Мы продолжаем делиться с вами примерами полезных документов по различным процессам ITSM и не только. Мы уже публиковали подборки ссылок на интересные материалы по управлению инцидентами, управлению уровнем услуг, управлению изменениями и управлению конфигурациями. Сегодня тема более специфичная, но также касающаяся задачи, которую нередко приходится решать, особенно при запуске новой услуги или проекта – оценка рисков. В дайджесте – примеры и шаблоны отчетов по оценке рисков.

Но сначала – как всегда, предостережение. Представленные ниже документы не подвергались детальному анализу со стороны нашей редакции. Тем не менее, они показались нам интересными примерами, которые можно использовать для знакомства с опытом других организаций, расширения кругозора, самопроверки и поиска полезных идей.  

Примеры:

• Old Dominion University System Risk Assessment Template – не просто шаблон, но полноценный пример отчета по оценке рисков ИТ-системы, который можно дорабатывать под свои нужды. Есть примеры уязвимостей, рисков, контролей, а также заполненный реестр рисков.
• Commonwealth of Virginia Information Technology Risk Management Guideline – документ, похожий по структуре на предыдущий, но помимо таблиц есть подробное описание порядка действий по оценке и довольно много вводной информации.
• University of Connecticut IT Security Risk Assessment – лаконичный шаблон, заточенный под оценку рисков ИБ конкретного бизнес-подразделения.
• Risk Assessment Template от Office of Internal Audit – excel-вариант реестра рисков, содержащий общий шаблон, а также примеры бизнес-рисков, ИТ-рисков и рисков информационной безопасности.
• OCISO Draft Risk Assessment Report – еще одно очень подробное описание и шаблон оценки в соответствии с NIST SP 800-30 Risk Management Guide for Information Technology Systems.
• RMB Standard Risk Register – универсальный шаблон реестра рисков в excel-формате. Особенно приглянулся из-за наличия полей: objective (цель), risk event (нежелательное событие), risk cause (причина риска) и impact/consequence (последствия), что видится наиболее удобным подходом описания риска. Кроме того, в таблице заложена возможность автоматического расчета уровня риска на основании оценок вероятности и ущерба.
• Кроме того, напомним о существовании Risk Scenarios ToolKit – приятном бонусе к документу Risk Scenarios Using COBIT 5 for Risk, в котором подробно описано несколько десятков типовых рисков, разнесенных на 20 категорий. Об этом документе мы уже подробно рассказывали. Но он, к сожалению, доступен только для членов ISACA.