Портал №1 по управлению цифровыми
и информационными технологиями

Реальные примеры: отчеты по оценке рисков

risk_assessmentМы продолжаем делиться с вами примерами полезных документов по различным процессам ITSM и не только. Мы уже публиковали подборки ссылок на интересные материалы по управлению инцидентами, управлению уровнем услуг, управлению изменениями и управлению конфигурациями. Сегодня тема более специфичная, но также касающаяся задачи, которую нередко приходится решать, особенно при запуске новой услуги или проекта – оценка рисков. В дайджесте – примеры и шаблоны отчетов по оценке рисков.

Но сначала – как всегда, предостережение. Представленные ниже документы не подвергались детальному анализу со стороны нашей редакции. Тем не менее, они показались нам интересными примерами, которые можно использовать для знакомства с опытом других организаций, расширения кругозора, самопроверки и поиска полезных идей.  

Примеры:

  • Old Dominion University System Risk Assessment Template – не просто шаблон, но полноценный пример отчета по оценке рисков ИТ-системы, который можно дорабатывать под свои нужды. Есть примеры уязвимостей, рисков, контролей, а также заполненный реестр рисков.
  • Commonwealth of Virginia Information Technology Risk Management Guideline – документ, похожий по структуре на предыдущий, но помимо таблиц есть подробное описание порядка действий по оценке и довольно много вводной информации.
  • University of Connecticut IT Security Risk Assessment – лаконичный шаблон, заточенный под оценку рисков ИБ конкретного бизнес-подразделения.
  • Risk Assessment Template от Office of Internal Audit – excel-вариант реестра рисков, содержащий общий шаблон, а также примеры бизнес-рисков, ИТ-рисков и рисков информационной безопасности.
  • OCISO Draft Risk Assessment Report – еще одно очень подробное описание и шаблон оценки в соответствии с NIST SP 800-30 Risk Management Guide for Information Technology Systems.
  • RMB Standard Risk Register – универсальный шаблон реестра рисков в excel-формате. Особенно приглянулся из-за наличия полей: objective (цель), risk event (нежелательное событие), risk cause (причина риска) и impact/consequence (последствия), что видится наиболее удобным подходом описания риска. Кроме того, в таблице заложена возможность автоматического расчета уровня риска на основании оценок вероятности и ущерба.
  • Кроме того, напомним о существовании Risk Scenarios ToolKit – приятном бонусе к документу Risk Scenarios Using COBIT 5 for Risk, в котором подробно описано несколько десятков типовых рисков, разнесенных на 20 категорий. Об этом документе мы уже подробно рассказывали. Но он, к сожалению, доступен только для членов ISACA.

Комментариев: 3

  • Илья Рунов

    Коллеги, есть ли возможность поправить ссылку на Risk Assessment Template от Office of Internal Audit?

    Хотя интересующимся, конечно, Google поможет.

  • Justmag

    Ребята, это по сути один и тот же подход к документированию, описанию рисков.

    Рабочей Методики оценки риска в этих примерах…нет… 


Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM