Есть очень много причин, почему все наши потуги в управлении
риском не работают.
Одну из таких причин я назвал проблемой периметра.
Честно говоря, я данный термин использую абсолютно в другом контексте, для иллюстрации распространенной проблемы в области управления Риском.
Предлагаю
всем открыть, ну скажем ISO/IEC 27005 (у меня в редакции
2008 года) и взглянуть на Figure
1. Information security risk management process.
Куда устремлен ваш взор?
Мой, например, на Risk Assessment и на все, что с ним связано: Risk Identification, Risk Estimation, Risk Evaluation. Не правда ли –
музыка?
Context Establishment и Risk Treatment – ну так это как бы вроде и не мое… Мое дело считать… Денег дадут, ну тогда сделаем,
что сможем…
Risk Communication – кому надо пусть и обмениваются, я готов предоставить инфу
в любую минуту, пусть только спросят
Risk Monitoring and Review –
а это кажется вообще лишнее: ведь когда риски
считаем «Monitoring and Review»
происходит автоматически. Или не так?
Вот и получился «периметр», который надежно изолировал от реальной жизни то,
что мы делаем .
К чему это приводит? Когда-нибудь обсудим …:-)
Немає коментарів:
Дописати коментар