Время от времени у каждого офицера ИБ возникает необходимость провести экспресс-аудит информационных рисков. Будь-то сделка слияния, новый подрядчик или ИТ-проект времени обычно мало а стандартные требования кажутся недостаточными.
Для таких случаев я использую ряд вопросов, направленных на понимание изменений в бизнесе, ведь значимые риски можно идентифицировать только в значимых компонентах бизнеса. Все вопросы можно разделись 3 категории (для простоты сведем все вопросы к "компании"):
Вопросы по доходной части
Вопросы по затратной части
Вопросы по части управления и регулирования
Конечно, список не исчерпывающий, и во многом отражает мой опыт, преимущественно в безопасности коммерческой деятельности и закупок.
Для таких случаев я использую ряд вопросов, направленных на понимание изменений в бизнесе, ведь значимые риски можно идентифицировать только в значимых компонентах бизнеса. Все вопросы можно разделись 3 категории (для простоты сведем все вопросы к "компании"):
- Как бизнес зарабатывает деньги.
- Как бизнес тратит деньги.
- Как бизнес управляется и регулируется.
Вопросы по доходной части
- Что является продуктом деятельности компании? Например, проектная документация.
- Как клиенты получают доступ к услугам компании? Например, через ДБО.
- Как осуществляются заказ товаров компании? Например, через партнерский портал.
- Как рассчитываются и где хранятся цены и драйверы цен? Например, в системе управления АЗК
- Какие клиентские данные и в каком количестве компания собирает? Например, кредитные карты.
- Что повлечет урон бренду компании? Например, снижение продаж (компания FMCG).
Вопросы по затратной части
- На что компания тратит деньги? Например, на насосно-компрессорные трубы.
- Какие были потери\инциденты в компании? Например, хищения нефти из нефтепроводов, пропажа ценных документов на файловом хранилище.
- Сотрудники в основном работают в офисе? Например, есть месторождения.
- Каким образом поставщики получают доступ к тендерам? Например, портал закупок.
- Каким образом кандидаты получают доступ к вакансиям? Например, кадровый портал.
- Где хранятся закупочные цены? Например, в системе управления закупками
Вопросы по части управления и регулирования
- Какие нормативные акты в части ИБ выполняются? Например, 8-ФЗ.
- Какие выполняются мероприятия для обеспечения достоверности финотчетности? Например, внедряется IDM, проводятся регулярные аудиты.
- Где обрабатываются и хранятся данные о активах бизнеса? Например, в учетной системе.
- Что повлечет наложение административного штрафа на первое лицо? Например, политические проблемы у губернатора.
Конечно, список не исчерпывающий, и во многом отражает мой опыт, преимущественно в безопасности коммерческой деятельности и закупок.
Комментариев нет:
Отправить комментарий