Сегодня перечитывал книгу COBIT5 Enabling Processes (в ней детально описаны все процессы COBIT5). Я смотрел метрики процессов, но заодно обратил внимание и на RACI-Chart (таблицы ролей и ответственности) по процессам и их "ключевым практикам". Как оказалось, CISO является ключевым исполнителем (Responsible) и уж, тем более, ответственным (Accountable) совсем небольшого количества процессов. Решил выбрать их все, это:
- EDM03 Ensure Risk Optimisation
- EDM03.03 Monitor risk management - R
- APO01 Manage the IT Management Framework
- APO01.04 Communicate management objectives and direction - R
- APO12 Manage Risk
- APO12.01 Collect data - R
- APO12.06 Respond to risk - R
- APO13 Manage Security
- APO13.01 Establish and maintain an ISMS - A
- APO13.02 Define and manage an information security risk treatment plan - A
- APO13.03 Monitor and review the ISMS - A
- DSS01 Manage Operations (в части физической защиты от внешней среды и безопасности оборудования)
- DSS01.04 Manage the environment - A
- DSS01.05 Manage facilities - A
- DSS05 Manage Security Services
- DSS05.01 Protect against malware - A
- DSS05.02 Manage network and connectivity security - A
- DSS05.03 Manage endpoint security - A
- DSS05.04 Manage user identity and logical access - A
- DSS05.05 Manage physical access to IT assets - A
- DSS05.07 Monitor the infrastructure for security-related events - A
Напомню, что в COBIT5 представлена модель из 37 процессов, т.е. CISO "самый главный" лишь в 2х (APO13 и DSS05) и еще в 4х принимает активное участие. В частности, он НЕ является ответственным и ключевым исполнителем в процессах управление запросами и инцидентами, управление проблемами, управление непрерывностью, управление поставщиками и других...
Вот такая вот общая картина. Причем у меня складывается впечатление, что область ответственности все сокращается и сокращается... Такая вот информация к размышлению.
