Úvod do COBIT Marek Rychlý Vysoké uˇcení technické v Brneˇ Fakulta informaˇcních technologií Ústav informaˇcních systému˚
Pˇrednáška pro ISE 9. bˇrezna 2015
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
1 / 37
Obsah
1
Úvod Opakování – ITIL Cíle pˇrednášky – COBIT
2
Control Objectives for Information and Related Technology (COBIT) IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
3
ˇ Shrnutí a záver
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
2 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
Opakování – ITIL Cíle pˇrednášky – COBIT
Opakování: ITIL ITIL je procesneˇ orientovaný rámec pro IT Service Management (tj. rámec pro správu a poskytování IT služeb v organizaci)
ITIL je založený na „best practices“ (popisuje, jak spravovat IT služby, tj. jak zavést odpovídající procesy, funkce a role)
ˇ knihách dle životního cyklu služby ITIL v3 a ITIL 2011 je popsán v peti Service Strategy (strategie služeb) Service Design (návrh služeb) Service Transition (zavedení služeb) Service Operation (provoz služeb) Continual Service Improvement (zdokonalování služeb a procesu) ˚ ˇ ITIL implementuje v organizaci IT oddelení (za každý proces ITILu odpovédá pˇríslušný IT manager, napˇr. Security Manager)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
4 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
Opakování – ITIL Cíle pˇrednášky – COBIT
Cíle pˇrednášky: COBIT
ˇ význam IT Governance a její pozici v Enterprise Governance. Vysvetlit ˇ jeho význam pro IT Governance. Uvést procesní rámec COBIT a vysvetlit ˇ význam „COBIT Cube“ a „COBIT Model“. Popsat a vysvetlit Uvést IT domény COBIT vˇc. pˇrehledu jejich IT procesu. ˚ ˇ význam „COBIT Maturity Model“. Vysvetlit
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
5 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Enterprise Governance & IT Governance . . . Governance provádí proaktivní ˇrízení (soustˇred’uje se na strategii, na dosažení strategických cílu) ˚
„Enterprise Governance“ je problematika strategického ˇrízení organizace (patˇrí sem ruzné ˚ metodiky a normy podnikového ˇrízení)
„Business Governance/Performance“ → zisk organizace (cíle: nízké náklady a vysoký zisk, konkurenceschopnost, poptávka, atp.)
„Corporate Governance/Conformance“ → znaˇcka organizace ˇ ˇ (cíle: poctivost, transparentnost, duv ˚ eryhodnost, zodpovednost, legalita, atp.)
„IT Governance“ ˇrídí IT organizace pro podporu strategie i businessu (vedení/nastavení IT organizace pro podporu CG&BG, úkol vrcholových manažeru) ˚
ITIL cˇ ásteˇcneˇ ˇreší „IT Governance“ v rámci Service Strategy a CSI ˇ (specializovanejšími rámci jsou napˇr. COBIT nebo ISO/IEC 38500:2008)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
7 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
IT Service Management vs. IT Governance
operativní ˇrízení
×
strategické ˇrízení
krátkodobé cíle
×
dlouhodobé cíle
stabilní IT služby
×
evoluce IT služeb
reaktivní ˇrízení
×
proaktivní ˇrízení
ˇ postupy provádecí
×
pˇredpisy a kontroly
IT manažeˇri, vedoucí týmu˚
×
ˇreditelé organizace, CEO
...
×
...
