Читайте также:
|
Перед впровадженням в організації процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, необхідно перевірити рівень зрілості організації з точки зору управління ризиками безпеки. Організаціям, в яких відсутні формальні політики або процеси, що відносяться до управління ризиками безпеки, буде дуже важко відразу упровадити всі аспекти даного процесу. Даний процес може виявитися надмірно трудомістким навіть для організацій, що застосовують деякі формальні політики і рекомендації, яким слідують більшість користувачів. Тому необхідно оцінити рівень зрілості організації. Якщо виявиться, що рівень зрілості є досить низьким, даний процес можна упроваджувати послідовними етапами впродовж декількох місяців (наприклад, шляхом експлуатації пілотного проекту в окремому підрозділі впродовж декількох повних циклів даного процесу). Продемонструвавши ефективність процесу управління ризиками безпеки, пропонованого корпорацією майкрософту, на прикладі цього пілотного проекту, група управління ризиками безпеки може перейти до впровадження даного процесу в інших підрозділах, поступово охоплюючи всю організацію.
Як визначити рівень зрілості організації? Модель управління ІТ (IT Governance Maturity Model) описана в документі COBIT (Control Objectives for Information and Related Technology) інституту управління ІТ (ITGI). Аби ознайомитися з детальною методикою визначення рівня зрілості організації, придбайте і вивчите даний документ. Процес управління ризиками безпеки, пропонований корпорацією майкрософт, узагальнює вживані в COBIT елементи і представляє спрощений підхід, заснований на моделях, які також розроблені службами корпорації майкрософту. Представлені тут визначення рівня зрілості засновані на стандарті Міжнародної організації по стандартах (ISO) Information technology - Code of practice for information security management («Інформаційні технології - практичні правила управління інформаційною безпекою»), званому також ISO 17799.
Для оцінки рівня зрілості організації можна скористатися таблицею 2.
Таблиця 2. Рівні зрілості управління ризиками безпеки
| Уровень | Состояние | Определение |
| Отсутствует | Политика или процесс не документированы. Ранее организация не знала о деловых рисках, связанных с управлением рисками, и не рассматривала данный вопрос | |
| Узкоспециализированный | Некоторые члены организации признают значимость управления рисками, однако операции по управлению рисками являются узкоспециализированными. Политики и процессы в организации не документированы, процессы не являются полностью повторяемыми. В результате проекты по управлению рисками являются хаотичными и некоординируемыми, а получаемые результаты не измеряются и не подвергаются аудиту | |
| Повторяемый | Организации известно об управлении рисками. Процесс управления рисками является повторяемым, но развит слабо. Процесс документирован не полностью, однако соответствующие операции выполняются регулярно, и организация стремится внедрить всеобъемлющий процесс управления рисками с привлечением высшего руководства. В организации не проводится формальное обучение и информирование по управлению рисками; ответственность за выполнение соответствующих мероприятий возложена на отдельных сотрудников | |
| Наличие определенного процесса | Организация приняла формальное решение об интенсивном внедрении управления рисками для управления программой защиты информации. В организации разработан базовый процесс с четко определенными целями и задокументированными процессами достижения и оценки результатов. Проводится обучение всего персонала основам управления рисками. Организация активно внедряет задокументированные процессы управления рисками | |
| Управляемый | На всех уровнях организации имеется глубокое понимание управления рисками. В организации существуют процедура управления рисками и четко определенный процесс, широко распространена информация об управлении рисками, доступно подробное обучение, существуют начальные формы измерений показателей эффективности. Программе управления рисками выделен достаточный объем ресурсов, результаты управления рисками оказывают положительное влияние на работу многих подразделений организации, а группа управления рисками безопасности может постоянно совершенствовать свои процессы и средства. В организации используются некоторые технологические средства, помогающие в управлении рисками, однако большая часть (если не подавляющее большинство) процедур оценки рисков, определения элементов контроля и анализа выгод и затрат выполняется вручную | |
| Оптимизированный | Организация выделила на управление рисками безопасности значительные ресурсы, а сотрудники пытаются прогнозировать, какие проблемы могут встретиться в течение следующих месяцев и лет и каким образом их нужно будет решать. Процесс управления рисками глубоко изучен и в значительной степени автоматизирован путем применения различных средств (разработанных в организации или приобретенных у сторонних разработчиков). При возникновении проблем в системе безопасности выявляется основная причина возникшей проблемы и предпринимаются необходимые действия для снижения риска ее повторного возникновения. Сотрудники организации могут проходить обучение, обеспечивающее различные уровни подготовки |
Дата добавления: 2015-11-14; просмотров: 66 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Порівняння двох підходів | | | Самостійна оцінка рівня зрілості системи управління ризиками в організації |