COBIT

CobiT (Control Objectives for Information and Related Technologies — «Задачи управления для информационных и смежных технологий») — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — всё то, что так или иначе имело отношение к целям управления.

Структура

Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):

  1. Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:
    • PO1 Разработка стратегического плана
    • PO2 Определение ИТ архитектуры
    • PO3 Определение направлений развития технологий
    • PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
    • PO5 Управление инвестициями в ИТ
    • PO6 Согласованное управление целями и задачами
    • PO7 Управление ИТ персоналом
    • PO8 Управление качеством
    • PO9 Оценка и управление рисками ИТ
    • PO10 Управление проектами
  2. Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:
    • AI1 Идентификация и выбор решений по автоматизации
    • AI2 Проектирование и разработка приложений
    • AI3 Проектирование и поддержка технической инфраструктуры
    • AI4 Обеспечение работы и использования ИС
    • AI5 Закупка ИТ ресурсов
    • AI6 Управление изменениями
    • AI7 Установка и утверждение решений и изменений
  3. Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:
    • DS1 Определение и управление уровнями сервиса
    • DS2 Управление сервисами подрядчиков
    • DS3 Управление производительностью и мощностью
    • DS4 Обеспечение непрерывности сервисов
    • DS5 Обеспечение безопасности систем
    • DS6 Определение и распределение ИТ затрат
    • DS7 Обучение пользователей
    • DS8 Управление службой поддержки и инцидентами
    • DS9 Управление конфигурацией
    • DS10 Управление проблемами
    • DS11 Управление данными
    • DS12 Управление физическим оборудованием
    • DS13 Управление эксплуатацией
  4. Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:
    • ME1 Отслеживать и оценивать производительность ИТ
    • ME2 Отслеживать и оценивать внутренние контроли
    • ME3 Гарантировать соответствие регулирующим требованиям
    • ME4 Обеспечивать руководство ИТ

Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.

Уровни зрелости

Зрелость показывает, насколько процесс управляем и предсказуем. Всего обычно рассматривают шесть уровней зрелости:

  • 0 Отсутствующий. Процесс не существует. Например, процесс производства колбасы в ИТ организации находится на нулевом уровне зрелости, поскольку мы не производим колбасу.
  • 1 Начальный. Деятельность осуществляется хаотически, от случая к случаю без единого подхода. Руководство не организовано.
  • 2 Повторяемый, но интуитивный. Одинаковые задачи решаются разными людьми сходными методами. Однако отсутствуют формальные процедуры и распределение ответственности. Весьма высока зависимость от отдельных сотрудников, что повышает вероятность ошибок.
  • 3 Определенный. Процедуры стандартизованы и документированы. Однако отклонения от процедур не всегда отслеживаются. Процедуры формализуют существующую практику.
  • 4 Управляемый и измеримый. Руководство контролирует и измеряет процесс и принимает меры, если процесс неэффективен. Могут использоваться инструменты автоматизации процесса.
  • 5 Оптимизируемый. Процесс развит до уровня хорошей практики в результате постоянных улучшений и сравнения с другими предприятиями. Соответствует целям заказчика.