Забронировать бесплатную консультациюЗабронировать →

Остались вопросы?

Бесплатно
30-мин звонок
ISO 27005 · Бесплатно

Оценка зрелости управления рисками

24 вопроса · ~8 минут · 6 областей ISO 27005
Для совета директоров · Анонимно — данные не собираются

Вопрос 1 / 240%
Вопрос 1 / 24 Управление и подотчётность
Назначено ли лицо, официально ответственное за управление рисками информационной безопасности?
ISO 27005 требует чёткого распределения ответственности за процесс управления рисками.
Ответственность официально задокументирована, подтверждена решением совета, и лицо активно выполняет свою роль
Оптимизированный
Ответственное лицо назначено, но описание роли неточное
Управляемый
Ответственность распределена неофициально, явного владельца нет
Определённый
IT-менеджер занимается этим при необходимости — официального назначения нет
Развивающийся
Никто официально не несёт ответственности за эту тему
Начальный
Вопрос 2 / 24 Управление и подотчётность
Обсуждает ли совет директоров вопросы информационной безопасности и киберрисков не реже одного раза в квартал?
Регулярное участие совета директоров — признак зрелости и защита от личной ответственности.
Регулярные совещания с структурированной повесткой, решения протоколируются
Оптимизированный
Один раз в год в формальном обзоре, при необходимости — в рабочем порядке
Управляемый
Обсуждается только когда что-то идёт не так
Определённый
Тема упоминается, но не рассматривается структурированно
Развивающийся
Совет директоров не занимается вопросами рисков
Начальный
Вопрос 3 / 24 Управление и подотчётность
Есть ли в организации действующая политика управления рисками, утверждённая советом директоров?
Письменная политика — обязательное условие внедрения ISO 27005 и основа ответственности совета.
Письменная политика, пересмотренная за последние 12 месяцев, все сотрудники осведомлены
Оптимизированный
Письменная политика существует, но не пересматривалась более 12 месяцев
Управляемый
Документ существует, но фактическое применение не отслеживается
Определённый
Планируется, но ещё не утверждено
Развивающийся
Политика управления рисками отсутствует
Начальный
Вопрос 4 / 24 Управление и подотчётность
Задокументированы ли в письменном виде область применения (scope) и границы управления рисками?
Чёткая область применения не позволяет упустить важные направления и служит базой для аудита.
Чётко определена, охватывает все бизнес-критические системы, данные и процессы
Оптимизированный
Частично определена, основные направления охвачены
Управляемый
Устная договорённость существует, в письменном виде не зафиксирована
Определённый
«Весь IT» — более точная область применения не определена
Развивающийся
Область применения никогда не рассматривалась
Начальный
Вопрос 5 / 24 Идентификация активов и угроз
Есть ли у организации актуальный перечень ключевых информационных активов (данные, системы, процессы)?
ISO 27005 требует идентификации и классификации активов как основы анализа рисков.
Полный, категоризированный и оценённый по критичности реестр активов, регулярно обновляется
Оптимизированный
Список существует, но охватывает не все активы и не является полностью актуальным
Управляемый
IT-системы перечислены, данные и процессы — нет
Определённый
Есть приблизительное понимание активов, но документа нет
Развивающийся
Информационные активы не были картированы
Начальный
Вопрос 6 / 24 Идентификация активов и угроз
Систематически ли идентифицированы основные угрозы (кибератаки, внутренние ошибки, атаки на цепочку поставок)?
Понимание ландшафта угроз необходимо для оценки вероятности и выбора мер контроля.
Проведён тщательный анализ угроз, охватывающий кибер-, внутренние и внешние угрозы, поддерживается в актуальном состоянии
Оптимизированный
Основные угрозы идентифицированы, но анализ поверхностный
Управляемый
Предполагаемые угрозы известны, но структурированный анализ не проводился
Определённый
Некоторые сотрудники осведомлены об угрозах, но на уровне организации они не рассматривались
Развивающийся
Идентификация угроз не проводилась
Начальный
Вопрос 7 / 24 Идентификация активов и угроз
Проанализированы ли ключевые уязвимости (слабые конфигурации, непропатченное ПО, человеческий фактор)?
Знание уязвимостей позволяет применить меры защиты раньше, чем это сделает злоумышленник.
Регулярное сканирование уязвимостей и тестирование на проникновение, результаты задокументированы и устранены
Оптимизированный
Уязвимости выявлены, но устранение частично не завершено
Управляемый
IT-команда осведомлена об основных уязвимостях, но формальный анализ отсутствует
Определённый
Есть общая осведомлённость об уязвимостях, но оценки нет
Развивающийся
Анализ уязвимостей не проводился
Начальный
Вопрос 8 / 24 Идентификация активов и угроз
Вовлечены ли в процесс идентификации рисков все ключевые стороны (совет, IT, бизнес-подразделения, партнёры)?
Разнообразный состав участников гарантирует, что значимые риски не будут упущены.
Структурированный процесс вовлекает всех — семинары, интервью, циклы обратной связи
