Одним из важнейших терминов (и концепций) в западных методологиях управления ИБ и ИТ является "Governance". Точного и адекватного перевода сейчас нет, но наиболее удачным является "Руководство". А уж совсем упрощенным аналогом является "Вовлечение руководства" (например, по ISO 27001) , но это немного не о том...
Вообще, я иногда люблю ласково потроллить адептов и разработчиков GRC вопросом "А что именно из G (в аббревиатуре Governance, Risk management, and Compliance) позволяет автоматизировать ваше решение?", на который они обычно не могут ничего конкретного сказать...
Да, термин и идея, лежащая в его основе, сложные. По сути, Governance - эта та самая надстройка НАД классическим менеджментом (привет, СУИБ), которая позволяет выравнивать приоритеты и цели ИБ и ИТ с приоритетами и целями Бизнеса.
Совсем коротко (и слишком общо) о различиях между Руководством (Governance) и Управлением (Management) упомянуто в COBIT5 (кстати, "Разделение руководства и управления" - базовый принцип этой методологии):
В понимании COBIT 5, разница между руководством и управлением заключается в следующем:
Руководство обеспечивает уверенность в достижении целей предприятия, путём: сбалансированной оценки потребностей заинтересованных сторон, существующих условий и возможных вариантов; установления направления развития через приоритизацию и принятие решений; постоянного мониторинга соответствия фактической производительности и степени выполнения требований установленным направлению и целям предприятия.
В большинстве случаев обязанности по руководству на предприятии выполняет совет директоров, возглавляемый председателем совета директоров. Некоторые обязанности могут быть делегированы специальным организационным единицам соответствующего уровня – особенно, в крупных организациях.
Управление заключается в планировании, построении, выполнении и отслеживании деятельности, в соответствии с направлением, заданным органом руководства, для достижения целей предприятия.
В большинстве случаев, обязанности по управлению на предприятии выполняют исполнительные директора, возглавляемые генеральным директором (CEO).
Вместе эти принципы помогают построить эффективную методологию руководства и управления, оптимизирующую инвестиции в информационные технологии для получения выгоды заинтересованными сторонами.
Даже вот такую схему приводят с ключевыми областями (процессами):
Почему я об этом решил написать? Дело в том, что идея взаимодействия ИБ и бизнеса уже начинает потихоньку приходить и в российскую ИБ. И нам пора об этом начинать задумываться...
Я сейчас изучаю теорию и тесты экзамена CGEIT, нахожу для себя много новых, но вроде бы и очевидных вещей. Много думаю.
Вот, например, варианты вопросов (кстати, если ИТ заменить на ИБ суть не изменится):
Governance of enterprise IT is MOST effective when:A) Risk is optimizedB) Stakeholders need are metC) Resources are optimizedD) Benefits are realized
Which of the following choices drives IT governance?A) Value creationB) Benefits realizationC) Risk optimizationD) Resource optimization
Which one of the following tools is the MOST effective to communicate with the board of directors about the business value of IT?A) Internal Rate of Return (IRR)B) IT Balanced Scorecard (BSC)C) Return of Investment (ROI)D) Process capability assessment
Which one of the following choices is the BEST indicator of good governance practice?A) The IT risk register is well maintainedB) The IT policies and procedures are well maintainedC) The IT strategic plan is developed with the businessD) The Board is regularly briefed on IT
How does IT BEST shift its perceived role as a cost center to being a valued contributor?A) By optimizing process efficiency through standardizationB) By providing integration of IT with the businessC) By implementing continuous process improvementD) By initiating technology innovation
The shift from a reactive IT department to a proactive IT department is BEST enabled by:A) Optimized IT process capabilityB) Effective IT governanceC) IT Board-Level representationD) Predictive analytics
Правильные ответы: B, A, B, D, B, B
