COBIT Keretrendszer I
Szikora Zsolt, DE 2008
Tartalom 1. Bevezetés 2. Alap kérdések (Miért? Ki? Mit? ) + Hogyan? 3. Információ-kritériumok 4. Üzleti és Informatikai célok, EF mngmnt 5. Szakterületek(PO, AI, DS, ME) 6. Folyamat Kontroll Modell 7. Kontrollok, általános kontroll célkitűzések (Pcn) 8. Üzleti, informatikai, általános, alkalmazás) 9. Felelősség 10.Alkalmazás kontroll célkitűzések (ACn) 11.Mérések [ → Érettségi modellek – Dévai Vince mesterjelölt társamtól] 2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
2
Bevezetés - COBIT Küldetése Egy irányadó, naprakész, nemzetközileg elfogadott informatikai irányítási kontroll keretrendszer kutatása, kidolgozása, közzététele és népszerűsítése annak érdekében, hogy a vállalatok átvegyék, és hogy az üzleti vezetők, az informatikai szakemberek , és a bizonyosság nyújtást végző szakemberek munkájuk során rendszeresen használják 2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
3
Alap kérdések Az informatikai irányítást szolgáló kontroll keretrendszer meghatározza ●
azokat az okokat, amiért szükség van az informatikai irányításra,
●
kik az érdekelt felek, és
●
mit kell elérnie.
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
4
Alap kérdések – Miért kell ez? ●
●
●
A felső vezetés felismeri, h az információ egyre inkább hat a vállalati sikerességre A sikeres vállalatok tisztában vannak az informatika kockázataival , és hasznosítják annak előnyeit Alapvető az IT rendszer átfogó és számszerűsíthető(!) minősíthetősége
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
5
Alap kérdések – Kik az érdekeltek? ●
Belső IT értékteremtők ▪ beruházási döntéshozók ▪ követelménymeghatározók ▪ IT szolgáltatás felhasználói
●
Belső & Külső szolgáltatásnyújtók ▪ IT szerv és szolg-mngmnt ▪ szolg képességfejlesztők ▪ szolg-üzemeltetők
●
Belső & Külső kontroll-/kockázatfelelősök ▪ biztonság/védelem-felelősök,▪ megfelelőségbiztosítók,▪ bizonyosság nyújtási szolgáltatások megrendelői és nyújtói
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
6
Alap kérdések – Mit ad a rendszer? ●
●
●
●
●
Üzleti és Informatikai célkitűzések illeszthetők általa ← üzletközpontúságot biztosít Érthető szerkezetű folyamat-központú leírást használ az informatikai irányítás kiterjedésének és hatókörének megadásakor Általánosan elfogadható ← konzisztens az elfogadott informatikai bevált gyakorlatokkal és szabványokkal, technológia-független. Érthető közös nyelvet biztosít az összes érdekelt fél számára (fogalomkészlet és definíciók) Segíti a szabályozási követelmények teljesítését ← következetesen megfelel az általánosan elf ogadott vállalatirányítási szabványoknak (például a COSO-nak) és a hatóságok és a külső auditorok által elvárt informatikai kontrolloknak.
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
7
Hogyan működik a COBIT? ALAPELVEK 1.Üzlet-központú 2.Folyamatközpontú 3.Kontroll-alapú 4.Mérték-alapú
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
8
COBIT információ-kritériumai Az üzleti célok eléréséhez az információknak ki kell elégíteniük bizonyos kontroll kritériumokat (információkra vonatkozó üzleti követelményeket)
1.Eredményesség 2.Hatékonyság 3.Bizalmasság 4.Sértetlenség 5.Rendelkezésre állás 6.Megfelelőség 7.Megbízhatóság
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
9
Üzleti célok és Informatikai célok viszonya
Lásd: CobiT 4.1 leírás I. melléklete, ami valójában három táblázatból áll.
