CobiT (Control Objectives for Information and Related Technology) Een introductie
Algemene informatie voor medewerkers van: SYSQA B.V.
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
2 van 12 0.1 25-08-2006
Inhoudsopgave 1
INLEIDING.............................................................................................................................. 3 1.1 1.2 1.3
2
ALGEMEEN....................................................................................................................... 3 COBIT DOELSTELLING EN OPBOUW .................................................................................... 3 VERSIEBEHEER ................................................................................................................ 3
HET COBIT MODEL............................................................................................................... 4 2.1 DOELSTELLINGEN ............................................................................................................. 5 2.2 IT PROCES DOMEINEN....................................................................................................... 7 2.2.1 Planning & Organisatie ............................................................................................... 7 2.2.2 Acquisitie & Implementatie.......................................................................................... 7 2.2.3 Levering & Ondersteuning .......................................................................................... 7 2.2.4 Monitoring & Evaluatie................................................................................................ 8
3
GEBRUIK VAN COBIT........................................................................................................... 9
4
VOLWASSENHEIDSMODEL ............................................................................................... 11
5
LITERATUURVERWIJZINGEN ............................................................................................ 12
Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
3 van 12 0.1 25-08-2006
1 Inleiding 1.1
Algemeen
CobiT staat voor Control Objectives for Information and Related Technology en is ontwikkeld door de Information Systems Audit and Control Foundation (ISACF), het research instituut van de Information Systems Audit and Control Association (ISACA). De eerste versie van CobiT stamt uit 1996, de tweede en derde versie bestaan sinds 1998 respectievelijk 2000. De huidige vierde versie is in december 2005 gelanceerd. CobiT is het de facto IT Governance instrument. In CobiT worden de relaties gelegd tussen informatie technologie en beheersingsvraagstukken. CobiT consolideert en harmoniseert wereldwijde 41 IT-standaarden in een integraal IT-model dat gebruikt kan worden door management, adviseurs, auditors en andere IT- en business professionals, die zich bezighouden met aan de IT gerelateerde beheersingsvraagstukken van organisaties. CobiT is gebaseerd op de gedachte dat de IT-resources moeten worden beheerst en beheerd op basis van een set van op een natuurlijke wijze gegroepeerde processen. Hierdoor krijgt een organisatie de beschikking over meetbare en betrouwbare informatie voor het realiseren van haar doelstellingen en de ondersteunende en meetbare IT-dienstverlening. Het voorliggende document is geschreven als een eerste kennismaking met CobiT. Dit document beschrijft de opzet en werking van CobiT en gaat in op de diverse mogelijkheden van CobiT.
1.2
CobiT doel en opbouw
Het doel van CobiT is om het management en de proceseigenaren middels een Information Technology (IT) Governance model te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico’s. CobiT helpt bij het overbruggen van de verschillen tussen business risico’s, de daaruit voortvloeiende behoefte aan de beheersing van de bedrijfsprocessen en de ondersteunende IT-dienstverlening en - infrastructuur. Het voorziet in een behoefte om te komen tot IT Governance en het waarborgen van betrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen.
