- •Полный отчет
- •Итоговый отчет Введение
- •Вводные данные: процесс и масштабы оценки
- •Ситуационный анализ
- •Результаты:
- •Уровень безопасности
- •Результаты
- •Инициативы по обеспечению безопасности
- •Области анализа
- •Оценочный анализ
- •Инфраструктура
- •Приложения
- •Операции
- •Персонал
- •Список приоритетных действий
- •Приложения Вопросы и ответы
- •Глоссарий
Ситуационный анализ
В этом разделе, исходя из представленных вами ответов, в графическом виде представлены концепции, описанные выше, для вашей организации. Напоминание:
ПРБ является мерой, отражающей риск для бизнеса, с которым компания сталкивается в данной отрасли и в условиях выбранной бизнес-модели.
DiDI - это величина измерения защитных мер по обеспечению безопасности, используемых в отношении персонала, процессов и технологий для снижения рисков, выявленных на предприятии.
Уровень безопасности - это величина измерения способностей организации к эффективному использованию инструментов, доступных для создания стабильного уровня безопасности по многим дисциплинам.
[См. Приложения для получения дополнительных сведений об этих терминах и методах интерпретации графиков.]
Результаты:
Области анализа |
Сравнение риска и защиты |
уровень безопасности |
Инфраструктура |
|
|
Приложения |
|
|
Операции |
|
|
Персонал |
|
|
Risk-Defense
Данная диаграмма отображает разность показателей эшелонированной защиты, упорядоченных по областям анализа.
Вообще, для одной и той же категории лучше всего иметь и рейтинг DiDI, и рейтинг ПРБ. Дисбаланс внутри одной категории или между разными категориями — в любом направлении — может означать необходимость перегруппировки инвестиций в ИТ.
Уровень безопасности
Уровень безопасности включает элементы управления (как физические, так и технические), техническую интуицию ИТ-ресурсов, политику, процесс и стабильные методики. Уровень безопасности можно измерить только способностью организации к эффективному использованию инструментов, доступных для создания стабильного уровня безопасности по многим дисциплинам. Для определения областей, на которые должны быть нацелены программы безопасности организации, необходимо установить и применить базис уровня безопасности. Не все организации могут достичь оптимизированного уровня, однако все они должны оценить, на каком уровне они находятся и на каком должны находиться, учитывая существующий риск для бизнеса. Например, компании, осуществляющей деятельность в среде с низким риском, усовершенствования, находящиеся выше верхнего предела уровня "Базис" или ниже нижнего предела уровня "Стандарт", могут никогда не потребоваться. Компании же, осуществляющей деятельность в среде с высоким риском, возможно, потребуется выйти на уровень "Оптимизация". Показатели профиля риска для бизнеса помогают оценить уровень риска.
уровень безопасности |
Величина, позволяющая сравнить методики, используемые компанией, с передовыми отраслевыми методиками с точки зрения стабильного уровня безопасности. Каждая компания должна стремиться к тому, чтобы ее уровень безопасности и связанная с ним стратегия безопасности соответствовали рискам, возникающим в процессе ведения бизнеса: |
|
|
Базис |
В качестве первичного механизма защиты применены некоторые упреждающие меры безопасности; в текущей деятельности и при реагировании на происшествия меры предпринимаются постфактум |
|
|
Стандарт |
В соответствии с определенной стратегией, развернуто несколько уровней защиты |
|
|
Оптимизация |
Эффективная защита по правильным направлениям с использованием надлежащих мер и постоянное использование передовых методик |
|