Методология управления, контроля и аудита информационных систем разработана Международной ассоциацией аудита и контроля за информационными системами (ISACA) и позволяет:
— Построить работу ИТ-службы на процессной основе;
— Организовать мониторинг работы ИТ-службы, привязанный к целям и задачам бизнеса;
— Осуществить сравнение уровня развития ИТ с другими предприятиями отрасли.
Основной принцип CobIT:
Для того чтобы организация обеспечила себя информацией, необходимой для достижения ее целей, она должна:
— Инвестировать и управлять ИТ-ресурсами (приложениями, информацией, инфраструктурой, людьми),
— Посредством структурированного комплекса процессов,
— Которые обеспечивают сервисы для предоставления информации.
Чтобы удовлетворять бизнес-целям информация должна соответствовать определенным контрольным критериям, которыми CobIT определяет требования бизнеса к информации:
1. Полезность
2. Эффективность
3. Конфиденциальность
4. Целостность
5. Доступность
6. Соответствие требованиям
7. Достоверность
Стандарт делит всю деятельность ИТ на 4 домена (группы или сферы деятельности), которые включают 34 процесса. При этом, каждый процесс привязан к ИТ-цели, а каждая ИТ-цель привязана к одной из целей, которые ставит перед собой бизнес.
Для каждого процесса определены:
1. Ключевые индикаторы достижения цели (KGI) — метрики, которые показывают руководству, достигнуты ли цели бизнеса с помощью ИТ-процесса, и в какой степени.
2. Ключевые показатели эффективности (KPI) — метрики, которые показывают, насколько хорошо работает ИТ-процесс.
3. Степень зрелости процесса — определяется по шкале от 0 до 5 (5 — высшая оценка, когда процессы усовершенствованы до уровня передовой практики).
Стандарт представляет виды деятельности в сфере ИТ в виде типовой модели процессов, состоящей из 4 доменов (групп):
1. Планирование и организация (Plan and Organize — PO) Охватывает стратегию, тактику и направление деятельности ИТ для достижения бизнес-целей. Отвечает на следующие вопросы управления:
— Согласованы ли ИТ-стратегия и корпоративная стратегия?
— Оптимально ил используются ресурсы компании?
— Понимают ли сотрудники цели ИТ?
— Осуществляется ли управление ИТ-рисками?
— Удовлетворяет ли качество систем ИТ-потребностям?
2. Приобретение и внедрение (Acquire and Implement — AI) Для воплощения ИТ-стратегии в бизнес-процесс должны быть интегрированы разработанные или приобретенные ИТ-решения. Отвечает на следующие вопросы:
— Предлагают ли новые проекты решения, отвечающие потребностям бизнеса?
— Выполняются ли новые проекты в срок и в рамках бюджета?
— Будут ли новые системы после внедрения работать должным образом?
— Удастся ли внедрить изменения без сбое в текущих бизнес операциях?
3. Эксплуатация и сопровождение (Deliver and Support — DS)Домен связан с вопросами текущего представления услуг и включает предоставление услуг, обеспечение безопасности и непрерывности сервисов, поддержку пользователей, управление данными. Рассматривает следующие вопросы:
— Предоставляется ли ИТ услуги в соответствии с приоритетами бизнеса?
— Оптимизированы ли затраты на ИТ?
— Способен ли ИТ-персонал использовать ИТ-системы эффективно и безопасно?
— Обеспечивается ли в рамках ИБ должный уровень конфиденциальности, целостности и доступности?
4. Мониторинг и оценка (Monitor and Evaluate — ME) Все ИТ-процессы должны регулярно оцениваться на качество и соответствие бизнес-потребностям. Рассматривает следующие вопросы:
— Как своевременно выявить проблемы, связанный с эффективностью ИТ-процессов?
— Существует ли эффективная система внутреннего контроля?
— Как установить обратную связь между эффективнсотью ИТ и целями бизнеса?
— Обеспечивается ли в рамках ИБ должный уровень конфиденциальности, целостности и доступности?
|