Планирование и решение вопросов управления всеми уровнями IT-инфраструктуры призвано оказать помощь руководителям ИТ-подразделений в сфере внедрения элементов административного управления информационными технологиями на предприятии на основе структурного подхода.
Введение включает следующие разделы:
Элементы управления ИТ. В этом разделе описаны различные типы элементов управления ИТ, способы их взаимодействия и значение этих компонентов для соблюдения организацией нормативных требований.
Процедура аудита ИТ. В этом разделе приводятся общие сведения о процедуре, используемой аудиторами в большинстве организаций для оценки степени соответствия нормативным требованиям.
Бизнес-факторы. В этом разделе рассматриваются бизнес-факторы, имеющие непосредственное отношение к вопросам соответствия нормативным требованиям. В их числе проблемы сложной нормативно-правовой среды, достижения и поддержания соответствия законодательным предписаниям, а также последствий их несоблюдения. Кроме того, здесь затрагиваются вопросы, касающиеся создания и совершенствования бизнес-процесса, получения конкурентных преимуществ, а также повышения уровня окупаемости инвестиций благодаря экономии времени и снижению затрат.
Участники процесса административного управления ИТ это, в первую очередь, руководители ИТ-подразделений, которые несут ответственность за функционирование элементов ИТ-инфраструктуры, обеспечивающих соблюдение конфиденциальности, безопасности и надежности в соответствии с различными нормативными предписаниями. Целевая аудитория процесса административного управления включает руководителей ИТ-подразделений, которые занимают в своих организациях следующие должности:
директора по информационным технологиям, обязанности которых включают развертывание и эксплуатацию ИТ-систем и ИТ-процессов;
директора по информационной безопасности, ответственные за реализацию общих программ обеспечения безопасности данных и соблюдения политик информационной безопасности;
финансовые директора, на которых возложены общие контрольные функции:
директора по вопросам конфиденциальности, занимающиеся реализацией политик, связанных с управлением личными данными, включая политики соблюдения законов об охране конфиденциальности и защите данных;
должностные лица, принимающие технические решения, которые определяют технологические решения конкретных проблем ведения бизнеса;
руководители по эксплуатации ИТ-инфраструктуры, отвечающие за функционирование систем и процессов, выполняющих программы соблюдения нормативных требований;
разработчики архитектуры информационной безопасности, которые проектируют системы ИТ-контроля и безопасности для обеспечения уровней безопасности, соответствующих потребностям организаций;
разработчики архитектуры ИТ-инфраструктур, которые проектируют инфраструктуры, способные поддерживать созданные разработчиками архитектуры информационной безопасности системы;
консультанты и партнеры, занимающиеся внедрением рекомендаций по обеспечению конфиденциальности и безопасности в интересах соблюдения их клиентами нормативных требований.
Кроме того, в процесс должны быть вовлечены:
должностные лица, ответственные за управление рисками в масштабе организации при обеспечении соответствия нормативным актам и стандартам;
руководители аудиторских групп по ИТ, занимающиеся организацией аудита ИТ-систем и снижением рабочей нагрузки на внутренних и внешних аудиторов ИТ.
Элементы управления ИТ
Элемент управления можно определить как «устройство или механизм, с помощью которого регулируют или направляют работу машины, аппарата или системы». Организации используют элементы управления, чтобы регулировать бизнес-процессы, включая производство, распространение, финансирование и т. д. Элементы управления позволяют организациям пресекать и исправлять нетипичное поведение, а также предотвращать либо ограничивать распространение недостатков и ошибок.
Многие нормативные акты ставят перед собой цель гарантировать наличие в организациях надлежащих элементов управления. Например, HIPAA предписывает внедрение надлежащих элементов управления информационной безопасностью и конфиденциальностью для защиты данных пациентов медицинских учреждений. А SOX обязывает открытые акционерные компании в США применять элементы управления, чтобы обеспечить точность финансовой отчетности.Организации внедряют элементы управления для того, чтобы:
снизить риск мошенничества;
обеспечить защиту активов компании;
предотвратить утечку коммерческих секретов;
обеспечить соблюдение нормативных требований;
повысить уровень осведомленности о состоянии бизнеса;
повысить эффективность ведения бизнеса.
В самом общем смысле элементы управления можно разделить на элементы управления коммерческой деятельностью и элементы управления информационными технологиями. Элементы управления обеих категорий предназначены для противодействия рискам, которым подвергается компания. Однако они различаются по способам внедрения и применения. Элементы управления коммерческой деятельностью регулируют и направляют бизнес-процессы в организации. Например, требование утверждения руководством заказов на закупки является элементом управления, предназначенным для предотвращения необоснованного расходования средств. Элементы управления коммерческой деятельностью создаются практически для всех процессов в организации — от найма сотрудников и закупок до сбыта и финансовой отчетности.
Элементы управления ИТ регулируют и направляют использование в организации всех ИТ-процессов и систем. Они ориентированы на процессы, находящиеся в ведении руководителей ИТ-подразделений, включая доступность ИТ-ресурсов, управление изменениями, создание учетных записей пользователей, вопросы безопасности и т. д. Именно об этих элементах управления пойдет речь в настоящем руководстве.
