Подводя итоги


Структурирование оценок на всех этапах формирования выводов аудита позволяет сформировать статистическую основу для расчета предполагаемой динамики изменения различных процессных показателей в постпроверочном периоде. Полученные результаты могут быть использованы для формирования перспективного плана инвестиций в информационные технологии, взаимоувязанного с повышением уровня зрелости системы управления рисками. Как уже было сказано, чем сложнее информационная система, тем более зрелая система IT-управления ей должна соответствовать. Но существует и обратная зависимость. Например, если у компании несложная локальная система, то максимальной эффективности она достигнет при уровне зрелости 2,8–3,2. Более высокий уровень не даст решающего преимущества, но может привести к дополнительным расходам на менеджмент.

Автор Admin 03 Dec, 2009  | 

Расчет уровня IT-рисков


Расчет уровня зрелости IT-процесса

Данный расчет может быть проведен с использованием методологии CobiT, предлагающей определять пять ключевых характеристик зрелости процесса. Аудитор проводит группировку частных вопросов по указанным характеристикам процесса (компетенция, фактическая деятельность, документирование, измерение, совершенствование) и рассчитывает оценку для каждой группы. При этом рекомендуется учитывать весовые характеристики как вопросов внутри группы, так и самих групп. Определение конкретных значений выполняется экспертным путем и согласуется с заказчиком аудита в начале работы.

Отрицательный вектор тренда строится с учетом уровня документирования (итоговая оценка для данной группы вопросов). Чем ниже уровень документирования, тем больше вероятность в случае утраты ключевого персонала или изменений условий деятельности не достигнуть целей IT-деятельности (например, новые сотрудники не могут получить информацию о том, как должны выполняться те или иные процедуры). Соответственно для положительного тренда учитываются измерение и совершенствование как основа улучшения деятельности.

Автор Admin 03 Dec, 2009  | 

Отсутствие инцидентов – сигнал об опасности


В качестве примера рекомендаций по проведению верификации по конкретному вопросу – «Реагирование на инциденты информационной безопасности» – может служить указание по аудиту, содержащееся в «Руководстве по внедрению и аудиту средств контроля стандарта BS 7799», разработанном Британским институтом стандартизации: «В организации должны быть разработаны и внедрены необходимые процедуры и созданы каналы связи с руководством для сообщения о случаях нарушения безопасности. Аудиторы должны удостовериться в том, что эти процедуры применимы для любых возможных инцидентов и обеспечивают принятие достаточно эффективных ответных мер. Если какая-либо организация заявляет, что у нее не бывает инцидентов, о которых нужно сообщать, и поэтому она не может продемонстрировать процесс представления сообщений, то, скорее всего, на самом деле инциденты происходят, только их никто не замечает.

Автор Admin 03 Dec, 2009  | 

Риски недостижения целей процесса


• отсутствие четких договорных отношений (соглашений) с поставщиками IT-услуг, (включая определение ролей, ответственности и ожиданий, проведение проверок и мониторинга соответствующих соглашений с точки зрения эффективности и соответствия) повышает угрозу возникновения ущерба для случаев невыполнения поставщиками своих обязательств.

Влияние на достижение целей

IT-деятельности:

• обеспечение результативности IT-деятельности – умеренное влияние;

• обеспечение рациональности IT-деятельности – высокое влияние;

• обеспечение безопасности IT-деятельности – высокое влияние.

Автор Admin 03 Dec, 2009  | 

| 1 | 2 | 3 | ... | 16 | 17 | 18 | Вперед »