1.3 Versie 0.1 1.0
Versiebeheer Status Concept Definitief
Datum 25 augustus 2006 4 september
Almere © 2006
Auteur M.H.M. Brouwers M.H.M. Brouwers
Opmerkingen Eerste concept Opmerkingen J.J. Cannegieter verwerkt
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
4 van 12 0.1 25-08-2006
2 Het CobiT model 2.1
Overview
Het Cobit-model is er op gericht de organisatie een redelijke mate van zekerheid te bieden dat de ondersteunende IT processen een bijdrage leveren aan de realisatie van de overkoepelende organisatiedoelstellingen. CobiT doet dit door een verband te leggen tussen business doelstellingen, IT-doelstellingen en IT-processen. Business doelstellingen
IT-doelstellingen
IT-processen Het centrale uitgangspunt van CobiT is dat IT steeds afgestemd moet zijn op de organisatie en moet bijdragen aan het behalen van de doelstellingen van de organisatie. IT kan dit doen door ervoor te zorgen dat de informatie die zij levert aan de organisatie en haar processen voldoen aan de volgende vereisten (business requirements): effectiviteit, efficiëntie, vertrouwelijkheid, integriteit, beschikbaarheid, compliance en betrouwbaarheid. De informatie wordt op haar beurt voortgebracht door IT-processen en het samenstel van IT-resources: applicaties, informatie, infrastructuur en mensen. De IT-resources worden beheerst middels de 34 IT-processen, die zijn ingedeeld in 4 domeinen: 1. Planning & Organisation; 2. Acquisition & Implementation; 3. Delivery & Support; 4. Monitoring. Onderstaand figuur geeft inzicht in de onderlinge samenhang tussen de organisatiedoelstellingen en de informatievoorziening vanuit de CobiT-domeinen en de bijhorende IT processen, kwaliteitscriteria en IT resources.
Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
5 van 12 0.1 25-08-2006
BUSINESS OBJECTIVES GOVERNANCE OBJECTIVES
PO1 Define a strategic IT plan PO2 Define the Information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects
ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance
Information
Monitor & Evaluate
•Effectiveness •Efficiency •Confidentiality •Integrity •Availability •Compliance •Reliability
Plan & Organise
IT Resources •Applications •Information •Infrastructure •People
Deliver & Support
DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations
Acquire & Implement
AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes
CobiT Framework
2.2
Doelstellingen
CobiT identificeert 20 concrete organisatiedoelstellingen en 28 concrete IT doelstellingen. Deze doelstellingen vormen het kernpunt in Cobit 4.0 en illustreren concreet hoe de relatie tussen bedrijfsdoelstellingen, IT doelstellingen en IT processen kan verlopen. Figuur 1 is een lijst met generieke bedrijfsdoelstellingen, georganiseerd naar de vier categorieën van de business balanced scorecard. Elk van de bedrijfsdoelstellingen is vervolgens gekoppeld aan één of meer IT doelstellingen die de bedrijfsdoelstelling ondersteunen. Dit is aangegeven aan de hand van Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
6 van 12 0.1 25-08-2006
nummers die overeenkomen met de IT doelstellingen in figuur 2. Tevens wordt aangegeven wat de meest relevante informatiecriteria zijn die in de bedrijfsdoelstellingen aan bod komen. De IT doelstellingen worden ook gekoppeld aan de informatiecriteria, maar belangrijker is dat tevens wordt aangegeven welke CobiT processen de IT doelstellingen ondersteunen. Dit is telkens aangegeven aan de hand van indexen van de CobiT processen. Op deze manier wordt dus een volledige cascade aangegeven van bedrijfsdoelstellingen naar IT doelstellingen naar IT processen.
