CobiT Control Objectives for Information and related Technology Teplá u Mariánských Lázní, 6. října 2004
Agenda Základy CobiT Pojem CobiT Domény CobiT Hodnocení a metriky dle CobiT IT Governance Řízení a správa procesů ICT CobiT a Balanced Score Cards Srovnání CobiT s ISO 17799 a BS 15000/ITIL
Statistika na úvod 93% organizací považuje ICT za strategicky důležité Pouze 7% organizací nemělo v roce 2003 problémy s ICT 40% organizací zaznamenalo selhání nebo neodpovídající fungování systémů 18% organizací vědělo o existenci metodiky CobiT 30% těchto organizací CobiT používá 45% považují implementaci za relativně jednoduchou 25% považují implementaci za relativně obtížnou
Pojem CobiT CobiT Control Objectives for Information and related Technology Uznávaná mezinárodní metodika pro management a řízení informatiky Využívání ICT je řízeno souborem nejlepších praktik Co je potřeba dělat pro zajištění kvalitního řízení a správy procesů ICT? Procesy ICT Strategické cíle organizace ICT Strategie Zdroje ICT
Vztahy obecných a ICT strategií Neexistence jednoho z plánů 30% Nepropojení plánů 27% ICT plány odvozeny od obecné strategie 43% ICT plány neovlivňují obecné plány 9% ICT plány ovlivňují obecné plány 11% Integrované obecné a ICT plány 23%
ICT Governance z pohledu CobiT ICT Governance vyžaduje uvědomělou strukturu, která mapuje vzájemné vztahy mezi procesy ICT, zdroji ICT a informacemi vůči strategickým cílům organizace. Přímé řízení Cíle Řízení Činnosti ICT Zdroje ICT Zpětná vazba Použití
Domény CobiT 4 domény obsahují 34 procesů: PO (11) Plánování & Organizace AI (6) Akvizice & Implementace DS (13) Dodávka & Podpora M (4) Monitorování
Doména Plánování & Organizace PO1 Definice strategického plánu IT PO2 Definice informační architektury PO3 Určení technologického směru PO4 Definice organizace a vztahů pro IT PO5 Řízení investic do IT PO6 Komunikace cílů vedení PO7 Řízení lidských zdrojů PO8 Zajištění shody s vnějšími požadavky PO9 Hodnocení rizik PO10 Řízení projektů PO11 Řízení kvality
Doména Akvizice & Implementace AI1 Identifikace automatizovaných řešení AI2 Pořízení a údržba aplikačního software AI3 Pořízení a údržba technologické infrastruktury AI4 Postupy vývoje a údržby AI5 Instalace a akreditace systémů AI6 Řízení změn
Doména Dodávka & Podpora DS1 Definice a řízení úrovní služeb DS2 Řízení služeb třetích stran DS3 Řízení výkonu a kapacity DS4 Zajištění nepřetržitosti služeb DS5 Zajištění bezpečnosti systémů DS6 Identifikace a alokace nákladů DS7 Vzdělávání a příprava uživatelů DS8 Podpora uživatelů a zákazníků DS9 Řízení konfigurace DS10 Řízení problémů a incidentů DS11 Správa dat DS12 Správa vybavení DS13 Řízení provozu
Doména Monitorování M1 Monitorování procesů M2 Posouzení adekvátnosti interních opatření M3 Dosažení nezávislých záruk M4 Nezávislý audit
Vazby mezi doménami Business Strategie organizace Plánování & Organizace Strategie ICT Monitorování Akvizice & Implementace Vývoj ICT Provoz ICT Dodávka & Podpora
Krychle CobiT Kritéria IT: Zdroje IT: Účelnost Výkonnost Důvěrnost Integrita Dostupnost Shoda Spolehlivost Procesy ICT Domény Procesy Činnosti Kvalita Informační kritéria Spolehlivost Bezpečnost Lidé Aplikace Technologie Vybavení Data Zdroje ICT Lidé Aplikace Technologie Vybavení Data
Domény CobiT Informační kritéria Monitorování Účelnost Výkonnost Důvěrnost Integrita Dostupnost Shoda Spolehlivost Plánování & Organizace Zdroje ICT Dodání & Podpora Lidé Aplikace Technologie Vybavení Data Akvizice & Implementace
IT Governance z pohledu CobiT Cíle Přímé Činnosti ICT ICT podporuje cíle řízení Plánuj Plánování & Organizace organizace a Dělej Akvizice & Implementace maximalizuje užitek Kontroluj Dodávka & Podpora Jednej Monitorování Řízení Zdroje ICT jsou Řízení rizik Realizace přínosů využívány odpovědně Rizika ICT jsou vhodně řízena bezpečnost spolehlivost shoda Zvýšení automatizace - výkonnosti Snížení nákladů - vyšší účelnost Zpětná vazba
Kritické faktory úspěchu Definují nejdůležitější prvky nebo akce, které je třeba naplnit Definované procesy Definovaná pravidla Jednoznačná odpovědnost Silná angažovanost vedení Vhodná forma komunikace Konzistentní metriky
Klíčové indikátory Klíčové indikátory cíle informují management, zdali IT proces splnil očekávání organizace. Odpověď na otázku čeho je třeba dosáhnout. Klíčové indikátory výkonu určují, jak dobře podporuje daný IT proces cíl organizace. Odpověď na otázku jak se daří cíle dosahovat.
Metrika modelu vyzrálosti Stupně hodnocení vyzrálosti: 0 Neexistující procesy nejsou aplikovány. 1 Inicializovaný / Náhodný procesy se řeší ad-hoc a nejsou organizovány. 2 Opakovatelný, ale intuitivní procesy mají opakovatelný charakter. 3 Definovaný proces procesy jsou dokumentované a dobře sdělované. 4 Řízený a měřitelný procesy jsou sledovány a měřeny. 5 Optimalizovaný jsou zavedeny a automatizovány nejlepší dostupné praktiky. 0 1 2 3 4 5 Aktiální stav organizace Průměrný stav oboru Strategický cíl organizace
Priority projektů optimalizace
Balanced Score Cards
CobiT a BSC
Hierarchie BSC
Obecné cíle řízení informatiky Přispět ke kvalitnímu fungování organizace Orientovat se na zákazníka resp. uživatele Zajistit provozní dokonalost Orientovat se na možnosti rozvoje v budoucnosti
ČSN ISO/IEC 17799:2001
Srovnání CobiT v. ISO 17799 ČSN ISO/IEC 17799:2001 Soubor postupů pro řízení informační bezpečnosti BS 7799-2:2002 Specifikace systému řízení informační bezpečnosti Založeno na PDCA modelu Omezuje se pouze na kritéria související s bezpečností
BS 15000 resp. ITIL
Srovnání CobiT v. BS 15000 BS 15000 Specifikace systému řízení informačních služeb ITIL IT Infrastructure Library Založeno na PDCA modelu Soustředí se na efektivní provozování a rozvoj ICT
Závěr CobiT je ucelený pohled na ICT, který zdůrazňuje vliv ICT na celkové fungování organizace CobiT vyhledává řešení, kde jsou vyváženy výhody a rizika spojená s využití ICT Je otevřeným mezinárodním standardem Kvalitní systém řízení informatiky je vhodné opírat o nejlepší vžitou praxi dnes je zbytečné vynalézat kolo Další informace: www.isaca.org, www.itgi.org
DISKUSE DĚKUJI ZA POZORNOST Luděk Novák vedoucí konzultant ludek.novak@bdo-it.com, novak@isaca.cz 241 046 136