Стандарт COBIT

Стандарт COBIT

В настоящее время стандарт COBIT, переживая третье издание, продвигается и поддерживается ассоциацией ISACA Первое издание состоялось в 1996 г. Стандарт описывается примерно в 30 книгах (в некоторых источниках указывается 34 книги).

Он состоит из четырех доменов:

• планирование и организация;

• проектирование и внедрение;

• эксплуатация и сопровождение;

• мониторинг,

которые содержат 34 объекта высокого уровня (подгруппы), в свою очередь состоящих из 302 объектов контроля.

COBIT соответствует всем общепринятым мировым стандартам и инструкциям, включая:

• ISO, EDIFACT и т. д.;

• критерии оценки ИС и процессов: ITSEC, TCSEC, ISO 9000, SPICE, TickIT и т. д.;

• COSO, IFAC, IIA, AICPA, GAO, PCIE, ISACA и т. д.;

• производственные стандарты и требования промышленных форумов ESF, I4 и т. д.;

• специализированные требования промышленности.

Основное положение COBIT гласит: «Ресурсы информационных систем управляются набором естественно сгруппированных процессов для обеспечения организации необходимой и надежной информацией». Весь стандарт выстроен на основании этого утверждения.

Управление информационными технологиями по COBIT

Управление информационными технологиями осуществляется с учетом потребностей бизнеса. Для этой цели должны быть определены информационные критерии. Организация работы ИТ-подразделения должна быть основана на отдельных процессах, а не на функциях.

Уровни планирования при управлении информационными технологиями:

• стратегический;

• тактический.

Конкретные временные горизонты планирования не указываются.

Стратегические вопросы, которые необходимо рассматривать при использовании ИТ:

• Существуют ли в организации информационные технологии, которыми «удовлетворяются» все информационные потребности?

• Какая инфраструктура в организации, как осуществляется управление рисками и насколько организация зависит от этого?

• С какими проблемами организация сталкивается при управлении информационными технологиями?

Тактические вопросы:

• Что является результатом ИТ-процессов?

• Что является решением проблем в информационных технологиях?

• Будут ли работать эти решения?

• Как их реализовать?

Цели управления информационными технологиями:

• доступ к устройствам;

• идентификация взаимодействующих сторон;

• физическая безопасность;

• обследование;

• непрерывное управление кризисными ситуациями;

• защищенность персонала;

• предотвращение сбоев и защита от них;

• оперативный автоматический мониторинг.

Критерии выбора информационной системы:

• требования бизнес-процессов – создать физическую среду, устойчивую к человеческим ошибкам, сбоям оборудования и ПО;

• возможности ИТ-ресурсов – обеспечить постоянный контроль с целью анализа работы оборудования и выявления отклонений в его работе;

• требования к информации – целостность и доступность.

Общая схема управления ИТ-департаментом приведена на рис. 13.1.

Рис. 13.1. Схема управления ИТ-департаментом

Рекомендуемая схема построения ИТ-департамента:

• сравнение возможностей информационных технологий (ресурсов) с требованиями бизнес-процессов;

• эффективное использование целевых ресурсов:

– кадры;

– приложения;

– технологии;

– средства информатизации;

– данные.

Основное требование – достижение целей бизнеса.

Принципы построения информационной системы:

• сопоставление возможностей ИС (ресурсов) с требованиями процессов бизнеса;

• эффективность;

• оперативность;

• конфиденциальность;

• целостность;

• доступность;

• надежность.

Проанализируем возможности использования целевых ресурсов для каждого процесса.

В ИТ-подразделении для реализации вышеприведенных схем должны быть сформированы:

• критические факторы успеха (КФУ) – предназначены для организации контроля ИТ-процессов;

• ключевые индикаторы цели (КИЦ) – предназначены для контроля достижения целей ИТ-процессов;

• ключевые индикаторы результата – предназначены для контроля результатов каждого ИТ-процесса.

Примеры КФУ:

• действия по управлению информационными технологиями интегрированы в процессы управления организации и стиль работы руководителей;

• управление информационными технологиями сосредоточено на целях организации;

• действия по управлению информационными технологиями формализованы;

• методы аудита определены;

• наблюдается интеграция процессов управления информационными технологиями;

• учрежден комитет, наблюдающий за независимым аудитом.

Критические факторы успеха процесса создания ИТ-подразделения: должны быть сформулированы наиболее важные проблемы, решение которых направлено на достижение контроля над ИТ-процессами.

В рамках использования стандарта должны быть определены ключевые индикаторы целей (КИЦ) – комплекс измерений, показывающий, что информационные технологии удовлетворяют бизнес-требованиям, и ключевые индикаторы результата (КИР) – действия, необходимые для определения, насколько ИТ-процессы достигают поставленных целей. Примеры КИЦ:

• улучшение управления производительностью и стоимостью;

• увеличение доходов от инвестиций в информационные технологии;

• сокращение времени запуска в продажу нового продукта или услуги;

• выполнение требований клиента по бюджету и времени управления рисками и т. д.

Примеры КИР:

• увеличение рентабельности ИТ-процессов;

• увеличение нагрузки на ИТ-структуру;

• повышение производительности сотрудников.

В настоящее время стандарт в основном применяется для управления инвестициями и оценки рисков, а также технического аудита ИТ-подразделений, включая перекрестный аудит (рис. 13.2).

Рис. 13.2. Аудит ИТ-подразделения

Данный текст является ознакомительным фрагментом.