2 презентация kpmg cobit

Денис

Волков, CISA

Андрей

Дроздов, CISA, CISM

KPMG

26 ноября

2008

Денис

Волков, CISA

Андрей

Дроздов, CISA, CISM

KPMG

26 ноября

2008

GLOBAL SERVICE/ INDUSTRY

IT Advisory

УправлениеУправление

ИТИТ

нана

основеоснове CobiTCobiT

2

Что

такое

CobiT?Что

такое

CobiT?

CobiTCobiT

((ЦелиЦели

контроляконтроля

длядля информационныхинформационных

ии

смежныхсмежных

технологийтехнологий) ) являетсяявляется методологиейметодологией

корпоративногокорпоративного

управленияуправления

ИТИТРазработанРазработан

МеждународнойМеждународной

ассоциациейассоциацией

аудитааудита

ии

контроляконтроля заза

информационнымиинформационными

системамисистемами

(ISACA)(ISACA)CobiTCobiT

характеризуетсяхарактеризуется

ориентацияориентация

нана

бизнесбизнес требованиятребования

процесснымпроцессным

подходомподходом

кк управлениюуправлению

ИТИТ

целямицелями


кк управлениюуправлению

ИТИТ

процессамипроцессами

оценкаоценка

эффективностиэффективности

ИТИТ

3

Предыстория

CobiTПредыстория

CobiT

CobiTCobiT

ии

сопутствующиесопутствующие

продуктыпродукты

обеспечиваютобеспечивают методологиюметодологию


ИТИТ

длядля

многихмногих

предприятийпредприятий

ии

государственныхгосударственных

учрежденийучреждений

попо

всемувсему

мирумиру1992 1992 ––

перваяпервая

версияверсия

стандартастандарта

2000 2000 ––

выпусквыпуск

CobiTCobiT®®

3.0 (3.0 (включаявключая

ManagementManagement

guidelinesguidelines))2003 2003 ––

созданиесоздание

CobiTCobiT®®

3.1 3.1 OnlineOnline

2005 2005 ––


CobitCobit®®

4.04.02007 2007 ––


CobiTCobiT

®®

4.14.1

2008 2008 ––

изданиеиздание

официальнойофициальной

русскойрусской

версииверсии

CobiTCobiT

4.14.1www.isacawww.isaca--russia.rurussia.ru

ии

www.ozon.ruwww.ozon.ru

CobiTCobiT

используетсяиспользуется

вв

компанияхкомпаниях

S.W.I.F.T., S.W.I.F.T., CedelCedel

GroupGroup, , МинистерствоМинистерство

обороныобороны

СШАСША, , DaimlerChryslerDaimlerChrysler, , RoyalRoyal

PhilipsPhilips

ElectronicsElectronics, ,

http://www.isaca-russia.ru/



http://www.ozon.ru/

4

Стандарты

и

рекомендации, лежащие

в основе

CobiT

Стандарты

и

рекомендации, лежащие

в основе

CobiT

CobiTCobiT

сталстал

интегратороминтегратором

передовойпередовой

ИТИТ

практикипрактики

ии

основойосновой длядля


ИТИТ


((соответствуетсоответствует

ITIL, ISO ITIL, ISO

17799, PMBOK, PRINCE2)17799, PMBOK, PRINCE2)ТехническиеТехнические

стандартыстандарты

((ISOISO))

НормыНормы


управленияуправления, , установленныеустановленные организациямиорганизациями

ЕвропейскойЕвропейской

КомиссияКомиссия, ISACA, ISACA

СтандартыСтандарты

качествакачества

информационныхинформационных

технологийтехнологий

ии процессовпроцессов

ITSEC, TCSEC, ISO 9000, SPICE, TICKIT, Common CriteriaITSEC, TCSEC, ISO 9000, SPICE, TICKIT, Common CriteriaПрофессиональныеПрофессиональные


внутреннеговнутреннего


ии

аудитааудитаCOSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAOCOSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO

ИндустриальныеИндустриальные


ии

международныемеждународные

практикипрактики построенияпостроения

ИТИТ

((NIST,NIST,

BS7799)BS7799)

ТребованияТребования

кк

активноактивно

развивающимсяразвивающимся

отраслямотраслям

5

Что

покрывает

CobiT?Что

покрывает

CobiT?

Эффективность: Цели

Бизнеса

СоответствиеТребованиям:

Basel II, SOX,

…

Корпоративное

управление



ИТ

ISO 9001:2000

ISO 17799

ISO 20000Стандарты

лучших

практик

QAПроцедуры контроля

качества

Процессы

и

процедуры

Стимулы

CobiT

COSO

Безопасность ITIL

Система

Сбалансированных

показателей

6

COBIT и

другие

стандарты

в

области

ИТCOBIT и

другие

стандарты

в

области

ИТ

Организации

используют

различные

модели

управления

ИТ, стандарты

и лучшие

практики. Данный

слайд

демонстрирует

возможное

совместное использование

различных

стандартов, при

этом

COBIT выступает

в

качестве консолидирующего

(‘зонтичного’) стандарта.

COBIT

ISO 9000

ISO 17799

ITIL

COSO

ЧТО КАК

ОБЛАСТЬ

ПРИМЕНЕНИЯ

7

CobiT: Достоинства

и

ограниченияCobiT: Достоинства

и

ограничения

ДостоинстваДостоинства

CCobiobiT:T:ОриентацияОриентация

нана

высшеевысшее

руководстворуководство

ии

соответствиесоответствие

требованиямтребованиям

бизнесабизнесаСоответствуетСоответствует

основнымосновным

международныммеждународным

стандартамстандартам

вв

областиобласти

ИТИТ

((такимитакими

каккак

ITIL, ISO 17799, PMBOK, PRINCE2)ITIL, ISO 17799, PMBOK, PRINCE2)ПонятноеПонятное

длядля

менеджментаменеджмента

видениевидение

деятельностидеятельности

ИТИТОпределениеОпределение

четкогочеткого

владениявладения

ИТИТ


ии

распределенияраспределения

ответственностиответственностиПодкрепленПодкреплен

инструментариямиинструментариями

ии

учебнымиучебными

курсамикурсамиОбщедоступенОбщедоступенВыполнениеВыполнение

требованийтребований

COSO COSO кк

контролюконтролю

вв

сфересфере

ИТИТ

ОграниченияОграничения

припри

использованиииспользовании

CobiTCobiT::ДокументДокумент

высокоговысокого

уровняуровня, , припри

внедрениивнедрении

требуеттребует

использованияиспользования

специфичныхспецифичных

стандартовстандартовПредставляетПредставляет

собойсобой

руководстворуководство, , аа

нене

готовоеготовое

решениерешениеТребуетТребует

кастомизациикастомизации

сс

учетомучетом

бизнесбизнес

целейцелей

компаниикомпании, , рисковрисков

ии

организацииорганизации, , проектовпроектов

ии

инфраструктурыинфраструктуры

ИТИТ

8

Целевая

аудитория

CobiTЦелевая

аудитория

CobiT

ВысшемуВысшему

руководствуруководствуДляДля


отдачиотдачи

отот

инвестицийинвестиций

вв

ИТИТ, , уравновешиванияуравновешивания

рисковрисков

ии


инвестициямиинвестициями

вв

непредсказуемойнепредсказуемой

сфересфере ИТИТ

БизнесБизнес--менеджментуменеджменту

организацииорганизацииДляДля

уверенностиуверенности

вв

надлежащемнадлежащем

управленииуправлении

ии

контролеконтроле

наднад

ИТИТ

сервисамисервисамиИТИТ

менеджментуменеджментуДляДля

оказанияоказания

ИТИТ

услугуслуг, , требуемыхтребуемых

бизнесомбизнесом

ии

реализацииреализации

корпоративнойкорпоративной

стратегиистратегии

вв

контролируемыхконтролируемых

ии

управляемыхуправляемых условияхусловиях

АудиторамАудиторамДляДля

обоснованияобоснования

собственныхсобственных

заключенийзаключений

ии//илиили

консультированияконсультирования


попо

вопросамвопросам

внутреннеговнутреннего контроляконтроля

9

Публикации

CobiTПубликации

CobiT

Как

исполнять

свои

обязанности?

