Стандарт COBIT
Стандарт COBIT
В настоящее время стандарт COBIT, переживая третье издание, продвигается и поддерживается ассоциацией ISACA Первое издание состоялось в 1996 г. Стандарт описывается примерно в 30 книгах (в некоторых источниках указывается 34 книги).
Он состоит из четырех доменов:
• планирование и организация;
• проектирование и внедрение;
• эксплуатация и сопровождение;
• мониторинг,
которые содержат 34 объекта высокого уровня (подгруппы), в свою очередь состоящих из 302 объектов контроля.
COBIT соответствует всем общепринятым мировым стандартам и инструкциям, включая:
• ISO, EDIFACT и т. д.;
• критерии оценки ИС и процессов: ITSEC, TCSEC, ISO 9000, SPICE, TickIT и т. д.;
• COSO, IFAC, IIA, AICPA, GAO, PCIE, ISACA и т. д.;
• производственные стандарты и требования промышленных форумов ESF, I4 и т. д.;
• специализированные требования промышленности.
Основное положение COBIT гласит: «Ресурсы информационных систем управляются набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией». Весь стандарт выстроен на основании этого утверждения.
Управление информационными технологиями по COBIT
Управление информационными технологиями осуществляется с учетом потребностей бизнеса. Для этой цели должны быть определены информационные критерии. Организация работы ИТ-подразделения должна быть основана на отдельных процессах, а не на функциях.
Уровни планирования при управлении информационными технологиями:
• стратегический;
• тактический.
Конкретные временные горизонты планирования не указываются.
Стратегические вопросы, которые необходимо рассматривать при использовании ИТ:
• Существуют ли в организации информационные технологии, которыми «удовлетворяются» все информационные потребности?
• Какая инфраструктура в организации, как осуществляется управление рисками и насколько организация зависит от этого?
• С какими проблемами организация сталкивается при управлении информационными технологиями?
Тактические вопросы:
• Что является результатом ИТ-процессов?
• Что является решением проблем в информационных технологиях?
• Будут ли работать эти решения?
• Как их реализовать?
Цели управления информационными технологиями:
• доступ к устройствам;
• идентификация взаимодействующих сторон;
• физическая безопасность;
• обследование;
• непрерывное управление кризисными ситуациями;
• защищенность персонала;
• предотвращение сбоев и защита от них;
• оперативный автоматический мониторинг.
Критерии выбора информационной системы:
• требования бизнес-процессов – создать физическую среду, устойчивую к человеческим ошибкам, сбоям оборудования и ПО;
• возможности ИТ-ресурсов – обеспечить постоянный контроль с целью анализа работы оборудования и выявления отклонений в его работе;
• требования к информации – целостность и доступность.
Общая схема управления ИТ-департаментом приведена на рис. 13.1.
Рис. 13.1. Схема управления ИТ-департаментом
Рекомендуемая схема построения ИТ-департамента:
• сравнение возможностей информационных технологий (ресурсов) с требованиями бизнес-процессов;
• эффективное использование целевых ресурсов:
– кадры;
– приложения;
– технологии;
– средства информатизации;
– данные.
Основное требование – достижение целей бизнеса.
Принципы построения информационной системы:
• сопоставление возможностей ИС (ресурсов) с требованиями процессов бизнеса;
• эффективность;
• оперативность;
• конфиденциальность;
• целостность;
• доступность;
• надежность.
Проанализируем возможности использования целевых ресурсов для каждого процесса.
В ИТ-подразделении для реализации вышеприведенных схем должны быть сформированы:
• критические факторы успеха (КФУ) – предназначены для организации контроля ИТ-процессов;
• ключевые индикаторы цели (КИЦ) – предназначены для контроля достижения целей ИТ-процессов;
• ключевые индикаторы результата – предназначены для контроля результатов каждого ИТ-процесса.
Примеры КФУ:
• действия по управлению информационными технологиями интегрированы в процессы управления организации и стиль работы руководителей;
• управление информационными технологиями сосредоточено на целях организации;
• действия по управлению информационными технологиями формализованы;
• методы аудита определены;
• наблюдается интеграция процессов управления информационными технологиями;
• учрежден комитет, наблюдающий за независимым аудитом.
Критические факторы успеха процесса создания ИТ-подразделения: должны быть сформулированы наиболее важные проблемы, решение которых направлено на достижение контроля над ИТ-процессами.
В рамках использования стандарта должны быть определены ключевые индикаторы целей (КИЦ) – комплекс измерений, показывающий, что информационные технологии удовлетворяют бизнес-требованиям, и ключевые индикаторы результата (КИР) – действия, необходимые для определения, насколько ИТ-процессы достигают поставленных целей. Примеры КИЦ:
• улучшение управления производительностью и стоимостью;
• увеличение доходов от инвестиций в информационные технологии;
• сокращение времени запуска в продажу нового продукта или услуги;
• выполнение требований клиента по бюджету и времени управления рисками и т. д.
Примеры КИР:
• увеличение рентабельности ИТ-процессов;
• увеличение нагрузки на ИТ-структуру;
• повышение производительности сотрудников.
В настоящее время стандарт в основном применяется для управления инвестициями и оценки рисков, а также технического аудита ИТ-подразделений, включая перекрестный аудит (рис. 13.2).
Рис. 13.2. Аудит ИТ-подразделения
Данный текст является ознакомительным фрагментом.