Riskujte to - Risk IT

Tento článek má několik problémů. Prosím pomozte vylepši to nebo diskutovat o těchto problémech na internetu diskusní stránka. (Zjistěte, jak a kdy tyto zprávy ze šablony odebrat) Tento článek může vyžadovat vyčištění setkat se s Wikipedií standardy kvality. Ne důvod vyčištění bylo upřesněno. Prosím pomozte vylepšit tento článek jestli můžeš. (Ledna 2011) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) Téma tohoto článku nemusí splňovat požadavky Wikipedie obecný pokyn k notabilitě. Pomozte prosím určit notabilitu citováním spolehlivé sekundární zdroje to jsou nezávislý tématu a poskytnout jeho významné pokrytí nad rámec pouhé triviální zmínky. Pokud nelze určit významnost, je pravděpodobné, že článek bude sloučeny, přesměrovánnebo smazáno. Najít zdroje: „Risk IT“  – zprávy  · noviny  · knihy  · učenec  · JSTOR (Listopadu 2011) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) tento článek obsahuje obsah, který je napsán jako reklama. Prosím pomozte vylepši to odstraněním propagační obsah a nevhodné externí odkazy, a přidáním encyklopedického obsahu napsaného z a neutrální hledisko. (Února 2018) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) tento článek příliš spoléhá na Reference na primární zdroje. Vylepšete to přidáním sekundární nebo terciární zdroje. (Února 2018) (Zjistěte, jak a kdy odstranit tuto zprávu šablony) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

Riskujte to poskytuje ucelený a komplexní pohled na všechny rizika související s používáním informační technologie (IT) a podobně důkladné zacházení s řízením rizik ze strany tón a kultura nahoře, k provozním problémům.

Risk IT byl publikován v roce 2009 autorem ISACA.^[1] Je výsledkem pracovní skupiny složené z odborníků z oboru a některých akademiků z různých zemí pocházejících z organizací, jako je Ernst & Young, IBM, PricewaterhouseCoopers Statistiky řízení rizik, Švýcarský život,a KPMG.

Definice

IT riziko je součástí obchodního rizika - konkrétně obchodního rizika spojeného s používáním, vlastnictvím, provozem, zapojením, vlivem a přijetím IT v podniku. Skládá se z událostí souvisejících s IT, které by mohly mít potenciální dopad na podnikání. Může nastat s nejistou frekvencí a velikostí a vytváří výzvy při plnění strategických cílů a záměrů.^[1]

Řízení obchodního rizika je podstatnou součástí odpovědné správy jakékoli organizace. Vzhledem k důležitosti IT pro celkové podnikání by mělo být s IT rizikem zacházeno jako s dalšími klíčovými obchodními riziky.

Rámec IT rizik^[1] vysvětluje IT rizika a umožňuje uživatelům:

• Integrujte řízení IT rizik do celkového ERM
• Porovnejte posuzované IT riziko s chuť k riziku a tolerance rizika organizace
• Pochopte, jak řídit riziko

IT riziko musí být řízeno všemi klíčovými obchodními vedoucími uvnitř organizace: nejde pouze o technickou záležitost IT oddělení.

IT riziko lze kategorizovat různými způsoby:

Přínos IT / hodnoty

rizika spojená s promarněnou příležitostí ke zvýšení obchodní hodnoty IT nebo vylepšenými procesy

Dodávka IT programu / projektu

rizika spojená s řízením projektů souvisejících s IT, která mají umožnit nebo zlepšit podnikání: tj. riziko nadměrného rozpočtu nebo opožděného dodání (nebo vůbec nedoručení) těchto projektů

Provoz IT a poskytování služeb

rizika spojená s každodenním provozem a poskytováním služeb IT, která mohou přinést problémy a neefektivitu obchodních operací organizace

Rámec IT pro rizika je založen na principech standardů / rámců pro řízení podnikových rizik, jako jsou Výbor sponzorských organizací komise Treadway ERM a ISO 31000.

Tímto způsobem by vyšší management mohl chápat IT riziko.

Principy rizikového IT

Risk IT je postaven na následujících principech:^[1]

• vždy v souladu s obchodními cíli
• sladit řízení IT rizik s ERM
• vyvážit náklady a přínosy řízení rizik IT
• podporovat spravedlivou a otevřenou komunikaci o rizicích IT
• vytvořit správný tón nahoře a zároveň definovat a prosazovat odpovědnost
• jsou nepřetržitým procesem a součástí každodenních činností

Komponenty komunikace rizika IT

Hlavní komunikační toky rizik IT jsou:

• Očekávání: co organizace očekává jako konečný výsledek a jaké je očekávané chování zaměstnanců a managementu; Zahrnuje strategii, zásady, postupy, školení na zvyšování povědomí
• Schopnost: označuje, jak je organizace schopna řídit riziko
• Stav: informace o skutečném stavu rizika IT; Zahrnuje rizikový profil organizace, klíčový indikátor rizika (KRI), události, hlavní příčina ztrátových událostí.