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
10
Az inf. célok és a vállalati inf. architektúra meghatározása
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
11
Az inf. EFok menedzselése (az inf. célok teljesítése érdekében!)
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
12
A COBIT négy szakterülete A COBIT az informatikai tevékenységeket négy szakterületbe csoportosítva, egy általános folyamat modell keretében határozza meg. Plan and Organise
2008-10-16
–
Tervezés és Szervezés (PO)—A megoldásszállításra (AI) és a szolgáltatásnyújtásra (DS) vonatkozóan megadja az Acquire and Implement irányvonalat
–
Beszerzés és megvalósítás (AI)—Gondoskodik a megoldásokról és továbbadja azokat, hogy Deliver and Support szolgáltatások váljanak belőlük
–
Szolgáltatás és támogatás (DS)— Megkapja a megoldásokat, és használhatóvá teszi azokat a Monitor and Evaluate végfelhasználók számára
–
Figyelemmel kísérés és értékelés (ME)—Figyelemmel kíséri az összes folyamatot, hogy gondoskodjon a kijelölt Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1. 13 irány követéséről.
A szakterületek kapcsolata
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
14
Folyamat és cél-kontroll ●
●
●
A négy szakterületen belül a COBIT 34 általánosan használt informatikai folyamatot rögzített. A COBIT a folyamatok teljes listáját biztosítja, amely felhasználható a tevékenységek és a felelősségek teljességének ellenőrzésére; azonban nem mindegyiket kell alkalmazni minden egyes vállalatnál. A folyamatok mindegyikét
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
15
Kontroll modell KONTROLL Olyan irányelvek, szabályzatok, eljárások, gyakorlatok és szervezeti struktúrák összessége, melyeket arra hoztak létre, hogy ésszerű bizonyosságot adjanak arra, hogy az üzleti célkitűzések elérhetők, a nemkívánatos események megelőzhetők, illetve felismerhetők, és helyesbíthetők. 2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
16
Folyamatok, kontroll célkitűzések és általános kontroll követelmények ●
●
●
A COBIT minden egyes informatikai folyamata rendelkezik egy folyamat leírással, és néhány kontroll célkitűzéssel. Egy jólmenedzselt folyamatnak általánosságban rendelkeznie kell ezekkel. A kontroll célkitűzések azonosítása kétkarakteres szakterület hivatkozással (PO, AI, DS ME), valamint a folyamat számával és egy kontroll célkitűzési számmal történik. A kontroll célkitűzések mellett minden egyes COBIT folyamat rendelkezik általános kontroll követelményekkel, amelyeket a folyamat kontroll számát j elölő (PCn) szám azonosít be. Ezeket együtt kell figyelembe venni a folyamat kontroll célkitűzésekkel annak érdekében, hogy a kontroll követelményekről teljes képet kapjunk.
