Ключевой компонент практики обеспечения информации
Risk IT Framework , опубликованный в 2009 году ISACA , [1] обеспечивает сквозной, всесторонний взгляд на все риски, связанные с использованием информационных технологий (ИТ), и столь же тщательный подход к управлению рисками, от тона и культуры наверху до операционных вопросов. Это результат работы рабочей группы, состоящей из отраслевых экспертов и ученых из разных стран, из таких организаций, как Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life и KPMG .
Определение
ИТ-риск является частью бизнес-риска — в частности, бизнес-риска, связанного с использованием, владением, эксплуатацией, вовлечением, влиянием и принятием ИТ в рамках предприятия. Он состоит из событий, связанных с ИТ, которые могут потенциально повлиять на бизнес. Он может происходить как с неопределенной частотой, так и с неопределенной величиной, и он создает проблемы в достижении стратегических целей и задач. [1]
Управление бизнес-рисками является неотъемлемым компонентом ответственного администрирования любой организации. Ввиду важности ИТ для всего бизнеса, ИТ-риски следует рассматривать так же, как и другие ключевые бизнес-риски. [ необходима цитата ]
Структура ИТ-рисков [1] объясняет ИТ-риски и позволяет пользователям:
Управлять ИТ-рисками должны все ключевые руководители бизнеса внутри организации: это не просто техническая проблема ИТ-отдела.
ИТ-риски можно классифицировать по-разному:
- Средство создания преимуществ/ценностей ИТ
- риски, связанные с упущенной возможностью увеличения стоимости бизнеса за счет внедрения или улучшения ИТ-процессов
- Реализация ИТ-программ/проектов
- риски, связанные с управлением проектами, связанными с ИТ, направленными на обеспечение или улучшение бизнеса: т. е. риск завышения бюджета, несвоевременной поставки или отсутствия поставки по всем этим проектам
- Эксплуатация ИТ и предоставление услуг
- риски, связанные с повседневной деятельностью и предоставлением услуг ИТ, которые могут привести к проблемам или неэффективности бизнес-операций организации
Структура ИТ-рисков основана на принципах стандартов/структур управления корпоративными рисками , таких как ERM Комитета спонсорских организаций Комиссии Тредвея и ISO 31000. Таким образом, ИТ-риски могут быть поняты высшим руководством.
Компоненты коммуникации ИТ-рисков
Основные потоки коммуникации по ИТ-рискам :
- Ожидание: чего организация ожидает в качестве конечного результата и каково ожидаемое поведение сотрудников и руководства; оно охватывает стратегию, политику, процедуры и обучение по повышению осведомленности.
- Возможности: показывают, как организация способна управлять рисками.
- Статус: информация о фактическом статусе ИТ-риска. Она охватывает профиль риска организации, ключевой индикатор риска (KRI), события и первопричину событий убытка.
Эффективная коммуникация должна быть:
Рисковые ИТ-домены и процессы
Ниже перечислены три домена ИТ-фреймворка Risk с содержащимися в них процессами (по три на домен). Каждый процесс содержит ряд действий:
- Управление рисками: Гарантируйте, что методы управления ИТ-рисками внедрены в предприятие, что позволяет ему обеспечить оптимальную доходность с поправкой на риск. Это основано на следующих процессах: [1]
- RG1 Установить и поддерживать общее представление о рисках
- RG1.1 Проведение оценки ИТ-рисков предприятия
- RG1.2 Предложить пороговые значения толерантности к ИТ-рискам
- RG1.3 Утверждение допустимого уровня ИТ-рисков
- RG1.4 Согласование политики ИТ-рисков
- RG1.5 Содействие развитию культуры осведомленности о рисках в сфере ИТ
- RG1.6 Поощрять эффективное информирование об ИТ-рисках
- Интеграция RG2 с ERM
- RG2.1 Установить и поддерживать ответственность за управление ИТ-рисками
- RG2.2 Координация стратегии ИТ-рисков и стратегии бизнес-рисков
- RG2.3 Адаптация методов управления ИТ-рисками к методам управления корпоративными рисками
- RG2.4 Обеспечить достаточные ресурсы для управления ИТ-рисками
- RG2.5 Предоставление независимой гарантии управления ИТ-рисками
- RG3 Принимайте бизнес-решения с учетом рисков
- RG3.1 Привлечение руководства к подходу анализа ИТ-рисков
- RG3.2 Утверждение анализа ИТ-рисков
- RG3.3 Внедрение учета ИТ-рисков в процесс принятия стратегических бизнес-решений
- RG3.4 Принять ИТ-риск
- RG3.5 Приоритезация мероприятий по реагированию на ИТ-риски
- Оценка рисков : Гарантируйте, что риски и возможности, связанные с ИТ, идентифицированы, проанализированы и представлены в терминах бизнеса. Она основана на следующих процессах:
- RE1 Сбор данных
- RE1.1 Создать и поддерживать модель сбора данных
- RE1.2 Сбор данных об операционной среде
- RE1.3 Сбор данных о рисковых событиях
- RE1.4 Определить факторы риска
- RE2 Анализ риска
- RE2.1 Определить область анализа ИТ-рисков
- RE2.2 Оценка ИТ-риска
- RE2.3 Определить варианты реагирования на риски
- RE2.4 Проведение экспертной оценки анализа ИТ-рисков
- RE3 Поддержание профиля риска
- RE3.1 Сопоставление ИТ-ресурсов с бизнес-процессами
- RE3.2 Определить критичность ИТ-ресурсов для бизнеса
- RE3.3 Понимание возможностей ИТ