„best practices“/ITIL
×
„control objectives“/COBIT
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
8 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
ˇ Zodpovednosti IT Governance Strategic Alignment ˇ by podporovat business strategii) (mela
Value Delivery ˇ by pˇrinášet hodnotu spotˇrebitelum (mela ˚ služeb, business jednotnám/zákazníkum) ˚
Risk Management ˇ by ˇrídít IT rizika, tj. eliminovat, (mela pˇrenést, pˇrijmout, nebo obejít)
Resource Management ˇ by ˇrídít zdroje, tj. aplikace, (mela informace, infrastrukturu a lidi)
Performance Measurement ˇ by stanovit meˇ ˇ ritelné cíle a meˇ ˇ rit je) (mela
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
9 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Úˇcastníci IT Governance Vedení/pˇredstavensto ˇ a sleduje vývoj IT, vyžaduje nápravná opatˇrení) (urˇcuje smer
Business manažeˇri (urˇcují business požadavky na IT, zajišt’ují doruˇcení hodnoty a správy rizik)
IT manažeˇri (zajišt’ují dodávku optimálních IT služeb dle požadavku˚ businessu)
Interní IT auditoˇri (nezávisle kontrolují, jestli IT poskytuje to, co má poskytovat)
Manažeˇri rizik a „Compliance Managers“ (monitorují oštˇrení nových rizik a shodu IT se stanovenými pˇredpisy)
Kromeˇ toho má na IT Governance vliv ˇrada externích subjektu. ˚ (zákazníci, dodavatelé, externí auditoˇri, statní správa a samospráva, atp.) Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
10 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Rámec COBIT Control Objectives for Information and Related Technology
COBIT je ˇrídící rámec pro IT Governance, který je procesneˇ orientovaný, (podporuje procesní ˇrízení, kombinovatelný s ostatními procesními rámci)
ˇ ren na podporu businesu, je zameˇ (IT procesy jsou pˇrímo mapovány na business cíle)
definuje zavedené názvosloví/slovník, ˇ (zavedená jména procesu, ˚ rolí, zodpovedností, atp; podobneˇ jako v ITIL)
podporuje politiky a audity, interní i externí (možno propojit s celou ˇradou standardu, ˚ legislativních pˇredpisu, ˚ atd.)
COBIT zahrnuje COBIT Framework (definuje 4 domény IT Gov. a v nich 34 IT procesu˚ vˇc. mapování na business)
Control Objectives ˇ (u každého z procesu˚ definuje nutné požadavky jeho úspešné implementace)
Control Practices ˇ jeho požadavky) (doporuˇcené ˇrízení každého z procesu, ˚ aby byly splneny Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
11 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
COBIT Cube Business Requirements × IT Resources × IT Processes
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
12 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Business Requirements IT procesy podporují business IT službami/informacemi. (napˇr. informaˇcní systémy i systémy ˇrízení výroby, vše je o informacích)
Požadavky businessu jako „information control criteria“: effectiveness vˇcasné, správné a pro business užiteˇcné informace efficiency informace poskytnuté pˇri optimálním využitím zdroju˚ ˇ confidentiality duv ˚ erné informace, únik by ohrozil business integrity pˇresné a úplné informace dle požadavku˚ businessu availability dostupné informace vždy, když je a bude potˇreba compliance odpovídající vnitˇrním naˇrízením, legislativním pˇredpisum ˚ i business zavazkum ˚ reliability spolehlivé informace podporující rozhodování
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
13 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Business Requirements & Information Criteria
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
14 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
IT Resources
IT procesy potˇrebují k poskytování IT služeb zdroje. Zdroje pro IT procesy/služby jsou: applications ISs a SW nástroje pro zpracování informací information vstupní data, zpracovávané a výstupní informace ˇ atp. infrastructure technologie a zaˇrízení jako je HW, OSs, síte, people interní nebo externí pracovnící a dodavatelé pro provoz
ˇ Podobneˇ zdroje také v ITILu, až na chybející „information“.
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
15 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
IT Resources & IT Processes
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
16 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
IT Processes: Domains, Processes, and Activities ˇ business požadavku˚ Zpracování zdroju˚ IT procesy za úˇcelem splnení ˇ eno ˇ je rozdel do 4 domén, skupin IT procesu: ˚ Plan and Organize (pˇripravuje návrh ˇrešení a doruˇcení služeb)
Acquire and Implement ˇ služby) (navrhuje ˇrešení, tj. pozdejší
Deliver and Support ˇ (zpˇrístupnuje zákazníkovi ˇrešení v podobeˇ služeb)
Monitor and Evaluate
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
ˇ plánu) (sleduje všechny procesy, zajišt’uje plnení
..................................................................... Procesy se dále rozkládají na dílˇcí aktivity. COBIT definuje, jak tyto ˇ procesy a jejich aktivity sledovat a ˇrídit (nikoliv, jak je provádet). Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
17 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Plan and Organize (PO) Formuluje strategii a taktiku IT podpory businessu. Stanovuje, jak muže ˚ IT nejlépe podpoˇrit business cíle. Plánuje, komunikuje a ˇrídí tvorbu strategické vize. Implementuje organizaˇcní strukturu a technologickou infrastrukturu.
