【TechTarget中国原创】失效模式与效应分析(FMEA)广泛应用于企业、制造公司、以及美国军队,评估程序或者系统(比如,故障回应程序或者三层分立应用程序)。它按照潜在故障的影响严重性、发生的概率以及可检测到的可能性进而区分优先顺序。FMEA风险级别和评述基本原理可以用于量化曝光管理,并帮助修复。最近,FMEA并入到了Six Sigma和IT基础架构库(ITIL)。
FMEA概述
FMEA中,下表中使用的标准,对每一程序步骤或者系统组件作了评估:
使用如下的简单公式,FMEA可计算出每一程序步骤或者系统组件的风险优先数(RPN):
风险优先数=严重度×发生率×检测率
准备工作
开始FMEA程序之前,首先要有一个可用的现有进程或系统图表。该图表必须能用充分的细节来用文件证明程序步骤或系统组件,进而支持整个评估过程。为每项条目编号,便于参考。
FMEA小组应该由程序或系统的日常操作人员组成(比如,小组主管和系统管理员)。考虑使用内部审计员或者同级小组主管来担当促进者。至少是一个客观的、独立的第三方。促进者负责主持FMEA会议,并且积极地参与每个进程步骤或系统组件的评估。
实施
对FMEA有了总体了解以后,召开第一次会议。查看进程图表,并将其输入到FMEA的工作表中。考虑进程流量、输入、输出以及依赖性。
进行系统评估相对要复杂一些。比如,检查一个三级构架,图表应该包括与报告书、应用程序和数据库层相联系的系统和应用程序。为了进一步详细审查,查看防火墙、监测配置和系统开发生命周期。
在下次会议之前,为每个小组成员分派一段文件进行评估。根据程序和系统的复杂度,可能有必要分配一段以上的文件。仔细评估每一个程序步骤或者系统组件。在FMEA工作表中注明控件缺陷和相关的风险等级。
FMEA评估完成以后,查看每一个程序步骤和系统组件的RPN。哪些区域存在最大的风险漏洞,会显而易见。最高的数值所对应项目的潜在风险最大。相应的评述项目可以提供基本原理和细节,用来确定修复的优先顺序。
FMEA工作表的下半部分指出了修复活动。在前两个领域中输入减轻控件。完成行动结果(Action Results)部分,以确定新的控件是否可以将剩余的风险减少到可接受的水平。
至少每年进行一次FMEA检查。除了评估以外,FMEA有助于确保小组成员熟悉关键程序和系统。FMEA也可以完成通用的安全标准和构架所要求的程序检查与更新。
FMEA的最大优点是简易。它采用定性和定量的方法,指出了风险状态。FMEA是评估与程序或系统相关的风险的很好的方式。你可以考虑将其列入你的年度安全管理例程之中。