Аналіз стандартів управління ризиками та їх використання в ІТ-проєктах
DOI:
https://doi.org/10.32347/2412-9933.2025.61.66-75Ключові слова:
управління ризиками, ІТ-проєкти, стандарти управління ризиками, ISO 31000, ISO 27001, NIST SP 800-53, PMBOK, аналіз ризиків, інформаційні технологіїАнотація
Управління ризиками є важливим аспектом успішної реалізації проєктів у сфері інформаційних технологій, оскільки ІТ-проєкти схильні до високого рівня невизначеності та складності. Недостатній рівень управління ризиками може призвести до суттєвих втрат, перевищення бюджету, затримок у термінах реалізації проєктів та зниження якості кінцевого продукту. У зв’язку з цим виникає потреба у застосуванні надійних стандартів, які б забезпечили ефективне виявлення, аналіз і моніторинг ризиків протягом усього життєвого циклу ІТ-проєкту. У дослідженні представлено взаємозв’язок між стандартами, методологіями та методами управління ризиками в проєктах. Також у межах дослідження здійснено порівняння стандартів управління ризиками ISO 31000, ISO 27001, PMBOK, NIST SP 800-53 за ключовими параметрами, такими як: сфера застосування, процеси управління ризиками, підходи до ідентифікації та оцінки ризиків, а також рівень гнучкості та можливість адаптації під конкретні проєкти. Проаналізовано переваги і недоліки сучасних стандартів управління ризиками в ІТ-проєктах, що відображено за допомогою діаграм. У результаті дослідження встановлено, що стандарт ISO 31000 і PMBOK підходять для широкого кола ІТ-проєктів завдяки своїм гнучким підходам до управління ризиками та чітким методологічним рекомендаціям. Водночас стандарт NIST SP 800-53 більше орієнтований на кібербезпеку і детальніше розглядає ризики інформаційної безпеки, що робить його корисним для проєктів у цій галузі. Для ефективного управління ризиками в ІТ-проєктах слід використовувати комплексний підхід, що включає адаптацію елементів різних стандартів. Поєднання гнучких і детальних рекомендацій дає змогу розробити надійну стратегію для зменшення ймовірності та впливу ризиків на проєкт, забезпечуючи, тим самим, його успішну реалізацію. У висновках зазначено, що стандарт ISO 31000 є найбільш адаптивним з проаналізованих стандартів, оскільки на початкових етапах його впровадження він легше інтегрується в наявні системи. Отже, цей стандарт може слугувати основою для подальшого впровадження інших стандартів, які будуть доповнювати один одного завдяки наявності різногалузевих норм у рамках ISO.
Посилання
Sosnovska, O., Dedenko, L. (2019). Risk management as an instrument for providing the stable functioning of the enterprise in understanding condition. European scientific journal of Economic and Financial innovation, 1 (3), 70–79. DOI: 10.32750/2019-0106.
US Department of Homeland Security. A Guide to the Cost-Effective and Efficient Communication of Needs. 2008. 353. URL: https://www.dhs.gov/xlibrary/assets/Developing_Operational_Requirements_Guides.pdf.
ISO 31000 – Risk management. URL: https://www.iso.org/iso-31000-risk-management.html.
ISO/IEC 27001:2022 – Information security, cybersecurity and privacy protection – Information security management systems – Requirements. URL: https://www.iso.org/standard/27001.
National Institute of Standards and Technology Special Publication 800-53 (2020). Rev. 5. 492. DOI: 10.6028/NIST.SP.800-53r5.
Project Management Institute. (2021). A Guide to the Project Management Body of Knowledge (PMBOK Guide) (7th ed.). Project Management Institute. URL: https://www.pmi.org/standards/pmbok.
Microsoft Compliance Offerings. URL: https://learn.microsoft.com/en-us/microsoft-365/compliance/offering-home.
IBM Cloud ISO 31000 compliance. URL: https://www.ibm.com/cloud/compliance/iso-31000.
Internal Audit Services | Deloitte SEA | Risk Advisory. URL: https://www2.deloitte.com/sg/en/pages/risk/ solutions/internal-audit-services.html.
Purdy, G. (2010). ISO 31000:2009 – Setting a New Standard for Risk Management. Risk Analysis, 30 (6), 881–886. DOI: 10.1111/j.1539-6924.2010.01442.x.
Luko, S. N. (2013). Risk Management Principles and Guidelines. Quality Engineering, 25(4), 451–454. DOI: 10.1080/08982112.2013.814508.
Leitch, M. (2010). ISO 31000:2009 – The New International Standard on Risk Management. Risk Analysis, 30 (6), 887–892. DOI: 10.1111/j.1539-6924.2010.01397.x.
Calder, A. (2013). ISO27001/ISO27002 A Pocket Guide: 2013 Second Edition by IT Governance Publishing (Editor). 86.
Von Solms, R., & Van Niekerk, J. (2013). From information security to cyber security. Computers & Security, 38, 97–102. DOI: 10.1016/j.cose.2013.04.004.
Peltier, T. R. (2013). Information Security Policies, Procedures, and Standards: Guidelines for Effective Information Security Management. CRC Press. 408. DOI: 10.1201/9780203488737.
Morris, P. W. G. (2013). Reconstructing Project Management. Wiley-Blackwell. DOI: 10.1002/9781118536698.
Kerzner, H. (2022). Project Management: A Systems Approach to Planning, Scheduling, and Controlling. John Wiley & Sons, 880.
Fernandes, G., Ward, S., & Araújo, M. (2015). Improving and embedding project management practice in organisations – A qualitative study. International Journal of Project Management, 33(5), 1052-1067. DOI: 10.1016/j.ijproman.2015.01.012.
DSTU IEC/ISO 31010:2013 Risk Management. (2015). Methods of Risk Assessment (IEC/ISO 31010:2009, IDT). [Effective from 2014-07-01]. Official publication. Kyiv: Ministry of Economic Development of Ukraine, 80.
DSTU ISO 31000:2018 Risk Management. (2018). Principles and Guidelines (ISO 31000:2018 Risk Management – Principles and Guidelines on Implementation, IDT). [Effective from 2019-01-01]. Official publication. Kyiv: Ministry of Economic Development of Ukraine, 23.
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Антон Максимов
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
