COBIT Keretrendszer I. Szikora Zsolt, DE 2008

COBIT Keretrendszer I

Szikora Zsolt, DE 2008

Tartalom 1. Bevezetés 2. Alap kérdések (Miért? Ki? Mit? ) + Hogyan? 3. Információ-kritériumok 4. Üzleti és Informatikai célok, EF mngmnt 5. Szakterületek(PO, AI, DS, ME) 6. Folyamat Kontroll Modell 7. Kontrollok, általános kontroll célkitűzések (Pcn) 8. Üzleti, informatikai, általános, alkalmazás) 9. Felelősség 10.Alkalmazás kontroll célkitűzések (ACn) 11.Mérések [ → Érettségi modellek – Dévai Vince mesterjelölt társamtól] 2008-10-16

Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.

2

Bevezetés - COBIT Küldetése Egy irányadó, naprakész, nemzetközileg elfogadott informatikai irányítási kontroll keretrendszer kutatása, kidolgozása, közzététele és népszerűsítése annak érdekében, hogy a vállalatok átvegyék, és hogy az üzleti vezetők, az informatikai szakemberek , és a bizonyosság nyújtást végző szakemberek munkájuk során rendszeresen használják 2008-10-16


3

Alap kérdések Az informatikai irányítást szolgáló kontroll keretrendszer meghatározza ●

azokat az okokat, amiért szükség van az informatikai irányításra,

●

kik az érdekelt felek, és

●

mit kell elérnie.

2008-10-16


4

Alap kérdések – Miért kell ez? ●

●

●

A felső vezetés felismeri, h az információ egyre inkább hat a vállalati sikerességre A sikeres vállalatok tisztában vannak az informatika kockázataival , és hasznosítják annak előnyeit Alapvető az IT rendszer átfogó és számszerűsíthető(!) minősíthetősége

2008-10-16


5

Alap kérdések – Kik az érdekeltek? ●

Belső IT értékteremtők ▪ beruházási döntéshozók ▪ követelménymeghatározók ▪ IT szolgáltatás felhasználói

●

Belső & Külső szolgáltatásnyújtók ▪ IT szerv és szolg-mngmnt ▪ szolg képességfejlesztők ▪ szolg-üzemeltetők

●

Belső & Külső kontroll-/kockázatfelelősök ▪ biztonság/védelem-felelősök,▪ megfelelőségbiztosítók,▪ bizonyosság nyújtási szolgáltatások megrendelői és nyújtói

2008-10-16


6

Alap kérdések – Mit ad a rendszer? ●

●

●

●

●

Üzleti és Informatikai célkitűzések illeszthetők általa ← üzletközpontúságot biztosít Érthető szerkezetű folyamat-központú leírást használ az informatikai irányítás kiterjedésének és hatókörének megadásakor Általánosan elfogadható ← konzisztens az elfogadott informatikai bevált gyakorlatokkal és szabványokkal, technológia-független. Érthető közös nyelvet biztosít az összes érdekelt fél számára (fogalomkészlet és definíciók) Segíti a szabályozási követelmények teljesítését ← következetesen megfelel az általánosan elf ogadott vállalatirányítási szabványoknak (például a COSO-nak) és a hatóságok és a külső auditorok által elvárt informatikai kontrolloknak.

2008-10-16


7

Hogyan működik a COBIT? ALAPELVEK 1.Üzlet-központú 2.Folyamatközpontú 3.Kontroll-alapú 4.Mérték-alapú

2008-10-16


8

COBIT információ-kritériumai Az üzleti célok eléréséhez az információknak ki kell elégíteniük bizonyos kontroll kritériumokat (információkra vonatkozó üzleti követelményeket)

1.Eredményesség 2.Hatékonyság 3.Bizalmasság 4.Sértetlenség 5.Rendelkezésre állás 6.Megfelelőség 7.Megbízhatóság

2008-10-16


9

Üzleti célok és Informatikai célok viszonya

Lásd: CobiT 4.1 leírás I. melléklete, ami valójában három táblázatból áll.

