Rambler's Top100
Блоги Андрей ПРОЗОРОВ

Governance в ИБ

  26 октября 2016 Страница персоны
Одним из важнейших терминов (и концепций) в западных методологиях управления ИБ и ИТ является "Governance". Точного и адекватного перевода сейчас нет, но наиболее удачным является "Руководство". А уж совсем упрощенным аналогом является "Вовлечение руководства" (например, по ISO 27001) , но это немного не о том...

Вообще, я иногда люблю ласково потроллить адептов и разработчиков GRC вопросом "А что именно из G (в аббревиатуре Governance, Risk management, and Compliance) позволяет автоматизировать ваше решение?", на который они обычно не могут ничего конкретного сказать...

Да, термин и идея, лежащая в его основе, сложные. По сути, Governance - эта та самая надстройка НАД классическим менеджментом (привет, СУИБ), которая позволяет выравнивать приоритеты и цели ИБ и ИТ с приоритетами и целями Бизнеса.

Совсем коротко (и слишком общо) о различиях между Руководством (Governance) и Управлением (Management) упомянуто в COBIT5 (кстати, "Разделение руководства и управления" - базовый принцип этой методологии):
В понимании COBIT 5, разница между руководством и управлением заключается в следующем:
Руководство обеспечивает уверенность в достижении целей предприятия, путём: сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов; установления направления развития через приоритизацию и принятие решений; постоянного мониторинга соответствия фактической производительности и степени выполнения требований установленным направлению и целям предприятия.
В большинстве случаев обязанности по руководству на предприятии выполняет совет директоров, возглавляемый председателем совета директоров. Некоторые обязанности могут быть делегированы специальным организационным единицам соответствующего уровня – особенно, в крупных организациях.
Управление заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия.
В большинстве случаев, обязанности по управлению на предприятии выполняют исполнительные директора, возглавляемые генеральным директором (CEO).
Вместе эти принципы помогают построить эффективную методологию руководства и управления, оптимизирующую инвестиции в информационные технологии для получения выгоды заинтересованными сторонами.
Даже вот такую схему приводят с ключевыми областями (процессами):

Почему я об этом решил написать? Дело в том, что идея взаимодействия ИБ и бизнеса уже начинает потихоньку приходить и в российскую ИБ. И нам пора об этом начинать задумываться... 

Я сейчас изучаю теорию и тесты экзамена CGEIT, нахожу для себя много новых, но вроде бы и очевидных вещей. Много думаю.

Вот, например, варианты вопросов (кстати, если ИТ заменить на ИБ суть не изменится):
Governance of enterprise IT is MOST effective when:
A) Risk is optimized
B) Stakeholders need are met
C) Resources are optimized
D) Benefits are realized

Which of the following choices drives IT governance?
A) Value creation
B) Benefits realization
C) Risk optimization
D) Resource optimization

Which one of the following tools is the MOST effective to communicate with the board of directors about the business value of IT?
A) Internal Rate of Return (IRR)
B) IT Balanced Scorecard (BSC)
C) Return of Investment (ROI)
D) Process capability assessment

Which one of the following choices is the BEST indicator of good governance practice?
A) The IT risk register is well maintained
B) The IT policies and procedures are well maintained
C) The IT strategic plan is developed with the business
D) The Board is regularly briefed on IT

How does IT BEST shift its perceived role as a cost center to being a valued contributor?
A) By optimizing process efficiency through standardization
B) By providing integration of IT with the business
C) By implementing continuous process improvement
D) By initiating technology innovation

The shift from a reactive IT department to a proactive IT department is BEST enabled by:
A) Optimized IT process capability
B) Effective IT governance
C) IT Board-Level representation
D) Predictive analytics

Источник

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.