Innholdsfortegnelse:
- Maskinvare, programvare og tjenester
- Tredjeparts vurdering og overvåking
- Minimum sikkerhetskrav
- Servicenivåkrav
Video: Forskel på at integrere og differentiere 2024
Integrering av sikkerhetsrisikovurderinger i oppkjøpsstrategi og praksis bidrar til å minimere innføringen av nye eller ukjente risikoer i organisasjonen. Det er ofte sagt at sikkerhet i en organisasjon bare er like sterk som den svakeste lenken. I sammenheng med fusjoner og oppkjøp vil ofte en av organisasjonene være sikrere enn den andre. Å koble to organisasjoner sammen før tilstrekkelig analyse kan føre til betydelig svekkelse av sikkerhetsfunksjonene i den nye organisasjonen.
Arbeidet med å forene politikk, krav, forretningsprosesser og prosedyrer ved fusjon eller oppkjøp er sjelden enkelt. Videre bør det ikke antas at en organisasjons politikk, krav, prosesser og prosedyrer er den "rette" eller "beste" måten for alle parter i fusjonen eller oppkjøpet - selv om organisasjonen er den overtagende enheten.
I stedet bør hver enkelt organisasjons individuelle retningslinjer, krav, prosesser og prosedyrer vurderes for å identifisere den beste løsningen for den nye organisasjonen som går framover.
Maskinvare, programvare og tjenester
Eventuell ny maskinvare, programvare eller tjenester som vurderes av en organisasjon, bør vurderes på riktig måte for å avgjøre hvorvidt det vil påvirke organisasjonens samlede sikkerhet og risikostilling, og hvordan det vil påvirke annen maskinvare, programvare eller tjenester som allerede er på plass i organisasjonen. Integreringsproblemer kan for eksempel ha en negativ innvirkning på systemets integritet og tilgjengelighet.
Tredjeparts vurdering og overvåking
Ved fusjon eller oppkjøp er det viktig å vurdere tredjepartene som hver organisasjon bringer til bordet. Ikke bare må de oppkjøpende eller sammenslåtte organisasjonene nøye undersøke deres risikoprogrammer fra tredjepart, men det er også behov for et nytt blikk på tredjepartene for å sikre at risikonivået knyttet til hver tredjepart ikke har endret seg i lys av fusjonen. eller oppkjøp.
Eventuelle nye tredjeparts vurderinger eller overvåkning bør vurderes nøye. Kontrakter (inkludert personvern, krav til ikke-avsløring og sikkerhetskrav) og servicenivåavtaler (SLAer, diskutert senere i denne delen) bør vurderes for å sikre at alle viktige sikkerhetsspørsmål og forskriftskrav fortsatt er adressert tilstrekkelig.
Minimum sikkerhetskrav
Minimum sikkerhetskrav, standarder og grunnlinjer bør dokumenteres for å sikre at de blir fullt forstått og vurdert i oppkjøpsstrategi og praksis.Blending sikkerhetskrav fra to tidligere separate organisasjoner er nesten aldri så lett som å bare kombinere dem sammen i ett dokument. I stedet kan det være mange tilfeller av overlapping, overlapping og motsigelse som alle må forenes med. En overgangsperiode kan være nødvendig, slik at det er god tid til å justere sikkerhetskonfigurasjonene og arkitekturene for å møte det nye settet av krav etter fusjonen eller oppkjøpet.
Servicenivåkrav
Servicenivåavtaler (SLAer) fastlegger minimum ytelsesstandarder for et system, en applikasjon, et nettverk eller en tjeneste. En organisasjon etablerer interne SLAer for å gi sluttbrukerne en realistisk forventning om ytelsen til sine informasjonssystemer og tjenester. For eksempel kan en helpdesk SLA prioritere hendelser som 1, 2, 3 og 4, og opprette SLA responstider på henholdsvis ti minutter, 1 time, 4 timer og 24 timer. I tredjepartsrelasjoner gir SLAer kontraktsmessige ytelseskrav som en outsourcingpartner eller leverandør må møte. For eksempel kan en SLA med en Internett-leverandør etablere en maksimalt akseptabel nedetid som, hvis overgått innen en gitt periode, resulterer i faktura kreditter eller (hvis ønsket) kansellering av servicekontrakten.
