Кумитаи идоракунии хавфҳо ва мувофиқат

1) Таъин ва мандат

• Принсипҳои иштиҳо ва риояи хатарро таҳия ва нигоҳ медорад
• сиёсатҳо/стандартҳои асосӣ ва тағироти онҳоро тасдиқ мекунад;
• хавфҳои асосиро назорат мекунад (амалиётӣ, танзимкунанда, амнияти иттилоотӣ/махфият, молиявӣ, шахсони сеюм);
• меъёрҳои мутобиқат ва SLO/SLA-ро муқаррар мекунад ва дастовардҳои онҳоро назорат мекунад;
• авҷ гирифтан ва афзалиятҳои ихтилофӣ;
• ҳолати омодагии аудиториро таъмин мекунад (асоси далелҳо, протоколҳои ҳалли).

2) Таркиб ва истиқлолият

• Роҳбари мутобиқат/DPO (ҳамраис)
• CISO/Сардори Амният (ҳамраис)
• Роҳбари ҳуқуқӣ
• Роҳбари хавф/хавфи корхона
• CFO/Молия (барои арзёбии таъсир)
• Намояндаи тиҷорат/маҳсулот (VP/Директор)
• Менеҷери платформа/инфрасохтор ё намояндаи CTO

• Аудити дохилӣ (Нозир)
• HR/L & D (Омӯзиш/Арзёбӣ)
• Харид/фурӯшанда Mgmt (шахсони сеюм)
• Маълумот/Платформа (DWH/Lineage/CCM)

Принсипҳои истиқлолият: ихтилофи манфиатҳо, ҳуҷҷатгузории такрорӣ, муайян кардани нақши нозирон.

3) Кумитаи RACI

(R - Масъул; A - Ҳисоботдиҳанда; C - Машварат; I - Маълумот)

4) Танзим ва басомад

Ҳолати муқаррарӣ: як маротиба дар як моҳ (90 дақиқа) + мониторинги ҳарҳафтаинаи KPI/KRI (15 дақиқа).
Ҳолати бӯҳронӣ (ҳодиса/танзимкунанда): маҷлисҳо ҳар 24-48 соат то мӯътадил шудан.
Кворум: ≥ 2/3 овоздиҳандагон, аз ҷумла як ҳамраис.
Қарорҳо: аксарияти оддӣ; тибқи хавфи баланд - 2/3 ва ҳуқуқи ветои ҳамраисон (ислоҳ дар оиннома).

5) Артефактҳои воридшаванда (ашё)

Феҳристи хавфҳо ва гармидиҳӣ (навсозии KRI).
Мутобиқати KPI/SLO: DSAR/SLA, гигиенаи дастрасӣ, дрифт, фарогирии далелҳо i dr.
Тағйир додани журнал аз рӯи сиёсат (асосӣ/хурд/фавқулодда).
Сабти бекоркунӣ бо мӯҳлати ба охир расидани мӯҳлат ва назорати ҷуброн.
Ҳодисаҳо ва бозёфтҳо: Sev1/Sev2, такрорӣ, ҳолати барқарорсозӣ.
Хатари фурӯшанда: провайдерҳои муҳим, вайронкунии SLA/шаҳодатнома.
Аудит/баҳодиҳӣ: статусҳо, шарҳҳои кушода, омодагии тугма.

6) Натиҷаҳо ва артефактҳо (натиҷаҳо)

Протоколи қарор бо молик, мӯҳлати муқарраршуда, вазнинӣ ва таъсири интизорравандаи хавф.
Изҳороти нав ва афзалиятҳои иштиҳои хавф.
Сиёсатҳо ва радкуниро бо шартҳо навсозӣ/рад кунед.
Мактубҳо/қарорҳои афзоиш барои Раёсат/CEO дар хавфи баланд.
Иртиботи як саҳифа ва вазифаҳо барои фармонҳо (чиптаҳо дар ITSM/GRC).