Otázky: Je stanovena strategie podpory businessu pomocí IT? ˇ Využívá organizace zdroje optimálne? Rozumí a sohlasí každý v organizaci s IT cíli? Jsou známá IT rizika a jsou ˇrízena? Odpovídá kvalita IT komponent/procesu/služeb ˚ požadavkum ˚ business?
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
18 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Plan and Organize (PO) procesy
PO1 Define a Strategic IT Plan PO2 Define the Information Architecture PO3 Determine Technological Direction PO4 Define the IT Processes, Organisation and Relationships PO5 Manage the IT Investment PO6 Communicate Management Aims and Direction PO7 Manage IT Human Resources PO8 Manage Quality PO9 Assess and Manage IT Risks PO10 Manage Projects
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
19 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Acquire and Implement (AI)
Identifikace, vývoj nebo získání, implementace a integrace IT ˇrešení. ˇ a údržba existujících systému˚ tak, aby odpovídaly businessu. Zmeny Tato doména je podobná skupineˇ ITIL procesu˚ Service Transition.
Otázky: ˇ Pˇrinesou nové projekty ˇrešení, které splnuje business požadavky? Budou noveˇ ˇrešené projekty dokonˇceny vˇcas a s daným rozpoˇctem? Budou noveˇ navržené systémy a v budoucnu implementované systemy pracovat dle oˇcekávání? ˇ bez ohrožení businessu? Budou provedeny plánované zmeny
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
20 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Acquire and Implement (AI) procesy
AI1 Identify Automated Solutions AI2 Acquire and Maintain Application Software AI3 Acquire and Maintain Technology Infrastructure AI4 Enable Operation and Use AI5 Procure IT Resources AI6 Manage Changes AI7 Install and Accredit Solutions and Changes
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
21 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Deliver and Support (DS)
ˇ a doruˇcení požadovaných služeb. Skuteˇcné zprovoznení ˇ Rízení bezpeˇcnosti, obnovitelnosti, správy dat a operaˇcní ˇrízení. ˇ uživatelské podpory. Zajištení Tato doména je podobná skupineˇ ITIL procesu˚ Service Operation.
Otázky: Jsou služby poskytovány dle business oˇcekávání/priorit? Jsou náklady na IT optimální? ˇ Jsou schopni uživatelé používat IT systému úˇcelneˇ a bezpeˇcne? ˇ ˇ Je zajištena duv ˚ ernost, integrita a dostupnost služeb/informací?
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
22 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Deliver and Support (DS) procesy
DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13
Define and Manage Service Levels Manage Third-party Services Manage Performance and Capacity Ensure Continuous Service Ensure Systems Security Identify and Allocate Costs Educate and Train Users Manage Service Desk and Incidents Manage the Configuration Manage Problems Manage Data Manage the Physical Environment Manage Operations
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
23 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Monitor and Evaluate (ME)
Sledování a vyhodnocování výkonu zdroju. ˚ ˇ Sledování úspešnosti vlastního ˇrízení IT procesu/služeb. ˚ ˇ dodržení naˇrízení, pˇredpisu˚ a business zavazku. Zajištení ˚ ˇ „governance“. Zajištení
Otázky: ˇ vˇcasná detekce pˇrípadných problému? Je sledován výkon IT a umožnena ˚ Je vlastní ˇrízení úˇcinné a nákladoveˇ úˇcelné/optimální? Muže ˚ být výkon IT namapován na business cíle? ˇ reny a reportovány rizika, úˇcinost ˇrízení, plnení ˇ politik a výkon? Jsou meˇ
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
24 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Monitor and Evaluate (ME) procesy
ME1 Monitor and Evaluate IT Performance ME2 Monitor and Evaluate Internal Control ME3 Ensure Compliance With External Requirements ME4 Provide IT Governance
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
25 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Komponenty COBIT a business&IT cíle
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“) Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
26 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Cíle: Business, IT, Process, Activity Goals COBIT definuje cíle IT procesu˚ a jejich dílˇcích aktivit. ˇ procesy, ale jen jakých cílu˚ dosáhnout/kontrolovat) (neˇríká jak provádet
Business cíle jsou mapovány na IT cíle a ty již na cíle IT porcesu. ˚ (IT cíl podporuje business cíl a je realizován cíli jemu pˇriˇrazených IT procesu) ˚
