Области ответственности CISO по COBIT5

Области ответственности CISO по COBIT5
Сегодня перечитывал книгу COBIT5 Enabling Processes (в ней детально описаны все процессы COBIT5). Я смотрел метрики процессов, но заодно обратил внимание и на RACI-Chart (таблицы ролей и ответственности) по процессам и их "ключевым практикам". Как оказалось, CISO является ключевым исполнителем (Responsible) и уж, тем более, ответственным (Accountable) совсем небольшого количества процессов. Решил выбрать их все, это:
  • EDM03 Ensure Risk Optimisation 
    • EDM03.03 Monitor risk management - R
  • APO01 Manage the IT Management Framework
    • APO01.04 Communicate management objectives and direction - R
  • APO12 Manage Risk
    • APO12.01 Collect data - R
    • APO12.06 Respond to risk - R
  • APO13 Manage Security
    • APO13.01 Establish and maintain an ISMS - A
    • APO13.02 Define and manage an information security risk treatment plan - A
    • APO13.03 Monitor and review the ISMS - A
  • DSS01 Manage Operations (в части физической защиты от внешней среды и безопасности оборудования) 
    • DSS01.04 Manage the environment - A
    • DSS01.05 Manage facilities - A
  • DSS05 Manage Security Services
    • DSS05.01 Protect against malware - A
    • DSS05.02 Manage network and connectivity security - A
    • DSS05.03 Manage endpoint security - A
    • DSS05.04 Manage user identity and logical access - A
    • DSS05.05 Manage physical access to IT assets - A
    • DSS05.07 Monitor the infrastructure for security-related events - A

Напомню, что в COBIT5 представлена модель из 37 процессов, т.е. CISO "самый главный" лишь в 2х (APO13 и DSS05) и еще в 4х принимает активное участие. В частности, он НЕ является ответственным и ключевым исполнителем в процессах управление запросами и инцидентами, управление проблемами, управление непрерывностью, управление поставщиками и других...
Вот такая вот общая картина. Причем у меня складывается впечатление, что область ответственности все сокращается и сокращается... Такая вот информация к размышлению.
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться

Andrey Prozorov

Информационная безопасность в России и мире