В заголовок этого поста я вынес вопрос, который довольно часто звучит после курса PPO. Как известно, в ITIL тема не раскрыта, а значит нужно черпать вдохновение откуда-то еще. Здесь я хочу привести небольшой список наиболее, на мой взгляд, интересных и полезных с точки зрения практики стандартов и публикаций. Вдруг пригодится.
ISO 31000 (ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство). Тоненький стандарт, базовые принципы и описание цикла управления рисками, который с минимальными вариациями можно найти в большинстве прочих актуальных на сегодня стандартах и подходах. Помимо всего прочего, обращает внимание на важность непрерывных мониторинга и анализа, а также коммуникаций и консультаций, которые переводят риск-менеджмент из разряда разового мероприятия кучки экспертов в разряд привычки.
ISO 31010 (ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска). Возможно самое полное собрание методов идентификации, анализа и оценки риска: от организации работы группы экспертов до количественной оценки вероятности. FTA, ETA, BIA, Делфи, SWIFT, Ишикава и много чего еще – все в одной коробке.
COBIT5 for Risk (в девичестве Risk IT). Строгий, структурный подход к описанию риска с большим количеством интересных деталей (вроде учета при оценке риска прогнозируемой длительности негативного влияния, критичности события к календарному периоду и/или времени суток ). Авторы публикации щедры на примеры: отсылки к практике можно найти на плашках по ходу изложения основного материала. Кроме того, здесь есть сотни примеров рисков, разбитых на 20 категорий: от управления ИТ-инвестициями, программами и проектами до рисков, связанных с поставщиками, вредоносным ПО, атаками и регуляторами (с указанием релевантных контрмер).
Risk Scenarios Using COBIT 5 for Risk. Публикация, расширяющая COBIT5 for Risk. О ней мы писали отдельно. Несмотря на тесную связь с процессной моделью из COBIT5 Enabling Processes со всеми вытекающими, содержит невероятное количество деталей, бережно и структурно (как любят в ISACA, в табличном представлении) раскрывающих риск-сценарии из основной публикации. Подробнее описаний, возможно, и не найти.
FAIR (Factor Analysis of Information Risk). Труд независимого консультанта Jack A. Jones с интересной метафорой, вокруг которой построен вводный блок, иллюстрирующий, насколько разным может быть вроде бы один и тот же риск, рассматриваемый в различных контекстах и с разных точек зрения. В ядре публикации – ценная структура факторов, влияющих на вероятность и ущерб нежелательного события, которые могут помочь подобраться ближе к количественной оценке риска. Кроме того, автор дает массу полезных предостережений, которые стоит учитывать при идентификации и оценке, о многих из которых действительно не задумываешься.
Безусловно, есть еще масса стандартов, подходов, публикаций по теме, однако в моем случае самыми полезными оказались именно эти. Коллеги, поделитесь своим опытом. Чем бы расширили список?
Здравствуйте!
Как бы Вы оценили риск-направление у AXELOS? Существует же направление компетенций и сертификации Managment of Risk (M_o_R). В Интернете про это очень мало.