Awareness Управление рисками

Что такое ISO 31000?

by Альянс Лазаря 0 комментарий
Надежная система соответствия стандарту ISO 31000 от Lazarus Alliance

Многие предприятия ищут способы повысить свою безопасность и защитить свои интересы. Поскольку мир кибербезопасности, правовых рисков и операционных проблем становится все более сложным, правила соответствия контрольным спискам просто не справятся с этой задачей. Вот почему правительства и частные организации все чаще обращаются к управлению рисками как к инструменту обеспечения безопасности и соответствия. Вот почему ISO 31000, руководство по стандартизации для структур управления рисками, так важно.

 

The Международная организация по стандартизации (ISO) выпускает документы и рекомендации для организаций по картированию их внутренних процессов и продуктов. Такая документация может охватывать различные усилия по стандартизации для логистических операций, технологических конфигураций и почти любого другого бизнес- или производственного процесса.

ISO 31000 представляет собой серию документов, касающихся практики управления рисками. В рамках семейства документов 31000 организации найдут следующие стандарты:

  • ISO 31000 «Управление рисками»: Основной документ серии 31000, содержащий основные принципы, рекомендации и стандарты систем управления для модели риска, предложенной ISO. 
  • ISO 31004 «Руководство по внедрению ISO 31000»: В настоящем документе содержатся бизнес-рекомендации о том, как организации могут внедрить предложения стандарта ISO 31000. 
  • IEC 31010 «Методы оценки риска»: В этом документе представлены методы, специфичные для конкретных сценариев, которые организации могут использовать для внедрения руководств в 31000. IEC 31000, своего рода набор инструментов для управления рисками в соответствии с 31010, предоставляет легкодоступную информацию, которая помогает организациям принимать решения о том, как они реализуют риски, исходя из различных контекстов. 
  • ISO 31022 «Руководящие принципы по управлению правовыми рисками»: В этом документе подробно рассматривается тема правового риска. Организации могут использовать стандарты 31000, чтобы понять свою подверженность правовым рискам, связанным с бизнесом или логистическими операциями. 
  • ISO 31030 «Управление рисками в поездках»: Руководящий документ, призванный помочь организациям управлять рисками для организации и ее сотрудников при необходимости поездок. 
  • IWA 31 «Руководство по использованию ISO 31000 в системах менеджмента»: В настоящем документе описывается внедрение рекомендаций из 31000 в стандарты систем менеджмента ISO (MSS).

В целом требования ISO не являются обязательными ни в одной отрасли. Однако эти требования предоставляют важную информацию о том, как специалисты в области оценки и управления рисками понимают процесс и как крупные организации могут внедрять эти передовые практики. 

 

Что такое риск-менеджмент?

стандартами качества ISO 31000

Управление рисками является важнейшим фактором кибербезопасности и соответствия требованиям., и это становится только более актуальным по мере развития угроз и вызовов. 

Номинально многие фреймворки безопасности требуют контрольного списка требований. То есть, организации должны иметь возможность внедрить набор технологий или практик, отметить это в отчете или форме и предоставить этот отчет руководящему органу для демонстрации надлежащей безопасности. 

Однако современные бизнес-системы сложны и полны нюансов, а во многих случаях гиперспециализированы на конкретных приложениях. Более того, требования, которым они подвергаются, разнообразны и одинаково сложны. Понятно, что простое наличие контрольного списка требований соответствия, хотя и удобное и ценное, является лишь частью решения. 

Многие секторы, включая государственное управление ИТ и национальную инфраструктуру, обращаются к управлению рисками как к модели соответствия. Руководящие принципы, такие как Национальный институт стандартов и технологий (NIST) Структура управления рисками (RMF) приоритетная оценка рисков как движущая сила соблюдения требований. 