Как оценивается эффективность ИТ?Как сравнить ИТ с другими компаниями?

Что совершенствовать в ИТ?

ВысшееВысшее

руководстворуководство

ии

СоветСовет

директоровдиректоров

БизнесБизнес

ии

ИТИТ

менеджментменеджмент

КакКак

использоватьиспользовать

методологиюметодологию


ИТИТ??

КакКак

внедритьвнедрить

ееее

вв

КомпанииКомпании??

КакКак

выполнятьвыполнять

аудитаудит

ИТИТ??

СовещаниеСовещание

попо

вопросамвопросам

упраленияупраления

ИТИТ, , 22--ее

изданиеиздание

РуководстваРуководства

попо

управлениюуправлениюМоделиМодели

зрелостизрелости

СпециалистыСпециалисты

попо

аудитуаудиту, , информационнойинформационной

безопасностибезопасности, , сертификациисертификации, , контролюконтролю

--

МетодологииМетодологии

CobiTCobiT

ии

Val ITVal IT--

ЦелиЦели

контроляконтроля--

ОсновныеОсновные



РуководствоРуководство

попо

внедрениювнедрению


УправленияУправления

ИТИТ

ОсновныеОсновные

контрольныеконтрольные



попо

аудитуаудиту

вв

сфересфере

ИТИТ

Специальные

издания

и

продукты:•

Цели

контроля

для

соответствия

закону

Сарбейнса-Окслей, 2-

е издание•

CobiT

Security

Baseline™•



информационной

безопасностью: руководство

для

совета

директоров

и

менеджмента•

CobiT

QuickStart™•

CobiT

online

10

Взаимосвязи

компонентов

CobiTВзаимосвязи

компонентов

CobiT

ЦелиЦелибизнесабизнеса

ИТИТ

процессыпроцессы

ИТИТ

целицели

ЗадачиЗадачи

ТестыТесты

контролейконтролей

ЦелиЦеликонтроляконтроля

КонтролируютсяКонтролируются сс помощью

помощьюПодра

зделяются

Подразделя

ютсянана А

удируются

Аудирую

тсяОцениваются

Оцениваются

нана

Извлекаю

тся

Извлекаю

тся изиз

ТестыТесты

дизайнадизайна

мермер

контроляконтроляПрактикиПрактики


Аудируются

Аудируются

Внедряются

Внедряются

сс

помощью

помощью

RACI RACI диаграммыдиаграммы

ПоказателиПоказатели



результативностирезультативности

МоделиМодели


Выполняются

Выполняются

эффективность

эффективность Результат

Результат

Зрелость

Зрелость

11

Основы

CobiTОсновы

CobiT

ОбеспечениеОбеспечение

взаимосвязивзаимосвязи

междумежду

ИТИТ

ии


основаноосновано

нана

томтом, , чточто

ИТИТ


ии

ресурсыресурсы

предоставляютпредоставляют

информациюинформацию


процессампроцессам, , удовлетворяющуюудовлетворяющую

определеннымопределенным

критериямкритериям

информацииинформации, , котораякоторая

требуютсятребуются

длядля

достижениядостижения


целейцелей. . ОбеспечитьОбеспечить

управлениеуправление

ии

контрольконтроль

ИТИТ

ресурсовресурсов

нана

основеоснове

структурированногоструктурированного

наборанабора

процессовпроцессов

длядля

предоставленияпредоставления

необходимыхнеобходимых

ИТИТ

услугуслуг

i

ИТ

Процессы

и

Ресурсы

Информацию

Бизнес- Процессов

Целей

Бизнеса

обеспечивают

для

Для

достиже-

ния

12

Основы

CobiTОсновы

CobiT

ИТИТ


используяиспользуя

ИТИТ ресурсыресурсы

предоставляютпредоставляют


процессампроцессам информациюинформацию

удовлетворяющуюудовлетворяющую критериямкритериям

информацииинформации

ПроцессыЗадачи

ГруппыИТ

Процессы

РезультативностьЭффективностьКонфиденциальностьЦелостностьДоступностьСоответствие

требованиямДостоверность

ИТ

Ресурсы

Приложения

Информация

Инфраструктура

Персонал

Критерии

Информации

13

Взаимосвязи

между

бизнес

и

ИТ

целямиВзаимосвязи

между

бизнес

и

ИТ

целями

CobiTCobiT

определяетопределяет

взаимосвязивзаимосвязи

междумеждубизнесбизнес



ИТИТИТИТ


ВзаимосвязиВзаимосвязи

представленыпредставлены

вв

ПриложенииПриложении

1 1 кк стандартустандарту

CobiTCobiT

4.0 4.0 вв

видевиде

двухдвух

матрицматриц

ВзаимосвязьВзаимосвязь


ии

ИТИТ

целейцелейВзаимосвязьВзаимосвязь

ИТИТ


ии

ИТИТ


14

Взаимосвязь

бизнес

целей, ИТ

целей

и поддерживающих

ИТ

процессов

Взаимосвязь

бизнес

целей, ИТ

целей

и поддерживающих

ИТ

процессов

ЦелиЦели

бизнесабизнеса рассматриваютсярассматриваются

сс

точкиточки

зрениязрения перспективперспектив::

ФинансыФинансыКлиентыКлиентыВнутренниеВнутренние

процессыпроцессыОбучениеОбучение

ии

развитиеразвитиеКаждойКаждой

целицели

бизнесабизнеса

соответствуетсоответствует

цельцель ИТИТ, , котораякоторая

вв

своюсвою

очередьочередь подкрепляетсяподкрепляется

ИТИТ


ОптимизацияОптимизация

затратзатрат

предоставленияпредоставления

ИТИТ

сервисовсервисов

1.

Улучшить

экономическую

целесо-

образность

ИТ

затрат

и

вклад

ИТ

в

прибыльность

бизнеса2.

Обеспечить

экономически

выгодное

приобретение

и

поддержку

ИТ

приложений

и

инфраструктуру3.


экономически

выгодное

взаимодействие

со

сторонними

организациями

оказывающие

ИТ

услуги

БизнесБизнес--цельцель

ЦелиЦели

длядля

ИТИТ

1.

PO3 Определение

направления

техн. развития2.

PO5

Управление

ИТ

инвестициями3.

AI2

Приобретение

и

поддержка

приложений4.

AI3


и

поддержка

техн. инфр.5.

AI5


ИТ

ресурсов6.

DS2


услугами

сторонних

организаций7.