Оптимизированный
Ключевые руководители подразделений вовлечены, но непоследовательно
Управляемый
IT-отдел проводит анализ самостоятельно, другие не вовлекаются
Определённый
Один человек оценивает риски в одиночку
Развивающийся
Идентификация рисков существует только в головах отдельных людей — процесса нет
Начальный
Вопрос 9 / 24 Анализ и оценка рисков
Оценены ли вероятность и потенциальное воздействие каждого существенного риска?
Оценка вероятности и воздействия необходима для определения приоритетности рисков.
Количественная и качественная оценка, задокументированная и последовательно применяемая
Оптимизированный
Риски оценены по качественной шкале, частично задокументированы
Управляемый
Оценки даны, но методы непоследовательны
Определённый
Некоторые риски оценены в общих чертах, но не систематически
Развивающийся
Риски не оценивались
Начальный
Вопрос 10 / 24 Анализ и оценка рисков
Установлены ли критерии риска — какой уровень является приемлемым?
Критерии риска необходимы для расстановки приоритетов и принятия обоснованных решений.
Чёткие, измеримые критерии допустимого риска, утверждённые советом директоров
Оптимизированный
Общие критерии существуют, но не являются точно измеримыми
Управляемый
Есть общее понимание «слишком большого риска», но оно не задокументировано
Определённый
Оценки допустимого риска проводятся в рабочем порядке
Развивающийся
Критерии риска отсутствуют
Начальный
Вопрос 11 / 24 Анализ и оценка рисков
Расставлены ли риски по приоритетам и задокументированы ли они в реестре рисков?
Реестр рисков — рабочий документ управления рисками и доказательство корпоративного управления при аудите.
Полный реестр рисков, с приоритизацией, назначенными владельцами, регулярно обновляется
Оптимизированный
Реестр рисков существует, но неполный и не полностью актуальный
Управляемый
Приоритизация выполняется, но реестра рисков нет
Определённый
Риски в целом известны, но не задокументированы
Развивающийся
Реестра рисков нет, приоритизация не проводится
Начальный
Вопрос 12 / 24 Анализ и оценка рисков
Являются ли методы анализа рисков последовательными и известными всем участникам процесса?
Последовательная методология обеспечивает сопоставимость и достоверность результатов.
Задокументированная методология, проведённые тренинги, последовательное применение
Оптимизированный
Методы согласованы, но не всегда соблюдаются
Управляемый
Методы различаются у разных участников
Определённый
Каждый использует свой подход
Развивающийся
Методологии нет
Начальный
Вопрос 13 / 24 Обработка рисков
Принято ли официальное решение по каждому существенному риску (снизить, принять, передать, избежать)?
Задокументированные решения защищают членов совета директоров от личной ответственности.
По всем существенным рискам имеется письменное решение с обоснованием
Оптимизированный
По большинству рисков решения приняты, некоторые ещё не рассмотрены
Управляемый
Решения принимаются в каждом конкретном случае, систематизации нет
Определённый
Реактивные решения — действия предпринимаются только при возникновении проблемы
Развивающийся
Официальные решения об обработке рисков не принимаются
Начальный
Вопрос 14 / 24 Обработка рисков
Разработан ли конкретный план обработки рисков с указанием сроков и ответственных?
План действий без сроков и ответственных — просто список пожеланий.
Детальный план действий со сроками, ресурсами и показателями
Оптимизированный
План действий существует, но сроки размыты
Управляемый
Общие планы существуют, конкретные шаги отсутствуют
Определённый
Некоторые действия запланированы, но систематического плана нет
Развивающийся
Плана действий нет
Начальный
Вопрос 15 / 24 Обработка рисков
Регулярно ли измеряется эффективность применяемых мер безопасности?
Неизмеренная эффективность мер контроля — это предположение, а не факт.
Чёткие показатели (KPI/KRI), регулярная отчётность перед советом директоров
Оптимизированный
Некоторые измерения проводятся, но непоследовательно
Управляемый
Меры применяются, но их эффективность не оценивается
Определённый
Мы надеемся, что меры работают — мониторинга нет
Развивающийся
Меры безопасности не применялись и не измерялись
Начальный
Вопрос 16 / 24 Обработка рисков
Официально ли совет директоров принял остаточные риски (после применения мер контроля)?
Официальное письменное принятие защищает членов совета в случае последующих споров.
Официальное письменное принятие, регулярный пересмотр
Оптимизированный
Устная договорённость на уровне руководства
Управляемый
Руководство осведомлено, но официальное принятие отсутствует
Определённый
Понятие остаточного риска знакомо, но на практике не применяется
Развивающийся
Остаточные риски не рассматривались
Начальный
Вопрос 17 / 24 Коммуникация и консультации
Осведомлены ли сотрудники о своей роли в управлении рисками информационной безопасности?
Сотрудники — наиболее частая цель атак; их осведомлённость — первая линия защиты.
Регулярные тренинги, тесты на осведомлённость, письменные процедуры для всех