2008-10-16


10

Az inf. célok és a vállalati inf. architektúra meghatározása

2008-10-16


11

Az inf. EFok menedzselése (az inf. célok teljesítése érdekében!)

2008-10-16


12

A COBIT négy szakterülete A COBIT az informatikai tevékenységeket négy szakterületbe csoportosítva, egy általános folyamat modell keretében határozza meg. Plan and Organise

2008-10-16

–

Tervezés és Szervezés (PO)—A megoldásszállításra (AI) és a szolgáltatásnyújtásra (DS) vonatkozóan megadja az Acquire and Implement irányvonalat

–

Beszerzés és megvalósítás (AI)—Gondoskodik a megoldásokról és továbbadja azokat, hogy Deliver and Support szolgáltatások váljanak belőlük

–

Szolgáltatás és támogatás (DS)— Megkapja a megoldásokat, és használhatóvá teszi azokat a Monitor and Evaluate végfelhasználók számára

–

Figyelemmel kísérés és értékelés (ME)—Figyelemmel kíséri az összes folyamatot, hogy gondoskodjon a kijelölt Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 13 irány követéséről.

A szakterületek kapcsolata

2008-10-16


14

Folyamat és cél-kontroll ●

●

●

A négy szakterületen belül a COBIT 34 általánosan használt informatikai folyamatot rögzített. A COBIT a folyamatok teljes listáját biztosítja, amely felhasználható a tevékenységek és a felelősségek teljességének ellenőrzésére; azonban nem mindegyiket kell alkalmazni minden egyes vállalatnál. A folyamatok mindegyikét

2008-10-16


15

Kontroll modell KONTROLL Olyan irányelvek, szabályzatok, eljárások, gyakorlatok és szervezeti struktúrák összessége, melyeket arra hoztak létre, hogy ésszerű bizonyosságot adjanak arra, hogy az üzleti célkitűzések elérhetők, a nemkívánatos események megelőzhetők, illetve felismerhetők, és helyesbíthetők. 2008-10-16


16

Folyamatok, kontroll célkitűzések és általános kontroll követelmények ●

●

●

A COBIT minden egyes informatikai folyamata rendelkezik egy folyamat leírással, és néhány kontroll célkitűzéssel. Egy jólmenedzselt folyamatnak általánosságban rendelkeznie kell ezekkel. A kontroll célkitűzések azonosítása kétkarakteres szakterület hivatkozással (PO, AI, DS ME), valamint a folyamat számával és egy kontroll célkitűzési számmal történik. A kontroll célkitűzések mellett minden egyes COBIT folyamat rendelkezik általános kontroll követelményekkel, amelyeket a folyamat kontroll számát j elölő (PCn) szám azonosít be. Ezeket együtt kell figyelembe venni a folyamat kontroll célkitűzésekkel annak érdekében, hogy a kontroll követelményekről teljes képet kapjunk.

2008-10-16


17

Általános kontroll követelmények ●

PC1 Folyamat céljai és célkitűzései

●

PC2 Folyamat felelősség

●

PC3 Folyamat megismételhetőség

●

PC4 Szerepkörök és felelősségek

●

PC5 Irányelv, tervek és eljárások

●

PC6 Folyamat teljesítményének javítása

2008-10-16


18

Amit még kapunk a folyamatokhoz A COBIT az alábbiakra vonatkozóan olyan példákat biztosít minden egyes folyamatra vonatkozóan, amelyek szemléletesek, de nem előíró, illetve kimerítő felsorolás jellegűek. ●

●

●

●

Általános bemenetek és kimenetek A szerepkörökre és felelősségekre vonatkozó tevékenységek és útmutatás a tevékenység-felelős hozzárendelési mátrix (RACI mátrix: Responsible, Accountable, Consulted, Informed) segítségével Kulcsfontosságú tevékenység célok (a legfontosabb teendők) Metrikák

2008-10-16


19

Üzleti és Informatikai kontrollok ●

A vállalat belső irányítási és ellenőrzési rendszere három szinten van hatással az informatikára