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
27 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
ˇ rení splnení ˇ cílu: Meˇ ˚ Outcome Measures Pro ˇrízení IT procesu je nutno sledovat dosažení jeho cílu. ˚ ˇ rení není ˇrízení“) (aneb „bez meˇ
COBIT definuje ke každému cíli IT procesu „výstupní“ metriku. ˇ rit tuto metriku, tzv. „outcome measure“, znaˇcí splnení ˇ daného cíle) (schopnost meˇ
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
28 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
ˇ rení úspešnosti ˇ ˇ cílu: Meˇ plnení ˚ Performance Metrics ˇ ˇ jeho cílu. Pro ˇrízení IT procesu je nutno sledovat úspešnost plnení ˚ (tj. výkon daného IT procesu; toto platí nejen pro cíle IT procesu, ˚ ale i pro ostantí)
ˇ „Výstupní“ metrika cíle udává úspešnost/výkon nadˇrazeného cíle. (napˇr. „outcome measures“ u IT cíle urˇcují/ „drive“ výkon, tzv. „performance metric“, business cíle)
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
29 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
COBIT Maturity Model ˇ rení a optimalizace IT procesu˚ ovlivnuje ˇ Schopnost specifikace, meˇ „zralost“ organizace poskytovatele IT služeb.
(diagram pˇrevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
30 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Struktura popisu IT procesu v COBIT I Kód, název, doména a slovní popis úˇcelu procesu. Oblast IT Governance, do které proces patˇrí. (strategic alignment, value delivery, risk management, resource management, ˇ performance measurement; primárneˇ nebo sekundárne)
„Information control criteria“, které proces implementuje. (effectiveness, efficiency, confidentiality, integrity, availability, compliance, reliability; ˇ primárneˇ nebo sekundárne)
Zdroje, které proces využívá nebo spravuje. (applications, information, infrastructure, people)
ˇ reno. Jaký business požadavek zajišt’uje, jakým zpusobem, ˚ jak to bude meˇ (textem „Control over the IT process of . . . that satisfies the business requirement for IT of . . . by focusing on . . . is achieved by . . . and is measured by . . . .“)
ˇ pro implementaci. Seznam „control objectives“, které musí být splneny Názvy, zdroje vstupu˚ a cíle výstupu˚ procesu od/do ostatních procesu. ˚ Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
31 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Struktura popisu IT procesu v COBIT II
ˇ Matici úˇcastníku˚ procesu, jim pˇriˇrazených aktivit a druhu˚ zodpovedností. ˇ (tzv. „RACI charts“ podle druhu˚ zodpovedností: Responsible, Accountable, Consulted, Informed)
Související cíle a metriky (vstupní i výkonostní). (IT goals, process goasl, activity goals; outcome measures, performance metrics)
Textový popis podmínek jednotlivých úrovní COBIT Maturity Model. (non-existent, initial/ad-hoc, repeatable but intuitive, defined, managed and measurable, optimised)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
32 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
IT Service Management vs. IT Governance Rámec COBIT, model, domény a procesy ˇ rení splnení ˇ cílu˚ a COBIT Maturity Model Meˇ
Ukázka popisu procesu AI6 Manage Changes — zde má být pˇríloha — pˇrejít na pˇrílohu
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
33 / 37
Úvod Control Objectives for Information and Related Technology (COBIT) ˇ Shrnutí a záver
ˇ Shrnutí a záver
ITIL je pro IT Service Management, COBIT pro IT Governance. (poskytování IT služeb/ „jak“ vs. strategiká podpora businessu IT službami/ „proˇc “)
COBIT definuje 34 procesu˚ ve cˇ tyˇrech doménách. (každý proces urˇcen, mimo jiné, cíli, které je nutno splnit)
Procesy jsou v COBITu mapovýny na business požadavky a na zdroje. (7 business požadavku/ˇ ˚ rídících kritérií služeb a 4 druhy zdroju) ˚
COBIT mapuje business cíle, IT cíle, cíle procesu˚ a cíle aktivit. (definuje vztah dílˇcích cˇ iností pˇri poskytování IT služeb až po business hodnoty)
COBIT zavádí ke každému cíli výstupní metriky a metriky výkonu. ˇ cíle, zatímco metriky výkonu (implementované výstupní metriky prokazují splnení urˇcují výkon nadˇrazeného cíle)
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
35 / 37
Pˇrílohy
Process AI6 Manage Changes ˇ ˇ — ZACÁTEK PRÍLOHY — ˇ do prezentace zpet
pˇreskoˇcit pˇrílohu
Proces v doméneˇ „Acquire and Implement“. ˇ Jeden z nejduležit ˚ ejších procesu. ˚ Velice podobný (a kompatibilní) s ITIL procesem Change Management. Pˇrevzato z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“.
