Риск ИТ

hideВ этой статье есть несколько проблем. Пожалуйста, помогите улучшить его или обсудите эти проблемы на странице обсуждения . ( Узнайте, как и когда удалять эти шаблонные сообщения ) Эту статью может потребовать очистки Википедии , чтобы она соответствовала стандартам качества . не Причина очистки указана. Пожалуйста, помогите улучшить эту статью, если можете. ( январь 2011 г. ) ( Узнайте, как и когда удалить это сообщение ) Тема этой статьи Википедии может не соответствовать общему правилу по известности . Пожалуйста, помогите продемонстрировать значимость темы, цитируя надежные вторичные источники , независимые от этой темы и обеспечивающие ее значительное освещение, помимо простого тривиального упоминания. Если значимость не может быть отображена, статья, скорее всего, будет объединена , перенаправлена ​​или удалена . Найдите источники:   «Риск ИТ» — новости   · газеты   · книги   · ученые   · JSTOR ( ноябрь 2011 г. ) ( Узнайте, как и когда удалить это сообщение ) Эта статья содержит контент, написанный как реклама . Пожалуйста, помогите улучшить его, удалив рекламный контент и неуместные внешние ссылки , а также добавив энциклопедический контент, написанный с нейтральной точки зрения . ( февраль 2018 г. ) ( Узнайте, как и когда удалить это сообщение ) Данная статья чрезмерно опирается на ссылки на первоисточники . Пожалуйста, улучшите эту статью, добавив вторичные или третичные источники . Найдите источники:   «Риск ИТ» — новости   · газеты   · книги   · ученые   · JSTOR ( февраль 2018 г. ) ( Узнайте, как и когда удалить это сообщение ) ( Узнайте, как и когда удалить это сообщение )

Risk IT Framework , опубликованная в 2009 году ISACA . ^[1] обеспечивает сквозное, комплексное представление обо всех рисках, связанных с использованием информационных технологий (ИТ), а также столь же тщательную обработку управления рисками, от тона и культуры высшего руководства до операционных вопросов. Это результат работы рабочей группы, состоящей из отраслевых экспертов и ученых из разных стран, из таких организаций, как Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life и KPMG .

ИТ-риск является частью бизнес-риска , в частности, бизнес-риска, связанного с использованием, владением, эксплуатацией, участием, влиянием и внедрением ИТ на предприятии. Он состоит из событий, связанных с ИТ, которые потенциально могут повлиять на бизнес. Это может происходить с неопределенной частотой и масштабами и создает проблемы в достижении стратегических целей и задач. ^[1]

Управление бизнес-рисками является важным компонентом ответственного управления любой организацией.Ввиду важности ИТ для бизнеса в целом, к ИТ-рискам следует относиться так же, как и к другим ключевым бизнес-рискам. ^{[ нужна ссылка ]}

Структура ИТ-рисков ^[1] объясняет ИТ-риски и позволяет пользователям:

• Интегрируйте управление ИТ-рисками с общим ERM.
• Сравните оцененные ИТ-риски с склонностью к риску и толерантностью к риску организации.
• Поймите, как управлять риском

ИТ-рисками должны управлять все ключевые бизнес-лидеры внутри организации: это не просто техническая проблема ИТ-отдела.

ИТ-риски можно классифицировать по-разному:

Преимущества/ценность ИТ

риски, связанные с упущенной возможностью увеличить ценность бизнеса с помощью ИТ или усовершенствованных процессов

Реализация ИТ-программы/проекта

риски, связанные с управлением проектами, связанными с ИТ, предназначенными для обеспечения или улучшения бизнеса: т. е. риск превышения бюджета, задержки сдачи или отсутствия реализации всех этих проектов.

Эксплуатация ИТ и предоставление услуг

риски, связанные с повседневной деятельностью и предоставлением ИТ-услуг, которые могут вызвать проблемы или неэффективность бизнес-операций организации.

Структура Risk IT основана на принципах стандартов/структур управления рисками предприятия , таких как ERM Комитета спонсорских организаций Комиссии Тредуэя и ISO 31000 . Таким образом, высшее руководство сможет понять ИТ-риск.

Основные информирования о ИТ-рисках потоки :

• Ожидание: чего организация ожидает в качестве конечного результата и каково ожидаемое поведение сотрудников и руководства; Он включает в себя стратегию, политику, процедуры и обучение повышению осведомленности.
• Возможности: он показывает, как организация способна управлять риском.
• Статус: информация о фактическом статусе ИТ-риска; Он включает в себя профиль риска организации, ключевой индикатор риска (KRI), события и первопричину событий убытков.

