По заключению экспертов Международной организации по стандартизации ранее применяемые практики управления рисками уже не являются адекватными для реагирования на сегодняшние угрозы, например, потеря репутации, киберпреступность, политический риск и терроризм. Поэтому методы управления рисками должны адаптироваться под действительные потребности рынка и развиваться. Эти соображения лежат в основе пересмотра стандарта ISO 31000:2018 «Управление рисками - Руководящие принципы», последняя версия которого была опубликована в феврале 2018 года.
В настоящее время риск определяется как «влияние неопределенности на достижение целей», в котором основное внимание уделяется влиянию неполного знания событий или обстоятельств на принятие решения организацией. Это требует изменения традиционного понимания риска, заставляя организации адаптировать управление рисками к их потребностям и целям. Это и есть ключевое преимущество нового стандарта.
Джейсон Браун, председатель технического комитета ISO/TC 262 по управлению рисками, объясняет: «ISO 31000 определяет структуру управления рисками, которая поддерживает все действия, включая принятие решений на всех уровнях организации. Основа ISO 31000 и ее процессы должны быть интегрированы с системами менеджмента, чтобы обеспечить согласованность и эффективность управления во всех областях организации». Это будет включать стратегию и планирование, организационную устойчивость, ИТ, корпоративное управление, HR, соответствие, качество, здоровье и безопасность…»
Браун добавляет, что основная цель ISO/TC 262 заключается в том, чтобы помочь организациям обеспечить их жизнеспособность и успех в интересах всех заинтересованных сторон в долгосрочной перспективе путем применения хорошей практики управления рисками.
Хотелось бы еще раз напомнить читателям, что ISO 31000:2018 содержит рекомендации, а не требования, и поэтому не предназначен для целей сертификации. Это дает менеджерам гибкость для внедрения стандарта таким образом, который отвечает потребностям и задачам их организации.
ISO/IEC 27000:2018 «Информационные технологии - Методы обеспечения безопасности - Системы менеджмента информационной безопасности – Обзор и словарь» содержит обзор систем менеджмента информационной безопасности (СМИБ), а также терминов и определений, обычно используемых в семействе стандартов СМИБ и, в первую очередь, базовом стандарте ISO/IEC 27001 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью – Требования». Кроме того, ISO/IEC 27000 дает представление о взаимосвязях стандартов данной серии, их роли, областях применения, функциях.
Новая версия стандарта, опубликованная в феврале 2018 года, предназначена для всех типов и размеров организации от многонационального бизнеса до малых и средних предприятий, одинаково ценна для правительственных учреждений и некоммерческих организаций.