Управление рисками для архивов, часть 5-4

(Продолжение, предыдущую часть см. http://rusrim.blogspot.com/2026/02/5-3_01439917874.html )

Советы по управлению документами, информацией и данными высокой ценности и высокого риска

Рекомендуется:

• Углублять понимание контекста (условий деятельности) организации,
  
  
• Составить перечень документов, информации и данных организации как информационных активов. 
  
  Для каждого актива предлагается подумать о принятии во внимание следующей информации:
  
  
• Объём и сфера охвата хранимых документов и информации,
  
  
• Масштабы и сфера охвата системы,
  
  
• Программное и аппаратное обеспечение, являющиеся критически важными для поддержания актива,
  
  
• Все зависимости от других документов / информационных ресурсов,
  
  
• Формат документов (для бумажных документов укажите объем и информацию о хранении; для электронных - название или наименование набора данных или файла, описание, дату изменения, лицензию и файловый формат),
  
  
• Деловой подразделение–владелец и пользователи системы,
  
  
• Политики и процессы, регламентирующие данные активы, включая законодательно-нормативные требования,
  
  
• Деловая ценность,
  
  
• Сроки хранения, включая документы постоянного срока хранения, передаваемые в архивы штата, 
  
  
• Степень критичность деловой деятельности, поддерживаемой системой (т.е. потенциальные последствия прерывания критически важных деловых операций)
  
  
• Применять концепцию менеджмента риска организации для оценки и смягчения рисков для документов, информации и данных высокой ценности и высокого риска.
  
  
• Сотрудничать с директором по информационной безопасности (CISO), со службой кибербезопасности и/или с соответствующими группами и комитетами.
  
  Сотрудничайте с соответствующими группами с тем, чтобы обеспечить категоризацию всех документов, информации и данных высокой ценности и высокого риска, как физических, так и электронных, в качестве «ценных активов». Включение этих документов в перечень «ценных активов» организации помогает приоритизировать управление ими и обеспечение их безопасности.
  
  
• Разработать и реализовать план управления документами, информацией и данными высокой ценности и высокого риска.
  
  План должен принимать во внимание:
  
  
• потребности в управлении информацией областей и направлений деятельности высокого риска;
  
  
• эффективные стратегии миграции и экспорта для обеспечения сохранности документов в процессе преобразования или передачи;
  
  
• метаданные, обеспечивающие ясность информации и возможность ей доверять.

Оценка уровня зрелости в плане выявления рисков для документов высокой ценности и высокого риска

Информационные риски: Выявлены и управляются ли информационные риски, которые могут повлиять на направления деловой деятельности высокой ценности и высокого риска?

• Уровень зрелости 1: Отсутствует формальный процесс выявления информационных рисков, способных повлиять на направления деловой деятельности высокой ценности и высокого риска.
  
  
• Уровень зрелости 2: Проводится анализ информационных рисков, которые могут повлиять на направления деловой деятельности высокой ценности и высокого риска, однако организация не имеет полной и цельной картины информационных рисков. (например, различные информационные риски отражаются в разных реестрах).
  
  
• Уровень зрелости 3: Имеется полная, всесторонняя и цельная картина информационных рисков, способных повлиять на направления деловой деятельности высокой ценности и высокого риска (отражённая, например, в конкретном документе, электронной таблице или реестре).
  
  
• Уровень зрелости 4: Организация официально осуществила выявление информационные риски, способных повлиять на направления деловой деятельности высокой ценности и высокого риска. Смягчение рисков для информационных активов высокой ценности и высокого риска осуществляется посредством плановых инициатив.
  
  
• Уровень зрелости 5: Организация признает документы и информацию реальными деловыми активами. Управление информационными рисками интегрировано во все новые инициативы и планы в масштабе всей организации (или делового подразделения) - например, в ИТ-проекты, инициативы по трансформации деловой деятельности.

(Продолжение следует)

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/27/managementul-riscurilor-pentru-arhive-5/