Не торопитесь.

Засада в том, что просто_безопасность или вообще_безопасность (т.е. само слово "безопасность" без прилагательного или зависимого существительного) не выражает ровным счетом ничего. Точнее говоря, способна выражать что угодно. Как дышло из соответствующей поговорки.
Через нее может быть сформулирована практически любая деятельность. А может быть и не сформулирована - тут уж у кого как сложилось. Глупо искать закономерности в простом стечении обстоятельств.

Судите сами:
юристы легко могли бы именоваться правовой безопасностью;
снабженцы - хозяйственной безопасностью;
столовка - продовольственной безопасностью;
строители - климатической безопасностью;
управление персоналом - кадровой безопасностью;
уборщицы - гигиенической безопасностью;
и т.п.
То, что они НЕ называются в русском языке какими-нибудь безопасностями  - воля случая и расположение звезд, каковые переменчивы.

Сомневаетесь? А зря. Прекрасно помню, что экологическая безопасность когда-то была экологией, энергетическая - энергетикой, а промышленная - охраной труда. И, кстати, могли бы до сих пор ими быть: использование в условном названии нового слова содержание их дела особо не поменяло.

Я понимаю профессиональные сферы как-то определять через бизнес (содействие бизнесу в том, опора бизнесу в сем, поддержка бизнеса в пятом, подспорье бизнесу в десятом), но через безопасность - зачем? Нет у фирмы такого смысла жизни (кроме тех случаев, когда сама безопасность и является ее товаром, т.е. синонимом собственно бизнеса).

p.s. С "защитой" (пожарной, компьютерной, гигиенической, социальной и т.д.) точно такая же петрушка, как с "безопасностью": без ключевого слова это фантом, а не миссия. А с ключевым - и подавно разные жанры.

Ага  

А еще есть Планирование, и есть его составляющие:
Планирование инвестиций
Планирование поставок
Планирование эвакуации при пожаре
Планирование сетки
Планирование с крыши
Планирование бросить курить и заняться спортом
Планирование семьи
Планирование земельных участков
Раз везде встречается слово "планирование", значит это подвиды одного и того же, а не вполне себе самостоятельные жанры. Осталось выяснить, какой из них народился раньше, и какой от какого произошел.

Или вот, скажем, составляющие Сдачи:
Сдача проекта
Сдача колоды
Сдача в плен
Сдача с пятисот рублей
Сдача товара на склад
Сдача квартиры в наем
Сдача макулатуры
Сдача соседа налоговикам
Сдача больничного в отдел оплаты труда
Сдача обидчику со всей дури
Все эти занятия - "дочки единого генеалогического дерева", именуемого Сдачей.

Красиво. По крайней мере, стройно и романтично.
А главное - полезно.

А где там ИБ? Да и  мерило - простой возраст бизнеса. Подмены.

Ну и что?
Цель продуктового магазина - обогатиться за Ваш счет, но и Вам интересно, чтобы пиво было холодным, а раки свежими, и им интересно. Где антагонизм?

Глубоко.
Ну и какова же должна быть зарплата, чтобы $400.000.000 ни одну скотину не привлекали? Не надо слов, просто цифру назовите.
Почему-то уверен, что вместо прямого ответа Вы все-таки перейдете в плоскость борьбы (не надо такие деньги в доступном месте разбрасывать, надо скотин при приеме на работу фильтровать, надо лучше следить и т.п.) или вообще пропадете.

Обознатушки-перепрятушки! 27001 пытались переводить одновременно с ISO 17799:2005, а принятый ГОСТ Р ИСО/МЭК это ISO 17799:2000.

Грабь награбленное?

Ну все, пошел разговор ни о чем.

А "работник, разгласивший информацию" это называется "поздно пить Боржоми".
Не так уж важно, по этой статье Вы его уйдете или выберете более надежную, или еще как счеты сведете, т.к. даже если за решетку посадите это не сделает разглашенную информацию обратно тайной. И про возмещение ущерба забудьте, т.к. это 3000 лет % с его зарплаты. Разве что другим в назидание. То есть наказывать его, конечно, все равно надо, но это уже роспись в провале.