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
36 / 37
Acquire and Implement Manage Changes
AI6
PROCESS DESCRIPTION AI6 Manage Changes
Eff ec tiv Eff ene s i Co cien s nfi cy de Int ntial eg ity Av rity ail Co abili mp ty l Re ianc lia e bil ity
All changes, including emergency maintenance and patches, relating to infrastructure and applications within the production environment are formally managed in a controlled manner. Changes (including those to procedures, processes, system and service parameters) are logged, assessed and authorised prior to implementation and reviewed against planned outcomes following implementation. This assures mitigation of the risks of negatively impacting the stability or integrity of the production environment.
P P
P P
S
Control over the IT process of Manage changes that satisfies the business requirement for IT of responding to business requirements in alignment with the business strategy, whilst reducing solution and service delivery defects and rework by focusing on controlling impact assessment, authorisation and implementation of all changes to the IT infrastructure, applications and technical solutions; minimising errors due to incomplete request specifications; and halting implementation of unauthorised changes is achieved by • Defining and communicating change procedures, including emergency changes • Assessing, prioritising and authorising changes • Tracking status and reporting on changes and is measured by • Number of disruptions or data errors caused by inaccurate specifications or incomplete impact assessment • Amount of application or infrastructure rework caused by inadequate change specifications • Percent of changes that follow formal change control processes
CE MANENT FOR PER SUREM MEA
IT GOVERNANCE
RESOURCE MANAGEMENT
Primary
Ap pli ca Inf tion orm s Inf atio ras n t Pe ructu op le re
DE VAL LIV UE ER Y
MAN RISK AGE MEN T
C GI T TE EN RA M ST IGN AL
Secondary
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
93
AI6
Acquire and Implement Manage Changes
CONTROL OBJECTIVES AI6 Manage Changes AI6.1 Change Standards and Procedures Set up formal change management procedures to handle in a standardised manner all requests (including maintenance and patches) for changes to applications, procedures, processes, system and service parameters, and the underlying platforms. AI6.2 Impact Assessment, Prioritisation and Authorisation Assess all requests for change in a structured way to determine the impact on the operational system and its functionality. Ensure that changes are categorised, prioritised and authorised. AI6.3 Emergency Changes Establish a process for defining, raising, testing, documenting, assessing and authorising emergency changes that do not follow the established change process. AI6.4 Change Status Tracking and Reporting Establish a tracking and reporting system to document rejected changes, communicate the status of approved and in-process changes, and complete changes. Make certain that approved changes are implemented as planned. AI6.5 Change Closure and Documentation Whenever changes are implemented, update the associated system and user documentation and procedures accordingly.
94
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
Acquire and Implement Manage Changes
AI6
MANAGEMENT GUIDELINES AI6 Manage Changes From Inputs
Outputs
PO1 PO8 PO9 PO10
IT project portfolio Quality improvement actions IT-related risk remedial action plans Project management guidelines and detailed project plan DS3 Required changes DS5 Required security changes DS8 Service requests/requests for change DS9-10 Requests for change (where and how to apply the fix) DS10 Problem records
To AI1…AI3 ME1 AI7 DS8 DS10
Change process description Change status reports Change authorisation
Develop and implement a process to consistently record, assess and prioritise change requests. Assess impact and prioritise changes based on business needs. Assure that any emergency and critical change follows the approved process. Authorise changes. Manage and disseminate relevant information regarding changes.
A I I I A
R A/R A/R A/R R
Chi ef A rch itec t Hea dD eve lopm Hea ent d IT Adm i n istr PM atio O n Com Ris plian k a ce, nd Au Sec dit, urit y
ss O wne per r atio ns
oce
dO
s Pr
I R I C I
Hea
Bus ines
Bus ines s Ex ecu CIO tive
Activities
CFO
Functions
CEO
RACI Chart
C C I C
R R R R R
C C
C R
C C C
I
R
C
A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.
