У вас много проектов по ИБ и вы не знаете какой выбрать?

Достаточно распространенная ситуация, встречающаяся в жизни многих компаний и предприятий. И часто возникает вопрос, как приоритезировать множество проектов? Помочь в этом может публикация национального американского инстутита стандартизации NIST SP 800-65 "Recommendations for Integrating Information Security into the Capital Planning and Investment Control Process (CPIC)". Я про них уже писал , но решил вернуться именно в данном контексте. Раздел 3 данного документа описывает именно процесс приоритезации. Все проекты классифицируются по 6-ти критериям. И хотя сам документ ориентировано на государственные структуры США, его рекомендации могут быть полезны и в коммерческой сфере. Из 6-ти критериев в бизнесе можно взять 5: влияние на бизнесценасоотношение цена/эффективностьвыполнимостьважность проекта в деятельности организации (привязка к бизнес-целям).Дополнительно также рекомендуется применять и другие критерии: зависимость анализируемого проекта от другихзависимость других проектов от анализируемогосложностьвремя завершения.Затем данным критериям присваиваются веса и потом применяются традиционный системный анализ. Оцениваем каждый проект по пятибальной (трехбальной) шкале, умножаем показатель на вес критерия, суммируем все показатели по каждому проекту и получаем итоговые значения, которые и ранжируются по убыванию. Проекты с бОльшим значением должны выполняться в первую очередь. ЗЫ. Напомню, что сам документ описывает вопросы планирования и бюджетирования ИБ.