Подумал, и решил развить идею описанную Алексеем Волковым, что ИБ должна быть провайдером сервисов. Благо, приходилось как выступать представителем внутренней службы заказчика, так и предоставляя услуги внутренним и внешним заказчикам.
Итак, приступим. Понятно, что стратегический выбор стать внутренним сервис-провайдером мы уже сделали (или его сделало за нас наше руководство), и для достижения этой цели у нас есть следующие задачи:
Возьмем другое классическое определение (NIST 800-27) - "активность, что поддерживает одну или более целей безопасности. Например управление ключами, управление доступом". И тут уже совсем другая ситуация - заказчики у нас теперь руководствуются не бизнес-целями а целями безопасности (может они не разделяют эти цели в данном случае?), да и сами заказчики не упомянуты, может заказчиком в множественном числе и нет, а есть всего 1, то бишь руководитель?.. Для простоты назовем его CEO;) Тут разговор о вменененности не идет, т.к. уж СEO в рамках организации мы ничего вменить не можем
Итого, мы получили аж 2 определения услуг, и 3 их вида, с соответствующими заказчиками и стейкхолдерами (заинтересованными лицами):
Итак, приступим. Понятно, что стратегический выбор стать внутренним сервис-провайдером мы уже сделали (или его сделало за нас наше руководство), и для достижения этой цели у нас есть следующие задачи:
- Построить систему маркетинга и пролажи услуг - понять что такое услуга, кто наш заказчик (или заказчики, при этом по умолчанию будем считать что бюджетами в компании распоряжаются и главы департаментов, т.е. т.н. "средний менеджмент"), какие услуги и с какими параметрами ему нужны, как мы будем отслеживать удовлетворенность заказчика (а может и управлять ей;)
- Построить систему учета ресурсов и управления финансовой эффективностью - организовать учет затрачиваемых для организации услуги ресурсов, научиться бюджетировать наши затраты и выставлять "счета" заказчикам
- Построить систему управления услугами - понять какие процессы и с какими метриками нам нужны для управления услугами, какие компетенции\технологии и в каком количестве нам нужны
- Построить систему найма и обучения персонала - создать модель компетенций в области ИБ, выстроить систему обучения - периодичность, источник финансирования, измерение эффективности обучения, наконец - управление провайдерами обучения, как минимум по параметрам качества обучения и его стоимости
Возьмем другое классическое определение (NIST 800-27) - "активность, что поддерживает одну или более целей безопасности. Например управление ключами, управление доступом". И тут уже совсем другая ситуация - заказчики у нас теперь руководствуются не бизнес-целями а целями безопасности (может они не разделяют эти цели в данном случае?), да и сами заказчики не упомянуты, может заказчиком в множественном числе и нет, а есть всего 1, то бишь руководитель?.. Для простоты назовем его CEO;) Тут разговор о вменененности не идет, т.к. уж СEO в рамках организации мы ничего вменить не можем
Итого, мы получили аж 2 определения услуг, и 3 их вида, с соответствующими заказчиками и стейкхолдерами (заинтересованными лицами):
- Бизнес-ориентированные "добровольные" услуги, заказчики и стейкхолдеры - главы департаментов
- Бизнес-ориентированные "вмененные" услуги, заказчики - главы департаментов, стейкхолдеры - руководство
- Организационно-ориентированные услуги, заказчик и стейкхолдер - CEO
Комментариев нет:
Отправить комментарий