Коммуникация рисков

С целью эффективного предоставления отчетности и оповещений о рисках должен быть разработан и поддерживаться в актуальном состоянии план коммуникаций, который определяет ключевых участников процесса управления рисками и лиц, принимающих решения, а также механизмы распространения решений и получения обратной связи. Этот план должен включать в себя механизмы для регулярного обновления информации о рисках как составной части программы непрерывного повышения осведомленности сотрудников компании в вопросах информационной безопасности. Он также должен предусматривать реализацию процедур связи с общественностью для оглашения информации об инцидентах безопасности.

 

_________________________________________

Коммуникация рисков:

  • ключевые участники и лица, принимающие решения;

  • отчеты и оповещения о рисках;

  • распространение решений по рискам;

  • получение обратной связи;

  • обновление информации о рисках;

  • повышение осведомленности;

  • связь с общественностью;

  • раскрытие информации об инцидентах.

____________________________________

 

Обратная связь является существенным ингредиентом в повышении эффективности СУИБ, которая должна стать частью культуры организации. С этой целью должна поощряться идентификация и сообщение о проблемах, рисках и инцидентах.

Эффективные предложения по стратегиям исправления должны премироваться. Эта информация должна систематически накапливаться и анализироваться. Например, может использоваться специальная форма для получения предложений от сотрудников. Следующие рекомендации британского стандарта BS 7799-3 касаются организации процесса получения обратной связи и вовлечения сотрудников в процессы управления рисками.

  • Используйте простую и легко заполняемую форму для получения предложений.

  • Четко определите область действия для предложений, касающихся СУИБ и связанной с ней бизнес-деятельности.

  • Определите контакты для отправки предложений и запросов.

  • Выражайте признательность за любое обращение.

  • Сохраняйте восприимчивый ум и будьте гибкими в отношении предложений.

  • Там, где это возможно, привлекайте человека, сделавшего предложение, к процессу решения проблемы.

  • Предусмотрите систему премирования полезных обращений.

  • Быстро и эффективно внедряйте предлагаемые усовершенствования.

  • Делайте информацию об успешных усовершенствованиях достоянием общественности.

  • Выпускайте периодические напоминания о процессе усовершенствования.