Эффективное общение должно быть:

• Прозрачный
• Краткий
• Полезный
• Своевременно
• Направлен на правильную целевую аудиторию
• Доступно по необходимости мере ^{[ нужна ссылка ]}

Ниже перечислены три домена структуры Risk IT с содержащимися в них процессами (по три на каждый домен). Каждый процесс включает в себя ряд действий:

1. Управление рисками: убедитесь, что на предприятии внедрены методы управления ИТ-рисками, что позволяет ему обеспечить оптимальную прибыль с поправкой на риск. В его основе лежат следующие процессы: ^[1]
   1. RG1 Создание и поддержание общего взгляда на риски
      1. RG1.1 Проведение оценки корпоративных ИТ-рисков
      2. RG1.2 Предложить пороговые значения толерантности к ИТ-рискам
      3. RG1.3 Утвердить толерантность к ИТ-рискам
      4. RG1.4 Согласование политики ИТ-рисков
      5. RG1.5 Продвигать культуру осознания рисков в сфере ИТ
      6. RG1.6 Поощрение эффективного информирования об ИТ-рисках
   2. Интеграция RG2 с ERM
      1. RG2.1 Установление и поддержание подотчетности за управление ИТ-рисками
      2. RG2.2 Координация стратегии ИТ-рисков и стратегии бизнес-рисков
      3. RG2.3 Адаптация практики управления рисками ИТ к практике управления рисками предприятия
      4. RG2.4 Предоставить адекватные ресурсы для управления ИТ-рисками
      5. RG2.5 Обеспечить независимую гарантию управления ИТ-рисками
   3. RG3 Принимайте бизнес-решения с учетом рисков
      1. RG3.1 Заручиться поддержкой руководства для подхода к анализу ИТ-рисков
      2. RG3.2 Утвердить анализ ИТ-рисков
      3. RG3.3 Внедрение учета ИТ-рисков в процесс принятия стратегических бизнес-решений
      4. RG3.4 Принятие ИТ-рисков
      5. RG3.5 Приоритезация мероприятий по реагированию на ИТ-риски
2. Оценка рисков . Убедитесь, что риски и возможности, связанные с ИТ, идентифицированы, проанализированы и представлены в бизнес- терминах. В его основе лежат следующие процессы:
   1. RE1 Сбор данных
      1. RE1.1 Создание и поддержание модели сбора данных
      2. RE1.2 Сбор данных об операционной среде
      3. RE1.3 Сбор данных о рисковых событиях
      4. RE1.4 Определить факторы риска
   2. RE2 Анализ риска
      1. RE2.1 Определить объем анализа ИТ-рисков
      2. RE2.2 Оценка ИТ-риска
      3. RE2.3 Определить варианты реагирования на риски
      4. RE2.4 Провести экспертную оценку анализа ИТ-рисков
   3. RE3 Поддержание профиля риска
      1. RE3.1 Сопоставьте ИТ-ресурсы с бизнес-процессами
      2. RE3.2 Определение бизнес-критичности ИТ-ресурсов
      3. RE3.3 Понять возможности ИТ
      4. RE3.4 Обновление компонентов сценария риска
      5. RE3.5 Ведение реестра ИТ-рисков и карты ИТ-рисков
      6. RE3.6 Разработка индикаторов ИТ-рисков
3. Реагирование на риски . Обеспечьте, чтобы проблемы, возможности и события, связанные с ИТ, решались экономически эффективным способом и в соответствии с бизнес-приоритетами. В его основе лежат следующие процессы:
   1. RR1 Определить риск
      1. RR1.1 Распространение результатов анализа ИТ-рисков
      2. RR1.2 Сообщайте о деятельности по управлению ИТ-рисками и состоянии соответствия
      3. RR1.3 Интерпретация результатов независимой оценки ИТ
      4. RR1.4 Определить возможности, связанные с ИТ
   2. RR2 Управление рисками
      1. RR2.1 Средства управления запасами
      2. RR2.2 Мониторинг оперативного соответствия пороговым значениям толерантности к риску
      3. RR2.3 Реагировать на обнаруженные риски и возможности
      4. RR2.4 Внедрить меры контроля
      5. RR2.5 Отчет о ходе реализации плана действий по ИТ-рискам
   3. RR3 Реакция на события
      1. RR3.1 Поддержание планов реагирования на инциденты
      2. RR3.2 Мониторинг ИТ-рисков
      3. RR3.3 Инициировать реагирование на инциденты
      4. RR3.4 Обмен уроками, извлеченными из рисковых событий