Goals
Goals and Metrics IT
Process
Activities
• Respond to business requirements in alignment with the business strategy. • Reduce solution and service delivery defects and rework. • Ensure minimum business impact in the event of an IT service disruption or change. • Define how business functional and control requirements are translated into effective and efficient automated solutions. • Maintain the integrity of information and processing infrastructure.
• Make authorised changes to the IT infrastructure and applications. • Assess the impact of changes to the IT infrastructure, applications and technical solutions. • Track and report change status to key stakeholders. • Minimise errors due to incomplete request specifications.
• Defining and communicating change procedures, including emergency changes and patches • Assessing, prioritising and authorising changes • Scheduling changes • Tracking status and reporting on changes
Metrics
measure
• Amount of application rework caused by inadequate change specifications • Reduced time and effort required to make changes • Percent of total changes that are emergency fixes • Percent of unsuccessful changes to the infrastructure due to inadequate change specifications • Number of changes not formally tracked, reported or authorised • Number of backlogged change requests
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
set
ve dri
• Number of disruptions or data errors caused by inaccurate specifications or incomplete impact assessment
e driv
measure
set
measure
• Percent of changes recorded and tracked with automated tools • Percent of changes that follow formal change control processes • Ratio of accepted to refused change requests • Number of different versions of each business application or infrastructure being maintained • Number and type of emergency changes to the infrastructure components • Number and type of patches to the infrastructure components
95
AI6
Acquire and Implement Manage Changes
MATURITY MODEL AI6 Manage Changes Management of the process of Manage changes that satisfies the business requirement for IT of responding to business requirements in alignment with the business strategy, whilst reducing solution and service delivery defects and rework is: 0 Non-existent when There is no defined change management process, and changes can be made with virtually no control. There is no awareness that change can be disruptive for IT and business operations, and no awareness of the benefits of good change management. 1 Initial/Ad Hoc when It is recognised that changes should be managed and controlled. Practices vary, and it is likely that unauthorised changes take place. There is poor or non-existent documentation of change, and configuration documentation is incomplete and unreliable. Errors are likely to occur together with interruptions to the production environment caused by poor change management. 2 Repeatable but Intuitive when There is an informal change management process in place and most changes follow this approach; however, it is unstructured, rudimentary and prone to error. Configuration documentation accuracy is inconsistent, and only limited planning and impact assessment take place prior to a change. 3 Defined when There is a defined formal change management process in place, including categorisation, prioritisation, emergency procedures, change authorisation and release management, and compliance is emerging. Workarounds take place, and processes are often bypassed. Errors may occur and unauthorised changes occasionally occur. The analysis of the impact of IT changes on business operations is becoming formalised, to support planned rollouts of new applications and technologies. 4 Managed and Measurable when The change management process is well developed and consistently followed for all changes, and management is confident that there are minimal exceptions. The process is efficient and effective, but relies on considerable manual procedures and controls to ensure that quality is achieved. All changes are subject to thorough planning and impact assessment to minimise the likelihood of post-production problems. An approval process for changes is in place. Change management documentation is current and correct, with changes formally tracked. Configuration documentation is generally accurate. IT change management planning and implementation are becoming more integrated with changes in the business processes, to ensure that training, organisational changes and business continuity issues are addressed. There is increased co-ordination between IT change management and business process redesign. There is a consistent process for monitoring the quality and performance of the change management process. 5 Optimised when The change management process is regularly reviewed and updated to stay in line with good practices. The review process reflects the outcome of monitoring. Configuration information is computer-based and provides version control. Tracking of changes is sophisticated and includes tools to detect unauthorised and unlicensed software. IT change management is integrated with business change management to ensure that IT is an enabler in increasing productivity and creating new business opportunities for the organisation.
96
© 2007 IT Governance Institute. All rights reserved. www.itgi.org
Pˇrílohy
Process AI6 Manage Changes ˇ — KONEC PRÍLOHY — ˇ na zaˇcátek pˇrílohy zpet
Marek Rychlý
Úvod do COBIT — Pˇrednáška pro ISE, 9. bˇrezna 2015
37 / 37