ITSM

© Христо Тужаров, май 2009

 

Стандарт CobiT

[Home] [Съдържание] [ISO 20000] [Бизнес консултации] [Асеневци] [Инфопедия]

Стандарт CobiT

CobiT принципи на управление на ИТ

CobiT модел на зрялост

 

 

В голяма степен COBIT Control Objectives for Information and related Technology  е предназначан за одит на информационна система (ИС) на организация, тъй като е разработен от сътрудници на консултантски компании, обединени в организацита ISACA.  

При използване на ITIL в качеството на  методика за управление на  ИТ на организация, ще бъдат в голяма степен удовлетворни изискванията на COBIT, като инструмент на одиторите, при определяне съответното ниво на зрялост.

ISACA (Information Systems Audit and Control Association)

Ассоциацията за Одит и контрол на информационни системи (ISACA) е основана през 1969 годино за финансови одитори и контрол на ИТ. Тя се явява водеща в света професионална организация  с представителства в повече от сто страни.

Същност

Абривиатурата CobiT се разшифрира като Контролни Обекти за  Информационни  Технологии.

CobiT включва набор документи, в които са изложени принципите за управление и одит на информационни технологии.

CobiT се явява открит стандарт, който днес преживява четвъртото си издание.

CobiT използва единен подход към:

  • Събиране и анализ на информация;

  • Подготовка на изводи и заключения на всички етапи на управление, контрол и аудит на ИТ;

  • Сравнение на съществуващите ИТ-процеси с "най-добрите"  практики;

Състав

В състава на стандарта са включени шест книги, ориентирани към различни нива в организацията:

 

 

  1. Резюме за ръководителя - описание на стандарта CobiT, ориентирано към топ-мениджърите на организациите за приемане на решения, относно приложимостта на стандарта в конкретната организация.
  2. Описание на структурата -  книгата съдържа описание на:
  • Структурата на стандарта;

  • Цели за контрол от високо ниво;

  • Пояснение към целите, необходими за ефикасна навигация и резултативна работа със стандарта.

  1. Обекти за контрол - в книгата са включени детайлно описани обекти за контрол, съдържащи разшифриране на всеки от  318-те  обекта.
  2. Принципи за управление - книгата отговаря на въпросите:
  • Как да се управлява ИТ;

  • Как правилно да се поставят достижими цели;

  • Как да се достигнат тези цели;

  • Как да се проконтролира степента на тяхното реализиране.

Предназначена е за ръководители на ИТ-служби.

  1. Принципи на одита - правила за провеждане на ИТ-одит. Описва:
  • Ог кого може да се получи необходимата информация?

  • Как тази информация да се провери?

  • Какви въпроси да се задават?

Книгата е предназначена за вътрешни и външни одитори, както и за консултанти в областта на ИТ.

  1. Набор он инструмени за внедряване на стандарта - практически съвети за ежедневно използване на стандарта при управление и одит на ИТ.

Книгата е предназначена за вътрешни и външни одитори на ИТ и консултанти в областта на ИТ.

Цел на стъндарта

Постигане на непрекъснато съответствие на ИТ с изискванията на бизнеса

Тази цел се постига като ИТ ресурсите се управляват от набор естествено групирани процеси, които предоставят необходимата за достигане на целите на организацията информация.

 

Дърво на целите

CobiT определя 34 цели за контрол от високо ниво (по една за всеки ИТ процес), които са групирани в 4 домейна – Праниране и Организация, Проектиране и Внедряване, Експлоатация и Съпровождане, Мониторинг

Планиране и организация

П01

Разработка на стратегически ИТ план

П02

Определяне на информационната архитектура

П03

Определяне на технологическото направление

П04

Определяне на организацията и ИТ взаимоотношенията

П05

Управление инвестициите в ИТ

П06

Съгласувано управление на целите и задачите

П07

Управление на персонала

П08

Осигуряване съгласуваност с външните изисквания

П09

Оценка на рисковете

П010

Управление на проектите

П011

Управление на качеството

Проектиране и Внедряване

ПВ1

Вземане решения за автоматизация

ПВ2

Доставка и поддръжка на проложно програмно осигуряване

ПВ3

Доставка и поддръжка на технологична инфраструктура

ПВ4

Разработка и поддържане на процедури

ПВ5

Внедряване и акредитиране на системи

ПВ6

Управление на промените

Експлоатация и Съпровождане

ЕС1

Определяне нива на обслужване и управлението им

ЕС2

Управление на услути от външни организации

ЕС3

Управление на производителността

ЕС4

Осигуряване непрекъснатост на услугите

ЕС5

Осигуряване сигурност на системите

ЕС6

Определяне и разпределяне на разходите

ЕС7

Обучение на потребителите

ЕС8

Оказване помощ и консултации на потребителите

ЕС9

Управление на конфигурациите

ЕС10

Управление на данните

ЕС11

Управление на оборудването

ЕС12

Управление на операциите

Мониторинг

М1

Извършване мониторинг на процесите

М2

Оценка адакватността на вътрешния контрол

М3

Получаване на независими гаранции

М4

Осигуряване на независим одит

Изисквания към ИТ процесите

 

       Ресурси

  1. Данни — обекти в широк смисъл (вътрешни и външни), структурирани и неструктурирани ( текст, графика, звук и т.н.).
  2.  Приложения — съвкупностт от автоматизирани и зпълнявани ръчно пржцедури.
  3. Технология — апаратно, програмно и организационно осигуряване.
  4. Оборудование — всички ресурси, създаващи и поддържащи ИТ.
  5. Хора — персонал, неговите навици: умение да планираи организира, комплектова, обслужва и контролра ИС и ИТ услуги.

Паричните средства или капитал не се разглеждат в качеството на ИТ ресурс. Те могат да се разглеждат като инвестиции във всеки от гореуказаните ресурси.

       Критерии за оценка на информацията:

  • Ефективност — актуальността на информацията за съответстващия бизнес процес е гаранция за своевременно и регулярно получаване на правилна информация.
  • Продуктивност — осигуряване достъпност на информацията с помоща на оптимално използване на ресурсите.
  • Конфиденциалност — осигуряване на защита на информацията от неоторизиран достъп.
  • Цялостност — точност, пълнота и достоверност на информацията в съответствие с изискванията на бизнеса.
  • Достъпност — предоставяне на необходимата за бизнес процесите информация в необходимото време и на необходимото място.
  • Съгласуваност — соответствие на законите, правилата и договорени задължения.
  • Надежност — достъп на ръководството на организацията до съответната информация за създаване на финансова отчетности оценка степента на съответствие.

Пример определяне изискванията към процесите