7) Даъвати маъмулӣ (60-90 дақиқа)

1. Хулосаи KPI/KRI ва дуршавӣ (10").
2. Incidents/Sev1-updates ва дарсҳо (15").
3. Сиёсатмадорон: Тағироти асосӣ, тафсирҳои ихтилофӣ, маҳаллисозӣ (15").
4. Шахсони сеюм: вайронкунии SLA/шаҳодатномаҳо, зерсохторҳо (10").
5. Радкунӣ: Васеъ/наздик, минтақаҳои сурх (10").
6. Аудит/баҳодиҳӣ: ҳолати омода ва "бастаи аудит" (10").
7. Қарорҳо ва тақсимоти вазифаҳо (10").

8) Тартиби қабули қарорҳо ва густариш

Корти қарорӣ (қолаб): контекст → опсияҳо → таъсир ба хатар/арзиш → тавсияи → овоздиҳӣ.
Афзоиш: агар хатар> Иштиҳо ё қонуншиканиҳо> SLA - интиқол ба иҷроия/Раёсат.
Шарҳ: арзёбии пас аз воқеӣ оид ба таъсири қарор пас аз 30-60 рӯз (баррасии таъсир).

9) Интегратсияҳо ва ҷараёнҳои ниҳоӣ

RBA: бозёфтҳо → Кумитаи даъватномаҳо → соҳиби/назорати пӯшида

CCM (мониторинги доимӣ): огоҳиҳо/ченакҳо → афзалият/ҳадди ниҳоӣ.
Ҳаёти сиёсат/тағир додани Mgmt: Таҳрирҳои асосӣ → навсозӣ, иртибот, омӯзиш.
Фурӯшанда DD/Аутсорсинг: модели баҳодиҳӣ ва холигӣ ​ ​ рӯйхати § шартҳои шартнома/SLA.
Ҳодисаи Mgmt: SOAR/PR/Китобҳои ҳуқуқӣ → ҳисобот ва дарсҳо.

10) Нишондиҳандаҳои иҷрои Кумита

Барқарорсозии саривақтӣ:% вазифаҳои Кумита сари вақт баста мешаванд (аз рӯи вазнинӣ).
Вақти пешбарии қарор: вақти медианӣ аз баланд бардоштани масъала то ҳалли.
Гигиенаи радкунӣ:% истисноҳо бо мӯҳлати муқарраршуда (ҳадаф: 100%).
Бозёфтҳои такрорӣ: таносуби такрорӣ дар 12 моҳ (ҳадаф: ↓).
Вақти омодагии аудит: Соатҳо то "бастаи аудит".
Индекси коҳиши хавфҳо: ∆ дараҷаи умумии хавф QOQ.
SLA коммуникатсионӣ:% нақшҳо саривақт бо қарорҳои асосӣ огоҳ карда мешаванд.

11) Оинномаи Кумита (қолаб)

Мақсад: назорати хатар ва риояи он; ҳимояи манфиатҳои ширкат ва муштариён.
Соҳа: ҳама қаламравҳо/хатҳои тиҷорат/системаҳои IT/шахсони сеюм.
Мақомот: тасдиқи сиёсатҳо/истисноҳо; дархости маълумот/аудит; шиддат дар Раёсат.
Таркиб ва кворум: (ниг. § 2 ва § 4).
Ихтилофи манфиатҳо: эъломияҳо, раддияҳо, маҷалла.
Протоколҳо: стандарти дақиқаҳои пурра (рӯзнома, қарорҳо, овозҳо, соҳиби, истинод ба далелҳо).
Таҷдиди назар оиннома: ҳамасола ё бо дархости Раёсат.

12) Қолибҳои ҳуҷҷат

12. 1 Корти қарор

Мавзӯъ/контекст/низомнома/хатарҳо

Опсияҳо ва арзёбӣ (арзиш, вақт, таъсир ба SLA/KRI)

Тавсияи пас аз қарор ва сатҳи хатар

Соҳиби фаъолият ва санаи муқарраршуда

Натиҷаи овоздиҳӣ (барои/муқобили/бетараф)

12. 2 Протоколи вохӯрӣ

Сана/кворум/иштирокчиён

Рӯзномаи

Муҳокима (мухтасар, банди ашё)

Solutions (соҳиби, метрикаи муваффақият)

Масъалаҳои кушода/авҷ гирифтан

Барномаҳо (панели панелҳо, ҳисоботҳо, пайвандҳо ба бойгонии WORM)