Účinnou informací by mělo být:

• Průhledná
• Stručný
• Užitečný
• Včas
• Zaměřeno na správné cílové publikum
• K dispozici na potřebuji vědět základ

Riskujte IT domény a procesy

Níže jsou uvedeny tři domény rámce Risk IT s obsaženými procesy (tři podle domény); každý proces obsahuje řadu aktivit:

1. Řízení rizik: Zajistěte, aby v podniku byly zakomponovány postupy řízení rizik IT, což mu umožní zajistit optimální návratnost upravenou o riziko. Je založen na následujících procesech:^[1]
   1. RG1 Vytvoření a udržování společného pohledu na rizika
      1. RG1.1 Proveďte hodnocení podnikových IT rizik
      2. RG1.2 Navrhněte prahové hodnoty tolerance rizika IT
      3. RG1.3 Schválit toleranci vůči riziku IT
      4. RG1.4 Sladit politiku rizik IT
      5. RG1.5 Propagujte kulturu informující o rizicích IT
      6. RG1.6 Podporujte efektivní komunikaci rizika IT
   2. Integrace RG2 s ERM
      1. RG2.1 Zavést a udržovat odpovědnost za řízení rizik IT
      2. RG2.2 Koordinujte strategii IT rizik a strategii obchodních rizik
      3. RG2.3 Přizpůsobte postupy IT v oblasti rizik podnikovým postupům
      4. RG2.4 Poskytnout odpovídající zdroje pro řízení rizik IT
      5. RG2.5 Poskytují nezávislé záruky v oblasti řízení rizik IT
   3. RG3 Podnikejte obchodní rozhodnutí zohledňující rizika
      1. RG3.1 Zakoupení správy zisku pro přístup k analýze rizik IT
      2. RG3.2 Schválit analýzu rizik IT
      3. RG3.3 Zahrňte zvážení rizika IT do strategického obchodního rozhodování
      4. RG3.4 Přijměte IT riziko
      5. RG3.5 Upřednostněte činnosti reakce na rizika v oblasti IT
2. Hodnocení rizik: Zajistěte, aby rizika a příležitosti související s IT byly identifikovány, analyzovány a prezentovány z obchodního hlediska. Je založen na následujících procesech:
   1. RE1 Sbírejte data
      1. RE1.1 Vytvoření a údržba modelu pro sběr dat
      2. RE1.2 Shromažďujte data o operačním prostředí
      3. RE1.3 Shromažďujte údaje o rizikových událostech
      4. RE1.4 Identifikujte rizikové faktory
   2. RE2 Analyzujte riziko
      1. RE2.1 Definujte rozsah analýzy rizik IT
      2. RE2.2 Odhadněte IT riziko
      3. RE2.3 Určete možnosti reakce na riziko
      4. RE2.4 Provést peer review analýzy rizik IT
   3. RE3 Udržujte rizikový profil
      1. RE3.1 Mapujte zdroje IT na obchodní procesy
      2. RE3.2 Určuje obchodní kritičnost zdrojů IT
      3. RE3.3 Pochopte možnosti IT
      4. RE3.4 Aktualizace komponent rizikového scénáře
      5. RE3.5 Udržujte registr rizik IT a mapu rizik iT
      6. RE3.6 Vypracovat ukazatele rizik IT
3. Reakce na riziko: Zajistěte, aby problémy, příležitosti a události související s IT byly řešeny nákladově efektivním způsobem a v souladu s obchodními prioritami. Je založen na následujících procesech:
   1. RR1 Artikulovat riziko
      1. RR1.1 Komunikujte výsledky analýzy rizik IT
      2. RR1.2 Reportujte činnosti řízení rizik IT a stav dodržování předpisů
      3. RR1.3 Interpretovat zjištění nezávislého posouzení IT
      4. RR1.4 Identifikujte příležitosti související s IT
   2. RR2 Řízení rizik
      1. RR2.1 Řízení zásob
      2. RR2.2 Monitorovat provozní sladění s mezními hodnotami tolerance rizika
      3. RR2.3 Reagujte na objevené riziko a příležitost
      4. RR2.4 Ovládací prvky nářadí
      5. RR2.5 Zpráva o pokroku akčního plánu pro rizika IT
   3. RR3 Reagovat na události
      1. RR3.1 Udržujte plány reakce na incidenty
      2. RR3.2 Monitorujte IT riziko
      3. RR3.3 Zahajte reakci na incident
      4. RR3.4 Sdělte poučení z rizikových událostí

Každý proces je podrobně popsán:

• Procesní komponenty
• Praxe řízení
• Vstupy a výstupy
• Grafy RACI
• Fotbalová branka a metriky

Pro každou doménu je zobrazen model zralosti.