Оптимизированный
Вводный инструктаж для новых сотрудников, периодические напоминания
Управляемый
Общая осведомлённость есть, но формальных тренингов не проводится
Определённый
Некоторые сотрудники осведомлены об угрозах, коммуникации на уровне организации нет
Развивающийся
Сотрудники не были проинформированы
Начальный
Вопрос 18 / 24 Коммуникация и консультации
Оцениваются ли внешние стороны (поставщики, облачные сервисы, субподрядчики) с точки зрения рисков?
Атаки на цепочку поставок растут — безопасность поставщика — ваша безопасность.
Все ключевые поставщики проходят регулярную оценку рисков, договоры включают стандарты безопасности
Оптимизированный
Ключевые поставщики оценены, более мелкие — нет
Управляемый
Риски поставщиков известны, но формальная оценка отсутствует
Определённый
Договоры с поставщиками не содержат требований безопасности, оценка не проводится
Развивающийся
Риски поставщиков никогда не рассматривались
Начальный
Вопрос 19 / 24 Коммуникация и консультации
Докладываются ли инциденты и риски совету директоров в структурированном виде?
Совет, которого не информируют, не может принимать решения и защищать себя впоследствии.
Регулярный (квартальный) отчёт о рисках для совета, инциденты докладываются незамедлительно
Оптимизированный
Руководство информируется о значимых событиях, но структура непоследовательна
Управляемый
Уведомление происходит только при критических инцидентах
Определённый
Совет узнаёт только когда проблемы эскалируют
Развивающийся
Систематической отчётности нет
Начальный
Вопрос 20 / 24 Коммуникация и консультации
Проинформированы ли клиенты и партнёры о ваших практиках защиты данных (GDPR ст. 13/14)?
Невыполнение обязательств по уведомлению по GDPR — регуляторный риск в дополнение к киберриску.
Актуальная политика конфиденциальности и соглашения об обработке данных со всеми соответствующими партнёрами
Оптимизированный
Политика конфиденциальности существует, соглашения об обработке данных с некоторыми партнёрами
Управляемый
Политика конфиденциальности на сайте, но основные процессы неадекватны
Определённый
Требования GDPR известны, но практическое выполнение на начальном уровне
Развивающийся
Обязательства по GDPR по существу не выполнены
Начальный
Вопрос 21 / 24 Мониторинг и постоянное улучшение
Пересматривается ли процесс управления рисками в целом не реже одного раза в год?
ISO 27005 требует периодического пересмотра — изменившийся контекст требует обновлённых рисков.
Ежегодный обзор запланирован в календаре, результаты документируются
Оптимизированный
Обзор проводится, но нерегулярно
Управляемый
Обзор проводится только после изменения законодательства или инцидента
Определённый
Обзор до сих пор не проводился
Развивающийся
Обзора управления рисками не проводится
Начальный
Вопрос 22 / 24 Мониторинг и постоянное улучшение
Обновляется ли матрица рисков при существенных изменениях (новый сервис, система или законодательство)?
Изменившаяся бизнес-среда порождает новые риски — устаревшая картина рисков вводит в заблуждение.
Процесс управления изменениями автоматически инициирует обзор рисков
Оптимизированный
При изменениях проводится общий обзор рисков, но не всегда систематически
Управляемый
Крупные изменения инициируют обзор, незначительные — нет
Определённый
Матрица рисков обновляется только после инцидентов
Развивающийся
Матрица рисков никогда не обновляется
Начальный
Вопрос 23 / 24 Мониторинг и постоянное улучшение
Измеряется ли эффективность управления рисками с помощью конкретных показателей (KPI/KRI)?
Неизмеримое неуправляемо — показатели дают совету картину, основанную на фактических данных.
Чётко определённые KPI/KRI, регулярное измерение и отчётность
Оптимизированный
Некоторые показатели существуют, но измерения непоследовательны
Управляемый
Измерения обсуждались, но формальной системы нет
Определённый
Мы полагаемся на субъективную оценку, а не на данные
Развивающийся
Показателей нет
Начальный
Вопрос 24 / 24 Мониторинг и постоянное улучшение
Есть ли в организации работающий процесс регистрации инцидентов и их последующего анализа?
Извлечение уроков из инцидентов — единственный способ по-настоящему повысить зрелость.
Все инциденты регистрируются, анализируются, и уроки применяются для улучшения процессов
Оптимизированный
Значимые инциденты регистрируются, но последующий анализ непоследователен
Управляемый
Крупные инциденты документируются, небольшие — нет
Определённый
На инциденты реагируют, но не документируют и не анализируют
Развивающийся
Реестра инцидентов нет, и последующего анализа не проводится
Начальный
Уровень зрелости

НачальныйРазвивающийсяОпределённыйУправляемыйОптимизированный
Критические
Требует внимания
Удовлетворительно
Обзор областей
ОбластьБаллУровень
Управление и подотчётность
Идентификация активов и угроз
Анализ и оценка рисков
Обработка рисков
Коммуникация и консультации
Мониторинг и постоянное улучшение

Получите персональные рекомендации

Введите контактные данные, и я свяжусь с вами — обсудим результаты и спланируем следующие шаги.