® CobiT
Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004
Agenda Základy CobiT® Pojem CobiT® Domény CobiT® Hodnocení a metriky dle CobiT®
IT Governance – Řízení a správa procesů ICT CobiT® a Balanced Score Cards Srovnání CobiT® s ISO 17799 a BS 15000/ITIL
Statistika na úvod 93% organizací považuje ICT za strategicky důležité Pouze 7% organizací nemělo v roce 2003 problémy s ICT 40% organizací zaznamenalo selhání nebo neodpovídající fungování systémů
18% organizací vědělo o existenci metodiky CobiT 30% těchto organizací CobiT používá 45% považují implementaci za relativně jednoduchou 25% považují implementaci za relativně obtížnou
Pojem CobiT® CobiT® – Control Objectives for Information and related Technology Uznávaná mezinárodní metodika pro management a řízení informatiky Využívání ICT je řízeno souborem nejlepších praktik Co je potřeba dělat pro zajištění kvalitního řízení a správy procesů ICT?
Strategické cíle organizace
ICT Strategie Procesy ICT
Zdroje ICT
Vztahy obecných a ICT strategií Neexistence jednoho z plánů – 30% Nepropojení plánů – 27% ICT plány odvozeny od obecné strategie – 43% ICT plány neovlivňují obecné plány – 9% ICT plány ovlivňují obecné plány – 11% Integrované obecné a ICT plány – 23%
ICT Governance z pohledu
® CobiT
ICT Governance vyžaduje uvědomělou strukturu, která mapuje vzájemné vztahy mezi procesy ICT, zdroji ICT a informacemi vůči strategickým cílům organizace. Přímé řízení
Cíle
Činnosti ICT
Řízení Zpětná vazba
Zdroje ICT Použití
Domény
® CobiT
4 domény obsahují 34 procesů: PO (11) Plánování & Organizace
AI (6) Akvizice & Implementace
DS (13) Dodávka & Podpora
M (4) Monitorování
Doména Plánování & Organizace PO1 – Definice strategického plánu IT PO2 – Definice informační architektury PO3 – Určení technologického směru PO4 – Definice organizace a vztahů pro IT PO5 – Řízení investic do IT PO6 – Komunikace cílů vedení
PO7 – Řízení lidských zdrojů PO8 – Zajištění shody s vnějšími požadavky PO9 – Hodnocení rizik PO10 – Řízení projektů PO11 – Řízení kvality
Doména Akvizice & Implementace
AI1 – Identifikace automatizovaných řešení AI2 – Pořízení a údržba aplikačního software AI3 – Pořízení a údržba technologické infrastruktury AI4 – Postupy vývoje a údržby AI5 – Instalace a akreditace systémů AI6 – Řízení změn
Doména Dodávka & Podpora DS1 – Definice a řízení úrovní služeb DS2 – Řízení služeb třetích stran DS3 – Řízení výkonu a kapacity DS4 – Zajištění nepřetržitosti služeb DS5 – Zajištění bezpečnosti systémů DS6 – Identifikace a alokace nákladů DS7 – Vzdělávání a příprava uživatelů
DS8 – Podpora uživatelů a zákazníků DS9 – Řízení konfigurace DS10 – Řízení problémů a incidentů DS11 – Správa dat DS12 – Správa vybavení DS13 – Řízení provozu
Doména Monitorování
M1 Monitorování procesů M2 Posouzení adekvátnosti interních opatření M3 Dosažení nezávislých záruk M4 Nezávislý audit
Vazby mezi doménami Plánování & Organizace Business
Strategie organizace
Akvizice & Implementace Vývoj ICT
Strategie ICT Provoz ICT
Monitorování
Dodávka & Podpora
Krychle –
® CobiT
Kritéria IT:
st no zp eč
Data
Vybavení
Aplikace
IC T
Činnosti
Zd ro je
Procesy
Lidé
Domény
Technologie
Be
li v os t ol eh Sp
