4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15

Podobné dokumenty
Cobit 5: Struktura dokumentů

Co je to COBIT? metodika

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

CobiT 4.1 a jeho vztah k ITIL

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Vazba na Cobit 5

Management informační bezpečnosti

Kvalita procesu vývoje SW. Jaroslav Žáček

Procesní řízení IT. Ing. Hana Neničková, MBA

Jak na jakost v podnikovém IT Evropský týden kvality Praha

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

Návrh metodiky a tvorba PC úloh k procvičení COBITu

Otázky kurzu 4IT417 Řízení podnikové informatiky verze z 1/2/ Podniková informatika pojmy a komponenty

ZMĚNA ČESKÉHO OBRANNÉHO STANDARDU. AAP-48, Ed. B, version 1

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Kvalita procesu vývoje (SW) Jaroslav Žáček

Jan Hřídel Regional Sales Manager - Public Administration

Metodika COBIT 4.0 a její vazby na audit

Risk management a Interní audit

Návrh softwarových systémů - softwarové metriky

organizací IT Vladimír r Kufner

Předmluva 13. Definice interního auditu 27. Etický kodex 31 Úvod 31 Uplatnitelnost a vymahatelnost 31 Základní zásady 31 Pravidla jednání 33

METODIKY ŘÍZENÍ ICT: ITIL, COBIT, IT GOVERNANCE

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

METODIKA PROVÁDĚNÍ AUDITU COBIT

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Státní pokladna. Centrum sdílených služeb

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

CMMI for Development v1.3 Generické praktiky a cíle Vysoká škola ekonomická v Praze Tomáš Feige, xfeit03

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Teorie systémů TES 7. Výrobní informační systémy

Vývoj informačních systémů. Obecně o IS

Vnitřní kontrolní systém a jeho audit

Proč nový styl řízení ICT

3.přednáška. Informační bezpečnost: Řízení IS/IT

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

4. Standardy bezpečnosti Řízení kvality (audit) IS BIVŠ 2016

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

Informační bezpečnost. Dana Pochmanová, Boris Šimák

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

Normy a standardy ISMS, legislativa v ČR

Bezpečnostní normy a standardy KS - 6

Představení normy ČSN ISO/IEC Management služeb

Obsah Úvod 11 Jak být úspěšný Základy IT

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Identifikace změny Definice změny a jejího rozsahu a dopadu Schválení změny Prioritizace změn Úprava plánu projektu

Konference Standardizace agend přenesené působnosti a měření jejich výkonnosti

ČESKÁ TECHNICKÁ NORMA

ADOit. IT architektura a řízení IT služeb. Luděk Kryšpín, Lukáš Dvořák, PADCOM, s.r.o.

Provoz, podpora a údržba IS. Jaroslav Žáček jaroslav.zacek@osu.cz

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

Metriky v informatice

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

FIT, MI FRI 02/2011 Finanční řízení informatiky Přednáška 8,9 Procesní řízení informatiky

CMMI-DEV v.1.3 PA Integrated Project Management

Národní architektonický plán a ostatní metody řízení veřejné správy ČR

Petr Hujňák. IT Governance

Enterprise Architecture na MPSV

4/9/18. Řízení IS/IT služeb. Martin Vitouš. IT služba z pohledu zákazníka. IT služba z pohledu poskytovatele

Mezinárodní norma ISO/IEC 15504

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Karta předmětu prezenční studium

Zkouška ITIL Foundation

Organizace je buď formální skupina lidí se společnými cíli, nebo se tak označuje činnost, která je součástí procesu řízení (tj.