2008-10-16

–

Felső vezetői szinten

–

Üzleti folyamat szinten

–

Az üzleti folyamatok támogatása érdekében


20

Általános kontrollok Az általános kontrollok az informatikai folyamatokba és szolgáltatásokba beágyazott kontrollok. Az általános kontrollokra példák az alábbiak: Rendszerek fejlesztése ● Változáskezelés ● Biztonság ● Számítógép üzemeltetés ●

2008-10-16


21

Alkalmazás Kontrollok ●

Az üzleti folyamat alkalmazásokba beágyazott kontrolljaira általában alkalmazás kontrollokként hivatkoznak. A példák közé tartoznak az alábbiak: Teljesség ● Pontosság ● Érvényesség ● Engedélyezés ● A felelősségek elhatárolása ●

2008-10-16


22

Felelősségi területek 1. ●

●

●

A COBIT feltételezi, hogy az automatizált alkalmazás kontrollok megtervezése és megvalósítsa az informatika felelőssége, amelyet a Beszerzés és megvalósítás szakterület fed le, a COBIT információ-kritériumainak felhasználásával meghatározott üzleti követelmények alapján Az alkalmazás kontrollok üzemeltetésének menedzselése és kontrollja nem az informatika felelősségi körébe tartozik, hanem az üzleti folyamat felelősökébe. Következésképpen az alkalmazás kontrollokért való felelősség az üzleti területek és az informatika közös felelőssége, de a felelősségek jellege az alábbiak szerint változik.

2008-10-16


23

Felelősségi területek 2. ●

●

Az üzleti területek a felelősek... –

A funkcionális és kontroll követelmények meghatározásáért

–

Az automatizált szolgáltatások használata

Az informatika a felelős... –

az üzleti funkcionális és kontroll követelmények automatizálásáért és megvalósításáért

–

kontrollok létrehozásáért az alkalmazás kontrollok sértetlenségének fenntartása érdekében

Ezért a COBIT informatikai folyamatai lefedik az általános informatikai kontrollokat, de az alkalmazás kontrolloknak csak a fejlesztési szempontjait; a kontrollok meghatározásának és napi alkalmazásának felelőssége az üzleti területeket terheli. 2008-10-16


24

Felelősségi területek 3.

2008-10-16


25

Alkalmazás kontroll célkitűzések ●

AC1 Forrásadatok előkészítése és engedélyezése

●

AC2 Forrásadatok összegyűjtése és bevitele

●

AC3 Pontossági, teljességi és hitelességi ellenőrzések

●

AC4 Feldolgozás sértetlensége és érvényessége

●

AC5 Kimenet felülvizsgálat, egyeztetés és hibakezelés

●

AC6 Tranzakció hitelesítése és sértetlensége

2008-10-16


26

Mit kellene mérni és hogyan? A vállalkozásoknak mérniük kell azt, hogy hol tartanak, és hol van szükség fejlesztésre, és be kell vezetniük egy vezetési eszköztárt ezen fejlesztések figyelemmel kíséréséhez. A COBIT e kérdésekkel foglalkozik oly módon, hogy az alábbiakat nyújtja:

2008-10-16

–

Érettségi modelleket, amelyek lehetővé teszik az összehasonlító értékelést és a szükséges képesség fejlesztések meghatározását.

–

Az informatikai folyamatokhoz kapcsolódó teljesítmény célokat és metrikákat, amelyek szemléltetik, hogy a folyamatok hogyan teljesítik az üzleti és az informatikai célokat és segítségükkel mérhető a belső folyamat teljesítmény a kiegyensúlyozott stratégiai mutatószámrendszer alapelvei alapján.

–

Tevékenységi célokat, az eredményes folyamat teljesítmény megvalósítása érdekében Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.

27

Érettségi modellek Erről már Dévai Vince fog szólni...

KÖSZÖNÖM A FIGYELMET

2008-10-16


28

COBIT Keretrendszer I. Szikora Zsolt, DE 2008

Recommend Documents