• публикации
    18
  • коментари
    5
  • прегледи
    23830

Управление на риска в информационните технологии

mscservices

1010 прегледа

Управление на риска в информационните технологии

от Алан Калдър

Тъй като информационните технологии все повече попадат в обхвата на корпоративното управление, то мениджмънтът трябва все повече да се фокусира върху управлението на риска за постигането на бизнес целите си.

Има два основни компонента на ефективното управление на риска за информацията и информационните технологии: първият се отнася до стратегическото разгръщане на на информационните технологии в организацията, за да постигне тя своите корпоративни цели, вторият се отнася до рисковете за инфраструктура. ИТ системите обикновено ознчават значителни инвестиции на финансови и изпълнителски ресурси. , Начинът, по който са планирани, управлявани и измервани трябва да бъде съответтно ключов измерител за мениджмънта, както и начина, по който рисковете, свързани с информационните активи, сами по себе си са управлявани.

Ясно е, добре управляваните информационни технологии са бизнес фактор. Всяко внедряване на информационни технологии носи със себе си непосредствени рискове за организацията и следователно, всеки директор или управленец, който внедрява, или мениджър, който използва по някакъв начин информационните технологии, трябва да разбере тези рискове и стъпките, които трябва да бъдат направени за борба с тях.

ITIL отдавна е предоставил богата колекция от най-добрите практики за управление на ИТ процеси и ръководства за това. Независимо от широката гама от практически-ориентирани сертифицирани квалификации, не е възможно за всяка организация да докаже на своето ръководство – камо ли на външна трета страна - че е предприела стъпка за намаляване на риска чрез внедряване на добри практики.

Нещо повече, ITIL е особено слаба, когато що се отнася до управление на информационната сигурност - ITIL книгата за сигурността на информацията, наистина не прави нещо повече, освен да реферира към вече много остарялата- версия на ISO 17799, код от практики по сигурността на информацията.

Появата на международните “Управление на ИТ услугите (ISO 20000)” и “Управление на сигурността на информацията (ISO27001)” променя всичко това. Те правят възможно,за организации, които имат успешно внедрена ITILсреда, да бъдат външно сертифицирани като собственици на процеси по сигурност на информационната и управление на ИТ услугите, които процеси отговарят на международния стандарт; организации, които демонстрират - пред клиенти и потенциални клиенти – че качеството и сигурността на техните процеси за осигуряване на ИТ услугите и сигурността на информацията постигат значителни конкурентни предимства

Риск за информационната сигурност

Ценността на независимия стандарт за информационна сигурност може да бъде по-непосредствено оценена от практикуващите ITIL отколкото от тези,занимаващи се с управление на ИТ услугите. Разпространението на все по-сложни, усъвършенствани и глобални заплахи за сигурността на информацията в съчетание с изискванията за съответствие на потопа от компютри – и свързаните с правото за неприкосновеност на личния живот регулации по целия свят, кара организациите да погледнат по-стратегически на сигурността на информацията. Стана ясно, че хардуерно-, софтуерно- или доставчик-ориентирани решения за отделни предизвикателства по информационната сигурност са, сами по себе си, опасно неадекватни. ISO / IEC 27001 (какъвто беше BS7799) помага на организациите да направят стъпка към систематично управление и контролиране на риска за техните информационни активи.

=========================================

www.mscservices.eu - Вашите ISO консултанти

=========================================

Риск за ИТ процесите

ИТ трябва да бъдат управлявани систематично за да се подкрепи организацията в постигането на нейните бизнес цели, иначе те ще нарушат бизнес процесите и ще подкопаят бизнес дейността. ИТ управлението, разбира се, има своите собствени процеси - и много от тези процеси са общи за организации от всякакъв мащаб и в много сектори. Процесите, внедрени за управление на ИТ организацията трябва да бъдат ефективни и да гарантират, че ИТ организацията работи според нуждите на бизнеса. Управление на ИТ услугите е концепция, което съдържа схващането, че ИТ организацията (известна в ISO / IEC 20000, както и в ITIL, като "доставчик на услуги") съществува, за да предоставя услуги за бизнес потребителите в съответствие с нуждите на бизнеса, и да гарантира икономически най-ефективното използване на ИТ активите в този общ контекст. ITIL, IT infrastructure library, се утвърди като сборник от най-добрите практики, които могат да бъдат използвани в различни организации. ISO / IEC 20000, стандартът за за управление на ИТ услуги, предоставя спецификация от най-добрите практики, базирана върху ITIL.