DS6

Определение

и

распределение

ИТ

затрат

ИТИТ


15

CobiTCobiT

Информационные

критерии

CobiTИнформационные

критерии

CobiT

ПолезностьПолезностьЭффективностьЭффективностьКонфиденциальностьКонфиденциальностьЦелостностьЦелостностьДоступностьДоступностьСоответствиеСоответствие


ДостоверностьДостоверность

БизнесБизнестребованиятребования

РесурсыРесурсы

ИТИТ

ИТИТ


ИнформацияИнформация

соответствует Направляет

инвестиции

производят используются

16

ИТ

ресурсы

CobiTИТ

ресурсы

CobiT

ПриложенияПриложенияПрикладныеПрикладные

системысистемы

ии

ручныеручные

процедурыпроцедуры

длядля

обработкиобработки

информацииинформацииИнформацияИнформация

ДанныеДанные

вв

любойлюбой

формеформе, , введенныевведенные, , обработанныеобработанные

илиили представленныепредставленные

информационнымиинформационными

системамисистемами

вв

любойлюбой

используемойиспользуемой



формеформеИнфраструктураИнфраструктура

ТехнологииТехнологии

ии

техническиетехнические

средствасредства

((аппаратноеаппаратное

обеспечениеобеспечение, , ОСОС, , СУБДСУБД, , сетевоесетевое

оборудованиеоборудование), ), которыекоторые

обеспечиваютобеспечивают

работработ

приложенийприложенийПерсоналПерсонал

ЛюдиЛюди

ии

ихих

квалификацииквалификации, , необходимыенеобходимые

длядля

планированияпланирования, , организацииорганизации, , приобретенияприобретения, , внедрениявнедрения, , работыработы, , обслуживанияобслуживания, , мониторингамониторинга

ии

оценкиоценки

информационныхинформационных

системсистем

ии

ИТИТ

услугуслуг..

17

ИТ

процессы

CobiTИТ

процессы

CobiT

CCobiTobiT

описываетописывает

жизненныйжизненный

циклцикл ИТИТ

сс

помощьюпомощью

4 4 группгрупп

ИТИТ


::ПланированиеПланирование

ии

ОрганизацияОрганизация

ПриобретениеПриобретение

ии

внедрениевнедрениеЭксплуатацияЭксплуатация

ии

СопровождениеСопровождениеМониторингМониторинг

ии

ОценкаОценка

34 34 процессапроцесса

представляютпредставляют

собойсобой наборнабор

задачзадач

((действийдействий), ),

объединенныхобъединенных

естественныместественным образомобразом

ии

содержащихсодержащих

детальныедетальные

целицели

контроляконтроля..ЗадачиЗадачи

представляютпредставляют


действиядействия, , необходимыенеобходимые

длядля достижениядостижения

измеримыхизмеримых

результатоврезультатов..

ПланированиеПланирование

ии



ии

ВнедрениеВнедрениеЭксплуатацияЭксплуатация

ии

СопровождениеСопровождение

МониторингМониторинг

ии


18

Цели

контроля

CobiTЦели

контроля

CobiT

CobiTCobiT

представляетпредставляет


методологиюметодологию управленияуправления

ИТИТ

процесамипроцесами

сс

акцентамиакцентами

нана


ЦелиЦели


описываютописывают

требованиятребования

попо эффективномуэффективному

контролюконтролю

наднад

каждымкаждым

ИТИТ

процессомпроцессом

ии

являютсяявляются::формулировкамиформулировками

управленческихуправленческих

действийдействий

политикамиполитиками, , процедурамипроцедурами, , практикамипрактиками

ии

организационнымиорганизационными структурамиструктурами

обеспечивающихобеспечивающих

уверенностьуверенность

вв

достижениидостижении


целейцелей, , предотвращениипредотвращении

нежелательныхнежелательных

событийсобытий, , чьичьи

последствияпоследствия

идентифицированыидентифицированы

ии

исправленыисправлены

19

Общие

требования

к

мерам

контроля

для всех

процессов

Общие


к

мерам

контроля

для всех

процессов

PCPC11

ЦелиЦели

ии

задачизадачи

процессапроцессаPCPC22

ВладениеВладение

процессомпроцессом

PC3 PC3 ПовторяемостьПовторяемость

процессапроцессаPC4 PC4 РолиРоли

ии

ответственностиответственности

PC5 PC5 ПолитикиПолитики, , планыпланы

ии процедурыпроцедуры

PC6 PC6 ПовышениеПовышение

эффективностиэффективности процессапроцесса

НормыНормыСтандартыСтандартыЦелиЦели

СравнениеСравнение

ПроцессПроцесс

ДействиеДействие

Контро

льная

Контро

льная

инфор

мац

ияин

фор

мац

ияМодель

контроля

20

ИТ

процессы

CobiT Группа

«Планирование

и

Организация»

ИТ

процессы

CobiT Группа

«Планирование

и

Организация»

ВопросыВопросы

управленияуправления::СогласованыСогласованы

лили

ИТИТ

стратегиястратегия

ии

корпоративнаякорпоративная

стратегиястратегия??КакКак

управлятьуправлять

инвестициямиинвестициями

вв

ИТИТ??ИспользуютсяИспользуются

лили


оптимальнооптимально??ВсеВсе

лили

понимаютпонимают

целицели

стоящиестоящие

передперед

ИТИТ??ОсознаютсяОсознаются

ии

управляютсяуправляются

лили

ИТИТ

рискириски??СоответствуетСоответствует

лили

качествокачество

системсистем

ИТИТ

потребностямпотребностям бизнесабизнеса??

ИТ

и

Бизнес

ПланированиеПланирование

ии


PO1 PO1 ОпределениеОпределение

стратегическогостратегического

планаплана

развитияразвития

ИТИТ..PO2 PO2 ОпределениеОпределение

информационнойинформационной

архитектурыархитектуры..PO3 PO3 ОпределениеОпределение

направленийнаправлений

технологическоготехнологического

развитияразвития..PO4 PO4 ОпределениеОпределение

организационнойорганизационной

структурыструктуры

ии

взаимосвязейвзаимосвязей..PO5 PO5 УправлениеУправление

ИТИТ

инвестициямиинвестициями..PO6 PO6 ИнформированиеИнформирование

оо

целяхцелях

ии

направленияхнаправлениях

развитияразвития..PO7 PO7 УправлениеУправление

ИТИТ

персоналомперсоналом..PO8 PO8 УправлениеУправление

качествомкачеством..PO9 PO9 ОценкаОценка

ии


ИТИТ

рискамирисками..PO10 PO10 УправлениеУправление

проектамипроектами..

21

ИТ

процессы

CobiT Группа

«Приобретение

и

Внедрение»

ИТ

процессы

CobiT Группа

«Приобретение

и

Внедрение»


управленияуправления::ВыбираютсяВыбираются

лили

информационныеинформационные

системысистемы ии

инфраструктураинфраструктура

отвечающиеотвечающие

потребностямпотребностям бизнесабизнеса??

БудутБудут

лили

информационныеинформационные системысистемы

работатьработать

должнымдолжным

образомобразом

послепосле

внедрениявнедрения??НеНе

нанесутнанесут

лили

уронурон

внедряемыевнедряемые

измененияизменения

вв информационныхинформационных

системахсистемах? ?