27001 certified  

Наверно имелся в виду ROI, но ответ мне нравится.

Я даже могу объяснить, почему Вы его получили. Стоимость сохраненной информации это результирующий вектор всех мер ИБ, их совокупный вклад в дело. По этой цифре (даже если Вы ее смогли более или менее правдоподобно измерить) действительно нельзя сказать, что какая-то из мер суперэффективна, малоэффективна, бесполезна или даже вредит. Поэтому отдельную меру Ваша мега-метрика не берет.

"Вещи" это категория мышления... (не скажу, кого). Есть цели, и есть средства. Цели, достигаемые средством А и средством Б, могут перекрываться.

Какие цели, по-моему мнению, должен преследовать своевременный отъем прав, я указал. Раз Вы этого не сделали, то будем исходить из моих.
Относительно этих целей более эффективным, нежели обходной лист, является вовлечение в этот процесс непосредственного руководителя работника, т.к. отъем должен производиться не в последнюю секунду, а по мере выхода работника из бизнес-процессов. Руководители должны быть обязаны постоянно критически оценивать права работника прямо с того момента, когда ему стало известно о будущем уходе, и заявлять о необходимости ликвидации лишних по мере их появления (т.е. передачи дел).
Как этого от них добиться - дело десятое (как обычно, весьма действенны проверки и удары рублем).
Но только руководитель знает функции подразделения и задачи, остающиеся у работника. И об уходе знает намного раньше кадров. И еще он более чувствителен к получению по голове, чем увольняемый, т.к. еще расчитывал поработать.
А окончательная ликвидация всего в последний день (автоматизированная или нет - не суть) это уже просто "контрольный выстрел в голову". Всего лишь.

Зы: на язык котлет можете перевести сами, я не владею.

avramov,
Ваш эффект опять в денежных единицах. Ну-ка оцените этим путем ту табличку "02-02".

Наполовину согласен, только что сам хотел привести пример с эффективностью ремонта офиса. Скрытый экономический эффект там, конечно, есть (от повышения производительности работников и серьезности в глазах потенциальных партнеров), но расчет очень нетривиальный    
Не согласен, что панацея в оценке стоимости утечки, т.е. опять же денежном эквиваленте. Многие вещи вообще в деньгах не оценишь. Вернее, оценишь, но с такой достоверностью, что "мама, не горюй". Ну и зачем оно тогда надо?

Возьмите любую "незакупочную" меру. Ну, например, решили Вы по всем помещениям рядом с бумажками "При пожаре звонить 01-01" повесить "При инциденте звонить 02-02". Ну и как считать эффект? А просто считать его надо не в долларах, а в тех единицах, которыми измерялась цель, для которой Вы это печатали и вешали.
Скорее всего в данном случае ожидалось увеличение осведомленности работников, кого им информировать об инциденте, и, в конечном счете, сокращение среднего времени между происшествием и реагированием, а также увеличение (парадокс!) количества обрабатываемых инцидентов.
Это и есть Ваши метрики. Опросить 20 человек до и после на предмет %-та, знающего, куда обращаться в случае чего. Посчитать, как выросло число региструемых случаев. Посчитать, как изменилось время между происшествием и подключением к нему безопасников.
Ну, или вот можно взять пример с обходным листом chinga (отдача от которого ей нравится, а мне нет), который она не может легко оценить в долларах, поэтому не оценивает вообще...

Ненаучно? А и наплевать, если это гораздо адекватнее характеризует степень достижения ожидаемого эффекта, чем откровенное очковтирательство с "научным" вариантом.

Не усложняйте (и не запутывайте chinga): там задача решаема, если tqm понимать.

