23 сентября, воскресенье 19:54
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Кто должен оценивать?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Кто должен оценивать?

    Господа, нужен практический совет.
    Волею судеб, как это у нас бывает, пришлось мне заняться изучением СТО БР ИББС. Нужно провести самооценку соответствия.
    А вопрос мой вот в чем: кто все-таки должен выставлять оценки по частным показателям? Дело в том, что по стандарту (руководству по самооценке) оценивание производят члены группы из числа сотрудников ИБ-подразделения на основании полученных свидетельств. А вот автоматизированная система "Estimate Tool", рекомендованная прямо в тексте руководства по самооценке, допускает, и даже прямо предписывает, выставление конечных оценок самими сотрудниками(руководителями) проверяемых подразделений, правда с обоснованием в комментарии выставленной оценки.
    Автоматизированной системой пользоваться не собираемся, в Exel анкеты сделаем, но вопрос остается. Какие есть соображения?

  • #2
    По стандарту, оценки выставляет специально сформированная "аудиторская группа". Та, что из сотрудников ИБ.
    Сотрудники (руководители) проверяемых подразделений нужны для получения информации, которую будет учитывать аудиторская группа при выставлении оценок.

    Комментарий


    • #3
      box_roller
      Да, по стандарту это так. Но у нас пока нет отдельного ИБ-подразделения. Допустимо ли все-таки доверять выставление оценок сотрудникам подразделений?
      Вот что пишут в руководсве "Estimate Tool":
      группа ввода данных – пользователи, выполняющие заполнение электронных форм для оценивания показателей ИБ. Назначаются из числа участников проверяющей группы, либо сотрудников, предоставляющих источники свидетельств и свидетельства самооценки ИБ (с учетом соответствующих инструкций по ИБ оцениваемой организации). При необходимости могут привлекаться другие участники самооценки ИБ.

      Комментарий


      • #4
        Сообщение от Garson#2 Посмотреть сообщение
        box_roller
        Да, по стандарту это так. Но у нас пока нет отдельного ИБ-подразделения. Допустимо ли все-таки доверять выставление оценок сотрудникам подразделений?
        Зависит от подразделения, но я бы не стал.

        Мне приходится проводить аудит в двух организациях. В первой у меня ушел год на то, чтобы убедить айтишников, что это не оценка качества их работы, Бились насмерть ("у нас все хорошо, так и надо, почему вы показатели загнижаете"). Отношение изменилось только после того, как столкнулись с первыми серьезными инцидентами и до них дошло, что раньше они этих инцидентов просто не замечали. Теперь относятся к себе более объективно. но все равно заметно, что ошибки признают со скрипом.

        Во второй организации аудит инициирует начальник ИТ. Он четко понимает, чего хочет добиться, сам выставляет оценки, от меня хочет только методологическую поддержку и независимую оценку результатов. Где-то мы с ним в оценках расходимся, но не сильно.

        Комментарий


        • #5
          to Garson#2
          А что вы подразумеваете под "Кто должен оценивать?" ?

          Оценивать - сбор необходимой информации для последующего анализа её аудиторами?
          или
          Оценивать - окончательная оценка, выставляемая аудиторами, на основании ранее собранной информации?

          По iso 19011
          аудит:
          систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита

          Комментарий


          • #6
            box_roller
            Я имел в виду как раз окончательную оценку. Меня смутило руководство "Estimate Tool", там оценки выставляют сами сотрудники подразделений.
            Вчера подумали и решили все-таки не доверять сотрудникам оценку, а только сбор свидетельств.

            Комментарий


            • #7
              malotavr
              Наше руководство тоже заинтересовано в объективной оценке. IT я смогу сам оценить. А вот для оценки разных организационных и финансовых процессов моей квалификации уже не хватит. Поэтому в любом случае придется привлекать к оценке бухгалтеров, юристов, менеджеров и проч.

              Комментарий

              Пользователи, просматривающие эту тему

              Свернуть

              Присутствует 1. Участников: 0, гостей: 1.

              Обработка...
              X