ии

ВнедрениеВнедрение

AI1 AI1 ВыборВыбор

решенийрешений

попо

автоматизацииавтоматизации..AI2 AI2 ПриобретениеПриобретение

ии

поддержкаподдержка

приложенийприложений..AI3 AI3 ПриобретениеПриобретение

ии

поддержкаподдержка

технологическойтехнологической

инфраструктурыинфраструктуры..AI4 AI4 ОбеспечениеОбеспечение

вводаввода

вв

эксплуатациюэксплуатацию..AI5 AI5 ПриобретениеПриобретение

ИТИТ

ресурсовресурсов..AI6 AI6 УправлениеУправление

изменениямиизменениями..AI7 AI7 ВнедрениеВнедрение

ии

приемкаприемка

ИТИТ

решенийрешений

ии

измененийизменений..

Новые

Проекты Организация

?

22

ИТ

процессы

CobiT Группа

«Эксплуатация

и

Поддержка»

ИТ

процессы

CobiT Группа

«Эксплуатация

и

Поддержка»


управленияуправления::ПредоставляетсяПредоставляется

лили

ИТИТ

услугиуслуги

соответствующиесоответствующие приоритетамприоритетам

бизнесабизнеса??

ОптимизированыОптимизированы

лили затратызатраты

нана

ИТИТ??

СпособенСпособен

лили

персоналперсонал использоватьиспользовать


эффективноэффективно

ии

безопаснобезопасно??ОбеспечиваетсяОбеспечивается

лили

информационнаяинформационная безопасностьбезопасность??

ЭксплуатацияЭксплуатация

ии

ПоддержкаПоддержка

DS1 DS1 ОпределениеОпределение

ии


уровнемуровнем

услугуслуг..DS2 DS2 УправлениеУправление

услугамиуслугами

стороннихсторонних

организацийорганизаций..DS3 DS3 УправлениеУправление

производительностьюпроизводительностью

ии

мощностямимощностями..DS4 DS4 ОбеспечениеОбеспечение

непрерывностинепрерывности

обслуживанияобслуживания..DS5 DS5 ОбеспечениеОбеспечение

безопасностибезопасности

системсистем..DS6 DS6 ОпределениеОпределение

ии

распределениераспределение

затратзатрат..DS7 DS7 ОбучениеОбучение

ии

подготовкаподготовка

пользователейпользователей..DS8 DS8 ПоддержкаПоддержка

пользователейпользователей

ии


инцидентамиинцидентами..DS9 DS9 УправлениеУправление

конфигурациямиконфигурациями..DS10 DS10 УправлениеУправление

проблемамипроблемами..DS11 DS11 УправлениеУправление

даннымиданными..DS12 DS12 УправлениеУправление

физическойфизической

безопасностьюбезопасностью..DS13 DS13 УправлениеУправление

операциямиоперациями..

ИТ

Сервисы Приоритеты

бизнеса

23

ИТ

процессы

CobiT Группа

«Мониторинг

и

Оценка»

ИТ

процессы

CobiT Группа

«Мониторинг

и

Оценка»


управленияуправления::КакКак

установитьустановить

обратнуюобратную

связьсвязь

междумежду эффективностьюэффективностью

ИТИТ

ии


бизнесабизнеса??КакКак

выявитьвыявить

проблемыпроблемы, ,

связанныесвязанные

сс эффективностьюэффективностью

ИТИТ

процессовпроцессов, , покапока

нене

сталостало слишкомслишком

позднопоздно??

МожетМожет

лили

менеджментменеджмент

бытьбыть уверенуверен

вв

томтом, , чточто

мерымеры


контроляконтроля результативнырезультативны

ии

эффективныэффективны??

МониторингМониторинг

ии


ME1 ME1 МониторингМониторинг

ии



ИТИТ..ME2 ME2 МониторингМониторинг

ии




контроляконтроля..ME3 ME3 ОбеспечениеОбеспечение

соответствиясоответствия

внешнимвнешним

требованиямтребованиям..ME4 ME4 ОбеспечениеОбеспечение



ИТИТ..

ИТ Эффективность

24

Ключевые

области

корпоративного управления

ИТ

Ключевые

области

корпоративного управления

ИТ

КорпоративноеКорпоративное


ИТИТ

естьесть ответственностьответственность

высшеговысшего

руководстваруководства

ии СоветаСовета

директоровдиректоров, , котороекоторое

включаетвключает

вв

себясебя методыметоды

руководстваруководства, , организациюорганизацию

ии процессыпроцессы, , обеспечивающиеобеспечивающие

соответствиесоответствие

ИТИТ текущимтекущим

ии

стратегическимстратегическим

целямцелям

организацииорганизацииОбластиОбласти



ИТИТ::СоответствиеСоответствие

стратегиистратегииПолезностьПолезностьУправлениеУправление

ресурсамиресурсамиУправлениеУправление

рискамирискамиОценкаОценка


Соотв

етстви

е

Соотв

етстви

е

страте

гии

страте

гииПолезность

Полезность

Оценка

Оценка

эффективности

эффективности УправлениеУправление

ресурсамиресурсами

УправлениеУправлениерискамирисками



ИТИТ

25

Структура

CobiTСтруктура

CobiTБизнес цели и цели

корпоративного


Эффективность

ПриложенияИнформация

ИнфраструктураПерсонал

Эксплуатация

и

Сопровождение

Мониторинг

и Оценка


и Внедрение

Информация

ИТ

ресурсы

C O B I T

Результативность

Конфиденциальность

Целостность

ДоступностьСоответствие

требованиям

DS1 Определение

и


уровнем

обслуживанияDS2 Управление

услугами

сторонних

организацийDS3 Управление

производительностью

и

мощностямиDS4 Обеспечение

непрерывности

ИТ

сервисовDS5 Обеспечение

безопасности

системDS6 Определение

и

распределение

затратDS7 Обучение

и

подготовка

пользователейDS8 Управление

службой

технической

поддержки

и

инцидентамиDS9 Управление

конфигурациейDS10 Управление

проблемамиDS11 Управление

даннымиDS12 Управление

физической

безопасностью

и

и

защитой

от

воздействия

окружающей

средыDS13


операциями

по

эксплуатации

систем

ME1 Мониторинг

и

оценка


ИТME2 Мониторинг

и

оценка

системы

внутреннего

контроляME3 Обеспечение

соответствия

внешним

требованиямME4 Обеспечение

корпоративного


ИТ

PO1 Разработка

стратегического

плана

развития

ИТPO2 Определение

информационной

архитектурыPO3 Определение

направления

технологического

развитияPO4 Определение

организационной

структуры

и

взаимосвязейPO5 Управление

ИТ

инвестициямиPO6 Информирование

о

целях

и

направлениях

развития

ИТPO7 Управление

персоналомPO8 Управление

качествомPO9 Оценка

и


ИТ

рискамиPO10 Управление

проектами

AI1 Выбор

решений

по

автоматизацииAI2 Приобретение

и

поддержка

программных

приложенийAI3 Приобретение

и

обслуживание

технологической

инфраструктурыAI4 Обеспечение

выполнения

операцийAI5 Поставки

ИТ

ресурсовAI6 Управление

внесением

измененийAI7 Внедрение

и

приемка

решений

и

изменений

Планирование

и

Организация

Достоверность

26

Представление

ИТ

процессовПредставление

ИТ

процессов

ВысокоуровневаяВысокоуровневая

цельцель

контроляконтроляОбщееОбщее

описаниеописание

процессапроцесса

ХарактернаХарактерна

цельцель

ИТИТ

((бизнесбизнес

требованиетребование

кк

ИТИТ), ), цельцель

ИТИТ процессапроцесса, , целицели

действийдействий, , показателипоказатели


целицели

ИТИТ

КритерииКритерии

информацииинформацииИТИТ


ОбластиОбласти



ИТИТДетальныеДетальные

целицели


ИТИТ


««входывходы»»

