среда, 9 октября 2013 г.

Модель организационных компетенций (CMM) ИБ электроэнергетики США

     Вообще-то ИБ часто отстает не только от развития технологий, но и от развития методик операционной эффективности, управления компетенциями и др. уже зарекомендовавшими себя в бизнесе управленческими компетенциями. Не будем пока анализировать почему так случилось (хотя очевидной причиной является малый возраст дисциплины), но посмотрим на одну из самых прогрессивных и новаторских разработок - модель оргкомпетенций ИБ электроэнергетики США.


   Модель не просто очередной раз упаковывает Кобит (как это делает, например, голландский центробанк), модель переизобретает колесо предлагает новый подход к управлению ИБ организации электроэнергетики, при этом используя модульный и измеряемый подход - 10 доменов делятся на 37 оргкомпетенций, оргкомпетенции изначально содержат базовые метрики результативности (практики, внедрение которых позволит говорить о достижении определенного уровня зрелости).

   Из заслуживающих упоминания интересных моментов - внутренняя инфраструктура модели тоже интересна, например, шкала оценки зрелости процессом состоит из трех пунктов (за вычетом уровня "0" - что сравнительно мало, мы видели уже не одну генерацию моделей зрелости из 5 пунктов), причем, например, оргкомпетенция Создание стратегии управления риском ИБ домена Риск не существует на базовом (первом уровне зрелости), и право - ну какая стратегия если у нас все в режиме бросай гранату обратно ad-hoc ?...

Интересно разделение оргкомпетенций каждого домена на условные оргкомпетенции наполнения (т.е. что мы делаем, например, управляем рисками) и как мы это делаем (например, управляем функцией риск-менеджмента - бюджеты, процедуры, стандарты и т.п.), т.е. как мы управляем производственным процессом в рамках домена (кстати, подобный подход используестся и в недавней разработке ISACA - Cobit for Risk, где управление ИТ-рисками рассматривается с двух позиций - позиции критериев качества управления рисками, т.е. критерии качества конечного продукта и позиции функции управления ИТ-рисками.

Комментариев нет:

Отправить комментарий