Systém řízení informační bezpečnosti (ISMS)

Cíle a architektura modelu MBI

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Nástroje IT manažera

Systém interních kontrol v podnikové architektuře

MEZINÁRODNÍ NORMY A DIGITÁLNÍ KONTINUITA. Tomáš Bezouška Praha,

Úvod do COBIT. Marek Rychlý. Přednáška pro ISE. Vysoké učení technické v Brně Fakulta informačních technologií Ústav informačních systémů

Nástroje IT manažera

Budování architektury pomocí IAA

MINISTERSTVO VNITRA ČR

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

Strategické řízení IS v podmínkách VS přínosy a problémy

Okruhy ke státním závěrečným zkouškám Platnost: od leden 2017

Risk management in the rhythm of BLUES. Více času a peněz pro podnikatele

Procesní dokumentace Process Management. Pavel Čejka

Potřeba jednotného řízení a konsolidace rizik

Outsourcing v podmínkách Statutárního města Ostravy

Úvodní přednáška. Význam a historie PIS

7. Setkání interních auditorů z oblasti průmyslu, obchodu a služeb

V Brně dne a

Semestrální práce ke kurzu 4IT421 Zlepšování procesů budování IS Semestr LS 2014/2015

PMBOK Guide Fifth edition novinky, posuny

1 Služby SAP Business Transformation and Plan Services Služby SAP Business Transformation and Plan Services aktuálně zahrnují:

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

Metodický pokyn pro řízení kvality ve služebních úřadech: Kritéria zlepšování

Metodiky a normy. Matěj Vala. Katedra softwarového inženýrství Fakulta informačních technologií České vysoké učení technické v Praze Matěj Vala, 2011

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Referenční model Integrovaného Systému Řízení Výkonnosti Městského Úřadu

OBSAH INTELEKTUÁLNÍ A LIDSKÝ KAPITÁL 11 ŘÍZENÍ PRACOVNÍHO VÝKONU 37. Kapitola 1. Problémy s terminologií 12 Intelektuální kapitál a jeho složky 14

Role NKÚ v systému kontrolní činnosti ve veřejné správě. Ing. Miloslav Kala, viceprezident NKÚ Praha, 11. dubna 2012

Kvalita SW produktů. Jiří Sochor, Jaroslav Ráček 1

Zákon o kybernetické bezpečnosti: kdo je připraven?

Transkript:

4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15

Osnova 1. Modely pro řízení kontrol IS/IT 2. COBIT 4.1

1. Modely pro řízení kontrol-1 Customer Operations Performance Center (call center services) esourcing Capability Model for Service Providers

Modely pro řízení kontrol-2

Certifikační program pro organizace vyvíjející software, Británie, Švédsko, kvalita SW

2. ISACA - COBIT Cíl: Zkoumat, rozvíjet, publikovat a propagovat sadu všeobecně přijímaných kontrolních cílů pro oblast informačních technologií, které jsou určené pro každodenní využití především manažery IT, IT odborníky a auditory (externí i interní), pro všechny typy organizací Forma: sada dokumentů, které obsahují všeobecně přijímaný souhrn tzv. best practises v oblasti řízení IT Dostupnost: dokumenty lze stáhnout na stránkách ITGI či ISACA, některé zdarma Forma: elektronická, knižní, CD-ROM

Historie Cobit

ISO/IEC 38500: 2008

ISO/IEC 38500: 2015 Stejný koncept jako ve verzi 2008 Governance of IT je systém, pomocí kterého se řídí a kontroluje současné a budoucí využívání IT V poznámkách (není obvyklé u ISO norem) je uvedeno, že jde o ekvivalent výrazů: Corporate governance of IT Enterprise governance of IT Organizational governance of IT (bohužel enterprise governance of IT užívaný v Cobit 5 není zmíněn!) Dále stejné (hlavní činnosti: Evaluate Direct Monitor; hlavní principy: odpovědnost, strategie, pořízování, provozování, soulad, lidské zdroje

Další provázané normy ISO 38501: 2015 Information technology -- Governance of IT -- Implementation guide Poskytuje návod pro implementaci IT governance v organizacích je rozšířením ISO 38500 a ISO 38502 ISO 38502 Information technology Governance of IT Framework and model poskytuje informace o rámci a modelu, který je možné použít pro určení hranic mezi a vztahů mezi governance a managementem současných a budoucích IT v organizacích

