© 2006, Integrated Services Group Модель оценки рисков MOF Кузьмин Никита, ISG

© 2006, Integrated Services Group Цикл управления ИТ Microsoft Operations Framework

© 2006, Integrated Services Group Состав MOF MOF состоит из набора статей (white papers), руководств (operations guides), служб, материалов обучающих курсов и включает в себя три основные модели: процессов (MOF Process Model); команды (MOF Team Model); Модель оценки рисков (MOF Risk Model). Каждая из моделей фокусируется на внедрении лучшего практического опыта в своей области.

© 2006, Integrated Services Group Модели MOF Командная модель Модель Оценки Рисков Модель процессов

© 2006, Integrated Services Group Управление рисками в ИТ операциях: зачем? Бизнес все более зависит от ИТ С возрастанием сложности инфраструктуры растет вероятность сбоев в работе. Аварии ИТ инфраструктуры влияют на партнеров, клиентов, анализируются конкурентами. Часто не вся ИТ-инфраструктура находится под внутренним управлением Традиционные технологии управления рисками требуют адаптации

© 2006, Integrated Services Group Основные источники аварийности инфраструктур Недоступность Приложений Ошибки персонала Платформы Презентация Gartner Security Conference "Operation Zero Downtime", D. Scott, May 2004 HW, Операц. системы….. 20% Неуправляемые изменения Неверная оценка производительности Трудность анализа проблем 40% «Что-то забыли» «Это не описано в процедурах» Проблемы ИБ 40%

© 2006, Integrated Services Group Модель оценки рисков MOF Адаптирована для случаев возникновения проблем, с которыми обслуживающий ИТ- персонал сталкивается каждый день Фокусируется на рисках, специфичных для обслуживания информационной системы. Для развития бизнеса необходимо выбирать путь, на котором одни риски принимаются, а другие избегаются Модель обеспечивает системный подход, в рамках которого организация может выявлять, категоризировать и управлять рисками непрерывно, работая на опережение

© 2006, Integrated Services Group Модель оценки рисков MOF Управление рисками за счет строгого подхода к проведению изменений на сегодняшний день неоправданно, поскольку снижает гибкость и не дает возможности своевременно адаптировать ИТ-инфраструктуру к требованиям бизнеса.

© 2006, Integrated Services Group Этап 1 - идентификация и определение риска Формирование описания В формате «Условия» - «Последствия» Анализируются основные источники рисков в ИТ: Люди, Процессы, Технологии, Среда Анализируется влияние Риска на: Стоимость владения, Производительность, Достаточную ёмкость инфраструктуры, обеспечение безопасности. Формируем базовый Список Рисков

© 2006, Integrated Services Group Этап 2 - Анализ и расстановка приоритетов Подробно описываем риск и размышляем над: Вероятностью, Влиянием, Воздействием. Экспертно оцениваем вес (приоритет) Формируем «Top N» рисков На этапе важно: Подобрать команду экспертов из различных областей ИТ (и бизнеса – для оценки влияния) Расставить приоритеты исходя из влияния на бизнес компании

© 2006, Integrated Services Group Этап 3 -Планирование действий Цель – спланировать на Базе Перечня рисков деятельность по управлению ими. 6 важных вопросов: Исследовать осведомленность. Достаточно ли ИТ-персонал знает о рисках? Достаточно ли людям информации о риске, если они принимают связанное с его устранением решение? Принятие риска. Может ли ИТ-персонал продолжить работу при наступлении риска? Избегание риска. Может ли персонал избежать наступление риска, изменив постановку задачи? Перенос риска. Может ли персонал исключить риск, перенеся его на другую группу персонала, организацию, отдельного сотрудника? Смягчение последствий. Может ли ИТ-персонал что-либо предпринять для снижения вероятности наступления или влияния риска? Случайность. Можно ли снизить влияние риска, распланировав шаги по устранению последствий?

© 2006, Integrated Services Group Этап 4 -Исполнение и отчетность В рамках данного этапа проводится сбор данных о том, Как изменяются риски; информация необходима на Этапе 5. Контроль исполнения Наступление событий (запуск Плана по устранению) Состояние риска, вероятность наступления, влияние. Если любой из параметров меняется, проводится пересмотр Списка Рисков Состояние плана Смягчения последствий. При недостаточном эффекте – пересмотр. Отчетность Внутренняя - ИТ, внешняя – бизнес-подразделения

© 2006, Integrated Services Group Этап 5 -Контроль Контроль процесса На данном этапе менеджер процесса Производит анализ деятельности «в целом», Принимает меры по коррекции плана действий по управлению рисками. Убедиться, что «правильные люди выполняют правильные действия при наступлении риска»

© 2006, Integrated Services Group Выводы Воспитание культуры управления рисками Определение Риск-менеджмента как важного стратегического звена развития компании Непрерывность процесса определения и контроля рисков Непрерывность анализа рисков

© 2006, Integrated Services Group Вопросы?