Регулаторен риск и риск за съответствието

Всички организации са обект на редица изисквания на свързаното с информацията национално и международно законодателство. Те варират от общи корпоративни насоки за управление до подробните изисквания на специални разпоредби. Организациите във Великобритания са предмет на някои или всички от следните регулации:

* Combined Code and Turnbull Guidance (UK)

* Basel2

* EU data protection, privacy regimes

* Sectoral regulation: FSA (1) , MiFID (2) , AML (3)

* Human Rights Act, Regulatation of Investigatory Powers Act

* Computer misuse regulation

Тези организации, които оперират в САЩ също могат да бъдат предмет на регламентите на САЩ като Sarbanes Oxley и SEC регулации, както и от секторни регулаци като GLBA (4), HIPAA (5) и USA PATRIOT Act. Повечето организации вероятно също са предмет на щатското законодателство на САЩ, което изисква да имат широк набор от съответствия, включително със SB 1386 (California Information Practice Act) и OPPA (6). Съответствието зависи колкото от сигурността на информацията, толкова и от ИТ процесите и услугите.

Много от тези наредби са се появили едва наскоро и по повечето няма все още достатъчно практика в съдилищата. Не е имало координирани национални или международни усилия, за да се гарантира, че много от тези правила, особено тези около личната неприкосновеност и защитата на данните - са ефективно координирани. В резултат на това има припокриване и конфликти между много от тези регулации и докато това е от малко значение за организации, търгуващи изключително в рамките на една юрисдикция, реалността е, че много предприятия днес търгуват на международно ниво, особено ако те имат сайт или са свързани към Интернет.

Системи за управление

Системата за управление е формален, организиран подход, използван от дадена организация за управление на един или повече компоненти от нейния бизнес, включително качеството, околната среда и здравословните и безопасни условия на труд, управлението на информационната сигурност и ИТ услугите. Повечето организации - особено по-млади, по-малко зрели, имат някаква форма на системата за управление при тях, дори и ако те не са наясно с това. По-развитите организации използват формални системи за управление, които са сертифицирани от трета страна за съответствие със стандарта за управление на системи. Организациите, които използват формални системи за управление днес включват: корпорации, средни и малки предприятия, правителствени агенции и неправителствени организации (НПО).

Стандарти и сертификати

Формалните стандарти предоставят спецификация,спрямо която една система за управение на дадена организацията, може да бъде независимо одитирана от акредитиран орган за сертификация и ако е установено, че системата за управление отговаря на спецификацията, на организацията може да бъде издадено официално удостоверение, потвърждаващо това. Организациите, които са сертифицирани по ISO 9000 вече ще бъдат запознати с процеса на сертифициране.

Интергрирани системи за управление

Организациите могат да изберат да сертифицират своите системи за управление по повече от един стандарт. Това им дава възможност за интегриране на процесите, които са общи - преглед от ръководството, коригиращи и превантивни действия, контрол на документи и записи, както и вътрешни одити на качеството - за всеки един от стандартите, от които са заинтересовани. Съществува вече привеждане в съответствие на клаузи в ISO 9000, ISO 14001 (стандарт за системи за управление на околната среда) и OHSAS 18001 (стандарт за здравословни и безопасни условия на труд), което поддържа тази интеграция, и което позволява на организациите да се възползват от по-ниска цена на първоначалните одити, по-малко посещения за контролни одити и което е най-важното - позволява на организациите да “свържат” техните системи за управление.

Появата на тези международни стандарти сега позволява на организациите да се разработи интегрирана информационна система за управление, която подлежи на “мулти” (едновременно по няколко стандарта) сертификационни или външни одити от трета страна, като същевременно се обляга на задълбочените най-добри практики, съдържащи се в ITIL. Това е огромна стъпка напред за света на ITIL.

www.mscservices.eu - Вашите ISO консултанти




0 Коментара


Все още няма коментари.

Регистрирайте се или влезете в профила си за да коментирате

Трябва да имате регистрация за да може да коментирате това

Регистрирайте се

Създайте нова регистрация в нашия форум. Лесно е!


Нова регистрация

Вход

Имате регистрация? Влезте от тук.


Вход