- RE3.4 Обновление компонентов сценария риска
- RE3.5 Ведение реестра ИТ-рисков и карты ИТ-рисков
- RE3.6 Разработка индикаторов ИТ-рисков
- Реагирование на риски : Гарантировать, что вопросы, возможности и события, связанные с ИТ-рисками, рассматриваются экономически эффективным образом и в соответствии с приоритетами бизнеса. Это основано на следующих процессах:
- RR1 Сформулировать риск
- RR1.1 Сообщите результаты анализа ИТ-рисков
- RR1.2 Отчет о деятельности по управлению ИТ-рисками и состоянии соответствия
- RR1.3 Интерпретация результатов независимой оценки ИТ
- RR1.4 Выявление возможностей, связанных с ИТ
- RR2 Управление рисками
- RR2.1 Контроль запасов
- RR2.2 Мониторинг соответствия операционной деятельности пороговым значениям толерантности к риску
- RR2.3 Реагировать на обнаруженные риски и возможности
- RR2.4 Регулирование оборудования
- RR2.5 Отчет о ходе выполнения плана действий по управлению ИТ-рисками
- RR3 Реакция на события
- RR3.1 Поддерживать планы реагирования на инциденты
- RR3.2 Мониторинг ИТ-рисков
- RR3.3 Инициировать реагирование на инцидент
- RR3.4 Сообщать уроки, извлеченные из событий риска
Каждый процесс подробно описан:
- Компоненты процесса
- Практика управления
- Входы и выходы
- RACI-диаграммы
- Цель и показатели
Для каждого домена представлена модель зрелости. [ необходима ссылка ]
Оценка риска
Связь между сценариями ИТ-рисков и конечным воздействием на бизнес должна быть установлена для понимания эффекта неблагоприятных событий. Риск ИТ не предписывает единого метода. Доступны различные методы. Среди них:
Сценарии риска
Сценарии риска являются основой процессов оценки риска. Сценарии могут быть получены двумя различными и взаимодополняющими способами:
- нисходящий подход от общих бизнес-целей к наиболее вероятным сценариям рисков, которые могут на них повлиять.
- подход «снизу вверх», при котором к организационным ситуациям применяется список общих сценариев риска.
Каждый сценарий риска анализируется для определения частоты и воздействия на основе факторов риска .
Реакция на риск
Целью определения реагирования на риск является приведение риска в соответствие с общим определенным риск-аппетитом организации после анализа риска: т.е. остаточный риск должен находиться в пределах допустимого риска .
Управлять риском можно с помощью четырех основных стратегий (или их комбинации):
- Избегание риска: отказ от деятельности, которая приводит к риску.
- Снижение риска: принятие мер по выявлению и снижению частоты и/или воздействия риска.
- Передача риска: передача части риска другим лицам путем передачи опасных видов деятельности на аутсорсинг или посредством страхования.
- Принятие риска: осознанное принятие риска, который был выявлен, задокументирован и измерен.
Ключевые показатели риска — это показатели, способные показать, что организация имеет высокую вероятность подвергнуться риску, превышающему определенный уровень готовности к риску .
Руководство для практиков
Вторым важным документом о Risk IT является Руководство для практиков. [3]
Оно состоит из восьми разделов:
- Определение вселенной рисков и определение области управления рисками
- Риск-аппетит и толерантность к риску
- Осознание рисков, коммуникация и отчетность
- Выражение и описание риска
- Сценарии риска
- Реагирование на риски и расстановка приоритетов
- Рабочий процесс анализа рисков
- Снижение ИТ-рисков с помощью COBIT и Val IT [ требуется ссылка ]
Связь с другими фреймворками ISACA
Risk IT Framework дополняет COBIT ISACA , который предоставляет комплексную структуру для контроля и управления бизнес-ориентированными решениями и услугами на основе ИТ. В то время как COBIT устанавливает лучшие практики управления рисками, предоставляя набор элементов управления для смягчения ИТ-рисков, Risk IT предоставляет структуру лучших практик для предприятий по выявлению, управлению и управлению ИТ-рисками.
Val IT позволяет бизнес-менеджерам получать бизнес-ценность от инвестиций в ИТ, предоставляя структуру управления. Val IT может использоваться для оценки действий, определенных процессом управления рисками .
Связь с другими фреймворками
Risk IT принимает терминологию факторного анализа информационных рисков и процесс оценки.
ИСО 27005
Для сравнения процессов управления ИТ-рисками и процессов, предусмотренных стандартом ISO/IEC 27005 , см. разделы Управление ИТ-рисками#Методология управления рисками и Управление ИТ-рисками#Структура ISO 27005 .
ИСО 31000
Приложение 2 к Руководству специалиста по управлению рисками в области ИТ [3] содержит сравнение с ISO 31000 .
КОСО
В приложении 4 к Руководству специалиста по управлению рисками в сфере ИТ [3] содержится сравнение с COSO .
Смотрите также
Ссылки
- ^ abcd ISACA РИСК ИТ-СТРУКТУРА (требуется регистрация)
- ^ Джордж Вестерман, Ричард Хантер, ИТ-риск: превращение угроз бизнесу в конкурентное преимущество, серия Harvard Business School Press ISBN 1-4221-0666-7 , ISBN 978-1-4221-0666-2
- ^ abc Руководство для практиков по управлению ИТ-рисками, ISACA ISBN 978-1-60420-116-1 (требуется регистрация)
Внешние ссылки
- Главная страница Risk IT на веб-сайте ISACA