control objectives for information and related technology · cobit® control objectives for...
TRANSCRIPT
CobiT®
Control Objectives for Information andrelated Technology
Teplá u Mariánských Lázní, 6. října 2004
Agenda
Základy CobiT®
Pojem CobiT®
Domény CobiT®
Hodnocení a metriky dle CobiT®
IT Governance – Řízení a správa procesů ICTCobiT® a Balanced Score CardsSrovnání CobiT® s ISO 17799 a BS 15000/ITIL
Statistika na úvod
93% organizací považuje ICT za strategicky důležitéPouze 7% organizací nemělo v roce 2003 problémy s ICT
40% organizací zaznamenalo selhání nebo neodpovídající fungovánísystémů
18% organizací vědělo o existenci metodiky CobiT30% těchto organizací CobiT používá45% považují implementaci za relativně jednoduchou 25% považují implementaci za relativně obtížnou
Pojem CobiT®CobiT® – Control Objectives for Information and relatedTechnology Uznávaná mezinárodní metodika pro management a řízení informatiky Využívání ICT je řízeno souborem nejlepších praktik
Co je potřeba dělat pro zajištění kvalitního řízení a správyprocesů ICT?
ICTStrategie
Strategické cíleorganizace
Procesy ICT Zdroje ICT
Vztahy obecných a ICT strategií
Neexistence jednoho z plánů – 30%Nepropojení plánů – 27%ICT plány odvozeny od obecné strategie – 43%
ICT plány neovlivňují obecné plány – 9%ICT plány ovlivňují obecné plány – 11%Integrované obecné a ICT plány – 23%
ICT Governance z pohledu CobiT®
ICT Governance vyžaduje uvědomělou strukturu, která mapuje vzájemné vztahy mezi procesy ICT, zdroji ICT a informacemi vůči strategickým cílům organizace.
Přímé řízení
Cíle
Zpětnávazba
Zdroje ICT
Použití
Činnosti ICTŘízení
Domény CobiT®
PO (11)Plánování &Organizace
AI (6)Akvizice &
Implementace
DS (13)Dodávka &Podpora
M (4)Monitorování
4 domény obsahují 34 procesů:
Doména Plánování & Organizace PO1 – Definice strategického plánu ITPO2 – Definice informační architekturyPO3 – Určení technologického směruPO4 – Definice organizace a vztahů pro ITPO5 – Řízení investic do ITPO6 – Komunikace cílů vedení
PO7 – Řízení lidských zdrojůPO8 – Zajištění shody s vnějšími požadavkyPO9 – Hodnocení rizikPO10 – Řízení projektůPO11 – Řízení kvality
Doména Akvizice & Implementace
AI1 – Identifikace automatizovaných řešeníAI2 – Pořízení a údržba aplikačního softwareAI3 – Pořízení a údržba technologické infrastrukturyAI4 – Postupy vývoje a údržbyAI5 – Instalace a akreditace systémůAI6 – Řízení změn
Doména Dodávka & Podpora DS1 – Definice a řízení úrovní služebDS2 – Řízení služeb třetích stranDS3 – Řízení výkonu a kapacityDS4 – Zajištění nepřetržitosti služebDS5 – Zajištění bezpečnosti systémůDS6 – Identifikace a alokace nákladůDS7 – Vzdělávání a příprava uživatelů
DS8 – Podpora uživatelů a zákazníkůDS9 – Řízení konfiguraceDS10 – Řízení problémů a incidentůDS11 – Správa datDS12 – Správa vybaveníDS13 – Řízení provozu
Doména Monitorování
M1 Monitorování procesůM2 Posouzení adekvátnosti interních opatřeníM3 Dosažení nezávislých zárukM4 Nezávislý audit
Vazby mezi doménami
Business
Monitorování
Dodávka &Podpora
Akvizice &Implementace
Plánování &Organizace
ProvozICT
VývojICT
StrategieICT
Strategieorganizace
