Что читать про управление ИТ-рисками

В заголовок этого поста я вынес вопрос, который довольно часто звучит после курса PPO. Как известно, в ITIL тема не раскрыта, а значит нужно черпать вдохновение откуда-то еще. Здесь я хочу привести небольшой список наиболее, на мой взгляд, интересных и полезных с точки зрения практики стандартов и публикаций. Вдруг пригодится.

iso31000ISO 31000 (ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство). Тоненький стандарт, базовые принципы и описание цикла управления рисками, который с минимальными вариациями можно найти в большинстве прочих актуальных на сегодня стандартах и подходах. Помимо всего прочего, обращает внимание на важность непрерывных мониторинга и анализа, а также коммуникаций и консультаций, которые переводят риск-менеджмент из разряда разового мероприятия кучки экспертов в разряд привычки

iso31010ISO 31010 (ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска). Возможно самое полное собрание методов идентификации, анализа и оценки риска: от организации работы группы экспертов до количественной оценки вероятности.  FTA, ETA, BIA, Делфи, SWIFT, Ишикава и много чего еще – все в одной коробке.

cobit5 for riskCOBIT5 for Risk (в девичестве Risk IT). Строгий, структурный подход к описанию риска с большим количеством интересных деталей (вроде учета при оценке риска прогнозируемой длительности негативного влияния, критичности события к календарному периоду и/или времени суток ). Авторы публикации щедры на примеры: отсылки к практике можно найти на плашках по ходу изложения основного материала. Кроме того, здесь есть сотни примеров рисков, разбитых на 20 категорий: от управления ИТ-инвестициями, программами и проектами до рисков, связанных с поставщиками, вредоносным ПО, атаками и регуляторами (с указанием релевантных контрмер).

Risk-Scenarios-Using-COBIT-CoverRisk Scenarios Using COBIT 5 for Risk. Публикация, расширяющая COBIT5 for Risk. О ней мы писали отдельно. Несмотря на тесную связь с процессной моделью из COBIT5 Enabling Processes со всеми вытекающими, содержит невероятное количество деталей, бережно и структурно (как любят в ISACA, в табличном представлении) раскрывающих риск-сценарии из основной публикации. Подробнее описаний, возможно, и не найти.

fairFAIR (Factor Analysis of Information Risk). Труд независимого консультанта Jack A. Jones с интересной метафорой, вокруг которой построен вводный блок, иллюстрирующий, насколько разным может быть вроде бы один и тот же риск, рассматриваемый в различных контекстах и с разных точек зрения. В ядре публикации – ценная структура факторов, влияющих на вероятность и ущерб нежелательного события, которые могут помочь подобраться ближе к количественной оценке риска. Кроме того, автор дает массу полезных предостережений, которые стоит учитывать при идентификации и оценке, о многих из которых действительно не задумываешься.

Безусловно, есть еще масса стандартов, подходов, публикаций по теме, однако в моем случае самыми полезными оказались именно эти. Коллеги, поделитесь своим опытом. Чем бы расширили список?

ITIL ITIL Practitioner — новый учебный курс 2016

Правильный следующий шаг после ITIL Foundation.
 

Узнайте больше!

Комментарии и мнения

  1. Руслан

    Павел, встречали ли в Росии Вы компании, где действительно "управление рисками" применяется на корпоративном уровне?

    Какой риск применения управления рисками наиболее критичный на Ваш взгляд?

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Ближайшие мероприятия

Зарегистрируйтесь, чтобы получить больше полезных знаний:

ОКТ
22
ОКТ
29