12. 3 Матритсаи иштиҳои хавф (мисол)

13) Панелҳои Кумита (ҳадди аққал)

Харитаи гармидиҳӣ: эҳтимолият × таъсир × хатари боқимонда.
Маркази мутобиқати KPI: DSAR, гигиенаи дастрасӣ, дрифт, фарогирии далелҳо.
Ҳодисаҳо ва бозёфтҳо: Sev1/Sev2, MTTR, такрорӣ.
Тағироти сиёсат: лӯлаи асосӣ/хурд/ҳолати фавқулодда ва вазъи таълим.
Хатарҳои фурӯшанда: шаҳодатномаҳо, SLA, зерсохторҳо, ҳодисаҳо.
Маҳдудиятҳо ва мӯҳлатҳо: фаъол/ба охир расида, шиддат.
Омодагии аудит: фоизи "бастаи аудит" аз ҷониби аудит/сертификатсия.

14) Тақвими солонаи Кумита

Ҳармоҳа: рӯзномаи муқаррарӣ (§ 7).
Ҳар семоҳа: Таҷдиди хавфи иштиҳо, тамоюлҳои KPI/KRI, бозёфтҳо ҳамагӣ.
Ним сол: аз нав дида баромадани сиёсатҳои асосӣ ва портфели озодкунӣ.
Солона: Оинномаи Кумита, Нақшаи аудит/Сертификатсия, Дарсҳои омӯхта.

15) Ҳолати бӯҳрон (Sev1/Regulatory)

Даъвати фаврӣ; навсозиҳои ҷанг-ритм (масалан, ҳар 4 соат).
Иртиботи ягона (ҳуқуқӣ/PR), назорати нигоҳдории ҳуқуқӣ.
Қарорҳо барои назорати дастрасӣ/хомӯш кардани ҳамгироӣ/ҷудокунии маълумот.
Протоколи алоҳидаи ҳодиса ва пас аз қатл бо амалҳо.

16) Антипаттернҳо

Кумита ҳамчун "қуттии почта" бидуни ваколат ва мӯҳлатҳо.
Набудани протоколҳо ва далелҳо - баҳсҳо дар аудит.
Озодкунии доимӣ бидуни мӯҳлати истифода ва назорати ҷуброн.
Рӯзномаи ҳалнашаванда: кортҳои қарор, имконот ва ҳисобҳои натиҷа нестанд.
KPI-ҳо бе соҳибон ва истинод ба иштиҳои хавф.
Ихтилофи манфиатҳо бидуни такрори идорашаванда.

17) Модели камолоти Кумита (M0-M4)

M0 Hell-hoc: вохӯриҳои нодир, ченакҳо ва протоколҳо нестанд.
M1 ба расмият дароварда шудааст: оиннома, кворум, дақиқаҳои асосӣ, маҷлисҳои моҳона.
Идоракунии M2: панели панели KPI/KRI, кортҳои қарор, назорати озодкунӣ.
M3 Интегралӣ: иртибот бо CCM/RBA/Policy-as-Code, "аудити тайёр бо тугма".
M4 Боварӣ: KRI-ҳои пешгӯишаванда, шиддатёбии автоматӣ, қарорҳои мунтазам оид ба баррасии таъсир.

18) Мақолаҳои марбут ба вики

Аудит дар асоси хавф (RBA)

Мониторинги доимии мутобиқат (CCM)

Нишондиҳандаҳои KPI ва мутобиқат

Идоракунии тағирёбии сиёсат

Сиёсатҳо ва тартибот дар давраи ҳаёт

Ҷидду ҷаҳд ва хатарҳои аутсорсинг

Нигоҳдории ҳуқуқӣ ва яхкунӣ

Ҷамъ

Кумитаи қавӣ "маҷлис" нест, балки механизми идоракунии хавфҳо: ваколати возеҳ, мустақилият ва кворум, маълумот дар панели панелҳо, қарорҳо бо соҳибон ва мӯҳлатҳо, заминаи иҷроиш ва далелҳо. Пас аз он мувофиқат ба сутуни пешгӯишавандаи стратегия табдил меёбад, на ба кашидани тиҷорат.