Коммуникация рисков

image_pdfimage_print

С целью эффективного предоставления отчетности и оповещений о рисках должен быть разработан и поддерживаться в актуальном состоянии план коммуникаций, который определяет ключевых участников процесса управления рисками и лиц, принимающих решения, а также механизмы распространения решений и получения обратной связи. Этот план должен включать в себя механизмы для регулярного обновления информации о рисках как составной части программы непрерывного повышения осведомленности сотрудников компании в вопросах информационной безопасности. Он также должен предусматривать реализацию процедур связи с общественностью для оглашения информации об инцидентах безопасности.

_________________________________________

Коммуникация рисков:

  • ключевые участники и лица, принимающие решения;
  • отчеты и оповещения о рисках;
  • распространение решений по рискам;
  • получение обратной связи;
  • обновление информации о рисках;
  • повышение осведомленности;
  • связь с общественностью;
  • раскрытие информации об инцидентах.

____________________________________

Обратная связь является существенным ингредиентом в повышении эффективности СУИБ, которая должна стать частью культуры организации. С этой целью должна поощряться идентификация и сообщение о проблемах, рисках и инцидентах.

Эффективные предложения по стратегиям исправления должны премироваться. Эта информация должна систематически накапливаться и анализироваться. Например, может использоваться специальная форма для получения предложений от сотрудников. Следующие рекомендации британского стандарта BS 7799-3 касаются организации процесса получения обратной связи и вовлечения сотрудников в процессы управления рисками.

  • Используйте простую и легко заполняемую форму для получения предложений.
  • Четко определите область действия для предложений, касающихся СУИБ и связанной с ней бизнес-деятельности.
  • Определите контакты для отправки предложений и запросов.
  • Выражайте признательность за любое обращение.
  • Сохраняйте восприимчивый ум и будьте гибкими в отношении предложений.
  • Там, где это возможно, привлекайте человека, сделавшего предложение, к процессу решения проблемы.
  • Предусмотрите систему премирования полезных обращений.
  • Быстро и эффективно внедряйте предлагаемые усовершенствования.
  • Делайте информацию об успешных усовершенствованиях достоянием общественности.
  • Выпускайте периодические напоминания о процессе усовершенствования.

Автор

Александр Астахов

Эксперт по информационной безопасности, автор книг и статей, предприниматель, основатель группы GlobalTrust, компании Protectiva, портала ISO27000.RU.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *