понедельник, 16 января 2012 г.

Контроль качества для ИБ-аутсорсинга

Представим себе ситуацию - мы аутсорсим все ИТ (включая ИТ-безопасность) "вовне" в одну компанию, в том числе эксплуатацию СЗИ и аудит "ИБ". Как же можно сделать, что бы аудит эффективно контролировал эксплуатацию а не врал заказчику, под давлением руководства аутсорсера, опасающегося финансовых санкций?
Предлагаю следующее:
1) за эксплуатацию СЗИ платить из бюджета ИТ, но за аудит платить из бюджета безопасности\внутреннего аудита;
2) санкции ИБ аудиту за необнаруженное мошенничество\слабый уровень качества должны быть не меньшие чем за сам факт мошенничества (а лучше больше);
3) время от времени надо запускать аудит из другой компании, для контроля качества выполнения аудита аутсорсером;
4) руководство подразделения ИБ аудита аутсорсера должно назначаться согласованным с заказчиком, если заказчик обеспечивает больше чем половину выручки по этому направлению аутсорсеру.

Комментариев нет:

Отправить комментарий