ITIL COBIT

Cobit 4.1

Obsah Cobit 4.1 (200 str. PDF dokument) Executive Overview = 4-stránkový manažerský souhrn účelu CobiT Framework = 20-stránkový popis koncepce a způsobu jeho používání Popis 34 procesů rozdělených do 4 domén. Pro každý z těchto procesů je definován: Process description = cíl a účel procesu (1 str. A4) Control objectives = několik dílčích kontrolních cílů (1-3 str. A4) Management guidelines = definice vstupů do / výstupů z ostatních procesů, seznam klíčových aktivit procesu a rolí, resp.funkcí, které je provádějí (RACI matice), cíle a metriky (1 str. A4) Maturity model = kritéria vyspělosti procesu pro zařazení na škále 0 5 8 příloh = celkem 44 stran, mimo jiné i slovník pojmů

Základní vlastnosti COBITu A. Je procesně orientovaný s vazbou na IT zdroje, požadavky businessu na vlastnosti informací a cíle IT Governance B. Klade důraz na kontroly C. Je orientovaný na propojení různých úrovní cílů a jejich metrik D. Umožňuje hodnocení zralosti procesů E. Má definované vazby na jiné frameworky

A. COBIT je procesně orientovaný 4 domény : Plánování a organizace Pořízení a implementace Dodávka a podpora Monitorování a hodnocení 34 procesů (high level control objectives) Aktivity??? 214 kontrolních cílů

Procesy jsou provázány s IT zdroji Aplikace- automatizované systémy a ruční procedury Informace data ve všech formách Infrastruktura HW. OS, aplikační systémy, síťové prostředky, multimedia a prostředí, které umožňuje jejich fungování Lidé interní i externí

Procesy jsou provázány s požadavky businessu na vlastnosti informací Effectiveness (účelnost) Efficiency (účinnost) Confidentiality (důvěrnost) Integrity (spávnost a úplnost) Availability (dostupnost) Compliance ( soulad s normami) Reliability (spolehlivost)

Procesy jsou provázány s ITG

Příklad proces DS2

COBIT 4.1

Procesy jsou vzájemně provázány pomocí vstupů a výstupů Každý proces je popsán tabulkou vstupů a výstupů: Z jakých procesů a jaké vstupy proces potřebuje Jakým procesům a jaké výstupy poskytuje

Procesy mají určené odpovědosti Každý proces je popsán pomocí RACI Chart Diagram určující kdo je za proces a jeho jednotlivé aktivity R Resposible (odpovědný) A Accountable (právně odpovědný) C Consulted (konzultant) I Informed (informován)

RACI diagram (Responsible-Accountable-Consulted-Informed)

B. COBIT klade důraz na kontroly Systém interních kontrol ovlivňuje IT na třech úrovních: Na úrovni exekutivy kontrolní prostředí Na úrovni business procesů IT aplikační kontroly Na úrovni IT služeb IT obecné kontroly Na úrovni IT procesů kontrolní cíle specifické pro každý proces generické kontroly společné pro všechny procesy

Aplikační a obecné kontroly Obecné kontroly jsou součástí IT procesů a služeb Jsou společné pro všechny aplikace Jsou v odpovědnosti IT Příklady: tvorba systémů, řízení změn, bezpečnosti, provozu Jsou hlavním obsahem Cobitu Aplikační kontroly jsou součástí aplikací, které podporují business procesy jsou specifické pro každou aplikaci Jsou ve společné odpovědnosti uživatelů a IT Uživatelé jsou odpovědní za Definování funkčních a kontrolních požadavků Za užívání automatizovaných služeb IT odpovídá za Automatizaci a implementaci funkčních a kontrolních požadavků Zajištění integrity aplikačních kontrol Příklady: úplnost, správnost, autorizace, oddělení odpovědností

Aplikační kontroly V Cobitu částečně v doméně AI plus stručný popis v úvodu mají označení ACn: AC1: Příprava zdrojových dat (dokumentů) a jejich autorizace AC2: Shromažďování dat a jejich vstup AC3: Kontroly správnosti, úplnosti a pravosti (spolehlivosti) AC4: Integrita zpracování a hodnověrnost AC5: Kontrola výstupů, konsolidace, ošetření chyb AC6: Správnost, originalita a autentizace předávaných výstupů

