Управление риском ИТ. Основы. Максим Торнов
Чтение книги онлайн.

Читать онлайн книгу Управление риском ИТ. Основы - Максим Торнов страница 4

Название: Управление риском ИТ. Основы

Автор: Максим Торнов

Издательство: Издательские решения

Жанр:

Серия:

isbn: 9785006449299

isbn:

СКАЧАТЬ Failure to make necessary changes to systems or programs.

      • Inappropriate manual intervention.

      • Potential loss of data or inability to access data as required.

      Примеры реализации ИТ-рисков

      (рисковых событий)

      Приведу для примера выдержки из общедоступных источников информации. Как я говорил в самом начале главы, «По причине действия/бездействия результат не будет соответствовать ожиданиям или планам». Данная фраза применима к каждому событию, приведенному ниже:

      1.4. УПРАВЛЕНИЕ РИСКОМ-ИТ

      Так что же делать? Помните, ИТ-риском можно и нужно управлять. Этот подход в целом мало отличается от обычного подхода к управлению любой другой категорией рисков.

      Давайте внесем ясность в термин «Управление риском». ISACA CRISC6 дает следующее определение: «Управление риском – это скоординированные действия по управлению и контролю за деятельностью организации с учетом возможного риска».

      Риск можно рассматривать в контексте вероятности того, что цели организации не будут достигнуты. И управление риском – это способ предсказания подобной вероятности, снижения шансов на возникновение, снижения последствий возникновения. При этом эффективное управление риском может позволить организации максимизировать свои возможности.

      Три линии защиты.

      Участники процесса управления риском

      Существует общепризнанный подход к организации управления рисками, основная его цель – повысить эффективность процесса управления и снизить вероятность нарушения принципа разграничения полномочий. Подход подразумевает разделение функционала участников процесса управления рисками и их логическое разделение на три линии защиты. Поговорим о них более подробно.

      Первая линия – это бизнес-подразделения организации, все те, кто участвует в ее повседневной деятельности. Например, менеджеры по продажам/закупкам, по работе с клиентами, ИТ-подразделения, финансовый, налоговый департаменты и т. д.

      Вторая линия – это эксперты в области управления рисками. Например, функция внутреннего контроля, функция управления рисками.

      Третья линия – это функция внутреннего аудита. Независимое подразделение организации, проверяющее, эффективное выполнение и соблюдение первой линией правил, установленных второй линией и других требований, предъявляемых к организации.

      При этом может быть еще четвертая линия – это регулирующие органы, независимый внешний аудитор и другие внешние заинтересованные участники.

      Этапы управления риском ИТ

      Управление ИТ-риском – это цикличный процесс. Давайте разберем каждый шаг.

      1.5. ИДЕНТИФИКАЦИЯ РИСКА ИТ И ОПРЕДЕЛЕНИЕ

      АППЕТИТА К РИСКУ

      Идентификация риска ИТ – это процесс обнаружения, распознавания и документирования риска, которому подвержена организация.

      Оценка и приоритезация идентифицированных

СКАЧАТЬ



<p>6</p>

ISACA: CRISC – Certified in Risk and Information Systems Control.