ии

««результатырезультаты»»

ИТИТ

процессапроцессаRACI RACI диаграммадиаграммаЦелиЦели

ии

показателипоказатели

ИТИТ, , ИТИТ

процессапроцесса, , задачзадач

МодельМодель



27


ИТ

процессов PO1. Разработка


плана

развития

ИТ


ИТ



плана

развития

ИТ


процессомпроцессомРазработкаРазработка



развитияразвития

ИТИТудовлетворяетудовлетворяет

следующимследующим



кк

ИТИТПоддержкаПоддержка

илиили

расширениерасширение

корпоративнойкорпоративной

стратегиистратегии

ии



припри

условииусловии

прозрачностипрозрачности

вв

частичасти

преимуществпреимуществ, , затратзатрат

ии

рисковрисковсосредоточенососредоточено

нанаСоединенииСоединении


ии

ИТИТ


путемпутем

преобразованияпреобразования



вв

предложениепредложение

конкретныхконкретных


ии

разработкеразработке

стратегийстратегий

оказанияоказания

этихэтих


прозрачнымпрозрачным

ии

эффективнымэффективным

образомобразомдостигаетсядостигается

сс

помощьюпомощьюСовместнойСовместной

работыработы

сс


ии

высшимвысшим

руководствомруководством

попо

совмещениюсовмещению


планированияпланирования

ИТИТ

сс

текущимитекущими

ии

будущимибудущими

потребностямипотребностями

организацииорганизацииПониманияПонимания

текущихтекущих

возможностейвозможностей

ИТИТВыработкиВыработки

схемысхемы

приоритетовприоритетов


целейцелей, , которыекоторые

охарактеризуетохарактеризует

количественноколичественно


требованиятребованияРезультатыРезультаты

оцениваютсяоцениваются

сс

помощьюпомощью

следующихследующих

показателейпоказателей

ДоляДоля


ИТИТ

вв

стратегическомстратегическом

планеплане

ИТИТ, , поддерживающихподдерживающих

стратегическийстратегический

бизнесбизнес--планпланДоляДоля

проектовпроектов

ИТИТ

вв

портфелепортфеле

ИТИТ--проектовпроектов, , которыекоторые

отраженыотражены

вв

тактическихтактических

планахпланах

ИТИТВремяВремя

задержкизадержки


обновлениемобновлением



ИТИТ

ии


плановпланов

ИТИТ

Соотв

етстви

е

страте

гииПолезность

Оценка


Управлениерисками



ИТИТ


ресурсами

РезультативностьЭффективностьКонфиденциальностьЦелостностьДоступностьСоответствие

требованиямДостоверность

ИТИТ

процесспроцесс

ЦелиЦели

ИТИТ

ЦелиЦели


ЦелиЦелидействийдействий


ПВ

ПриложенияИнформацияИнфраструктураПерсонал

++++

КритерииКритерии

информацииинформации

ИТИТ


ОбластиОбласти

КорпоративногоКорпоративного


ИТИТ

28


ИТ



плана

развития

ИТ


ИТ



плана

развития

ИТЦелиЦели

контроляконтроляPO 1.1. PO 1.1. УправлениеУправление

пользойпользой

отот

ИТИТPO 1.2.PO 1.2.

ОбеспечениеОбеспечение

соответствиясоответствия



ии

ИТИТPO 1.3.PO 1.3.


текущихтекущих

возможностейвозможностей

ии

эффективностиэффективностиPO 1.4.PO 1.4.

СтратегическийСтратегический

планплан

ИТИТ««РазработатьРазработать

стратегическийстратегический

планплан, , вв

которомкотором

будетбудет

определеноопределено

…»…»

PO 1.5.PO 1.5.

ТактическийТактический

планплан

ИТИТ««СоздатьСоздать

портфельпортфель


плановпланов, , которыекоторые

будутбудут

вытекатьвытекать

изиз



…»…»

PO 1.6.PO 1.6.

УправлениеУправление

ИТИТ

портфелемпортфелем

ИЗ Входящая

информацияPO5 Отчеты

о

затратах

и

выгодахОценка

рисковОбновленный

портфель

ИТ

проектовНовые/обновленные


к

услугам;

обновленный

портфель

ИТ

услуг

Корпоративная

стратегия

и

приоритеты

Портфель

инвестиционных

программ

Результаты

оценки


Корпоративные

директивы

для

ИТ

*

DS1

PO9PO10

*

ME1

ME4

РезультатСтратегический

план

ИТТактические

планы

ИТПортфель

ИТ

проектовПортфель

ИТ

услугСтратегия

аутсорсинга

ИТСтратегия

приобретений

в

сфере

ИТ

PO2..PO6, PO8, PO9, AI1, DS1PO2..PO6, PO9, AI1, DS1

PO5, PO6, PO10, AI6PO5, PO6, PO9, DS1

DS2AI5

В

процессы

ВходыВходы

ИТИТ

процессапроцессаРезультатыРезультатыИТИТ


ДетальныеДетальные

целицели


29


ИТ



плана

развития

ИТ


ИТ



плана

развития

ИТ


взаимосвязь

бизнес

целей

и

ИТ

целейОпределить

критические

зависимости

и

текущую

эффективность

Разработать

стратегический

план

ИТ


тактические

планы

ИТ

Провести

анализ

портфеля

инвестиционных

программ

и

управлять

портфелем

проектов

иуслуг

ИТ

Презид

ент

Фин

ансовы

йди

ректор

Высш

ееруково

дство

Директор

поИТ

Вла

делецби

знес

проц

есса

Руково

дитель

эксплуатации

систем

Главны

йархитектор

ИТсистем

Руково

дитель

разработок

ПО Руково

дитель

админ

истрации

ИТРу

ково

дитель

проектно

гооф

иса

Специ

алисты

поауди

ту,

рискам

ибезопасности

К И У/О О К

К К О У/О К К К К К К

У К К О И К К К К И К

К И У К К К К К О И

К И И У О О К О К К И

ДействияДействия

Долж

ности

Долж

ности

ВВ

таблицетаблице

ОУКИОУКИ

показанопоказано

ктокто

являетсяявляется

ОО

––

ОтветственнымОтветственным

УУ

––

УтверждающимУтверждающим//ПодотчетнымПодотчетным

КК

––

КонсультирующимКонсультирующим

ИИ

––

ИнформированнымИнформированным

30

Цели и показатели ИТЦели и показатели ИТ

ЦелиЦели

ии


определеныопределены

нана

3 3 уровняхуровнях::ЦелиЦели

ии


ИТИТ

ЦелиЦели

ии


ИТИТ

процессапроцессаЦелиЦели

ии



ИТИТ


СтандартСтандарт

определяетопределяет

двадва

типатипа

показателейпоказателей::ПоказателиПоказатели




31

Цели

и

метрики

ИТ

процессов Взаимодействие

целей

(DS5)

Цели

и

метрики

ИТ

процессов Взаимодействие

целей

(DS5)

