Управление риском ИТ. Основы

Торнов Максим

Когда специфика и критичность систем определена, а риски, присущие ИТ, понятны, компании необходимо внедрить общий контроль над всей ИТ-средой. Контроль, представляющий

из себя набор мероприятий, действий, политик и процедур, направленных на снижение рисков, присущих как ИТ в целом, так и системам и автоматизированным сервисам в отдельности.

Понимая специфику технологий, а также присущие данным технологиям риски, мы можем уйти на уровень ниже и разработать так называемые процедуры контроля (контрольные процедуры, меры по снижению рисков), описанные в политиках и иных процедурных документах, базовых требованиях к ИТ-системам.

В данном

случае при разработке таких документов и контрольных процедур можно воспользоваться одной из лучших практик описания – «5W» 10 , исследуя «Кто», «Что», «Где», «Когда» и «Почему».

Данные документы должны формализовать непосредственно процедуры контроля над ИТ, то есть могут описывать:

1. Кто делает?

2. Что делает?

3. Как часто делает?

4. Каков результат?

5. Зачем и какова цель?

10

Пять «почему» (или 5 «Why?») – это итеративный метод вопросов, используемый для исследования причинно-следственных связей, лежащих в основе конкретной проблемы.

Конец ознакомительного фрагмента.