Kontroly na úrovni procesů Cíle kontrol/řízení Control Objectives Označení procesu, za tečkou číslo cíle kontrol PO10 Manage projects PO10.1 Programme management framework PO10.2 Project management framework PO10.3 Project management approach PO10.4 Stakeholder commitment PO10.5 Project scope statement PO10.6 Project phase initiation PO10.7 Integrated project plan PO10.8 Project resources PO10.9 Project risk management PO10.10 Project quality plan PO10.11 Project change control PO10.12 Project planning of assurance methods PO10.13 Project performance measurement, reporting and monitoring PO10.14 Project closure

Kontroly na úrovni procesů Obecné kontrolní požadavky generic control requirements Mají označení PCn (process control) a číslo PC1 Cíle procesů PC2 Vlastnictví procesu PC3 Opakovatelnost procesu PC4 Role a odpovědnosti (odpovědnost za aktivity procesu) PC5 Politiky, plány a procedury (dokumentace, školení) PC6 Zlepšování realizace procesu (vzory, metriky)

Kontroly- příklad DS Deliver and Support DOMÉNA DS1 Define and Manage Service Levels DS2 Manage Third-party Services PROCES DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations

Kontroly příklad Kontrolní cíle 2.1 Identifikace všech vazeb na dodavatele 2.2 Řízení vazeb na dodavatele 2.3 Řízení rizika dodavatelů 2.4 Monitorování dodávek

C. Cobit je orientovaný na propojení cílů a jejich metrik Pro každý proces jsou definované cíle a metriky určující míru jejich dosažení. Rozlišují se Úrovně cílů a metrik: Podnikatelské cíle a metriky (Business Goals) 17, BSC IT (útvar) cíle a metriky (IT Goals) 28 IT procesní cíle a metriky (IT Process Goals) 34 Cíle a metriky IT aktivit (Activity Goals) Druhy metrik Outcome metrics/measures) ve verzi 3 KGI- klíčové metriky cílů (např. počet stížností na externě dodávané služby) Performance indikátory/measures, KPI klíčové metriky realizace (např. procento dodavatelů, kteří jsou předmětem pravidelného monitoringu)

Vazby mezi cíli

METRIKY DOSAŽENÍ PODNIKATELSKÝCH CÍLŮ METRIKY IT PROCESŮ METRIKY IT

Metriky cílů (outcome measures) Outcome measures vztahující se k cílům jedné úrovně lze zároveň považovat za performance indicators vztahující se k cílům vyšší úrovně

Cíle a metriky příklad DS2

D. Cobit umožňuje hodnocení zralosti procesů

Tři dimenze zralosti procesů How capable- způsobilost procesů závisí na IT misi a business cílech How much kolik se z toho využívá závisí na požadované návratnosti investic What míra kontrol závisí na riziku a požadavcích na soulad se standardy Ne všechny procesy musí dosáhnout 5. úroveň

Příklad: popis úrovně 2 modelu vyspělosti pro DS2 Úroveň 2 Opakující se ale intuitivní Proces hodnocení poskytovatelů služeb a dodávek služeb je neformální. Podepisují se rámcové kontrakty, ale mají formu standardní smlouvy vytvořenou poskytovatelem. Měřítka jsou uvedena, ale nejsou využívána. Vytvářejí se reporty, ale nevyužívají se pro zpětnou vazbu

E. Cobit má definované vazby na jiné frameworky Aligning COBIT, ITIL and ISO 17799 for Business Benefit COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.1 COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0- Appendices COBIT Mapping: Mapping of NIST SP800-53 Rev 1 With COBIT 4.1 COBIT Mapping: Mapping ISO/IEC 17799:2005 With COBIT 4.0 COBIT Mapping to ISO/IEC 17799 :2000 With COBIT COBIT Mapping: Mapping of ISO/IEC 20000 With COBIT 4.1 COBIT Mapping: Mapping of ITIL With COBIT 4.0 COBIT Mapping: Mapping of PMBOK With COBIT 4.0 COBIT Mapping: Mapping of PRINCE2 With COBIT 4.0 Etc.