Каждый процесс подробно описан:

• Компоненты процесса
• Практика управления
• Входы и выходы
• Графики RACI
• Цель и показатели

Для каждого домена изображена Модель зрелости. ^{[ нужна ссылка ]}

Чтобы понять влияние неблагоприятных событий, необходимо установить связь между сценариями ИТ-рисков и конечным воздействием на бизнес. ИТ-отдел рисков не предписывает единого метода. Доступны разные методы. Среди них есть:

• COBIT Информационные критерии
• Сбалансированная система показателей
• Расширенная сбалансированная система показателей
• Вестерман ^[2]
• КОСО
• Факторный анализ информационного риска

Сценарии рисков являются основой процессов оценки рисков. Сценарии могут быть составлены двумя различными и взаимодополняющими способами:

• нисходящий подход от общих бизнес-целей к наиболее вероятным сценариям риска, которые могут на них повлиять.
• восходящий подход, при котором список общих сценариев риска применяется к организационным ситуациям.

Каждый сценарий риска анализируется для определения частоты и воздействия на основе факторов риска .

Целью определения реагирования на риск является приведение риска в соответствие с общим определенным риск-аппетитом организации после анализа риска: т.е. остаточный риск должен находиться в пределах допустимого риска .

Риском можно управлять в соответствии с четырьмя основными стратегиями (или их комбинацией):

• Избегание риска: выход из деятельности, которая приводит к риску.
• Смягчение риска: принятие мер по обнаружению и снижению частоты и/или воздействия риска.
• Передача риска: передача части риска другим путем передачи опасной деятельности на аутсорсинг или путем страхования.
• Принятие риска: сознательное принятие риска, который был идентифицирован, задокументирован и измерен.

Ключевые индикаторы риска – это показатели, способные показать, что организация имеет высокую вероятность подвергнуться риску, который превышает определенный риск-аппетит .

Вторым важным документом по информационным технологиям управления рисками является «Руководство для практикующего специалиста». ^[3] Он состоит из восьми разделов:

1. Определение совокупности рисков и определение масштабов управления рисками
2. Аппетит к риску и толерантность к риску
3. Осведомленность о рисках, коммуникация и отчетность
4. Выражение и описание риска
5. Сценарии риска
6. Реагирование на риски и определение приоритетов
7. Рабочий процесс анализа рисков
8. Снижение ИТ-рисков с помощью COBIT и Val IT ^{[ нужна ссылка ]}

Framework дополняет ISACA Risk IT COBIT , который обеспечивает комплексную структуру для контроля и управления бизнес-ориентированными ИТ-решениями и услугами. В то время как COBIT устанавливает лучшие практики управления рисками, предоставляя набор средств контроля для снижения ИТ-рисков, Risk IT предоставляет предприятиям основу передовых практик по выявлению, управлению и управлению ИТ-рисками.

Val IT позволяет бизнес-менеджерам получать прибыль от инвестиций в ИТ, предоставляя структуру управления. Val IT может использоваться для оценки действий, определенных процессом управления рисками .

ИТ-отдел рисков принимает терминологию факторного анализа информационных рисков и процесс оценки.

Для сравнения ИТ-процессов, связанных с рисками, и процессов, предусмотренных стандартом ISO/IEC 27005 , см. Управление ИТ-рисками#Методология управления рисками и Управление ИТ-рисками#ISO 27005 Framework .

Руководство для специалистов по управлению рисками в сфере ИТ ^[3] Приложение 2 содержит сравнение с ISO 31000 .

Руководство для специалистов по управлению рисками в сфере ИТ ^[3] Приложение 4 содержит сравнение с COSO .

• КОБИТ
• КОСО
• Управление рисками предприятия
• Факторный анализ информационного риска (FAIR)
• ИСАКА
• ИСО 31000
• Риск
• Аппетит к риску
• Фактор риска (вычисления)
• Управление рисками
• Толерантность к риску
• Вал ИТ
• Модель Гордона – Леба для инвестиций в кибербезопасность ^{[ нужна ссылка ]}

• Главная страница Risk IT на веб-сайте ISACA