Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Обзор COBIT 5 for IS. Enablers. Organisational Structures

Аватар пользователя prozorov
Автор: Прозоров Андрей, Независимый эксперт и блоггер
(0)
()
Сегодня расскажу про еще одну движущую силу / элемент (enabler), которая рассматривается в документе "COBIT5 for IS". А именно "Organisational Structures".
Напомню, что всего их 7: 1.Principles, Policies and Frameworks (про них писал тут); 2.Processes; 3.Organisational Structures; 4.Culture, Ethics and Behaviour; 5.Information; 6.Services, Infrastructure and Applications (про них писал тут); 7.People, Skills and Competencies


Общая информация

В данном блоке описана рекомендуемая структура ИБ. В частности, ISACA предлагает использовать следующие функциональные единицы / роли:

  1. Chief information security officer (CISO)
  2. IS steering committee (ISSC)
  3. IS manager (ISM)
  4. Enterprise risk management (ERM) committee
  5. Information custodians/business owners
Дополнительно в основной части документа ссылаются и на такую функциональную единицу,  как "IS team", в которую входят:
  • Information security administrators
  • Information security architects
  • Information security compliance and auditing officers
Каждая из 5 функциональных единиц рассматривается со следующих точек зрения (таблицы):
  • Composition // Состав (только для комитетов) 
  • Mandate, operating principles, span of control and authority level // "Уровень власти"
  • High-level RACI chart // Высокоуровневое распределение ответственности (матрица RACI)
  • Inputs/Outputs // Входы и выходы

Общие выводы

  1. Представленный перечень ролей/комитетов ИБ достаточно интересный, но слишком высокоуровневый. Для решения определенных операционных задач потребуется его расширять. В частности, необходимы будут следующие роли: "Ответственный за обработку и обеспечение безопасности ПДн", "Аудитор", "Менеджер по непрерывности бизнеса", да и в части управления инцидентами появятся дополнительные роли. Также я обычно выделяю такую роль, как "Пользователь".
  2. Приятно, что для описания ролей используется инструмент RACI-chart. Интересен и сам перечень "Process Practice" (областей/функций) за которые распределяется ответственность.
    Я бы рекомендовал относиться к этой таблице не столько как к руководству к действию, а скорее как к возможному варианту. Для своих нужд, я бы немного переделал.
    Напомню суть. RACI-chart - это таблица, в которой визуально отображена ответственность каждой роли за определенные функции. На пересечении ролей и функций проставляется определенный символ ("R","A","C","I", или его отсутствие), что означает:
  • R - Responsible (исполняет)
  • A - Accountable (несет ответственность, присваивается только 1 роли в рамках функции/процесса)
  • C - Consult before doing (консультирует до исполнения)
  • I - Inform after doing (оповещается после исполнения)
  • отсутствие символа - не участвует в процессе/функции 
  • Итого, данная часть документа достаточно интересна и пригодится когда вы будете планировать структуру ролей ИБ, в особенности это касается всевозможных комитетов/групп.
  • Оцените материал:
    Total votes: 66
     
    Комментарии в Facebook
     

    Вы сообщаете об ошибке в следующем тексте:
    Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.