четверг, 29 ноября 2012 г.

Интеграция рисков ИТ-безопасности в управление рисками всей компании

   Не так давно в составе бюллетеня за октябрь NIST выпустил руководство по управлению рисками, и это руководство дало ответ на уже озвученный вопрос - Как качественно интегрировать управление рисками ИТ безопасности в общекорпоративное управление рисками?
   Ответ таков - внедрение управление рисками ИТ безопасности должно происходить используя подход "сверху-вниз", на трех последовательных уровнях - уровне организации, уровне бизнес-процессов и уровне информационных систем.
   Данный ответ вполне неплох, как минимум потому, что именно так и должны развиваться ИТ-системы - сперва утверждается общая ИТ-стратегия, потом анализируются бизнес-процессы организации, а уже потом внедряются ИТ-системы поддерживающие, оптимизирующие либо контролирующие бизнес-процессы.

Комментариев нет:

Отправить комментарий