Hodnocení rizik

Abychom pochopili dopad nepříznivých událostí, je třeba navázat souvislost mezi scénáři rizika IT a konečným dopadem na podnikání. Risk IT nepředepisuje jedinou metodu. K dispozici jsou různé metody. Mezi nimi jsou:

• Informační kritéria COBIT
• Vyvážený scorecard
• Rozšířený vyvážený scorecard
• Westerman ^[2]
• COSO
• Faktorová analýza informačního rizika

Scénáře rizika

Scénáře rizika jsou srdcem procesu hodnocení rizik. Scénáře lze odvodit dvěma různými a doplňkovými způsoby:

• přístup shora dolů od celkových obchodních cílů k nejpravděpodobnějším rizikovým scénářům, které je mohou ovlivnit.
• přístup zdola nahoru, kdy se na situaci organizace vztahuje seznam obecných scénářů rizik

Každý rizikový scénář je analyzován a určuje frekvenci a dopad na základě rizikové faktory.

Reakce na riziko

Účelem definice reakce na riziko je uvést riziko do souladu s celkově definovaným chuť k riziku organizace po analýze rizik: tj. zbytkové riziko by mělo být v rámci tolerance rizika limity.

Riziko lze řídit podle čtyř hlavních strategií (nebo jejich kombinací):

• Vyhýbání se rizikům, ukončení činností, které vedou k riziku
• Zmírňování rizika, přijímání opatření ke zjišťování, snižování četnosti a / nebo dopadu rizika
• Přenos rizika, převod části rizika na ostatní, outsourcing nebezpečných činností nebo pojištění
• Přijímání rizik: záměrné riskování, které bylo identifikováno, zdokumentováno a změřeno.

Klíčové ukazatele rizik jsou metriky schopné ukázat, že organizace je předmětem nebo má vysokou pravděpodobnost, že bude vystavena riziku, které přesahuje definovanou chuť k riziku.

Praktický průvodce

Druhým důležitým dokumentem o Risk IT je Praktický průvodce.^[3]Skládá se z osmi sekcí:

1. Definování rizikového vesmíru a stanovení rozsahu řízení rizik
2. Chuť k riziku a tolerance k riziku
3. Povědomí o riziku, komunikace a podávání zpráv
4. Vyjádření a popis rizika
5. Rizikové scénáře
6. Reakce na riziko a stanovení priorit
7. Pracovní postup analýzy rizik
8. Snižování IT rizik pomocí COBIT a Val IT

Vztah k ostatním rámcům ISACA

Rámec IT rizik doplňuje ISACA Je COBIT, který poskytuje komplexní rámec pro kontrolu a správu obchodních řešení a služeb založených na informačních technologiích (IT). Zatímco COBIT stanoví osvědčené postupy pro prostředky řízení rizik tím, že poskytuje sadu kontrol ke zmírnění rizika IT, Risk IT stanoví osvědčené postupy pro cíle tím, že poskytuje podnikům rámec pro identifikaci, řízení a řízení rizik IT.

Val IT umožňuje obchodním manažerům získat obchodní hodnotu z investic do IT poskytnutím rámce správy. VAL IT lze použít k vyhodnocení akcí určených Řízení rizik proces.

Vztah k ostatním rámcům

Přijměte riziko Faktorová analýza informačního rizika terminologie a proces hodnocení.

ISO 27005

Pro srovnání rizikových IT procesů a těch, které předpokládá ISO / IEC 27005 standard, viz Řízení rizik IT # Metodika řízení rizik a Rámec řízení rizik IT # ISO 27005

ISO 31000

Průvodce rizikovým IT praktikem^[3] příloha 2 obsahuje srovnání s ISO 31000

COSO

Průvodce rizikovým IT praktikem^[3] příloha 4 obsahuje srovnání s COSO

Viz také

• COBIT
• COSO
• Řízení podnikových rizik
• Faktorová analýza informačního rizika (VELETRH)
• ISACA
• ISO 31000
• Riziko
• Chuť riskovat
• Rizikový faktor (výpočet)
• Řízení rizik
• Tolerance rizika
• Val IT

Reference

externí odkazy

• Hlavní stránka Risk IT na webu ISACA