Что читать про управление ИТ-рисками

В заголовок этого поста я вынес вопрос, который довольно часто звучит после курса PPO. Как известно, в ITIL тема не раскрыта, а значит нужно черпать вдохновение откуда-то еще. Здесь я хочу привести небольшой список наиболее, на мой взгляд, интересных и полезных с точки зрения практики стандартов и публикаций. Вдруг пригодится.

iso31000ISO 31000 (ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство). Тоненький стандарт, базовые принципы и описание цикла управления рисками, который с минимальными вариациями можно найти в большинстве прочих актуальных на сегодня стандартах и подходах. Помимо всего прочего, обращает внимание на важность непрерывных мониторинга и анализа, а также коммуникаций и консультаций, которые переводят риск-менеджмент из разряда разового мероприятия кучки экспертов в разряд привычки

iso31010ISO 31010 (ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска). Возможно самое полное собрание методов идентификации, анализа и оценки риска: от организации работы группы экспертов до количественной оценки вероятности.  FTA, ETA, BIA, Делфи, SWIFT, Ишикава и много чего еще – все в одной коробке.

cobit5 for riskCOBIT5 for Risk (в девичестве Risk IT). Строгий, структурный подход к описанию риска с большим количеством интересных деталей (вроде учета при оценке риска прогнозируемой длительности негативного влияния, критичности события к календарному периоду и/или времени суток ). Авторы публикации щедры на примеры: отсылки к практике можно найти на плашках по ходу изложения основного материала. Кроме того, здесь есть сотни примеров рисков, разбитых на 20 категорий: от управления ИТ-инвестициями, программами и проектами до рисков, связанных с поставщиками, вредоносным ПО, атаками и регуляторами (с указанием релевантных контрмер).

Risk-Scenarios-Using-COBIT-CoverRisk Scenarios Using COBIT 5 for Risk. Публикация, расширяющая COBIT5 for Risk. О ней мы писали отдельно. Несмотря на тесную связь с процессной моделью из COBIT5 Enabling Processes со всеми вытекающими, содержит невероятное количество деталей, бережно и структурно (как любят в ISACA, в табличном представлении) раскрывающих риск-сценарии из основной публикации. Подробнее описаний, возможно, и не найти.

fairFAIR (Factor Analysis of Information Risk). Труд независимого консультанта Jack A. Jones с интересной метафорой, вокруг которой построен вводный блок, иллюстрирующий, насколько разным может быть вроде бы один и тот же риск, рассматриваемый в различных контекстах и с разных точек зрения. В ядре публикации – ценная структура факторов, влияющих на вероятность и ущерб нежелательного события, которые могут помочь подобраться ближе к количественной оценке риска. Кроме того, автор дает массу полезных предостережений, которые стоит учитывать при идентификации и оценке, о многих из которых действительно не задумываешься.

Безусловно, есть еще масса стандартов, подходов, публикаций по теме, однако в моем случае самыми полезными оказались именно эти. Коллеги, поделитесь своим опытом. Чем бы расширили список?

ITIL ITIL Intermediate: Planning Protection and Optimization

Учебный курс: управление качеством и рисками ИТ-услуг, доступностью, мощностями, непрерывностью — в ITIL и на практике.
 

Узнайте больше!

Комментарии и мнения

  1. Руслан

    Павел, встречали ли в Росии Вы компании, где действительно "управление рисками" применяется на корпоративном уровне?

    Какой риск применения управления рисками наиболее критичный на Ваш взгляд?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

АВГ
24
Учебный курс:
ITIL® 4 Foundation