Быстро классифицируя RMF, NIST делит структуру на семь этапов:

  • Подготовить
  • классифицировать
  • Выберите
  • Осуществлять
  • Оценивать
  • санкционировать
  • Монитор

Ожидается, что организация будет думать о своей ИТ-инфраструктуре и ее связи с потенциальными уязвимостями на каждом этапе. Разрывы между ИТ-системами и угрозами безопасности, бизнес-целями или требованиями соответствия отображаются на организационной структуре для координации того, что означает для этой организации равное приоритетное внимание к безопасности и бизнесу. Что еще более важно, эти организации могут делать это с более информированной структурой, которая способствует пониманию этой инфраструктуры и ее разрывов. 

К сожалению, NIST не применим ко всем отраслям, даже если подходы, основанные на оценке риска, полезны. Вот где в игру вступает такой документ, как ISO 31000. С ISO предприятия за пределами регулируемых отраслей (и некоторые внутри них) могут использовать структуру, которая учит их управлять рисками как движущей силой для согласования безопасности и бизнес-целей. 

 

Как стандарт ISO 31000 определяет управление рисками?

ISO 31000 разделяет подход к управлению рисками на три ключевых компонента:

  • Выявление рисков
  • Оценка вероятности негативных событий на основе этих рисков
  • Определение серьезности воздействия события

Из этих компонентов ISO 31000 определяет восемь принципов:

  • Сопричастность: Все заинтересованные стороны организации должны быть вовлечены в управление рисками. 
  • динамизм: Управление рисками должно меняться и адаптироваться к меняющимся условиям бизнеса и отрасли. 
  • Лучшая информация: Управление рисками должно осуществляться на основе максимально точных данных. 
  • Человеческая сила: Оценка рисков должна включать оценку человеческого фактора. 
  • Непрерывное улучшение: Инструменты управления и оценки рисков должны постоянно совершенствоваться с учетом меняющихся условий ведения бизнеса. 
  • Интеграция: Управление рисками должно быть интегрировано во все бизнес-операции. 
  • Комплексная структура: Управление рисками должно охватывать все известные риски, а не отдельные проблемы. 
  • Индивидуальные: Управление рисками должно адаптироваться к потребностям компании.

Наконец, эти принципы и компоненты применяются в шести важнейших областях организации: 

  • Руководство: Руководители бизнеса и технические специалисты должны способствовать принятию и постоянному применению структуры управления рисками. 
  • интеграцию: Операции превыше всего, и инструменты управления рисками (хотя они необходимы на всех уровнях организации) не должны препятствовать операциям. 
  • Дизайн: Организации должны разрабатывать систему управления рисками на основе своих конкретных потребностей. 
  • Реализация: Организации должны иметь четкие политики и процедуры по внедрению структуры управления рисками, включая цели, сроки и результаты. 
  • Оценка: Организации должны внедрить критерии оценки и показатели для измерения усилий по управлению рисками.
  • Улучшение: Организация должна постоянно совершенствовать свои системы управления рисками на основе организационных потребностей и требований отрасли. 

 

Используйте ISO 31000 для обеспечения безопасности и операций на основе оценки рисков

Многие предприятия обращаются к сертификации ISO 31000, чтобы укрепить свои сложные потребности в безопасности. Когда контрольные списки соответствия не решают проблемы защиты бизнеса, такой документ, как ISO 31000, может предоставить необходимую основу для решения этих проблем. 

Однако применение этой структуры требует времени, усилий и поддержки. Сертификация — это мощный инструмент, который сигнализирует о вашей приверженности риску и безопасности, а также помогает вам наладить отношения с экспертными фирмами по безопасности, которые проводят аудит и предоставляют информацию о том, как внедрять решения по управлению рисками. 

 

Вы готовитесь к сертификации ISO 31000?

Позвоните в Lazarus Alliance по телефону 1-888-896-7580 или заполните эту форму. 

Загрузите брошюру нашей компании.

Нет изображения Пусто

Альянс Лазаря

Веб-сайт: