сервис.
В связи с большим количеством ИТ-систем в нашем случае (более 70) и учитывая сложность и высокий уровень интеграции с бизнес-процессами, менеджмент компании также должен понимать взаимную зависимость и критичность каждой ИТ-системы, сервиса, чтобы расставить приоритеты по внедрению контроля над ИТ.
То есть, проделав подобный анализ, на выходе мы получаем список систем и их критичность, определяющую приоритетность наших дальнейших действий.
ВАЖНО: необходимо принимать во внимание, что ИТ-система или автоматизированный сервис – это комплекс, который может состоять из различных интегрированных подсистем, например, прикладное ПО + ОС + СУБД + сеть + интерфейсы + промежуточное ПО и т. д.
Каждая система или автоматизированный сервис могут быть по-своему уникальными, и это важно учитывать при анализе совокупности присущих подобной системе или сервису рисков, определении критичности, расстановке приоритетов и внедрении контроля над ИТ. Например, различные риски могут быть присущи категории ИТ-систем в целом либо быть специфичными и присущи исключительно для отдельной, уникальной системы или автоматизированного сервиса.
Шаг 3. Определить набор контрольных процедур в области ИТ применительно к типам/вариантам/категориям ИТ-систем и автоматизированных сервисов
Когда специфика и критичность систем определена, а риски, присущие ИТ, понятны, компании необходимо внедрить общий контроль над всей ИТ-средой. Контроль, представляющий из себя набор мероприятий, действий, политик и процедур, направленных на снижение рисков, присущих как ИТ в целом, так и системам и автоматизированным сервисам в отдельности.
Понимая специфику технологий, а также присущие данным технологиям риски, мы можем уйти на уровень ниже и разработать так называемые процедуры контроля (контрольные процедуры, меры по снижению рисков), описанные в политиках и иных процедурных документах, базовых требованиях к ИТ-системам.
В данном случае при разработке таких документов и контрольных процедур можно воспользоваться одной из лучших практик описания – «5W»10, исследуя «Кто», «Что», «Где», «Когда» и «Почему».
Данные документы должны формализовать непосредственно процедуры контроля над ИТ, то есть могут описывать:
Конец ознакомительного фрагмента.
Текст предоставлен ООО «Литрес».
Прочитайте эту книгу целиком, купив полную легальную версию на Литрес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом.