2 презентация kpmg cobit
-
Upload
evgeny-lunev -
Category
Documents
-
view
225 -
download
4
description
Transcript of 2 презентация kpmg cobit
Денис
Волков, CISA
Андрей
Дроздов, CISA, CISM
KPMG
26 ноября
2008
Денис
Волков, CISA
Андрей
Дроздов, CISA, CISM
KPMG
26 ноября
2008
GLOBAL SERVICE/ INDUSTRY
IT Advisory
УправлениеУправление
ИТИТ
нана
основеоснове CobiTCobiT
2
Что
такое
CobiT?Что
такое
CobiT?
CobiTCobiT
((ЦелиЦели
контроляконтроля
длядля информационныхинформационных
ии
смежныхсмежных
технологийтехнологий) ) являетсяявляется методологиейметодологией
корпоративногокорпоративного
управленияуправления
ИТИТРазработанРазработан
МеждународнойМеждународной
ассоциациейассоциацией
аудитааудита
ии
контроляконтроля заза
информационнымиинформационными
системамисистемами
(ISACA)(ISACA)CobiTCobiT
характеризуетсяхарактеризуется
ориентацияориентация
нана
бизнесбизнес требованиятребования
процесснымпроцессным
подходомподходом
кк управлениюуправлению
ИТИТ
целямицелями
контроляконтроля
кк управлениюуправлению
ИТИТ
процессамипроцессами
оценкаоценка
эффективностиэффективности
ИТИТ
3
Предыстория
CobiTПредыстория
CobiT
CobiTCobiT
ии
сопутствующиесопутствующие
продуктыпродукты
обеспечиваютобеспечивают методологиюметодологию
управленияуправления
ИТИТ
длядля
многихмногих
предприятийпредприятий
ии
государственныхгосударственных
учрежденийучреждений
попо
всемувсему
мирумиру1992 1992 ––
перваяпервая
версияверсия
стандартастандарта
2000 2000 ––
выпусквыпуск
CobiTCobiT®®
3.0 (3.0 (включаявключая
ManagementManagement
guidelinesguidelines))2003 2003 ––
созданиесоздание
CobiTCobiT®®
3.1 3.1 OnlineOnline
2005 2005 ––
созданиесоздание
CobitCobit®®
4.04.02007 2007 ––
созданиесоздание
CobiTCobiT
®®
4.14.1
2008 2008 ––
изданиеиздание
официальнойофициальной
русскойрусской
версииверсии
CobiTCobiT
4.14.1www.isacawww.isaca--russia.rurussia.ru
ии
www.ozon.ruwww.ozon.ru
CobiTCobiT
используетсяиспользуется
вв
компанияхкомпаниях
S.W.I.F.T., S.W.I.F.T., CedelCedel
GroupGroup, , МинистерствоМинистерство
обороныобороны
СШАСША, , DaimlerChryslerDaimlerChrysler, , RoyalRoyal
PhilipsPhilips
ElectronicsElectronics, ,
4
Стандарты
и
рекомендации, лежащие
в основе
CobiT
Стандарты
и
рекомендации, лежащие
в основе
CobiT
CobiTCobiT
сталстал
интегратороминтегратором
передовойпередовой
ИТИТ
практикипрактики
ии
основойосновой длядля
корпоративногокорпоративного
ИТИТ
управленияуправления
((соответствуетсоответствует
ITIL, ISO ITIL, ISO
17799, PMBOK, PRINCE2)17799, PMBOK, PRINCE2)ТехническиеТехнические
стандартыстандарты
((ISOISO))
НормыНормы
корпоративногокорпоративного
управленияуправления, , установленныеустановленные организациямиорганизациями
ЕвропейскойЕвропейской
КомиссияКомиссия, ISACA, ISACA
СтандартыСтандарты
качествакачества
информационныхинформационных
технологийтехнологий
ии процессовпроцессов
ITSEC, TCSEC, ISO 9000, SPICE, TICKIT, Common CriteriaITSEC, TCSEC, ISO 9000, SPICE, TICKIT, Common CriteriaПрофессиональныеПрофессиональные
стандартыстандарты
внутреннеговнутреннего
контроляконтроля
ии
аудитааудитаCOSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAOCOSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO
ИндустриальныеИндустриальные
стандартыстандарты
ии
международныемеждународные
практикипрактики построенияпостроения
ИТИТ
((NIST,NIST,
BS7799)BS7799)
ТребованияТребования
кк
активноактивно
развивающимсяразвивающимся
отраслямотраслям
5
Что
покрывает
CobiT?Что
покрывает
CobiT?
Эффективность: Цели
Бизнеса
СоответствиеТребованиям:
Basel II, SOX,
…
Корпоративное
управление
Корпоративное
управление
ИТ
ISO 9001:2000
ISO 17799
ISO 20000Стандарты
лучших
практик
QAПроцедуры контроля
качества
Процессы
и
процедуры
Стимулы
CobiT
COSO
Безопасность ITIL
Система
Сбалансированных
показателей
6
COBIT и
другие
стандарты
в
области
ИТCOBIT и
другие
стандарты
в
области
ИТ
Организации
используют
различные
модели
управления
ИТ, стандарты
и лучшие
практики. Данный
слайд
демонстрирует
возможное
совместное использование
различных
стандартов, при
этом
COBIT выступает
в
качестве консолидирующего
(‘зонтичного’) стандарта.
COBIT
ISO 9000
ISO 17799
ITIL
COSO
ЧТО КАК
ОБЛАСТЬ
ПРИМЕНЕНИЯ
7
CobiT: Достоинства
и
ограниченияCobiT: Достоинства
и
ограничения
ДостоинстваДостоинства
CCobiobiT:T:ОриентацияОриентация
нана
высшеевысшее
руководстворуководство
ии
соответствиесоответствие
требованиямтребованиям
бизнесабизнесаСоответствуетСоответствует
основнымосновным
международныммеждународным
стандартамстандартам
вв
областиобласти
ИТИТ
((такимитакими
каккак
ITIL, ISO 17799, PMBOK, PRINCE2)ITIL, ISO 17799, PMBOK, PRINCE2)ПонятноеПонятное
длядля
менеджментаменеджмента
видениевидение
деятельностидеятельности
ИТИТОпределениеОпределение
четкогочеткого
владениявладения
ИТИТ
процессамипроцессами
ии
распределенияраспределения
ответственностиответственностиПодкрепленПодкреплен
инструментариямиинструментариями
ии
учебнымиучебными
курсамикурсамиОбщедоступенОбщедоступенВыполнениеВыполнение
требованийтребований
COSO COSO кк
контролюконтролю
вв
сфересфере
ИТИТ
ОграниченияОграничения
припри
использованиииспользовании
CobiTCobiT::ДокументДокумент
высокоговысокого
уровняуровня, , припри
внедрениивнедрении
требуеттребует
использованияиспользования
специфичныхспецифичных
стандартовстандартовПредставляетПредставляет
собойсобой
руководстворуководство, , аа
нене
готовоеготовое
решениерешениеТребуетТребует
кастомизациикастомизации
сс
учетомучетом
бизнесбизнес
целейцелей
компаниикомпании, , рисковрисков
ии
организацииорганизации, , проектовпроектов
ии
инфраструктурыинфраструктуры
ИТИТ
8
Целевая
аудитория
CobiTЦелевая
аудитория
CobiT
ВысшемуВысшему
руководствуруководствуДляДля
контроляконтроля
отдачиотдачи
отот
инвестицийинвестиций
вв
ИТИТ, , уравновешиванияуравновешивания
рисковрисков
ии
управленияуправления
инвестициямиинвестициями
вв
непредсказуемойнепредсказуемой
сфересфере ИТИТ
БизнесБизнес--менеджментуменеджменту
организацииорганизацииДляДля
уверенностиуверенности
вв
надлежащемнадлежащем
управленииуправлении
ии
контролеконтроле
наднад
ИТИТ
сервисамисервисамиИТИТ
менеджментуменеджментуДляДля
оказанияоказания
ИТИТ
услугуслуг, , требуемыхтребуемых
бизнесомбизнесом
ии
реализацииреализации
корпоративнойкорпоративной
стратегиистратегии
вв
контролируемыхконтролируемых
ии
управляемыхуправляемых условияхусловиях
АудиторамАудиторамДляДля
обоснованияобоснования
собственныхсобственных
заключенийзаключений
ии//илиили
консультированияконсультирования
менеджментаменеджмента
попо
вопросамвопросам
внутреннеговнутреннего контроляконтроля
9
Публикации
CobiTПубликации
CobiT
Как
исполнять
свои
обязанности?
Как оценивается эффективность ИТ?Как сравнить ИТ с другими компаниями?
Что совершенствовать в ИТ?
ВысшееВысшее
руководстворуководство
ии
СоветСовет
директоровдиректоров
БизнесБизнес
ии
ИТИТ
менеджментменеджмент
КакКак
использоватьиспользовать
методологиюметодологию
управленияуправления
ИТИТ??
КакКак
внедритьвнедрить
ееее
вв
КомпанииКомпании??
КакКак
выполнятьвыполнять
аудитаудит
ИТИТ??
СовещаниеСовещание
попо
вопросамвопросам
упраленияупраления
ИТИТ, , 22--ее
изданиеиздание
РуководстваРуководства
попо
управлениюуправлениюМоделиМодели
зрелостизрелости
СпециалистыСпециалисты
попо
аудитуаудиту, , информационнойинформационной
безопасностибезопасности, , сертификациисертификации, , контролюконтролю
--
МетодологииМетодологии
CobiTCobiT
ии
Val ITVal IT--
ЦелиЦели
контроляконтроля--
ОсновныеОсновные
практикипрактики
управленияуправления
РуководствоРуководство
попо
внедрениювнедрению
корпоративногокорпоративного
УправленияУправления
ИТИТ
ОсновныеОсновные
контрольныеконтрольные
практикипрактики
РуководствоРуководство
попо
аудитуаудиту
вв
сфересфере
ИТИТ
Специальные
издания
и
продукты:•
Цели
контроля
для
соответствия
закону
Сарбейнса-Окслей, 2-
е издание•
CobiT
Security
Baseline™•
Корпоративное
управление
информационной
безопасностью: руководство
для
совета
директоров
и
менеджмента•
CobiT
QuickStart™•
CobiT
online
10
Взаимосвязи
компонентов
CobiTВзаимосвязи
компонентов
CobiT
ЦелиЦелибизнесабизнеса
ИТИТ
процессыпроцессы
ИТИТ
целицели
ЗадачиЗадачи
ТестыТесты
контролейконтролей
ЦелиЦеликонтроляконтроля
КонтролируютсяКонтролируются сс помощью
помощьюПодра
зделяются
Подразделя
ютсянана А
удируются
Аудирую
тсяОцениваются
Оцениваются
нана
Извлекаю
тся
Извлекаю
тся изиз
ТестыТесты
дизайнадизайна
мермер
контроляконтроляПрактикиПрактики
контроляконтроля
Аудируются
Аудируются
Внедряются
Внедряются
сс
помощью
помощью
RACI RACI диаграммыдиаграммы
ПоказателиПоказатели
эффективностиэффективности
ПоказателиПоказатели
результативностирезультативности
МоделиМодели
зрелостизрелости
Выполняются
Выполняются
эффективность
эффективность Результат
Результат
Зрелость
Зрелость
11
Основы
CobiTОсновы
CobiT
ОбеспечениеОбеспечение
взаимосвязивзаимосвязи
междумежду
ИТИТ
ии
бизнесомбизнесом
основаноосновано
нана
томтом, , чточто
ИТИТ
процессыпроцессы
ии
ресурсыресурсы
предоставляютпредоставляют
информациюинформацию
бизнесбизнес
процессампроцессам, , удовлетворяющуюудовлетворяющую
определеннымопределенным
критериямкритериям
информацииинформации, , котораякоторая
требуютсятребуются
длядля
достижениядостижения
бизнесбизнес
целейцелей. . ОбеспечитьОбеспечить
управлениеуправление
ии
контрольконтроль
ИТИТ
ресурсовресурсов
нана
основеоснове
структурированногоструктурированного
наборанабора
процессовпроцессов
длядля
предоставленияпредоставления
необходимыхнеобходимых
ИТИТ
услугуслуг
i
ИТ
Процессы
и
Ресурсы
Информацию
Бизнес- Процессов
Целей
Бизнеса
обеспечивают
для
Для
достиже-
ния
12
Основы
CobiTОсновы
CobiT
ИТИТ
процессыпроцессы
используяиспользуя
ИТИТ ресурсыресурсы
предоставляютпредоставляют
бизнесбизнес
процессампроцессам информациюинформацию
удовлетворяющуюудовлетворяющую критериямкритериям
информацииинформации
ПроцессыЗадачи
ГруппыИТ
Процессы
РезультативностьЭффективностьКонфиденциальностьЦелостностьДоступностьСоответствие
требованиямДостоверность
ИТ
Ресурсы
Приложения
Информация
Инфраструктура
Персонал
Критерии
Информации
13
Взаимосвязи
между
бизнес
и
ИТ
целямиВзаимосвязи
между
бизнес
и
ИТ
целями
CobiTCobiT
определяетопределяет
взаимосвязивзаимосвязи
междумеждубизнесбизнес
целямицелями
целямицелями
ИТИТИТИТ
процессамипроцессами
ВзаимосвязиВзаимосвязи
представленыпредставлены
вв
ПриложенииПриложении
1 1 кк стандартустандарту
CobiTCobiT
4.0 4.0 вв
видевиде
двухдвух
матрицматриц
ВзаимосвязьВзаимосвязь
бизнесбизнес
ии
ИТИТ
целейцелейВзаимосвязьВзаимосвязь
ИТИТ
целейцелей
ии
ИТИТ
процессовпроцессов
14
Взаимосвязь
бизнес
целей, ИТ
целей
и поддерживающих
ИТ
процессов
Взаимосвязь
бизнес
целей, ИТ
целей
и поддерживающих
ИТ
процессов
ЦелиЦели
бизнесабизнеса рассматриваютсярассматриваются
сс
точкиточки
зрениязрения перспективперспектив::
ФинансыФинансыКлиентыКлиентыВнутренниеВнутренние
процессыпроцессыОбучениеОбучение
ии
развитиеразвитиеКаждойКаждой
целицели
бизнесабизнеса
соответствуетсоответствует
цельцель ИТИТ, , котораякоторая
вв
своюсвою
очередьочередь подкрепляетсяподкрепляется
ИТИТ
процессамипроцессами
ОптимизацияОптимизация
затратзатрат
предоставленияпредоставления
ИТИТ
сервисовсервисов
1.
Улучшить
экономическую
целесо-
образность
ИТ
затрат
и
вклад
ИТ
в
прибыльность
бизнеса2.
Обеспечить
экономически
выгодное
приобретение
и
поддержку
ИТ
приложений
и
инфраструктуру3.
Обеспечить
экономически
выгодное
взаимодействие
со
сторонними
организациями
оказывающие
ИТ
услуги
БизнесБизнес--цельцель
ЦелиЦели
длядля
ИТИТ
1.
PO3 Определение
направления
техн. развития2.
PO5
Управление
ИТ
инвестициями3.
AI2
Приобретение
и
поддержка
приложений4.
AI3
Приобретение
и
поддержка
техн. инфр.5.
AI5
Приобретение
ИТ
ресурсов6.
DS2
Управление
услугами
сторонних
организаций7.
DS6
Определение
и
распределение
ИТ
затрат
ИТИТ
процессыпроцессы
15
CobiTCobiT
Информационные
критерии
CobiTИнформационные
критерии
CobiT
ПолезностьПолезностьЭффективностьЭффективностьКонфиденциальностьКонфиденциальностьЦелостностьЦелостностьДоступностьДоступностьСоответствиеСоответствие
требованиямтребованиям
ДостоверностьДостоверность
БизнесБизнестребованиятребования
РесурсыРесурсы
ИТИТ
ИТИТ
процессыпроцессы
ИнформацияИнформация
соответствует Направляет
инвестиции
производят используются
16
ИТ
ресурсы
CobiTИТ
ресурсы
CobiT
ПриложенияПриложенияПрикладныеПрикладные
системысистемы
ии
ручныеручные
процедурыпроцедуры
длядля
обработкиобработки
информацииинформацииИнформацияИнформация
ДанныеДанные
вв
любойлюбой
формеформе, , введенныевведенные, , обработанныеобработанные
илиили представленныепредставленные
информационнымиинформационными
системамисистемами
вв
любойлюбой
используемойиспользуемой
бизнесбизнес
процессамипроцессами
формеформеИнфраструктураИнфраструктура
ТехнологииТехнологии
ии
техническиетехнические
средствасредства
((аппаратноеаппаратное
обеспечениеобеспечение, , ОСОС, , СУБДСУБД, , сетевоесетевое
оборудованиеоборудование), ), которыекоторые
обеспечиваютобеспечивают
работработ
приложенийприложенийПерсоналПерсонал
ЛюдиЛюди
ии
ихих
квалификацииквалификации, , необходимыенеобходимые
длядля
планированияпланирования, , организацииорганизации, , приобретенияприобретения, , внедрениявнедрения, , работыработы, , обслуживанияобслуживания, , мониторингамониторинга
ии
оценкиоценки
информационныхинформационных
системсистем
ии
ИТИТ
услугуслуг..
17
ИТ
процессы
CobiTИТ
процессы
CobiT
CCobiTobiT
описываетописывает
жизненныйжизненный
циклцикл ИТИТ
сс
помощьюпомощью
4 4 группгрупп
ИТИТ
процессовпроцессов
::ПланированиеПланирование
ии
ОрганизацияОрганизация
ПриобретениеПриобретение
ии
внедрениевнедрениеЭксплуатацияЭксплуатация
ии
СопровождениеСопровождениеМониторингМониторинг
ии
ОценкаОценка
34 34 процессапроцесса
представляютпредставляют
собойсобой наборнабор
задачзадач
((действийдействий), ),
объединенныхобъединенных
естественныместественным образомобразом
ии
содержащихсодержащих
детальныедетальные
целицели
контроляконтроля..ЗадачиЗадачи
представляютпредставляют
собойсобой
действиядействия, , необходимыенеобходимые
длядля достижениядостижения
измеримыхизмеримых
результатоврезультатов..
ПланированиеПланирование
ии
ОрганизацияОрганизация
ПриобретениеПриобретение
ии
ВнедрениеВнедрениеЭксплуатацияЭксплуатация
ии
СопровождениеСопровождение
МониторингМониторинг
ии
ОценкаОценка
18
Цели
контроля
CobiTЦели
контроля
CobiT
CobiTCobiT
представляетпредставляет
собойсобой
методологиюметодологию управленияуправления
ИТИТ
процесамипроцесами
сс
акцентамиакцентами
нана
контрольконтроль
ЦелиЦели
контроляконтроля
описываютописывают
требованиятребования
попо эффективномуэффективному
контролюконтролю
наднад
каждымкаждым
ИТИТ
процессомпроцессом
ии
являютсяявляются::формулировкамиформулировками
управленческихуправленческих
действийдействий
политикамиполитиками, , процедурамипроцедурами, , практикамипрактиками
ии
организационнымиорганизационными структурамиструктурами
обеспечивающихобеспечивающих
уверенностьуверенность
вв
достижениидостижении
бизнесбизнес
целейцелей, , предотвращениипредотвращении
нежелательныхнежелательных
событийсобытий, , чьичьи
последствияпоследствия
идентифицированыидентифицированы
ии
исправленыисправлены
19
Общие
требования
к
мерам
контроля
для всех
процессов
Общие
требования
к
мерам
контроля
для всех
процессов
PCPC11
ЦелиЦели
ии
задачизадачи
процессапроцессаPCPC22
ВладениеВладение
процессомпроцессом
PC3 PC3 ПовторяемостьПовторяемость
процессапроцессаPC4 PC4 РолиРоли
ии
ответственностиответственности
PC5 PC5 ПолитикиПолитики, , планыпланы
ии процедурыпроцедуры
PC6 PC6 ПовышениеПовышение
эффективностиэффективности процессапроцесса
НормыНормыСтандартыСтандартыЦелиЦели
СравнениеСравнение
ПроцессПроцесс
ДействиеДействие
Контро
льная
Контро
льная
инфор
мац
ияин
фор
мац
ияМодель
контроля
20
ИТ
процессы
CobiT Группа
«Планирование
и
Организация»
ИТ
процессы
CobiT Группа
«Планирование
и
Организация»
ВопросыВопросы
управленияуправления::СогласованыСогласованы
лили
ИТИТ
стратегиястратегия
ии
корпоративнаякорпоративная
стратегиястратегия??КакКак
управлятьуправлять
инвестициямиинвестициями
вв
ИТИТ??ИспользуютсяИспользуются
лили
ресурсыресурсы
оптимальнооптимально??ВсеВсе
лили
понимаютпонимают
целицели
стоящиестоящие
передперед
ИТИТ??ОсознаютсяОсознаются
ии
управляютсяуправляются
лили
ИТИТ
рискириски??СоответствуетСоответствует
лили
качествокачество
системсистем
ИТИТ
потребностямпотребностям бизнесабизнеса??
ИТ
и
Бизнес
ПланированиеПланирование
ии
ОрганизацияОрганизация
PO1 PO1 ОпределениеОпределение
стратегическогостратегического
планаплана
развитияразвития
ИТИТ..PO2 PO2 ОпределениеОпределение
информационнойинформационной
архитектурыархитектуры..PO3 PO3 ОпределениеОпределение
направленийнаправлений
технологическоготехнологического
развитияразвития..PO4 PO4 ОпределениеОпределение
организационнойорганизационной
структурыструктуры
ии
взаимосвязейвзаимосвязей..PO5 PO5 УправлениеУправление
ИТИТ
инвестициямиинвестициями..PO6 PO6 ИнформированиеИнформирование
оо
целяхцелях
ии
направленияхнаправлениях
развитияразвития..PO7 PO7 УправлениеУправление
ИТИТ
персоналомперсоналом..PO8 PO8 УправлениеУправление
качествомкачеством..PO9 PO9 ОценкаОценка
ии
управлениеуправление
ИТИТ
рискамирисками..PO10 PO10 УправлениеУправление
проектамипроектами..
21
ИТ
процессы
CobiT Группа
«Приобретение
и
Внедрение»
ИТ
процессы
CobiT Группа
«Приобретение
и
Внедрение»
ВопросыВопросы
управленияуправления::ВыбираютсяВыбираются
лили
информационныеинформационные
системысистемы ии
инфраструктураинфраструктура
отвечающиеотвечающие
потребностямпотребностям бизнесабизнеса??
БудутБудут
лили
информационныеинформационные системысистемы
работатьработать
должнымдолжным
образомобразом
послепосле
внедрениявнедрения??НеНе
нанесутнанесут
лили
уронурон
внедряемыевнедряемые
измененияизменения
вв информационныхинформационных
системахсистемах? ?
ПриобретениеПриобретение
ии
ВнедрениеВнедрение
AI1 AI1 ВыборВыбор
решенийрешений
попо
автоматизацииавтоматизации..AI2 AI2 ПриобретениеПриобретение
ии
поддержкаподдержка
приложенийприложений..AI3 AI3 ПриобретениеПриобретение
ии
поддержкаподдержка
технологическойтехнологической
инфраструктурыинфраструктуры..AI4 AI4 ОбеспечениеОбеспечение
вводаввода
вв
эксплуатациюэксплуатацию..AI5 AI5 ПриобретениеПриобретение
ИТИТ
ресурсовресурсов..AI6 AI6 УправлениеУправление
изменениямиизменениями..AI7 AI7 ВнедрениеВнедрение
ии
приемкаприемка
ИТИТ
решенийрешений
ии
измененийизменений..
Новые
Проекты Организация
?
22
ИТ
процессы
CobiT Группа
«Эксплуатация
и
Поддержка»
ИТ
процессы
CobiT Группа
«Эксплуатация
и
Поддержка»
ВопросыВопросы
управленияуправления::ПредоставляетсяПредоставляется
лили
ИТИТ
услугиуслуги
соответствующиесоответствующие приоритетамприоритетам
бизнесабизнеса??
ОптимизированыОптимизированы
лили затратызатраты
нана
ИТИТ??
СпособенСпособен
лили
персоналперсонал использоватьиспользовать
системысистемы
эффективноэффективно
ии
безопаснобезопасно??ОбеспечиваетсяОбеспечивается
лили
информационнаяинформационная безопасностьбезопасность??
ЭксплуатацияЭксплуатация
ии
ПоддержкаПоддержка
DS1 DS1 ОпределениеОпределение
ии
управлениеуправление
уровнемуровнем
услугуслуг..DS2 DS2 УправлениеУправление
услугамиуслугами
стороннихсторонних
организацийорганизаций..DS3 DS3 УправлениеУправление
производительностьюпроизводительностью
ии
мощностямимощностями..DS4 DS4 ОбеспечениеОбеспечение
непрерывностинепрерывности
обслуживанияобслуживания..DS5 DS5 ОбеспечениеОбеспечение
безопасностибезопасности
системсистем..DS6 DS6 ОпределениеОпределение
ии
распределениераспределение
затратзатрат..DS7 DS7 ОбучениеОбучение
ии
подготовкаподготовка
пользователейпользователей..DS8 DS8 ПоддержкаПоддержка
пользователейпользователей
ии
управлениеуправление
инцидентамиинцидентами..DS9 DS9 УправлениеУправление
конфигурациямиконфигурациями..DS10 DS10 УправлениеУправление
проблемамипроблемами..DS11 DS11 УправлениеУправление
даннымиданными..DS12 DS12 УправлениеУправление
физическойфизической
безопасностьюбезопасностью..DS13 DS13 УправлениеУправление
операциямиоперациями..
ИТ
Сервисы Приоритеты
бизнеса
23
ИТ
процессы
CobiT Группа
«Мониторинг
и
Оценка»
ИТ
процессы
CobiT Группа
«Мониторинг
и
Оценка»
ВопросыВопросы
управленияуправления::КакКак
установитьустановить
обратнуюобратную
связьсвязь
междумежду эффективностьюэффективностью
ИТИТ
ии
целямицелями
бизнесабизнеса??КакКак
выявитьвыявить
проблемыпроблемы, ,
связанныесвязанные
сс эффективностьюэффективностью
ИТИТ
процессовпроцессов, , покапока
нене
сталостало слишкомслишком
позднопоздно??
МожетМожет
лили
менеджментменеджмент
бытьбыть уверенуверен
вв
томтом, , чточто
мерымеры
внутреннеговнутреннего
контроляконтроля результативнырезультативны
ии
эффективныэффективны??
МониторингМониторинг
ии
ОценкаОценка
ME1 ME1 МониторингМониторинг
ии
оценкаоценка
эффективностиэффективности
ИТИТ..ME2 ME2 МониторингМониторинг
ии
оценкаоценка
системысистемы
внутреннеговнутреннего
контроляконтроля..ME3 ME3 ОбеспечениеОбеспечение
соответствиясоответствия
внешнимвнешним
требованиямтребованиям..ME4 ME4 ОбеспечениеОбеспечение
корпоративногокорпоративного
управленияуправления
ИТИТ..
ИТ Эффективность
24
Ключевые
области
корпоративного управления
ИТ
Ключевые
области
корпоративного управления
ИТ
КорпоративноеКорпоративное
управлениеуправление
ИТИТ
естьесть ответственностьответственность
высшеговысшего
руководстваруководства
ии СоветаСовета
директоровдиректоров, , котороекоторое
включаетвключает
вв
себясебя методыметоды
руководстваруководства, , организациюорганизацию
ии процессыпроцессы, , обеспечивающиеобеспечивающие
соответствиесоответствие
ИТИТ текущимтекущим
ии
стратегическимстратегическим
целямцелям
организацииорганизацииОбластиОбласти
корпоративногокорпоративного
управленияуправления
ИТИТ::СоответствиеСоответствие
стратегиистратегииПолезностьПолезностьУправлениеУправление
ресурсамиресурсамиУправлениеУправление
рискамирискамиОценкаОценка
эффективностиэффективности
Соотв
етстви
е
Соотв
етстви
е
страте
гии
страте
гииПолезность
Полезность
Оценка
Оценка
эффективности
эффективности УправлениеУправление
ресурсамиресурсами
УправлениеУправлениерискамирисками
КорпоративноеКорпоративное
управлениеуправление
ИТИТ
25
Структура
CobiTСтруктура
CobiTБизнес цели и цели
корпоративного
управления
Эффективность
ПриложенияИнформация
ИнфраструктураПерсонал
Эксплуатация
и
Сопровождение
Мониторинг
и Оценка
Приобретение
и Внедрение
Информация
ИТ
ресурсы
C O B I T
Результативность
Конфиденциальность
Целостность
ДоступностьСоответствие
требованиям
DS1 Определение
и
управление
уровнем
обслуживанияDS2 Управление
услугами
сторонних
организацийDS3 Управление
производительностью
и
мощностямиDS4 Обеспечение
непрерывности
ИТ
сервисовDS5 Обеспечение
безопасности
системDS6 Определение
и
распределение
затратDS7 Обучение
и
подготовка
пользователейDS8 Управление
службой
технической
поддержки
и
инцидентамиDS9 Управление
конфигурациейDS10 Управление
проблемамиDS11 Управление
даннымиDS12 Управление
физической
безопасностью
и
и
защитой
от
воздействия
окружающей
средыDS13
Управление
операциями
по
эксплуатации
систем
ME1 Мониторинг
и
оценка
эффективности
ИТME2 Мониторинг
и
оценка
системы
внутреннего
контроляME3 Обеспечение
соответствия
внешним
требованиямME4 Обеспечение
корпоративного
управления
ИТ
PO1 Разработка
стратегического
плана
развития
ИТPO2 Определение
информационной
архитектурыPO3 Определение
направления
технологического
развитияPO4 Определение
организационной
структуры
и
взаимосвязейPO5 Управление
ИТ
инвестициямиPO6 Информирование
о
целях
и
направлениях
развития
ИТPO7 Управление
персоналомPO8 Управление
качествомPO9 Оценка
и
управление
ИТ
рискамиPO10 Управление
проектами
AI1 Выбор
решений
по
автоматизацииAI2 Приобретение
и
поддержка
программных
приложенийAI3 Приобретение
и
обслуживание
технологической
инфраструктурыAI4 Обеспечение
выполнения
операцийAI5 Поставки
ИТ
ресурсовAI6 Управление
внесением
измененийAI7 Внедрение
и
приемка
решений
и
изменений
Планирование
и
Организация
Достоверность
26
Представление
ИТ
процессовПредставление
ИТ
процессов
ВысокоуровневаяВысокоуровневая
цельцель
контроляконтроляОбщееОбщее
описаниеописание
процессапроцесса
ХарактернаХарактерна
цельцель
ИТИТ
((бизнесбизнес
требованиетребование
кк
ИТИТ), ), цельцель
ИТИТ процессапроцесса, , целицели
действийдействий, , показателипоказатели
достижениядостижения
целицели
ИТИТ
КритерииКритерии
информацииинформацииИТИТ
ресурсыресурсы
ОбластиОбласти
корпоративногокорпоративного
управленияуправления
ИТИТДетальныеДетальные
целицели
контроляконтроля
ИТИТ
процессапроцесса
««входывходы»»
ии
««результатырезультаты»»
ИТИТ
процессапроцессаRACI RACI диаграммадиаграммаЦелиЦели
ии
показателипоказатели
ИТИТ, , ИТИТ
процессапроцесса, , задачзадач
МодельМодель
зрелостизрелости
процессапроцесса
27
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТ
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТ
управлениеуправление
процессомпроцессомРазработкаРазработка
стратегическогостратегического
планаплана
развитияразвития
ИТИТудовлетворяетудовлетворяет
следующимследующим
бизнесбизнес
требованиямтребованиям
кк
ИТИТПоддержкаПоддержка
илиили
расширениерасширение
корпоративнойкорпоративной
стратегиистратегии
ии
требованийтребований
управленияуправления
припри
условииусловии
прозрачностипрозрачности
вв
частичасти
преимуществпреимуществ, , затратзатрат
ии
рисковрисковсосредоточенососредоточено
нанаСоединенииСоединении
корпоративногокорпоративного
ии
ИТИТ
управленияуправления
путемпутем
преобразованияпреобразования
бизнесбизнес
требованийтребований
вв
предложениепредложение
конкретныхконкретных
услугуслуг
ии
разработкеразработке
стратегийстратегий
оказанияоказания
этихэтих
услугуслуг
прозрачнымпрозрачным
ии
эффективнымэффективным
образомобразомдостигаетсядостигается
сс
помощьюпомощьюСовместнойСовместной
работыработы
сс
бизнесбизнес
ии
высшимвысшим
руководствомруководством
попо
совмещениюсовмещению
стратегическогостратегического
планированияпланирования
ИТИТ
сс
текущимитекущими
ии
будущимибудущими
потребностямипотребностями
организацииорганизацииПониманияПонимания
текущихтекущих
возможностейвозможностей
ИТИТВыработкиВыработки
схемысхемы
приоритетовприоритетов
бизнесбизнес
целейцелей, , которыекоторые
охарактеризуетохарактеризует
количественноколичественно
бизнесбизнес
требованиятребованияРезультатыРезультаты
оцениваютсяоцениваются
сс
помощьюпомощью
следующихследующих
показателейпоказателей
ДоляДоля
целейцелей
ИТИТ
вв
стратегическомстратегическом
планеплане
ИТИТ, , поддерживающихподдерживающих
стратегическийстратегический
бизнесбизнес--планпланДоляДоля
проектовпроектов
ИТИТ
вв
портфелепортфеле
ИТИТ--проектовпроектов, , которыекоторые
отраженыотражены
вв
тактическихтактических
планахпланах
ИТИТВремяВремя
задержкизадержки
междумежду
обновлениемобновлением
стратегическогостратегического
планаплана
ИТИТ
ии
тактическихтактических
плановпланов
ИТИТ
Соотв
етстви
е
страте
гииПолезность
Оценка
эффективности
Управлениерисками
КорпоративноеКорпоративное
управлениеуправление
ИТИТ
Управление
ресурсами
РезультативностьЭффективностьКонфиденциальностьЦелостностьДоступностьСоответствие
требованиямДостоверность
ИТИТ
процесспроцесс
ЦелиЦели
ИТИТ
ЦелиЦели
процессапроцесса
ЦелиЦелидействийдействий
ПоказателиПоказатели
ПВ
ПриложенияИнформацияИнфраструктураПерсонал
++++
КритерииКритерии
информацииинформации
ИТИТ
ресурсыресурсы
ОбластиОбласти
КорпоративногоКорпоративного
управленияуправления
ИТИТ
28
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТ
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТЦелиЦели
контроляконтроляPO 1.1. PO 1.1. УправлениеУправление
пользойпользой
отот
ИТИТPO 1.2.PO 1.2.
ОбеспечениеОбеспечение
соответствиясоответствия
междумежду
бизнесомбизнесом
ии
ИТИТPO 1.3.PO 1.3.
ОценкаОценка
текущихтекущих
возможностейвозможностей
ии
эффективностиэффективностиPO 1.4.PO 1.4.
СтратегическийСтратегический
планплан
ИТИТ««РазработатьРазработать
стратегическийстратегический
планплан, , вв
которомкотором
будетбудет
определеноопределено
…»…»
PO 1.5.PO 1.5.
ТактическийТактический
планплан
ИТИТ««СоздатьСоздать
портфельпортфель
тактическихтактических
плановпланов, , которыекоторые
будутбудут
вытекатьвытекать
изиз
стратегическогостратегического
планаплана
…»…»
PO 1.6.PO 1.6.
УправлениеУправление
ИТИТ
портфелемпортфелем
ИЗ Входящая
информацияPO5 Отчеты
о
затратах
и
выгодахОценка
рисковОбновленный
портфель
ИТ
проектовНовые/обновленные
требования
к
услугам;
обновленный
портфель
ИТ
услуг
Корпоративная
стратегия
и
приоритеты
Портфель
инвестиционных
программ
Результаты
оценки
эффективности
Корпоративные
директивы
для
ИТ
*
DS1
PO9PO10
*
ME1
ME4
РезультатСтратегический
план
ИТТактические
планы
ИТПортфель
ИТ
проектовПортфель
ИТ
услугСтратегия
аутсорсинга
ИТСтратегия
приобретений
в
сфере
ИТ
PO2..PO6, PO8, PO9, AI1, DS1PO2..PO6, PO9, AI1, DS1
PO5, PO6, PO10, AI6PO5, PO6, PO9, DS1
DS2AI5
В
процессы
ВходыВходы
ИТИТ
процессапроцессаРезультатыРезультатыИТИТ
процессапроцесса
ДетальныеДетальные
целицели
контроляконтроля
29
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТ
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТ
Обеспечить
взаимосвязь
бизнес
целей
и
ИТ
целейОпределить
критические
зависимости
и
текущую
эффективность
Разработать
стратегический
план
ИТ
Разработать
тактические
планы
ИТ
Провести
анализ
портфеля
инвестиционных
программ
и
управлять
портфелем
проектов
иуслуг
ИТ
Презид
ент
Фин
ансовы
йди
ректор
Высш
ееруково
дство
Директор
поИТ
Вла
делецби
знес
проц
есса
Руково
дитель
эксплуатации
систем
Главны
йархитектор
ИТсистем
Руково
дитель
разработок
ПО Руково
дитель
админ
истрации
ИТРу
ково
дитель
проектно
гооф
иса
Специ
алисты
поауди
ту,
рискам
ибезопасности
К И У/О О К
К К О У/О К К К К К К
У К К О И К К К К И К
К И У К К К К К О И
К И И У О О К О К К И
ДействияДействия
Долж
ности
Долж
ности
ВВ
таблицетаблице
ОУКИОУКИ
показанопоказано
ктокто
являетсяявляется
ОО
––
ОтветственнымОтветственным
УУ
––
УтверждающимУтверждающим//ПодотчетнымПодотчетным
КК
––
КонсультирующимКонсультирующим
ИИ
––
ИнформированнымИнформированным
30
Цели и показатели ИТЦели и показатели ИТ
ЦелиЦели
ии
показателипоказатели
определеныопределены
нана
3 3 уровняхуровнях::ЦелиЦели
ии
показателипоказатели
ИТИТ
ЦелиЦели
ии
показателипоказатели
ИТИТ
процессапроцессаЦелиЦели
ии
показателипоказатели
задачзадач
ИТИТ
процессапроцесса
СтандартСтандарт
определяетопределяет
двадва
типатипа
показателейпоказателей::ПоказателиПоказатели
результативностирезультативности
ПоказателиПоказатели
эффективностиэффективности
31
Цели
и
метрики
ИТ
процессов Взаимодействие
целей
(DS5)
Цели
и
метрики
ИТ
процессов Взаимодействие
целей
(DS5)
ОбеспечитьОбеспечить корпоративнуюкорпоративную
репутациюрепутацию
ии лидерстволидерство
ОбеспечитьОбеспечить защитузащиту
ии восстановлениевосстановление
ИТИТ
сервисовсервисов
отот
атакатак
ОбнаружитьОбнаружить
ии предотвратитьпредотвратить несанкционинесанкциони--
рованныйрованный
доступдоступ
БизнесБизнес
цельцель ЦельЦель
ИТИТ ЦельЦель
ИТИТ
процессапроцесса
ОбеспечитьОбеспечить защитузащиту
ии восстановлениевосстановление
ИТИТ
сервисовсервисов
отот
атакатак
ОбнаружитьОбнаружить
ии предотвратитьпредотвратить несанкционинесанкциони--
рованныйрованный
доступдоступ
ОпределитьОпределить уязвимостиуязвимости
ииугрозыугрозы
ИБИБ
ЦелиЦели
ИТИТ ЦелиЦели
ИТИТ
процессапроцесса ЦелиЦели
действиядействия
32
Цели
и
метрики
ИТ
процессов Показатели
результативности
(DS5)
Цели
и
метрики
ИТ
процессов Показатели
результативности
(DS5)
ОбеспечитьОбеспечить
корпоративнуюкорпоративную
репутациюрепутацию
ии
лидерстволидерство
БизнесБизнес
цельцель
ПоказательПоказатель
результативностирезультативности
ЧислоЧисло
инцидентовинцидентов,,
вызывающихвызывающих
публичныепубличные
проблемыпроблемы
ОбеспечитьОбеспечить
защитузащиту
ии
восстановлениевосстановление
ИТИТ
сервисовсервисов
отот
атакатак
ЦельЦель
ИТИТ
ПоказательПоказатель
результативностирезультативности
ЧислоЧисло
ИТИТ
инцидентовинцидентов, , сс
последствиямипоследствиями
длядля
бизнесабизнеса
ОбнаружитьОбнаружить
ии
пресечьпресечь
несанкционинесанкциони--
рованныйрованный
доступдоступ
ЦельЦель
ИТИТ
процессапроцесса
ПоказательПоказатель
результативностирезультативности
ЧислоЧисло
инцидентовинцидентов
связанныхсвязанных
сс
получениемполучением
несанкционированнесанкционирован--
ногоного
доступадоступа
ОпределитьОпределить
уязвимостиуязвимости
ии
угрозыугрозы
ИБИБ
ЦельЦель
действиядействия
ПоказательПоказатель
результативностирезультативности
РегулярностьРегулярность
мониторингамониторинга
инцидентовинцидентов
безопасностибезопасности
33
Цели
и
метрики
ИТ
процессов Показатели
эффективности
(DS5)
Цели
и
метрики
ИТ
процессов Показатели
эффективности
(DS5)
ОбеспечитьОбеспечить
корпоративнуюкорпоративную
репутациюрепутацию
ии
лидерстволидерство
БизнесБизнес
цельцель
ОбеспечитьОбеспечить
защитузащиту
ии
восстановлениевосстановление
ИТИТ
сервисовсервисов
отот
атакатак
ЦельЦель
ИТИТ
ПоказательПоказатель
эффективностиэффективности
ЧислоЧисло
ИТИТ
инцидентовинцидентов, , сс
последствиямипоследствиями
длядля
бизнесабизнеса
ОбнаружитьОбнаружить
ии
пресечьпресечь
несанкционинесанкциони--
рованныйрованный
доступдоступ
ЦельЦель
процессапроцесса
ПоказательПоказатель
эффективностиэффективности
ЧислоЧисло
инцидентовинцидентов
связанныхсвязанных
сс
получениемполучением
несанкционированнесанкционирован--
ногоного
доступадоступаПоказательПоказатель
эффективностиэффективности
РегулярностьРегулярность
мониторингамониторинга
инцидентовинцидентов
безопасностибезопасности
способствуетспособствует способствуетспособствует способствуетспособствует
34
Цели
и
метрики
ИТ
процессов Взаимосвязь
между
процессами, целями
и
показателями
(DS5)
Цели
и
метрики
ИТ
процессов Взаимосвязь
между
процессами, целями
и
показателями
(DS5)ОпределитьОпределить
целицели
ОценитьОценить
эффективностьэффективность
Усов
ершенство
вать
Усов
ершенство
вать
Оценить
Оценить
результатырезультаты
ОбеспечитьОбеспечить
корпоративнуюкорпоративную
репутациюрепутацию
ии
лидерстволидерство
ОбеспечитьОбеспечить
защитузащиту
ии
восстановлениевосстановление
ИТИТ
сервисовсервисов
отот
атакатак
ОбнаружитьОбнаружить
ии
пресечьпресечь
несанкционированныйнесанкционированный
доступдоступ
ОпределитьОпределить
уязвимостиуязвимости
ии
угрозыугрозы
ИБИБ
ЧислоЧисло
инцидентовинцидентов,,ВызывающихВызывающих
публичныепубличные
проблемыпроблемы
ЧислоЧисло
ИТИТ
инцидентовинцидентов
сс
последствиямипоследствиями
длядля
бизнесабизнеса
ЧислоЧисло
инцидентовинцидентовсс
несанкционированнымнесанкционированным
доступомдоступом
РегулярностьРегулярность
мониторингамониторинга
инцидентовинцидентов
безопасностибезопасности
БизнесБизнес
цельцель ЦельЦель
ИТИТ ЦельЦель
процессапроцесса ЦельЦель
действиядействия
ИзмеряетсяИзмеряется
черезчерез ИзмеряетсяИзмеряется
черезчерез ИзмеряетсяИзмеряется
черезчерез ИзмеряетсяИзмеряется
черезчерез
ПоказательПоказатель
результативностирезультативности
ПоказательПоказатель
эффективностиэффективности
Бизнес
показатель
ПоказательПоказатель
результативностирезультативности
ИТ
показатель
ПоказательПоказатель
эффективностиэффективности
ПоказательПоказатель
результативностирезультативности
Показатель
процесса
ПоказательПоказатель
эффективностиэффективности
35
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТ
Представление
ИТ
процессов PO1. Разработка
стратегического
плана
развития
ИТ
Обеспечить
соответствие
требованиям
корпоративной
стратегии
Процент
одобренных
руководством
стратегических
инициатив
к
общему
числу
предложенных
инициатив
Разработать
стратегию
оказания
услуг
Процент
целей
ИТ
в
стратегии
ИТ, которые
поддерживают
реализацию
корпоративной
стратегии
ИТ
Цел
и
Совместная