ОбеспечитьОбеспечить корпоративнуюкорпоративную

репутациюрепутацию

ии лидерстволидерство

ОбеспечитьОбеспечить защитузащиту

ии восстановлениевосстановление

ИТИТ


отот

атакатак

ОбнаружитьОбнаружить

ии предотвратитьпредотвратить несанкционинесанкциони--

рованныйрованный

доступдоступ


цельцель ЦельЦель

ИТИТ ЦельЦель

ИТИТ


ОбеспечитьОбеспечить защитузащиту

ии восстановлениевосстановление

ИТИТ


отот

атакатак


ии предотвратитьпредотвратить несанкционинесанкциони--



ОпределитьОпределить уязвимостиуязвимости

ииугрозыугрозы

ИБИБ

ЦелиЦели

ИТИТ ЦелиЦели

ИТИТ

процессапроцесса ЦелиЦели

действиядействия

32

Цели

и

метрики

ИТ

процессов Показатели

результативности

(DS5)

Цели

и

метрики

ИТ


результативности

(DS5)

ОбеспечитьОбеспечить

корпоративнуюкорпоративную


ии

лидерстволидерство


цельцель

ПоказательПоказатель


ЧислоЧисло

инцидентовинцидентов,,

вызывающихвызывающих

публичныепубличные

проблемыпроблемы


защитузащиту

ии

восстановлениевосстановление

ИТИТ


отот

атакатак

ЦельЦель

ИТИТ




ИТИТ

инцидентовинцидентов, , сс

последствиямипоследствиями

длядля



ии

пресечьпресечь

несанкционинесанкциони--



ЦельЦель

ИТИТ





инцидентовинцидентов

связанныхсвязанных

сс

получениемполучением

несанкционированнесанкционирован--

ногоного

доступадоступа

ОпределитьОпределить

уязвимостиуязвимости

ии

угрозыугрозы

ИБИБ

ЦельЦель




РегулярностьРегулярность

мониторингамониторинга



33

Цели

и

метрики

ИТ



(DS5)

Цели

и

метрики

ИТ



(DS5)




ии



цельцель



ии


ИТИТ


отот

атакатак

ЦельЦель

ИТИТ




ИТИТ

инцидентовинцидентов, , сс


длядля



ии


несанкционинесанкциони--



ЦельЦель






связанныхсвязанных

сс

получениемполучением

несанкционированнесанкционирован--

ногоного

доступадоступаПоказательПоказатель






способствуетспособствует способствуетспособствует способствуетспособствует

34

Цели

и

метрики

ИТ

процессов Взаимосвязь

между

процессами, целями

и

показателями

(DS5)

Цели

и

метрики

ИТ

процессов Взаимосвязь

между

процессами, целями

и

показателями

(DS5)ОпределитьОпределить

целицели

ОценитьОценить

эффективностьэффективность

Усов

ершенство

вать

Усов

ершенство

вать

Оценить

Оценить

результатырезультаты




ии




ии


ИТИТ


отот

атакатак


ии


несанкционированныйнесанкционированный



уязвимостиуязвимости

ии

угрозыугрозы

ИБИБ


инцидентовинцидентов,,ВызывающихВызывающих

публичныепубличные

проблемыпроблемы


ИТИТ


сс


длядля



инцидентовинцидентовсс

несанкционированнымнесанкционированным

доступомдоступом






цельцель ЦельЦель

ИТИТ ЦельЦель

процессапроцесса ЦельЦель


ИзмеряетсяИзмеряется

черезчерез ИзмеряетсяИзмеряется



черезчерез





Бизнес

показатель



ИТ

показатель





Показатель

процесса



35


ИТ



плана

развития

ИТ


ИТ



плана

развития

ИТ


соответствие

требованиям

корпоративной

стратегии

Процент

одобренных

руководством

стратегических

инициатив

к

общему

числу

предложенных

инициатив


стратегию

оказания

услуг

Процент

целей

ИТ

в

стратегии

ИТ, которые

поддерживают

реализацию

корпоративной

стратегии

ИТ

Цел

и

Совместная

работа

с

бизнес

руководством

по

совмещению


планирования

ИТ

и

текущих

и

будущих

потребностей

организации

Процесс Действие

Временная

задержка

между

обновлениями

стратегических/тактич

еских

бизнес

планов

и

стратегических

и

тактических

планов

ИТ

Показател

и

устанавл

иваю

тустанавл

иваю

т

устанавл

иваю

тустанавл

иваю

т

Способствуют



СпособствуютИзмеряютсяИзмеряются ИзмеряютсяИзмеряются

ИзмеряютсяИзмеряются

36

Модели

зрелости

ИТ

процессов

CobiTМодели

зрелости

ИТ

процессов

CobiT

ИспользуяИспользуя

моделимодели


можноможно

определитьопределить::ТекущуюТекущую

эффективностьэффективность

организацииорганизации

((гдегде

организацияорганизация

находитсянаходится

сейчассейчас))ТекущееТекущее

положениеположение

делдел

вв

отраслиотрасли

((сравнениесравнение))

КорпоративныеКорпоративные

целицели

попо

совершенствованиюсовершенствованию

((гдегде организацияорганизация

желалажелала

быбы

находитсянаходится))

ТребуемыеТребуемые

мерымеры

попо

совершенствованиюсовершенствованию

отот состояниясостояния

««каккак

естьесть»»

кк

««каккак

должнодолжно

бытьбыть»»

37

Основы

моделей

зрелости

ИТ

процессовОсновы

моделей

зрелости

ИТ

процессов



ИТИТ


основаныоснованы

нана атрибутахатрибутах

зрелостизрелости::

ОсведомленностьОсведомленность

ии

информированностьинформированностьПолитикиПолитики, , планыпланы

ии


ИнструментарииИнструментарии

ии


автоматизацииавтоматизации процессапроцесса

НавыкиНавыки

ии

компетенциякомпетенцияОтветственностьОтветственность

ии

подотчетностьподотчетность

ПостановкаПостановка


ии


ихих


38

Модели

зрелости

ИТ

процессов

CobiTМодели

зрелости

ИТ

процессов

CobiT

ОписанияОписания

уровнейуровней::0 0 ПроцессПроцесс


нене

существуетсуществует1 1 ПроцессПроцесс

используетсяиспользуется

разоворазово

илиили

вв

отдельныхотдельных

случаяхслучаях

ии

нене

организованорганизован2 2 ПроцессПроцесс

повторяетсяповторяется

попо

образцуобразцу3 3 ПроцессПроцесс

документальнодокументально

оформленоформлен

ии

доведендоведен

додо

сведениясведения

участвующихучаствующих

сторонсторон4 4 ВедётсяВедётся

мониторингмониторинг


вв

измеряемыхизмеряемых

показателяхпоказателях

5 5 ЛучшиеЛучшие


внедренывнедрены

ии

автоматизированыавтоматизированы

Требования

международных

стандартов

Лучшая

практика

в

данной

индустрии

Используемые

символы:

Текущий

статус

компании

Цель

компании

Несуществующий

Начальный

Повторяющийся

Определенный

Управляемый

и

измеряемый

Оптимизированный

|0

|1

|2

|3

|4

|5

39

Пример

модели

зрелости

ИТ

процесса. DS8. Управление

службой


поддержки

и

инцидентами

Пример

модели

зрелости

ИТ


службой


поддержки

и


0. 0. НесуществующийНесуществующийУправлениеУправление

инцидентамиинцидентами

полностьюполностью

отсутствуетотсутствуетОтсутствуютОтсутствуют


поддержкиподдержки


инцидентамиинцидентамиВВ


нене

осознанаосознана

необходимостьнеобходимость


пользователейпользователей1. 1. НачальныйНачальный//ПовторяющийсяПовторяющийся

эпизодическиэпизодически

ии

бессистемнобессистемноОрганизацияОрганизация

осозналаосознала


вв

процессепроцессе, , поддерживаемыйподдерживаемый

средствамисредствами

ии

персоналомперсоналомСтандартизованныйСтандартизованный


отсутствуетотсутствуетРуководствоРуководство

нене

осуществляетосуществляет

текущийтекущий


заза

проблемамипроблемами


ии

связаннымисвязанными

сс

ниминими

тенденциямитенденциямиНеНе

разработанразработан


разрешенияразрешения


ии

эскалацииэскалации

нана

следующийследующий

уровеньуровень2. 2. ПовторяющийсяПовторяющийся

ноно

интуитивныйинтуитивныйОсознанаОсознана


созданиясоздания

службыслужбы


пользователейпользователейПомощьПомощь

пользователямпользователям

предоставляетсяпредоставляется

нана

неформализованнойнеформализованной

основеоснове

сотрудникамисотрудниками, , обладающимиобладающими

необходимыминеобходимыми

знаниямизнаниямиИспользуютсяИспользуются

инструментальныйинструментальный

средствасредстваНетНет

формальногоформального

обученияобучения

сотрудниковсотрудников


вв

разрешенииразрешении

инцидентовинцидентовОтсутствуютОтсутствуют

стандартныестандартные

утвержденныеутвержденные



40

Пример

модели

зрелости

ИТ


службой


поддержки

и


Пример

модели

зрелости

ИТ


службой


поддержки

и


3. 3. ОпределенныйОпределенныйОсознанаОсознана





пользователейпользователейПроцедурыПроцедуры

оформленыоформлены

ии

утвержденыутвержденыВыполняетсяВыполняется

обучениеобучение

специалистовспециалистов


вв

разрешенииразрешении

инцидентовинцидентовСуществуетСуществует

базабаза

данныхданных

часточасто

задаваемыхзадаваемых

вопросоввопросов

ии

методовметодов

разрешенияразрешенияКонтрольКонтроль


ведетсяведется

вв

отдельныхотдельных

случаяхслучаях, , нетнет

формализованнойформализованной


отчетностиотчетностиНекоторыеНекоторые

характеристикихарактеристики


нене

фиксируютсяфиксируютсяПользователиПользователи

имеютимеют

четкиечеткие

инструкцииинструкции4. 4. УправляемыйУправляемый

ии

измеряемыйизмеряемыйНаНа

всехвсех

уровняхуровнях


имеетсяимеется

полноеполное

пониманиепонимание

выгодвыгод

отот




пользователейпользователейСуществуетСуществует

службаслужба


пользователейпользователейИнструментальныеИнструментальные

методыметоды

ии


автоматизированыавтоматизированыЦентрализацияЦентрализация

базовыхбазовых

знанийзнаний

попо

инцидентаминцидентам

ии

возникающимвозникающим

проблемампроблемам

пользователейпользователейПодготовленПодготовлен

ии

обученобучен

персоналперсоналРуководствоРуководство

разрабатываетразрабатывает


длядля







41


к

формализации

ИТ

процессов Уровень

зрелости

«3.Определенный»


к

формализации

ИТ

процессов Уровень

зрелости

«3.Определенный»

ПолитикиПолитики, , стандартыстандарты

ии

процедурыпроцедуры: : ПроцессыПроцессы, , политикиполитики

ии



ии

документированыдокументированы

длядля

всехвсех

ключевыхключевых

деятельностейдеятельностей

вв

процессахпроцессах..ИнструментарийИнструментарий

ии


автоматизацииавтоматизации//формализацииформализации

процессапроцесса: : РазработанаРазработана

документациядокументация

попо

использованиюиспользованию

ии

стандартизациистандартизации

средствсредств

автоматизацииавтоматизации

процессапроцессаНавыкиНавыки

ии

квалификацияквалификация: :

ТребованияТребования

кк

квалификациямквалификациям



ии документированыдокументированы

длядля

всехвсех

ключевыхключевых

областейобластей

деятельностидеятельности. .

РазработанРазработан

планплан


персоналаперсонала..ОтветственностьОтветственность

ии

подотчетностьподотчетность: :

РолиРоли

вв

ИТИТ

процессахпроцессах


ии

документированыдокументированы..ПостановкаПостановка


ии

измеренийизмерений: :

ЦелиЦели

ии

метрикиметрики

измеренияизмерения



ии документированыдокументированы

42

Пример

формализованного

ИТ

процесса DS8 Управление

службой

поддержки

пользователей

и


Пример


ИТ


службой

поддержки


и


ВыходыВыходы//результатырезультаты

ИТИТ

процессапроцесса::СтандартнаяСтандартная

формаформа

запросовзапросов

нана

измененияизменения//запросызапросы

нана

сервиссервис

(Requests for (Requests for change)change)СтатистическиеСтатистические

отчетыотчеты

обоб

инцидентахинцидентах

произошедшихпроизошедших

заза

периодпериод, , классифицированныхклассифицированных

попо

типамтипам, , критичностикритичностиОтчетаОтчета

обоб




поддержиподдержи

пользователейпользователейОтчетОтчет

оо

удовлетворенностиудовлетворенности


(User satisfaction reports)(User satisfaction reports)ВходыВходы

процессапроцесса::