Krychle – CobiT®
Kritéria IT:
ÚčelnostVýkonnostDůvěrnostIntegritaDostupnostShodaSpolehlivost
Zdroje IT:
LidéAplikaceTechnologieVybaveníDataDomény
Činnosti
Procesy
Informační kritériaPr
oces
y IC
T
Zdroje
ICT
Kvalita
Spoleh
livost
Bezpečn
ost
Lidé
Dat
a
Apl
ikac
eTe
chno
logi
eV
ybav
ení
Domény CobiT®
ÚčelnostVýkonnostDůvěrnostIntegritaDostupnostShodaSpolehlivost
Informačníkritéria
LidéAplikaceTechnologieVybaveníData
Zdroje ICT
Plánování &Organizace
Akvizice &Implementace
Dodání &Podpora
Monitorování
IT Governance z pohledu CobiT®
Cíle Přímé • řízení Plánuj Plánování & Organizace
Dělej Akvizice & ImplementaceKontroluj Dodávka & Podpora
Jednej Monitorování
Řízení rizik• bezpečnost• spolehlivost• shoda
Zpětnávazba
•
•
Činnosti ICTICT podporuje cíle organizace a maximalizuje užitek
Zvýšení automatizace - výkonnosti
Zdroje ICT jsou využívány odpovědněRizika ICT jsou vhodně řízena
Realizace přínosůSnížení nákladů - vyšší účelnost
Řízení
Kritické faktory úspěchu
Definují nejdůležitější prvky nebo akce, které je třeba naplnit
Definované procesyDefinovaná pravidlaJednoznačná odpovědnostSilná angažovanost vedeníVhodná forma komunikaceKonzistentní metriky
Klíčové indikátory
Klíčové indikátory cíle –informují management, zdali IT proces splnil očekávání organizace. Odpověď na otázku čeho je třeba dosáhnout.
Klíčové indikátory výkonu –určují, jak dobře podporuje daný IT proces cíl organizace. Odpověď na otázku jak se daří cíle dosahovat.
Metrika modelu vyzrálosti Stupně hodnocení vyzrálosti:
0 – Neexistující – procesy nejsou aplikovány.1 – Inicializovaný / Náhodný – procesy se řeší ad-hoc a nejsou organizovány. 2 – Opakovatelný, ale intuitivní – procesy mají opakovatelný charakter. 3 – Definovaný proces – procesy jsou dokumentované a dobře sdělované. 4 – Řízený a měřitelný – procesy jsou sledovány a měřeny. 5 – Optimalizovaný – jsou zavedeny a automatizovány nejlepší dostupné praktiky.
0 53 41 2
Aktiální stav organizace Průměrný stav oboru Strategický cíl organizace
Priority projektů optimalizace
Balanced Score Cards
CobiT a BSC
Hierarchie BSC
Obecné cíle řízení informatiky
Přispět ke kvalitnímu fungování organizaceOrientovat se na zákazníka resp. uživateleZajistit provozní dokonalostOrientovat se na možnosti rozvoje v budoucnosti
ČSN ISO/IEC 17799:2001
Srovnání CobiT v. ISO 17799
ČSN ISO/IEC 17799:2001 – Soubor postupů pro řízení informační bezpečnostiBS 7799-2:2002 – Specifikace systému řízení informační bezpečnosti
Založeno na PDCA modeluOmezuje se pouze na kritéria související s bezpečností
BS 15000 resp. ITIL
Srovnání CobiT v. BS 15000
BS 15000 – Specifikace systému řízení informačních služebITIL – IT Infrastructure Library
Založeno na PDCA modeluSoustředí se na efektivní provozování a rozvoj ICT
ZávěrCobiT je ucelený pohled na ICT, který zdůrazňuje vliv ICT na celkové fungování organizaceCobiT vyhledává řešení, kde jsou vyváženy výhody a rizika spojená s využití ICTJe otevřeným mezinárodním standardem
Kvalitní systém řízení informatiky je vhodné opírat o nejlepší vžitou praxi – dnes je zbytečné vynalézat kolo
Další informace: www.isaca.org, www.itgi.org