работа
с
бизнес
руководством
по
совмещению
стратегического
планирования
ИТ
и
текущих
и
будущих
потребностей
организации
Процесс Действие
Временная
задержка
между
обновлениями
стратегических/тактич
еских
бизнес
планов
и
стратегических
и
тактических
планов
ИТ
Показател
и
устанавл
иваю
тустанавл
иваю
т
устанавл
иваю
тустанавл
иваю
т
Способствуют
Способствуют
Способствуют
СпособствуютИзмеряютсяИзмеряются ИзмеряютсяИзмеряются
ИзмеряютсяИзмеряются
36
Модели
зрелости
ИТ
процессов
CobiTМодели
зрелости
ИТ
процессов
CobiT
ИспользуяИспользуя
моделимодели
зрелостизрелости
можноможно
определитьопределить::ТекущуюТекущую
эффективностьэффективность
организацииорганизации
((гдегде
организацияорганизация
находитсянаходится
сейчассейчас))ТекущееТекущее
положениеположение
делдел
вв
отраслиотрасли
((сравнениесравнение))
КорпоративныеКорпоративные
целицели
попо
совершенствованиюсовершенствованию
((гдегде организацияорганизация
желалажелала
быбы
находитсянаходится))
ТребуемыеТребуемые
мерымеры
попо
совершенствованиюсовершенствованию
отот состояниясостояния
««каккак
естьесть»»
кк
««каккак
должнодолжно
бытьбыть»»
37
Основы
моделей
зрелости
ИТ
процессовОсновы
моделей
зрелости
ИТ
процессов
МоделиМодели
зрелостизрелости
ИТИТ
процессовпроцессов
основаныоснованы
нана атрибутахатрибутах
зрелостизрелости::
ОсведомленностьОсведомленность
ии
информированностьинформированностьПолитикиПолитики, , планыпланы
ии
процедурыпроцедуры
ИнструментарииИнструментарии
ии
средствасредства
автоматизацииавтоматизации процессапроцесса
НавыкиНавыки
ии
компетенциякомпетенцияОтветственностьОтветственность
ии
подотчетностьподотчетность
ПостановкаПостановка
целейцелей
ии
оценкиоценки
ихих
достижениядостижения
38
Модели
зрелости
ИТ
процессов
CobiTМодели
зрелости
ИТ
процессов
CobiT
ОписанияОписания
уровнейуровней::0 0 ПроцессПроцесс
управленияуправления
нене
существуетсуществует1 1 ПроцессПроцесс
используетсяиспользуется
разоворазово
илиили
вв
отдельныхотдельных
случаяхслучаях
ии
нене
организованорганизован2 2 ПроцессПроцесс
повторяетсяповторяется
попо
образцуобразцу3 3 ПроцессПроцесс
документальнодокументально
оформленоформлен
ии
доведендоведен
додо
сведениясведения
участвующихучаствующих
сторонсторон4 4 ВедётсяВедётся
мониторингмониторинг
процессапроцесса
вв
измеряемыхизмеряемых
показателяхпоказателях
5 5 ЛучшиеЛучшие
практикипрактики
внедренывнедрены
ии
автоматизированыавтоматизированы
Требования
международных
стандартов
Лучшая
практика
в
данной
индустрии
Используемые
символы:
Текущий
статус
компании
Цель
компании
Несуществующий
Начальный
Повторяющийся
Определенный
Управляемый
и
измеряемый
Оптимизированный
|0
|1
|2
|3
|4
|5
39
Пример
модели
зрелости
ИТ
процесса. DS8. Управление
службой
технической
поддержки
и
инцидентами
Пример
модели
зрелости
ИТ
процесса. DS8. Управление
службой
технической
поддержки
и
инцидентами
0. 0. НесуществующийНесуществующийУправлениеУправление
инцидентамиинцидентами
полностьюполностью
отсутствуетотсутствуетОтсутствуютОтсутствуют
средствасредства
поддержкиподдержки
управленияуправления
инцидентамиинцидентамиВВ
организацииорганизации
нене
осознанаосознана
необходимостьнеобходимость
поддержкиподдержки
пользователейпользователей1. 1. НачальныйНачальный//ПовторяющийсяПовторяющийся
эпизодическиэпизодически
ии
бессистемнобессистемноОрганизацияОрганизация
осозналаосознала
необходимостьнеобходимость
вв
процессепроцессе, , поддерживаемыйподдерживаемый
средствамисредствами
ии
персоналомперсоналомСтандартизованныйСтандартизованный
процесспроцесс
отсутствуетотсутствуетРуководствоРуководство
нене
осуществляетосуществляет
текущийтекущий
контрольконтроль
заза
проблемамипроблемами
пользователейпользователей
ии
связаннымисвязанными
сс
ниминими
тенденциямитенденциямиНеНе
разработанразработан
процесспроцесс
разрешенияразрешения
инцидентовинцидентов
ии
эскалацииэскалации
нана
следующийследующий
уровеньуровень2. 2. ПовторяющийсяПовторяющийся
ноно
интуитивныйинтуитивныйОсознанаОсознана
необходимостьнеобходимость
созданиясоздания
службыслужбы
поддержкиподдержки
пользователейпользователейПомощьПомощь
пользователямпользователям
предоставляетсяпредоставляется
нана
неформализованнойнеформализованной
основеоснове
сотрудникамисотрудниками, , обладающимиобладающими
необходимыминеобходимыми
знаниямизнаниямиИспользуютсяИспользуются
инструментальныйинструментальный
средствасредстваНетНет
формальногоформального
обученияобучения
сотрудниковсотрудников
участвующихучаствующих
вв
разрешенииразрешении
инцидентовинцидентовОтсутствуютОтсутствуют
стандартныестандартные
утвержденныеутвержденные
процедурыпроцедуры
процессапроцесса
40
Пример
модели
зрелости
ИТ
процесса. DS8. Управление
службой
технической
поддержки
и
инцидентами
Пример
модели
зрелости
ИТ
процесса. DS8. Управление
службой
технической
поддержки
и
инцидентами
3. 3. ОпределенныйОпределенныйОсознанаОсознана
необходимостьнеобходимость
созданиясоздания
службыслужбы
поддержкиподдержки
пользователейпользователейПроцедурыПроцедуры
оформленыоформлены
ии
утвержденыутвержденыВыполняетсяВыполняется
обучениеобучение
специалистовспециалистов
участвующихучаствующих
вв
разрешенииразрешении
инцидентовинцидентовСуществуетСуществует
базабаза
данныхданных
часточасто
задаваемыхзадаваемых
вопросоввопросов
ии
методовметодов
разрешенияразрешенияКонтрольКонтроль
процессапроцесса
ведетсяведется
вв
отдельныхотдельных
случаяхслучаях, , нетнет
формализованнойформализованной
системысистемы
отчетностиотчетностиНекоторыеНекоторые
характеристикихарактеристики
инцидентовинцидентов
нене
фиксируютсяфиксируютсяПользователиПользователи
имеютимеют
четкиечеткие
инструкцииинструкции4. 4. УправляемыйУправляемый
ии
измеряемыйизмеряемыйНаНа
всехвсех
уровняхуровнях
организацииорганизации
имеетсяимеется
полноеполное
пониманиепонимание
выгодвыгод
отот
созданиясоздания
службыслужбы
поддержкиподдержки
пользователейпользователейСуществуетСуществует
службаслужба
поддержкиподдержки
пользователейпользователейИнструментальныеИнструментальные
методыметоды
ии
средствасредства
автоматизированыавтоматизированыЦентрализацияЦентрализация
базовыхбазовых
знанийзнаний
попо
инцидентаминцидентам
ии
возникающимвозникающим
проблемампроблемам
пользователейпользователейПодготовленПодготовлен
ии
обученобучен
персоналперсоналРуководствоРуководство
разрабатываетразрабатывает
показателипоказатели
длядля
оценкиоценки
эффективностиэффективности
работыработы
службыслужбы
поддержкиподдержки
пользователейпользователей
41
Требования
к
формализации
ИТ
процессов Уровень
зрелости
«3.Определенный»
Требования
к
формализации
ИТ
процессов Уровень
зрелости
«3.Определенный»
ПолитикиПолитики, , стандартыстандарты
ии
процедурыпроцедуры: : ПроцессыПроцессы, , политикиполитики
ии
процедурыпроцедуры
определеныопределены
ии
документированыдокументированы
длядля
всехвсех
ключевыхключевых
деятельностейдеятельностей
вв
процессахпроцессах..ИнструментарийИнструментарий
ии
средствасредства
автоматизацииавтоматизации//формализацииформализации
процессапроцесса: : РазработанаРазработана
документациядокументация
попо
использованиюиспользованию
ии
стандартизациистандартизации
средствсредств
автоматизацииавтоматизации
процессапроцессаНавыкиНавыки
ии
квалификацияквалификация: :
ТребованияТребования
кк
квалификациямквалификациям
сотрудниковсотрудников
определеныопределены
ии документированыдокументированы
длядля
всехвсех
ключевыхключевых
областейобластей
деятельностидеятельности. .