ДокументацияДокументация

пользователяпользователя, , эксплуатационныеэксплуатационные

ии

техническиетехнические

материалыматериалы, , руководстваруководства

администрированияадминистрированияРеестрРеестр

объектовобъектов

конфигурацииконфигурации

(Configuration Items register)(Configuration Items register)СоглашенияСоглашения

обоб

уровняхуровнях

обслуживанияобслуживания

((SLA) SLA) ии

СоглашенияСоглашения

операционногооперационного

обслуживанияобслуживания

((OLAOLA))ТребованияТребования

оо

предельнопредельно

допустимыхдопустимых

сроковсроков

ликвидацииликвидации


ии

аварийныхаварийных

ситуацийситуацийОпределенияОпределения


информационнойинформационной

безопасностибезопасностиЧастоЧасто

задаваемыезадаваемые

вопросывопросы

((FAQFAQ), ), списоксписок

известныхизвестных

проблемпроблем

ии

методыметоды

решениярешения

длядля





43

Пример


ИТ


службой

поддержки


и


Пример


ИТ


службой

поддержки


и


ПолитикиПолитики, , стандартыстандарты

ии

процедурыпроцедуры::ПоложениеПоложение

оо

единойединой

СлужбеСлужбе


пользователейпользователейПолитикаПолитика


инцидентамиинцидентами

ии

проблемампроблемамКаталогКаталог

ИТИТ

сервисовсервисовПроцедурыПроцедуры

эскалацииэскалации


ии

проблемпроблемЧекЧек--листлист

второговторого

уровняуровня

поддержкиподдержкиРеестрРеестр


предоставляемыхпредоставляемых

внешнимивнешними

компаниямикомпаниями, , ключевыеключевые

контактыконтактыИнструментарийИнструментарий

ии


автоматизацииавтоматизации//формализацииформализации

процессапроцесса::РегламентРегламент

примененияприменения

автоматизированнойавтоматизированной



инцидентамиинцидентамиРуководствоРуководство

пользователяпользователя

вв

случаяхслучаях

проблемпроблем

ии

ошибокошибокНавыкиНавыки

ии

квалификацияквалификация::СписокСписок

требуемыхтребуемых

навыковнавыков

ии

знанийзнаний

длядля


СлужбыСлужбы


пользователейпользователейПланПлан





пользователейпользователейОбучающиеОбучающие

материалыматериалы

длядля




пользователейпользователейОтветственностьОтветственность

ии

подотчетностьподотчетность::УтвержденноеУтвержденное

распределениераспределение

ролейролей

ии

ответственностейответственностей

вв

процессепроцессеДолжностныеДолжностные

обязанностиобязанности



поддержиподдержи

пользователейпользователейПостановкаПостановка


ии

измеренийизмерений::КартаКарта

показателейпоказателей

измеренияизмерения


службойслужбой



44

Метод

расчета

уровня

зрелости

ИТ процесса

Метод

расчета

уровня

зрелости


ОписаниеОписание



каждогокаждого уровняуровня

разбиваетсяразбивается

нана

отдельныеотдельные непротиворечивыенепротиворечивые

утвержденияутверждения..ПротивПротив

каждогокаждого

утвержденияутверждения устанавливаетсяустанавливается

мнениемнение::ПолностьюПолностью

нене

согласнысогласны

((весвес

0)0)ОтчастиОтчасти


((весвес

0.33)0.33)ВВ

основномосновном


((весвес

0.66)0.66)ПолностьюПолностью


((весвес

1)1)СуммированиеСуммирование

весоввесов

попо

каждомукаждому уровнюуровню



ии получениеполучение

среднегосреднего

значениязначенияНормализацияНормализация

векторавектора

среднихсредних значенийзначений

уровнейуровней

зрелостизрелостиРасчетРасчет



45

Метод

расчета

уровня

зрелости


Метод

расчета

уровня

зрелости


46

Пример

оценки

уровней

зрелости

ИТ процессов

по

CobiT

Пример

оценки

уровней

зрелости

ИТ процессов

по

CobiT

47


ИТ

процессовПредставление

ИТ

процессов

ОписаниеОписание

процессапроцесса ««чточто»»

владельцывладельцы


должныдолжны

делатьделать

ЦелиЦели

контроляконтроля СоставляющаяСоставляющая

задачазадача

ИТИТ


сс

акцентомакцентом

нана контрольконтроль

««ВходыВходы»»

процессапроцесса ««чточто»»

участникиучастники



получитьполучить

отот другихдругих


««РезультатыРезультаты»» процессапроцесса««чточто»»

владельцывладельцы



предоставитьпредоставить

другимдругим

процессампроцессамЦелиЦели

ии


процессапроцесса ««каккак»»

оцениватьоценивать


RACI RACI диаграммадиаграмма ««чточто»»

ии

««комукому»»

делегироватьделегировать, , ктокто

отвечаетотвечает, , ктокто информируетсяинформируется, , сс

кемкем

выполняетсявыполняется

согласованиесогласование


зрелостизрелости показываютпоказывают

««каккак»»


можетможет

бытьбыть

улучшенулучшен

48


ИТ

на

базе

CobiTУправление

ИТ

на

базе

CobiT


взаимосвязьвзаимосвязь


ии

ИТИТ

целейцелейИспользоватьИспользовать

целицели


ИТИТ


длядля

внедрениявнедрения

соответствующихсоответствующих

процедурпроцедур

ии


процессапроцессаОбеспечитьОбеспечить

вовлеченностьвовлеченность

ии

ответственностьответственность

высшеговысшего

руководстваруководства

ии

бизнесбизнес--менеджментаменеджмента

вв

вопросахвопросах

управленияуправления ИТИТ

ВнедритьВнедрить

процессныйпроцессный

подходподход

кк

управлениюуправлению

ИТИТ::входывходырезультатырезультатыответственностиответственностизадачизадачиресурсыресурсы




ИТИТОбеспечитьОбеспечить

отчетностьотчетность

49

Самостоятельное

использование

CobiTСамостоятельное

использование

CobiT

СопоставьтеСопоставьте

целицели


ии

целицели

ИТИТПостройтеПостройте

модельмодель

ИТИТ

процессовпроцессов, , задачизадачи

ИТИТ

процессовпроцессов, , ролироли

ии

ответственностиответственности, , ««входывходы»»

ии ««результатырезультаты»»

ИТИТ


ОценитеОцените

выполнениевыполнение



ИТИТ

процессовпроцессовОценитьОценить

зрелостьзрелость

ИТИТ


ОпределитеОпределите

целицели

ии


ИТИТ, , ИТИТ


ии ихих


50

Внедрение

CobiT Книга

«IT Governance implementation Guide using

CobiT

and ValIT»

Внедрение

CobiT Книга

«IT Governance implementation Guide using

CobiT

and ValIT»

ОзнакомительныйОзнакомительный

тренингтренинг

длядля


ии

детальныйдетальный

тренингтренинг

длядля

ответственныхответственных

заза

внедрениевнедрениеПервичнаяПервичная

диагностикадиагностика

текущеготекущего

состояниясостоянияОпределениеОпределение

приоритетовприоритетов

ии

ограниченийограниченийРазработкаРазработка


внедрениявнедренияРаспоряжениеРаспоряжение

оо

началеначале

внедрениявнедренияПроцессПроцесс

внедрениявнедренияПодготовкаПодготовка

отчетаотчета

оо

результатахрезультатах

ии

мониторингмониторинг

НеобходимыеНеобходимые

предпосылкипредпосылки::ИнициативаИнициатива

менеджментаменеджментаУчастиеУчастие


подразделенийподразделений

ии


спонсораспонсораСогласованиеСогласование

действийдействий

сс

отделомотделом

ИТИТУчетУчет

внешнихвнешних

ии

внутреннихвнутренних


51

Аудит

ИТ

с

использованием

CobiT Книга

«IT Assurance Guide using CobiT»

Аудит

ИТ

с

использованием

CobiT Книга

«IT Assurance Guide using CobiT»


попо

ИТИТ

аудитуаудиту

сс использованиеиспользование

CobiTCobiT””

включаетвключаетКонцепцииКонцепции


рисковрисковОценкаОценка



ии

ценностейценностейПланированиеПланирование

аудитааудита

ии

рамкирамки

проектапроектаОценкаОценка

ии

тестированиетестирование

контролейконтролейЗрелостьЗрелость

контролейконтролей

ии


((самооценкасамооценка))ОбоснованиеОбоснование


ии

отчетностьотчетностьРуководствоРуководство

содержитсодержит::Value driversValue driversRisk drivers Risk drivers Test the control objective Test the control objective Test outcome of the control Test outcome of the control objectiveobjective

52

The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such

information without appropriate professional advice after a thorough examination of the particular situation.

БорисБорис

ЛьвовЛьвов, , CISACISAПартнерПартнер

BLvovBLvov@@kpmg.rukpmg.ru

©

2008 ZAO KPMG, a company incorporated under the Laws of the Russian Federation and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in Russia.

АндрейАндрей

ДроздовДроздов, , CISA, CISMCISA, CISMСтаршийСтарший

менеджерменеджер

[email protected]@kpmg.ru

ДенисДенис

ВолковВолков, , CISACISAСтаршийСтарший

консультантконсультант

DVolkovDVolkov@@kpmg.rukpmg.ru

+7 (495) 937 4477+7 (495) 937 4477www.kpmg.ruwww.kpmg.ru

2 презентация kpmg cobit

Documents

Transcript of 2 презентация kpmg cobit