В рамках цикла заметок я хотел бы рассмотреть существующие на практике подходы, а точнее шкалы по оценке уровня зрелости, применимые к области информационной безопасности, обозначив зону из применения.
Сразу же стоит отметить, что, безусловно, оценка нужна не ради оценки, а чтобы понять, где вы (насколько достигаются поставленные цели) и куда вам идти дальше/выше.
Начать хотелось наверно с самой популярной шкалы от ISACA, представленной в COBIT.
Данная шкала предназначена для оценки зрелости процессов.
Под процессом понимается следующее:
А в части шкалы речь идет об оценке зрелости процессов из COBIT 4.1, включающей 6 уровней:
- «0»: Несуществующий процесс;
- «1»: Начальный процесс;
- «2»: Повторяемый процесс;
- «3»: Определенный (документированный) процесс;
- «4»: Измеряемый и управляемый процесс;
- «5»: Оптимизируемый процесс.
Сейчас всё чаще упоминается «модель зрелости» из COBIT 5, но это не совсем корректно, т.к. в COBIT 5 представлена модель возможностей процессов (Process Capability Model), а не их зрелости.
Данная модель сформирована на базе серии стандартов ISO/IEC 15504 «Information technology -- Process assessment», первая часть данного стандарта ISO/IEC 15504-1:2004 «Information technology -- Process assessment -- Part 1: Concepts and vocabulary» была в 2015 году заменена на ISO/IEC 33001:2015 «Information technology – Process assessment – Concepts and terminology».
В данном «окружении» уже используются другие понятия:
- возможность процесса оценки (Process Capability): Характеристика способности процесса оценки к достижению текущих или планируемых бизнес-целей;
- уровень возможности процесса оценки (Process Capability Level): Положение по шестиразрядной упорядоченной шкале возможности процесса, которое характеризует возможность процесса;
- уровень зрелости процесса (Process Maturity Level): Определенная по порядковой шкале организационная зрелость процесса (степень, в которой организационное подразделение последовательно выполняет процессы в определенной области, что способствует достижению бизнес-потребностей)), которая характеризует организационную зрелость подразделения с точки зрения используемой модели зрелости.
Продолжение следует …