K va lit a
Účelnost Výkonnost Důvěrnost Integrita Dostupnost Shoda Spolehlivost
Informační kritéria
Procesy ICT
Zdroje IT:
Lidé Aplikace Technologie Vybavení Data
Domény
® CobiT Informační kritéria y y y y y y y
Monitorování
Účelnost Výkonnost Důvěrnost Integrita Dostupnost Shoda Spolehlivost
Plánování & Organizace
Zdroje ICT y y y y y
Dodání & Podpora
Lidé Aplikace Technologie Vybavení Data
Akvizice & Implementace
IT Governance z pohledu Cíle
Činnosti ICT
Přímé
• ICT podporuje cíle organizace a maximalizuje užitek
řízení
® CobiT
Plánování & Organizace Akvizice & Implementace Dodávka & Podpora Monitorování
Plánuj Dělej Kontroluj Jednej
Řízení • Zdroje ICT jsou využívány odpovědně • Rizika ICT jsou vhodně řízena
Řízení rizik • bezpečnost • spolehlivost • shoda Zpětná vazba
Realizace přínosů Snížení Zvýšení automatizace - nákladů - vyšší účelnost výkonnosti
Kritické faktory úspěchu Definují nejdůležitější prvky nebo akce, které je třeba naplnit
Definované procesy Definovaná pravidla Jednoznačná odpovědnost Silná angažovanost vedení Vhodná forma komunikace Konzistentní metriky
Klíčové indikátory
Klíčové indikátory cíle – informují management, zdali IT proces splnil očekávání organizace. Odpověď na otázku čeho je třeba dosáhnout.
Klíčové indikátory výkonu – určují, jak dobře podporuje daný IT proces cíl organizace. Odpověď na otázku jak se daří cíle dosahovat.
Metrika modelu vyzrálosti Stupně hodnocení vyzrálosti:
0 – Neexistující – procesy nejsou aplikovány. 1 – Inicializovaný / Náhodný – procesy se řeší ad-hoc a nejsou organizovány. 2 – Opakovatelný, ale intuitivní – procesy mají opakovatelný charakter. 3 – Definovaný proces – procesy jsou dokumentované a dobře sdělované. 4 – Řízený a měřitelný – procesy jsou sledovány a měřeny. 5 – Optimalizovaný – jsou zavedeny a automatizovány nejlepší dostupné praktiky. 0
1
Aktiální stav organizace
2
Průměrný stav oboru
3
4
5
Strategický cíl organizace
Priority projektů optimalizace
Balanced Score Cards
CobiT a BSC
Hierarchie BSC
Obecné cíle řízení informatiky
Přispět ke kvalitnímu fungování organizace Orientovat se na zákazníka resp. uživatele Zajistit provozní dokonalost Orientovat se na možnosti rozvoje v budoucnosti
ČSN ISO/IEC 17799:2001
Srovnání CobiT v. ISO 17799 ČSN ISO/IEC 17799:2001 – Soubor postupů pro řízení informační bezpečnosti BS 7799-2:2002 – Specifikace systému řízení informační bezpečnosti Založeno na PDCA modelu Omezuje se pouze na kritéria související s bezpečností
BS 15000 resp. ITIL
Srovnání CobiT v. BS 15000 BS 15000 – Specifikace systému řízení informačních služeb ITIL – IT Infrastructure Library Založeno na PDCA modelu Soustředí se na efektivní provozování a rozvoj ICT
Závěr CobiT je ucelený pohled na ICT, který zdůrazňuje vliv ICT na celkové fungování organizace CobiT vyhledává řešení, kde jsou vyváženy výhody a rizika spojená s využití ICT Je otevřeným mezinárodním standardem Kvalitní systém řízení informatiky je vhodné opírat o nejlepší vžitou praxi – dnes je zbytečné vynalézat kolo Další informace: www.isaca.org, www.itgi.org
DISKUSE DĚKUJI ZA POZORNOST Luděk Novák vedoucí konzultant
[email protected],
[email protected] 241 046 136