Надо перестать видеть отдельные слова и посмотреть на весь 27001 сразу, в-целом.
Постарайтесь узреть в нем одно большое колесо pdca размером с весь документ. И оценивание эффективности это check руководством всей isms, которую организация планировала и внедряет. Это "по гамбургскому счету", а не в части какой-то отдельной защитной меры. И поэтому оцениваться деятельность в области иб должна не относительно денег, а относительно тех целей, которые менеджмент перед собой ставил. Причем деятельность организации в деле иб, а не деятельность отдела иб. Открывайте свое заявление руководства и смотрите, что в нем написано про то, зачем оно решило безопасностью заниматься - это и есть ваши глобальные метрики всея смиба. Например, "повышение доверия клиентов". Отлично: надо смотреть, стало ли их больше или стали ли они больше денег доверять. "Повышение конкурентоспособности наших сервисов" - стало ли меньше претензий на этой почве, переметываются ли из-за этого к Вам от конкурентов. И т.п. Если оценить не получается - пущай сначала commitment по-человечески напишут.

Это просто наводка.
Я не знаю, что конкретно у Вас провозглашено (и думал ли менеджмент, что говорит), но оцениваться должно приближение вон к тем мега-целям безопасности. Бизнесовым, а не бухгалтерским.
Поймите самое главное: review там завязан на establish. И то, что описано в качестве входов ривю, это не то, что оценивать, а то, с помощью чего оценивать. Материалы, как-то свидетельствующие о правильной динамике. Что надо оценивать - см. коммитмент.

з.ы. Ответ, конечно, более предназачается chinga. Статью Вы и так напишете.

Обознатушки: блокирование все равно будет происходить в тот же день, что и при обходном листе (т.е. в последний), и сотрудник опять уже 2 недели или месяца, как все украл.

Иногда не мешает сначала определиться, "шашечки или ехать". Вам нужна именно эта процедура сама по себе или достижение какой-то цели? Вероятно, хочется уменьшить возможность злоупотребления уходящим работником теми правами и активами, которыми он обладал. Сильно ли такая процедура ему в этом мешает? А не слишком.

Предположим, что каким-то немыслимым закручиванием гаек достигнуто ее 100%-ное выполнение работниками, но решает ли это проблему из-за которой все затевалось?
1. Работник получает Обходной лист при подаче заявления (т.е. за 2 недели) и должен сдать в день увольнения (в обмен на деньги или Трудовую). Замечательно: он 13 дней сливает все, что ему приглянется, и в 14-ый заходит к администратору, чтобы он его отключил от того, что ему уже и так не надо.
2. Решение об уходе принято гораздо раньше (договорились с руководителем, что доделывает проект, подыскивает другое место и к февралю чтоб уже ноги здесь не было). Чудесно: даже на момент получения Обходного (а заявление будет писаться в середине января, т.е. опять же за 2 недели) он уже 2 месяца, как все полезное забрал.
Ну и смысл? Процедура работает, а работник все равно все унес.

Можно ли лучше? Можно. Если перестать держаться за саму эту схему.

Я лишь хочу, чтобы Вы отдавали себе отчет, что этот "способ" работает только в случае наивного и безграмотного работника. Вам просто повезло, если Вы этого еще не выяснили.

Т.е. Вы не знаете, что дальше. Ладно, извинения приняты.
Тогда уж назовите ее, чтобы собравшиеся к Вам устраивались, писали по собственному и суды выигрывали.

Локальное положение о дисциплине (или Внутренний распорядок, как Вы это называете) тоже филькина грамота, если противоречит ТК. Но не в этом дело.

Итак. Пишет работник заявление свое за две недели, ему его подписывают. Когда он его в кадры отдавал, они ему Обходной лист дали. Он, не будь дурак, спорить не стал, взял. В день увольнения заявляется за Трудовой, у него взамен подписанный Обходной лист просят: "Извиняйте, тетки, но выкинул я его в унитаз, о чем не жалею". И что дальше? (Напоминаю: Вы его обязаны уволить и рассчитать сегодня, т.к. законный срок вышел).

Трудовой Кодекс почитайте для расширения профессионального кругозора.
Работник ничего не должен и имеет полное право поступить с этим Вашим листочком так, как сочтет нужным - работодатель все равно обязан в последний день работы выдать ему Трудовую и произвести расчет.
Вы не знали, что это противозаконный приемчик, рассчитанный "на лоха"?