Vazby mezi komponentami

Cobit 5: Struktura dokumentů Cobit 5 Framework; popisuje základní rámec (principy, předpoklady, vazby na jiné rámce), Cobit 5 Enabler Guides; jde o dokumenty, které jsou obecným návodem na vytváření předpokladů pro efektivní řízení IT; z těchto dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Enabling processes, Cobit 5 Processional Guides; jde o dokumenty určené pro jednotlivé specialisty, jako například auditory, specialisty pro informační bezpečnost, specialisty pro řízení rizik, apod.; z tento dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Implementation, Colaborativní on-line dokumenty, jejichž prostřednictvím budou uživatelé Cobit 5 sdílet svoje znalosti získané aplikací předešlých dokumentů.

Cobit 5 Product Family Cobit 5 Framework Cobit 5 Enabling Processes Cobit 5 Implementation Copbit 5 for Information Security Cobit 5 for Assurance Cobit Assessment Programme Cobit 5 for Risk

Cobit 5 - Model

Obsah Cobit 5 (asi 200 stránkový dokument pdf) Kapitola 1: obsah dokumentu a jeho vazby na další dokumenty Cobit 5; rozsah 1 stránka A4), Kapitola 2: vysvětlení úrovní cílů, jejich popis a příklady metrik pro podnikové cíle (enterprise goals) a IT cíle (IT goals); rozsah 6 stránek A4, Kapitola 3: představuje komponenty popisu každého procesu (governance a manažerské procesy), umožňují nahradit procesy, které byly obsahem dílčích dokumentů Cobit 4.1 (Val IT, Risk IT, ISO/IEC 38500); rozsah 3 stránky A4, Kapitola 4: referenční model procesů; popis je obecný a je potřeba ho přizpůsobit podmínkám v každé organizaci; rozsah 2 stránky A4, Kapitola 5: je hlavní kapitolou dokumentu a obsahuje podrobný popis všech 37 procesů referenčního modelu; rozsah 176 stránek A4, Příloha A: mapování procesů mezi Cobit 5, Val IT a Risk IT do úrovně cílů kontrol/řízení; rozsah 8 stránek A4, Příloha B a C: mapování mezi podnikovými cíli, IT cíli a procesy Cobit 5; rozsah 5 stránek A4.

Struktura popisu procesu Cobit 5 Každý z 37 procesů Cobit 5 je popsán ve stejné struktuře, která zahrnuje: identifikaci procesu, oblasti Governance/management, domény, popis procesu (Process Description), popis účelu procesu (Process Purpose Statement), tabulku obsahující IT cíle, na které má daný proces primární vazbu a metriky pro tyto cíle, tabulku obsahující cíle procesu a metriky k těmto cílům, tabulku ukazující vazby mezi klíčovými procesními praktikami a typickými rolemi na všech úrovních řízení a typ odpovědnosti (RACI Chart), tabulku popisující vstupy a výstupy pro jednotlivé procesní praktiky a dále aktivity spojené s jednotlivými procesními praktikami (Process Practices, Inputs/Outputs and Activities), tabulku vazeb procesu na jiné standardy (Related Guidance).

Rozdíly: 1. Zavedení nových principů GEIT 1. Uspokojení potřeb zájmových skupin 1. cílem existence podniků je generování hodnot pro tyto skupiny 2. kaskádování cílů a metriky 2. End-to-end pokrytí podniku 1. Informace celopodniková aktiva, všechny úrovně řízení 3. Aplikace jednoho integrovaného rámce 4. Podpora holistického přístupu 1. 7 předpokladů (Enablers) majících vliv na to, zda bude cílů dosaženo 1. Principy, politiky a rámce; 2. Procesy; 3. Organizační struktury; 4. Kultura, etika a chování; 5. Informace; 6. Služby, infrastruktura a aplikace; 7. Lidé, dovednosti a kompetence. 5. Oddělení úrovně řízení Governance od úrovně řízení Management

Cobit 5: Principles

COBIT 5 Enablers

Rozdíly: 2. Nový referenční model procesů na první pohled nedošlo k velké změně v počtu procesů (Cobit 4.1 obsahuje 34 procesů, Cobit 5 obsahuje 37 procesů) hlavní změny se odehrály na úrovni cílů kontrol/řízení (Control Objectives- v terminologii Cobit 4.1) a praktik procesů/řízení (Process Practices v terminologii Cobit 5). Dokument Cobit 5 Enabling Processes obsahuje ve své příloze A mapující tabulku mezi těmito dvěma procesními modely.