Financial Perspective
*
3 Return on Investment
24
4 Optimise asset utilisation
14
5 Manage business risks
2
Customer Perspective
3
23
*
5
24
*
8 Service availability
10 16 22 23
*
9 Agility in responding to changing business requirements (time to market)
1
5
25
*
7
8
10 24
* * * *
11 Automate and Integrate the enterprise value chain
6
7
8
12 Improve and maintain business functionality
6
7
11 13 15 24
11
7
8
2
19 20 21 22 26 27
2
18
16 Compilance with internal policies
2
13
17 Improve and maintain operational and staff productivity
7
9
5 2
Learning and 18 Product/business Innovation Growth 19 Obtain and useful information for strategic decision making Perspective 20 Acquire and maintain skilled and motivated personnel
*
*
14 17 18 19 20 21 22
7 Offer competitive products and services
13 Lower process costs Internal 14 Compliance with external laws and regulations Perspective 15 Transparency
*
* *
6 Improve customer orientation and service
10 Cost optimisation of service delivery
*
Reliability
*
*
Compliance
*
25 28
Availability
25 28
2 Increase revenu
Business Goals
Integrity
Efficiency
1 Expand market share
Confidentiality
IT Goals
Effectiveness
CobiT Information Criteria
*
*
*
* * * * *
11 13
*
*
25 28
*
*
4
*
12 20 26
9
*
* *
*
*
*
Figuur 1: bedrijfsdoelstellingen en IT doelstellingen
PO4 PO10 AI1 PO10 ME1 ME3 DS1 DS2 DS7 PO7 AI6 AI5
AI7 DS1 AI7 DS9 DS3 AI6 ME2 DS11 DS5 DS4 DS4 DS8 DS6
ME3 ME1
AI6
AI7
DS8
DS10 DS13
AI3
DS2 DS7 DS12 DS7 AI7
DS6 ME1 DS8 ME2 DS9 DS10
ME3
DS1
DS3
ME1
P P P P P P S P P P P P S S P P S
P P P S P P P P P P P P S S P P P S
P P P P S P P
S S P P P P
DS12 DS5 DS12 DS13 ME2 DS12 DS13
ME4 ME3
S
S
S P S
S
Reliability
Compliance
Availability
Integrity
Confidentiality
Efficiency
IT Goals Processes 1 Respond to business requirements in alignment with the business strategie PO1 PO2 2 Respond to governance requirements in line with board direction PO1 PO4 3 Ensure the satusfaction of end users with servies offerings and service levels PO8 AI4 4 Optimise the use of information PO2 DS11 5 Create IT Agility PO2 PO4 6 Define how business functional and control requirements are translated in effective en efficient automated so AI1 AI2 7 Acquire and maintain integrated and standardised application systems PO3 AI2 8 Acquire and maintain an integrated and standardised IT infrastructure AI3 AI5 9 Acquire and maintain IT skills that respond to the IT strategy PO7 AI5 10 Ensure mutual statisfaction of third-party relationships DS2 11 Seamlessly integrate applications and technologie solutions into business processes PO2 AI4 12 Ensure transparency and understanding of IT cost, benefits, strategy, policies and serice levels PO5 PO6 13 Ensure proper use and performance of the applications and technology solutions PO6 AI4 14 Account for and protect all IT assets PO9 DS5 15 Optimise the IT infrastucture, resources and capabilities PO3 AI3 16 Reduce solution and service delivery defects and rework PO8 AI4 17 Protect the achievement of IT objectives PO9 DS10 18 Establish clarity of business impact of risks to IT objectives and resources PO9 19 Ensure critical and confidential information is withheld from those who should not have access to it PO6 DS5 20 Ensure automated business transactions and information exchanges can be trusted PO6 AI7 21 Ensure IT services and infrastructure can properly resist and recover from failures due to error, deliberate attaPO6 AI7 22 Ensure minimum business impact in the event of an IT service disruption or change PO6 AI6 23 Make sure that IT services are available as required DS3 DS4 24 Improve IT's cost-effeciency and its contribution to business profitability PO5 AI5 25 Deliver projects on time and on budget meeting quality standards PO8 PO10 26 Maintain the integrity of information and processing infrastucture AI6 DS5 27 Ensure IT compliance with laws and regulations DS11 ME2 28 Ensure that IT demonstrates cost-efficient service quality, contiuous improvement and readiness for future chPO5 DS6
Effectiveness
CobiT Information Criteria
S S S
S
S S
S S
P
P
P
S S P P P S S
S S P S S P P P
S P P
S
S
S
S
S
S
S S S S
S S S
S S S S P S P P P P (Primary) S (Secundary) S P S
P
Figuur 2: IT doelstellingen en IT processen
Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
2.3
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
7 van 12 0.1 25-08-2006
IT processen
CobiT heeft de 34 IT processen ingedeeld in de vier domeinen Planning & Organisatie, Acquisitie & Implementatie, Levering & Ondersteuning en Monitoring & Evaluatie. Planning & Organisation (PO) Delivery & Support (DS) PO1 Define a strategic IT plan. DS1 Define and manage service levels. PO2 Define the information architecture. DS2 Manage third-party services. PO3 Determine technological direction. DS3 Manage performance and capacity. PO4 Define the IT processes, organisation DS4 Ensure continuous service. and relationships. PO5 Manage the IT investment. DS5 Ensure systems security. PO6 Communicate management aims and DS6 Identify and allocate costs. direction. PO7 Manage IT human resources. DS7 Educate and train users. DS8 Manage service desk and incidents. PO8 Manage quality. DS9 Manage the configuration. PO9 Assess and manage IT risks. PO10 Manage projects. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. Monitor & Evaluation (ME) Acquisition & Implementation (AI) AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes.
ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance.
Bron: ITGI (2005) CobiT 4.0
2.3.1 Planning & Organisatie Het domein planning en organisatie houdt zich bezig met de manier waarop informatietechnologie kan bijdragen aan het realiseren van de doelstellingen van de organisatie en hoe dit concreet moet gebeuren. Hiervoor zijn strategische en tactische uitspraken nodig inzake de informatiearchitectuur, de technologie, de interne IT organisatie, de budgetten, de manier waarop het management doelstellingen communiceert (bijvoorbeeld bewustmaking inzake beveiliging), het management van de in te zetten personele middelen, het kwaliteitsmanagement, het inschatten van risico's en het projectmanagement. 2.3.2 Acquisitie & Implementatie Acquisitie and implementatie concretiseert de IT strategie door middel van de identificatie van IT oplossingen (insourcing of outsourcing), de acquisitie en/of ontwikkeling en het onderhoud van applicaties, de acquisitie en het onderhoud van hardware en systeemsoftware, het voorbereiden van de operationalisering van de systemen (bijvoorbeeld door kennisoverdracht naar de gebruikers), het aankopen van de nodige IT middelen, het proces van het management van applicatiewijzigingen en het implementeren, installeren en goedkeuren van systemen. 2.3.3 Levering & Ondersteuning Het domein levering en ondersteuning heeft betrekking op de werkelijke aflevering van de gevraagde diensten en omvat de processen die te maken hebben met de automatiseringsafdeling, de afdeling die instaat voor de verwerking of productie van informatiesystemen: het management Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
8 van 12 0.1 25-08-2006
van de configuratie, van problemen, van de data, van de fysische omgeving van het rekencentrum en andere faciliteiten, van de computeroperaties zelf en van performance en capaciteit van de hardware. In dit kader horen eveneens thuis het definiëren van de service level agreements (sla's), het aansturen van outsourcers, het garanderen van continue service (onder meer disaster recovery planning), het verzekeren van optimale systeembeveiliging, het identificeren en toerekenen van de kosten, de opleiding en training van gebruikers en de ondersteuning en raadgeving aan gebruikers via een servicedesk. 2.3.4 Monitoring & Evaluatie Monitoring and evaluatie is het vierde domein dat door CobiT wordt geïdentificeerd. De voorgaande dertig IT processen moeten regelmatig worden geëvalueerd op hun kwaliteit en overeenkomst met de gestelde controlevereisten (zoals die in het CobiT raamwerk worden voorgesteld voor elk van de processen). Dit domein verwijst dan ook naar permanente monitoringen evaluatieactiviteiten door het management, het beoordelen van de gepastheid van de interne controles, het ervoor zorgen dat tegemoet wordt gekomen aan externe reguleringen en het voorzien van een IT governance raamwerk.
Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
9 van 12 0.1 25-08-2006
3 Gebruik van CobiT Bij elk van de 34 IT processen kent CobiT een aantal managementinstrumenten zoals: • Control objectives, in feite de beheerdoelstelling per IT proces. Bij elk van de 34 processen horen meerdere, in totaal 318, detailed control objectives. • Key Goal Indicators (KGI’s), Key Performance Indicators (KPI’s) en Critical Success Factors (CSF’s). • Volwassenheidsniveaus op een schaal van 0 tot en met 5, waarbij 0 staat voor ‘nonexistence’ en 5 staat voor ‘best practices’. • Audit guidelines; richtlijnen voor interviews, informatie en tests die kunnen worden uitgevoerd. De opzet van CobiT is gebaseerd op de toepassing van het waterval principe: • The control of IT-processes; • Which satisfy Business Requirements; • Is enabled by Control Statements; • And considers Control Practices.
Plan & Organise
Eff
Eff
ec tive n icie ess nc y Co nfi de n ti Int ali eg ty rity Av ail ab ility Co mp lia nc Re e lia bil ity
In onderstaande figuur wordt dit principe schematisch weergegeven, aangevuld met de samenhang tussen de IT processen, de kwaliteitscriteria en de IT resources.
Acquire & Implement Deliver & Support Monitor & Evaluate
Control over the IT process of Process name
that satifies the business requirement for IT of summary of most important business goals
by focusing on summary of most important IT goals
is achieved by key controls
and is measured by
Resource Management
Primary
lica tion s Info rma tion Infr ast ruc ture Peo ple
App
nt
Governance
key metrics
Man Risk age me
e anc t n fo r m Per urem e s M ea
Va gic te nt Del lue ra me ive t S gn ry i Al IT
Secundary
Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
10 van 12 0.1 25-08-2006
Voor elk van de 34 processen in CobiT worden control objectives, management guidelines en een volwassenheidsmodel beschreven. Typisch omvat elk proces in het nieuwe Cobit-boekwerk vier pagina's: twee pagina's voor de control objectives (high-level en gedetailleerd), één pagina met management guidelines en één pagina met het volwassenheidsmodel.
Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
11 van 12 0.1 25-08-2006
4 Volwassenheidsmodel Een volwassenheidsmodel is een scoretechniek die het de onderneming mogelijk maakt de volwassenheid voor een bepaald proces te beoordelen van niet-bestaand (score 0) tot optimaal (score 5). Dit instrument is een gemakkelijk te begrijpen manier om de huidige (as-is) en de gewenste (to-be) positie te bepalen en maakt het een organisatie mogelijk zichzelf te vergelijken met de best practices en standaardrichtlijnen. Op deze manier kunnen verschillen tussen de huidige en de gewenste situatie worden geïdentificeerd en specifieke acties worden gedefinieerd om naar de gewenste positie te evolueren. Wanneer deze volwassenheidssbepaling wordt uitgevoerd, is het belangrijk zich te schikken naar de basisprincipes van volwassenheidsmeting: een onderneming kan enkel naar een hoger volwassenheidsniveau evolueren als alle voorwaarden beschreven voor een bepaald volwassenheidsniveau vervuld zijn. Het volwassenheidsmodel voor het CobiT proces DS1 'Define and manage service levels' beschrijft dat een organisatie volwassenheidsniveau 1 voor dit proces bereikt heeft wanneer men zich bewust is van de nood van het beheren van de serviceniveaus, maar het proces nog informeel is. Een onderneming bereikt volwassenheidsniveau 5 wanneer alle gedefinieerde serviceniveaus voortdurend opnieuw worden bekeken om er zeker van te zijn dat IT en business objectives op één lijn liggen.
Almere © 2006
Quality Assurance in ICT
Organisatie Titel Onderwerp
SYSQA B.V. CobiT Een introductie
Pagina Versie Datum
12 van 12 0.1 25-08-2006
5 Literatuurverwijzingen Op de volgende websites is meer informatie te vinden over Cobit: • www.isaca.org • www.itgi.org Het CobiT model, alsmede enkele andere stukken en artikelen zijn op te vragen bij het productmanagement van Sysqa
Almere © 2006
Quality Assurance in ICT