフォーマンス、社会的リスクの4つを主に気をつけないといけないとEisner先生は言ってます（[Eisner 2008], 213）。

• データセキュリティ

Hofferさんらによると、データセキュリティへの脅威として以下の5つがあげられるそうです（[Hoffer et al 2007], 496）。

(1)事故としてのデータ紛失：人的ミス、ソフトウェアのバグ、ハードの故障などにより、事故的にデータを失ってしまうこと。

(2)データの盗難

(3)プライバシー、機密性の喪失（なんとなくロジカルじゃないような）

(4)一貫性の喪失

(5)サービスの停止

これらのリスクを軽減するために、よくあるデータベースソフトでは、様々なセキュリティの機能がついています。View、Table、クエリ*、・・・様々な単位でユーザ毎もしくはグループ毎にどこまで使えるかが制御できる機能。データの一貫性を保つためのトランザクション制御機能。暗号化機能。バックアップ機能など。

• よくある発生源

地震などの自然災害、不注意もしくは故意による人的脅威そして、長期停電などの環境の脅威とのことです([Stoneburner et al 2002], 13)。原因と結果をしっかり意識しないとごちゃごちゃになりそうですね。

[#1]

• NASAのESMDのリスク管理計画

NASAのESMDのリスク管理計画がネットに公開されていました。まあ、契約を結ぶ際の適用文書のようなので、セキュリティ的にも問題ないのでしょう。折角なので解読してみたいと思います。

Reference#

1. [#1]Hoffer, Jeffrey A., Mary B. Prescott, and Fred R. McFadden. 2007. Modern database management. 8th ed. Upper Saddle River, N.J.: Pearson/ Prentice Hall.
2. [#2]Stoneburner, Gary, Alice Goguen, and Alexis Feringa. 2002, Risk Management Guide for Information Technology Systems, the National Institute of Standards and Technology, http://csrc.nist.gov/publications/nistpubs/800*30/sp800*30.pdf
3. [#3]Eisner, Howard. 2008. Essentials of Project and Systems Engineering Management. 3rd ed. Hoboken, N.J.: John Wiley & Sons