COBIT — различия между версиями
Admin (обсуждение | вклад) (Новая страница: «'''CobiT''' (Control Objectives for Information and Related Technologies — «Задачи управления для информационных и смежн…») |
Admin (обсуждение | вклад) м (→Структура) |
||
Строка 3: | Строка 3: | ||
== Структура == | == Структура == | ||
Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности): | Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности): | ||
− | # Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы: | + | # '''Планирование и организация''': включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы: |
#* PO1 Разработка стратегического плана | #* PO1 Разработка стратегического плана | ||
#* PO2 Определение ИТ архитектуры | #* PO2 Определение ИТ архитектуры | ||
Строка 14: | Строка 14: | ||
#* PO9 Оценка и управление рисками ИТ | #* PO9 Оценка и управление рисками ИТ | ||
#* PO10 Управление проектами | #* PO10 Управление проектами | ||
− | # Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы: | + | # '''Приобретение и внедрение''': для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы: |
#* AI1 Идентификация и выбор решений по автоматизации | #* AI1 Идентификация и выбор решений по автоматизации | ||
#* AI2 Проектирование и разработка приложений | #* AI2 Проектирование и разработка приложений | ||
Строка 22: | Строка 22: | ||
#* AI6 Управление изменениями | #* AI6 Управление изменениями | ||
#* AI7 Установка и утверждение решений и изменений | #* AI7 Установка и утверждение решений и изменений | ||
− | # Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы: | + | # '''Предоставление и поддержка''': включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы: |
#* DS1 Определение и управление уровнями сервиса | #* DS1 Определение и управление уровнями сервиса | ||
#* DS2 Управление сервисами подрядчиков | #* DS2 Управление сервисами подрядчиков | ||
Строка 36: | Строка 36: | ||
#* DS12 Управление физическим оборудованием | #* DS12 Управление физическим оборудованием | ||
#* DS13 Управление эксплуатацией | #* DS13 Управление эксплуатацией | ||
− | # Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы: | + | # '''Мониторинг и оценка''': качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы: |
#* ME1 Отслеживать и оценивать производительность ИТ | #* ME1 Отслеживать и оценивать производительность ИТ | ||
#* ME2 Отслеживать и оценивать внутренние контроли | #* ME2 Отслеживать и оценивать внутренние контроли |
Версия 16:02, 2 мая 2018
CobiT (Control Objectives for Information and Related Technologies — «Задачи управления для информационных и смежных технологий») — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности. Создатели стандарта провели анализ и оценку и объединили лучшее из международных технических стандартов, стандартов управления качеством, аудиторской деятельности, а также из практических требований и опыта — всё то, что так или иначе имело отношение к целям управления.
Структура
Концептуальное ядро стандарта COBIT 4.1 сформировано из 34 высокоуровневых процессов (которые покрывают порядка 200 целей контроля), сгруппированных в 4 домена (сферы деятельности):
- Планирование и организация: включает стратегию и тактику, а также определение способов наиболее эффективного использования ИТ для достижения бизнес-целей. Регламентируемые процессы:
- PO1 Разработка стратегического плана
- PO2 Определение ИТ архитектуры
- PO3 Определение направлений развития технологий
- PO4 Формализация ИТ процессов, организации и взаимоотношений с бизнесом
- PO5 Управление инвестициями в ИТ
- PO6 Согласованное управление целями и задачами
- PO7 Управление ИТ персоналом
- PO8 Управление качеством
- PO9 Оценка и управление рисками ИТ
- PO10 Управление проектами
- Приобретение и внедрение: для реализации ИТ стратегии нужно идентифицировать, разработать или приобрести соответствующие ИТ решения, которые должны быть внедрены и интегрированы в бизнес-процессы, а также внести изменения в информационные системы. Регламентируемые процессы:
- AI1 Идентификация и выбор решений по автоматизации
- AI2 Проектирование и разработка приложений
- AI3 Проектирование и поддержка технической инфраструктуры
- AI4 Обеспечение работы и использования ИС
- AI5 Закупка ИТ ресурсов
- AI6 Управление изменениями
- AI7 Установка и утверждение решений и изменений
- Предоставление и поддержка: включает предоставление требуемых информационных служб, в том числе обеспечение безопасности и непрерывности бизнеса, обучение, а также обработку данных прикладными системами. Регламентируемые процессы:
- DS1 Определение и управление уровнями сервиса
- DS2 Управление сервисами подрядчиков
- DS3 Управление производительностью и мощностью
- DS4 Обеспечение непрерывности сервисов
- DS5 Обеспечение безопасности систем
- DS6 Определение и распределение ИТ затрат
- DS7 Обучение пользователей
- DS8 Управление службой поддержки и инцидентами
- DS9 Управление конфигурацией
- DS10 Управление проблемами
- DS11 Управление данными
- DS12 Управление физическим оборудованием
- DS13 Управление эксплуатацией
- Мониторинг и оценка: качество и соответствие ИТ процессов требованиям контроля должны оцениваться на регулярной основе. Этот домен включает в себя надзор со стороны руководства за процессами управления в организации, а также независимый контроль со стороны внутренних и внешних аудиторов. Регламентируемые процессы:
- ME1 Отслеживать и оценивать производительность ИТ
- ME2 Отслеживать и оценивать внутренние контроли
- ME3 Гарантировать соответствие регулирующим требованиям
- ME4 Обеспечивать руководство ИТ
Домены соотносятся с традиционными сферами ответственности ИТ: планирование, внедрение, эксплуатация и мониторинг. Такая структура охватывает все аспекты управления и использования ИТ. Выполнение всех 34 высокоуровневых процессов позволяет гарантировать владельцу бизнес-процесса, что система управления ИТ является адекватной задачам бизнеса.
Уровни зрелости
Зрелость показывает, насколько процесс управляем и предсказуем. Всего обычно рассматривают шесть уровней зрелости:
- 0 Отсутствующий. Процесс не существует. Например, процесс производства колбасы в ИТ организации находится на нулевом уровне зрелости, поскольку мы не производим колбасу.
- 1 Начальный. Деятельность осуществляется хаотически, от случая к случаю без единого подхода. Руководство не организовано.
- 2 Повторяемый, но интуитивный. Одинаковые задачи решаются разными людьми сходными методами. Однако отсутствуют формальные процедуры и распределение ответственности. Весьма высока зависимость от отдельных сотрудников, что повышает вероятность ошибок.
- 3 Определенный. Процедуры стандартизованы и документированы. Однако отклонения от процедур не всегда отслеживаются. Процедуры формализуют существующую практику.
- 4 Управляемый и измеримый. Руководство контролирует и измеряет процесс и принимает меры, если процесс неэффективен. Могут использоваться инструменты автоматизации процесса.
- 5 Оптимизируемый. Процесс развит до уровня хорошей практики в результате постоянных улучшений и сравнения с другими предприятиями. Соответствует целям заказчика.