На онлайн-ресурсе ISACA – «COBIT FOCUS» Питер С. Тессин (CISA, CRISC, CISM, CGEIT) делится своим опытом применения руководства корпоративными ИТ (Governance of Enterprise IT – GEIT). В серии из 6 статей рассматривается кейс по решению управленческой проблемы.
Существует старая поговорка о важности планирования: «Неспособность планировать – это неудача». Хотя это высказывание стало почти клише из многих лет использования, это верное утверждение. Очень немногие проекты успешны в достижении своих целей без поддержки четкого, всеобъемлющего, полностью определенного и утвержденного плана. Следовательно, цель этой статьи – создание плана проекта реализации решения проблемы.
Эта третья статья, в которой описывается план решения проблемы, разработанного в части 2. В этой статье рассматривается запрос на авторизацию проекта, определение охвата проекта, разработка графика проекта и определение требований к проекту.
Существенные элементы плана проекта заключаются в том, чтобы он был авторизован, имел четкую структуру и определенные ресурсы для проведения работ. Для того чтобы реализация структуры управления была действительно эффективной, необходима поддержка сверху. Если руководитель или менеджер проекта самостоятельно создают структуру управления, может возникнуть сопротивление со стороны участвующих в ней подразделений. План проекта должен содержать Устав проекта, определение требований, график проекта с вехами (при необходимости, может быть включена диаграмма Ганта) и план коммуникации.
Разработка устава проекта
Первый шаг – разработать Устав проекта и получить от ответственного за реализацию проекта выделение ресурсов. В рассматриваемой серии статей ответственного можно найти в матрице RACI процесса APO13 «Управление безопасностью» в COBIT 5: «Enabling Processes». Им является сотрудник службы информационной безопасности (CISO) как лицо, ответственное за процесс «Управление безопасностью». В нашем примере CISO будет предложено стать спонсором проекта. Устав проекта будет использоваться для авторизации проекта с правом подписи спонсором проекта. Ниже приведен примерный шаблон Устава проекта.
Пример шаблон Устава проекта
Утверждаю, Проект управления безопасностью
9 июля 2018 г.
Название проекта: Внедрение структуры руководства управления безопасностью
Сфера охвата и задачи: (Название предприятия) рассматривает результаты внутреннего аудита, которые продемонстрировали отсутствие надлежащего управления в среде внутреннего контроля. Для решения этого вопроса команда проекта проведет анализ потенциальных недостатков в области управления безопасностью, а также разработает и внедрит элементы структуры управления, чтобы исправить несоответствия в этой области. Этот проект будет служить доказательством правильного видения решения проблемы и, в случае успеха, послужит более широкому распространению системы внутреннего контроля.
Описание Проекта: Проанализируйте существующие меры управления и контроля для определения качественного проектирование и эффективности работы по управления безопасностью. Определите рабочие продукты и оцените возможности процесса для поддержки целей процесса. В тех случаях, когда обнаружены пробелы, разрабатывайте рабочие продукты и практики для создания требований к ним.
Рамки проекта: Команда, назначенная на этот проект, будет доступна, и ей будет предоставлен доступ к ресурсам, как того требует проект. Завершение проекта будет 31 декабря 2018 года. Рекомендация для продолжения более широкого изучения среды внутреннего контроля будет проводиться в течение 2 недель с этой даты.
Организация проекта: Для проекта потребуется менеджер проекта (PM) из команды управления, который предоставит дополнительных членов команды. Также потребуются участие менеджера по информационной безопасности, архитектора предприятия, менеджера по операциям и менеджера по сопровождению. Они будут задействованы на проекте на 50% от рабочего времени.
Командные обязанности: Менеджер проекта:
- Определение для исполнителей навыков и компетенций, необходимых для анализа процессов управления безопасностью
- Назначение рабочие заданий и отслеживание прогресса в достижении этапов
- Информирование спонсора проекта о статусе проекта
- Отправка результатов проекта и формирование заключительных рекомендаций
Утверждение проекта:
| ФИО | Должность | Подпись |
| Джейн Доу | Главный сотрудник по информационной безопасности (CISO) | (Подпись) Джейн Доу |
Определение и планирование задач проекта
Основываясь на объеме работ, определенном в Уставе, необходимо разработать декомпозицию работ. Уровень детализации, используемый для определения и описания задач, должен соответствовать сложности всего проекта. Помимо самой задачи, в графике проекта необходимо указать запланированные даты начала и окончания, фактические даты начала и окончания, назначенные ресурсы и зависимости от других задач. Упрощенная версия представлена в виде образца на Рисунке 1.
Рисунок 1. Образец упрощенного шаблона проекта
| Задача | Начало | Продолжи-тельность (дни) | Ресурс | Процент завершения |
| Обеспечить авторизацию проекта | 01.08.2018 | 1 | Менеджер проекта | |
| Инициировать начало проекта | 02.08.2018 | 1 | Менеджер проекта | |
| Назначить членов проектной команды | 02.08.2018 | 1 | Менеджер проекта | |
| Проанализировать методы управления безопасностью | 06.08.2018 | 10 | Члены команды | |
| Определить текущие рабочие продукты | 20.08.2018 | 10 | Члены команды | |
| Оценить возможности процесса | 04.09.2018 | 9 | Руководитель проекта, члены команды | |
| Определить пробелы в практике | 17.09.2018 | 5 | Руководитель проекта, члены команды | |
| Определите необходимые рабочие продукты и практики | 24.09.2018 | 15 | Руководитель проекта, члены команды | |
| Установить новые методы работы с бизнес-единицей | 15.10.2018 | 15 | Руководитель проекта, члены команды, бизнес-единица | |
| Оценить эффективность новых практик | 05.11.2018 | 30 | Руководитель проекта, члены команды, бизнес-единица | |
| Свести полученные данные и написать итоговый отчет | 17.12.2018 | 4 | Менеджер проекта | |
| Закрыть проект и провести завершающую встречу | 21.12.2018 | 1 | Менеджер проекта |
Разработка коммуникационного плана
Менеджер проекта должен определить, как спонсор проекта и любые другие заинтересованные стороны будут получать информацию о статусе проекта. Менеджер проекта должен также предоставлять имена и контактную информацию для каждого члена группы и участника бизнес-единицы, отраженные в плане коммуникации, который используется для обеспечения оперативного взаимодействия с участниками, а также для подтверждения частоты и формата предоставления отчетов о статусе проекта.
Пример шаблона коммуникационного плана
Отчетный контакт: CISO
Статус проекта: еженедельно, желательно в утреннее время по четвергам
Формат отчета: Прогресс завершения проекта на dashboard’е
Команда проекта. Контакты:
| ФИО | Должность | Эл. адрес | Телефон |
| (ФИО) | CISO | CISO@company.com | 123-555-1212 |
| (ФИО) | Менеджер проекта | PM@company.com | 123-555-1213 |
| (ФИО) | Менеджер по ИБ | ISM@company.com | 123-555-1214 |
| (ФИО) | Архитектор предприятия | EA@company.com | 123-555-1215 |
| (ФИО) | Менеджер по сопровождению | SM@company.com | 123-555-1216 |
План работ
В следующем выпуске этой серии мы обсудим описание работ и назначенные ресурсы на работы. Будет определен каждый рабочий продукт, кто его создает, и как он связан с проектированием структуры процесса.