Příklady nových nebo upravených procesů APO03 Manage enterprise architecture. APO04 Manage innovation. APO05 Manage portfolio. APO06 Manage budget and costs. APO08 Manage relationships. APO13 Manage security. BAI05 Manage organisational change enablement. BAI08 Manage knowledge. BAI09 Manage assets. DSS05 Manage security service. DSS06 Manage business process controls.

Cobit 5 procesní model

Změna: 3. Terminologie, dekompozice procesního modelu a detail popisu opuštění termínu cíl kontrol/řízení Control Objective a nahrazení termínem procesní praktika Process Practice, případně manažerská praktika (Management Practice) Control definice: navržené politiky, procedury a praktiky a organizační struktury, které poskytují záruky, že bude dosaženo business cílů a že nežádoucí události budou eliminovány, nebo včas odhaleny a napraveny (Cobit 3) Practice definice: ověřená činnost nebo proces, které byly úspěšně použity v řadě organizací a prokázaly, že vedou ke spolehlivým výsledkům (Cobit 5) Dobré: nejasný překlad termínu Control Objective do češtiny (překladatelsky správně cíl řízení; logicky ale správně spíše cíl kontrol) nejasná vazba mezi procesem, cíli kontrol a aktivitami procesu, (viz další slide)

Rozdíly v dekompozici Doména Doména Proces Proces Aktivita Cíl kontrol Praktika Aktivita

Změna: 4. Nové kaskádování cílů a metrik Cobit 4.1 formuloval 4 úrovně cílů: Business cíle (17) členěné do 4 perspektiv BSC IT cíle (28) Cíle procesů Cíle aktivit procesů Cobit 5 pracuje s těmito úrovněmi cílů: Governance cíle (3) Podnikové (Enterprise) cíle (17) členěné do 4 perspektiv podle BSC IT cíle (17) členěné do 4 perspektiv podle BCS Procesní cíle Se změnami kaskádování cílů došlo také ke změně metrik.

Změna: 5. Rozšířená RACI matice Cobit 4.1: odpovědnosti formou R- Resposible, A-Accountable, C-consulted a I-Informed uvedeny ke každé aktivitě procesu a uvažoval se omezený počet rolí Cobit 5: odpovědnosti přiřazeny ke každé praktice a počet rolí byl rozšířen

Klíčové praktiky Představenstvo Výkonný ředitel Finanční ředitel Provozní ředitel Liniový manažer Vlastník procesu Strategický výbor Programový/projektový výbor Projektová kancelář Kancelář řízení hodnot Manažer rizik Vedoucí útvaru bezpečnosti i-cí Výbor pro architekturu Výbor pro řízení rizik Manažer lidských zdrojů Soulad s regulacemi Audit Vedoucí útvaru IT Vedoucí architekt Vedoucí vývoje Vedoucí provozu Vedoucí správce Manažer služeb Manažer bezpečnosti informací Manažer kontinuity procesů Manažer důvěrnosti informací Výkonný ředitel Finanční ředitel Liniový manažer Manažer IT Vlastník business procesu Vedoucí provozu Hlavní architekt Vedoucí vývoje Vedoucí správce Vedoucí proj. kanceláře Audit, bezpečnost, řízení rizika Rozdíly RACI Aktivity A1 A2 A3 P P P

Změna: 6. Změna v hodnocení úrovní zralosti procesů Cobit 5 opouští model hodnocení zralosti procesů, CMM (Capability Maturity Model) Přechází na model PAM (Process Assessment Model) a je formulován v normě ISO/IEC 15504 Model PAM se podobá modelu CMM v tom smyslu, že používá 6 úrovní zralosti, avšak jejich vlastní obsah je vymezen přesněji definovanými atributy, které je potřeba navázat na indikátory procesů uvedenými jak ve verzi Cobit 4.1, tak v verzi COBIT 5 úrovně jiný věcný obsah, který je určován atributy procesu a dále upřesňován definovanými postupy (Practices) a pracovními výstupy (Work Products)

Příklad DS2: Manage third party services

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář