Какво е GRC и как може да бъде полезен за информационната сигурност Deiteriy
HomeBlog Какво е GRC и как може да бъде полезен за информационната сигурност?
Какво е GRC и как може да бъде полезен за информационната сигурност?
Автор: Евгений Безгодов
На пазара на информационни системи има много корпоративни решения от клас GRC. В същото време много експерти разглеждат управлението, управлението на риска и спазването като начин за управление на информационните технологии или информационната сигурност. Какво всъщност е GRC и защо тази тема става все по-популярна?
GRC е тристранна гледна точка на управлението: управление, управление на риска и съответствие. Всяка дейност може да бъде разложена на тези три компонента.
Всъщност компаниите първо определят целите, които ще постигнат. След това се инициира някаква дейност за тяхното постигане. Докато дейността се изпълнява, те искат да я контролират, получавайки навременна, обективна и надеждна информация за хода на изпълнението. Това са функциите на висшия мениджмънт (Governance) - поставяне на цели и наблюдение на тяхното постигане.
След това компаниите обмислят рисковете, които могат да бъдат срещнати по пътя към целта. За целта те откриват какви препятствия могат да доведат до забавяне или да направят целта непостижима, както и какво компанията рискува да загуби по пътя към целта. Идентифицираните рискове се обработват и в бъдеще тази процедура периодично се повтаря. Това е функция на управлението на риска (Risk management), което, за съжаление, в много руски компании все още не е достатъчно систематично.
Освен това, когато планират и изпълняват своите дейности, компаниите се грижат за спазването на много външни и вътрешни правила. Те са повлияни от законите, индустриалните стандарти и договорните задължения. Освен това компаниите имат свои собствени нормативни документи, които отчитат техния опит и описват изискванията за бизнес процесите, които извършват. Съответствието с всички тези изисквания е функция за съответствие.
Именно този възглед за управлението се прилага в ИТ системите от клас GRC. Повечето от тези системи са решения за събиране и анализ на информация за хода на дейностите от всички отдели на компанията. Информация за прогнозираните рискове и спазването на изискванията на приложимите закони, стандарти и вътрешни разпоредби се предоставя на TOP мениджърите под формата на визуални доклади, които демонстрират проблемни области. За линейните мениджъри тези системи предоставят подробна информация, необходима за идентифициране и справяне с рисковете и несъответствията.