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
17
Általános kontroll követelmények ●
PC1 Folyamat céljai és célkitűzései
●
PC2 Folyamat felelősség
●
PC3 Folyamat megismételhetőség
●
PC4 Szerepkörök és felelősségek
●
PC5 Irányelv, tervek és eljárások
●
PC6 Folyamat teljesítményének javítása
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
18
Amit még kapunk a folyamatokhoz A COBIT az alábbiakra vonatkozóan olyan példákat biztosít minden egyes folyamatra vonatkozóan, amelyek szemléletesek, de nem előíró, illetve kimerítő felsorolás jellegűek. ●
●
●
●
Általános bemenetek és kimenetek A szerepkörökre és felelősségekre vonatkozó tevékenységek és útmutatás a tevékenység-felelős hozzárendelési mátrix (RACI mátrix: Responsible, Accountable, Consulted, Informed) segítségével Kulcsfontosságú tevékenység célok (a legfontosabb teendők) Metrikák
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
19
Üzleti és Informatikai kontrollok ●
A vállalat belső irányítási és ellenőrzési rendszere három szinten van hatással az informatikára
2008-10-16
–
Felső vezetői szinten
–
Üzleti folyamat szinten
–
Az üzleti folyamatok támogatása érdekében
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
20
Általános kontrollok Az általános kontrollok az informatikai folyamatokba és szolgáltatásokba beágyazott kontrollok. Az általános kontrollokra példák az alábbiak: Rendszerek fejlesztése ● Változáskezelés ● Biztonság ● Számítógép üzemeltetés ●
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
21
Alkalmazás Kontrollok ●
Az üzleti folyamat alkalmazásokba beágyazott kontrolljaira általában alkalmazás kontrollokként hivatkoznak. A példák közé tartoznak az alábbiak: Teljesség ● Pontosság ● Érvényesség ● Engedélyezés ● A felelősségek elhatárolása ●
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
22
Felelősségi területek 1. ●
●
●
A COBIT feltételezi, hogy az automatizált alkalmazás kontrollok megtervezése és megvalósítsa az informatika felelőssége, amelyet a Beszerzés és megvalósítás szakterület fed le, a COBIT információ-kritériumainak felhasználásával meghatározott üzleti követelmények alapján Az alkalmazás kontrollok üzemeltetésének menedzselése és kontrollja nem az informatika felelősségi körébe tartozik, hanem az üzleti folyamat felelősökébe. Következésképpen az alkalmazás kontrollokért való felelősség az üzleti területek és az informatika közös felelőssége, de a felelősségek jellege az alábbiak szerint változik.
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
23
Felelősségi területek 2. ●
●
Az üzleti területek a felelősek... –
A funkcionális és kontroll követelmények meghatározásáért
–
Az automatizált szolgáltatások használata
Az informatika a felelős... –
az üzleti funkcionális és kontroll követelmények automatizálásáért és megvalósításáért
–
kontrollok létrehozásáért az alkalmazás kontrollok sértetlenségének fenntartása érdekében
Ezért a COBIT informatikai folyamatai lefedik az általános informatikai kontrollokat, de az alkalmazás kontrolloknak csak a fejlesztési szempontjait; a kontrollok meghatározásának és napi alkalmazásának felelőssége az üzleti területeket terheli. 2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
24
Felelősségi területek 3.
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
25
Alkalmazás kontroll célkitűzések ●
AC1 Forrásadatok előkészítése és engedélyezése
●
AC2 Forrásadatok összegyűjtése és bevitele
●
AC3 Pontossági, teljességi és hitelességi ellenőrzések
●
AC4 Feldolgozás sértetlensége és érvényessége
●
AC5 Kimenet felülvizsgálat, egyeztetés és hibakezelés
●
AC6 Tranzakció hitelesítése és sértetlensége
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
26
Mit kellene mérni és hogyan? A vállalkozásoknak mérniük kell azt, hogy hol tartanak, és hol van szükség fejlesztésre, és be kell vezetniük egy vezetési eszköztárt ezen fejlesztések figyelemmel kíséréséhez. A COBIT e kérdésekkel foglalkozik oly módon, hogy az alábbiakat nyújtja:
2008-10-16
–
Érettségi modelleket, amelyek lehetővé teszik az összehasonlító értékelést és a szükséges képesség fejlesztések meghatározását.
–
Az informatikai folyamatokhoz kapcsolódó teljesítmény célokat és metrikákat, amelyek szemléltetik, hogy a folyamatok hogyan teljesítik az üzleti és az informatikai célokat és segítségükkel mérhető a belső folyamat teljesítmény a kiegyensúlyozott stratégiai mutatószámrendszer alapelvei alapján.
–
Tevékenységi célokat, az eredményes folyamat teljesítmény megvalósítása érdekében Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
27
Érettségi modellek Erről már Dévai Vince fog szólni...
KÖSZÖNÖM A FIGYELMET
2008-10-16
Szikora Zsolt, Unideb 2008 - CobiT keretrendszer 1.
28