Search results for category: GRC

Назрела необходимость систематизировать наши знания о GRC-системах, которые все шире применяются в крупном и среднем бизнесе для автоматизации различных процессов менеджмента организации. Материал весьма обширен, поэтому его изложение придется разбить на несколько частей. В первой части рассмотрим основные понятия, связанные с GRC-системами и их архитектурой. В последующих частях планируется освещать прикладные аспекты, связанные с внедрением и использованием GRC-систем, включая проектирование модели функционирования процессов менеджмента, настройка и адаптация GRC-платформы под задачи конкретной организации, интеграцию GRC-систем с различными средствами управления и обеспечения ИБ. Чтобы не быть голословными, рассмотрим и несколько актуальных примеров SGRC-систем.

Governance - это стратегическое управление компанией и взаимоотношениями между органами власти (собственники, акционеры, совет директоров, правление). Менеджмент - это оперативное управление компанией и взаимодействием ее структурных подразделений. Другими словами, все процессы и взаимоотношения на уровне генерального директора (президента) и выше - это Governance. Все, что ниже этого, - это Менеджмент.

Автоматизация процессов менеджмента ИБ строится на базе современных GRC-платформ. В качестве одного из возможных вариантов рассмотрим использование одного из лидирующих продуктов RSA Archer GRC в комбинации отечественной экспертной системой Protectiva Compliance Manager. Архитектуру подобных систем и технические детали оставим для отдельной публикации, а пока ограничимся функциональным описанием.

Одно из моих любимых онлайн изданий по ИТ безопасности SC Magazine в прошлом году опубликовало результаты тестирования девяти очень интересных программных продуктов, предназначенных для автоматизации процессов управления рисками информационной безопасности, ни один из которых мне никогда раньше не встречался.