РазработанРазработан
планплан
обученияобучения
персоналаперсонала..ОтветственностьОтветственность
ии
подотчетностьподотчетность: :
РолиРоли
вв
ИТИТ
процессахпроцессах
определеныопределены
ии
документированыдокументированы..ПостановкаПостановка
целейцелей
ии
измеренийизмерений: :
ЦелиЦели
ии
метрикиметрики
измеренияизмерения
эффективностиэффективности
определеныопределены
ии документированыдокументированы
42
Пример
формализованного
ИТ
процесса DS8 Управление
службой
поддержки
пользователей
и
инцидентами
Пример
формализованного
ИТ
процесса DS8 Управление
службой
поддержки
пользователей
и
инцидентами
ВыходыВыходы//результатырезультаты
ИТИТ
процессапроцесса::СтандартнаяСтандартная
формаформа
запросовзапросов
нана
измененияизменения//запросызапросы
нана
сервиссервис
(Requests for (Requests for change)change)СтатистическиеСтатистические
отчетыотчеты
обоб
инцидентахинцидентах
произошедшихпроизошедших
заза
периодпериод, , классифицированныхклассифицированных
попо
типамтипам, , критичностикритичностиОтчетаОтчета
обоб
эффективностиэффективности
работыработы
службыслужбы
поддержиподдержи
пользователейпользователейОтчетОтчет
оо
удовлетворенностиудовлетворенности
пользователейпользователей
(User satisfaction reports)(User satisfaction reports)ВходыВходы
процессапроцесса::
ДокументацияДокументация
пользователяпользователя, , эксплуатационныеэксплуатационные
ии
техническиетехнические
материалыматериалы, , руководстваруководства
администрированияадминистрированияРеестрРеестр
объектовобъектов
конфигурацииконфигурации
(Configuration Items register)(Configuration Items register)СоглашенияСоглашения
обоб
уровняхуровнях
обслуживанияобслуживания
((SLA) SLA) ии
СоглашенияСоглашения
операционногооперационного
обслуживанияобслуживания
((OLAOLA))ТребованияТребования
оо
предельнопредельно
допустимыхдопустимых
сроковсроков
ликвидацииликвидации
инцидентовинцидентов
ии
аварийныхаварийных
ситуацийситуацийОпределенияОпределения
инцидентовинцидентов
информационнойинформационной
безопасностибезопасностиЧастоЧасто
задаваемыезадаваемые
вопросывопросы
((FAQFAQ), ), списоксписок
известныхизвестных
проблемпроблем
ии
методыметоды
решениярешения
длядля
сотрудниковсотрудников
службыслужбы
поддержкиподдержки
пользователейпользователей
43
Пример
формализованного
ИТ
процесса DS8 Управление
службой
поддержки
пользователей
и
инцидентами
Пример
формализованного
ИТ
процесса DS8 Управление
службой
поддержки
пользователей
и
инцидентами
ПолитикиПолитики, , стандартыстандарты
ии
процедурыпроцедуры::ПоложениеПоложение
оо
единойединой
СлужбеСлужбе
поддержкиподдержки
пользователейпользователейПолитикаПолитика
управленияуправления
инцидентамиинцидентами
ии
проблемампроблемамКаталогКаталог
ИТИТ
сервисовсервисовПроцедурыПроцедуры
эскалацииэскалации
инцидентовинцидентов
ии
проблемпроблемЧекЧек--листлист
второговторого
уровняуровня
поддержкиподдержкиРеестрРеестр
услугуслуг
предоставляемыхпредоставляемых
внешнимивнешними
компаниямикомпаниями, , ключевыеключевые
контактыконтактыИнструментарийИнструментарий
ии
средствасредства
автоматизацииавтоматизации//формализацииформализации
процессапроцесса::РегламентРегламент
примененияприменения
автоматизированнойавтоматизированной
системысистемы
управленияуправления
инцидентамиинцидентамиРуководствоРуководство
пользователяпользователя
вв
случаяхслучаях
проблемпроблем
ии
ошибокошибокНавыкиНавыки
ии
квалификацияквалификация::СписокСписок
требуемыхтребуемых
навыковнавыков
ии
знанийзнаний
длядля
сотрудниковсотрудников
СлужбыСлужбы
поддержкиподдержки
пользователейпользователейПланПлан
обученияобучения
специалистовспециалистов
СлужбыСлужбы
поддержкиподдержки
пользователейпользователейОбучающиеОбучающие
материалыматериалы
длядля
специалистовспециалистов
СлужбыСлужбы
поддержкиподдержки
пользователейпользователейОтветственностьОтветственность
ии
подотчетностьподотчетность::УтвержденноеУтвержденное
распределениераспределение
ролейролей
ии
ответственностейответственностей
вв
процессепроцессеДолжностныеДолжностные
обязанностиобязанности
специалистовспециалистов
службыслужбы
поддержиподдержи
пользователейпользователейПостановкаПостановка
целейцелей
ии
измеренийизмерений::КартаКарта
показателейпоказателей
измеренияизмерения
эффективностиэффективности
службойслужбой
поддержкиподдержки
пользователейпользователей
44
Метод
расчета
уровня
зрелости
ИТ процесса
Метод
расчета
уровня
зрелости
ИТ процесса
ОписаниеОписание
моделимодели
зрелостизрелости
каждогокаждого уровняуровня
разбиваетсяразбивается
нана
отдельныеотдельные непротиворечивыенепротиворечивые
утвержденияутверждения..ПротивПротив
каждогокаждого
утвержденияутверждения устанавливаетсяустанавливается
мнениемнение::ПолностьюПолностью
нене
согласнысогласны
((весвес
0)0)ОтчастиОтчасти
согласнысогласны
((весвес
0.33)0.33)ВВ
основномосновном
согласнысогласны
((весвес
0.66)0.66)ПолностьюПолностью
согласнысогласны
((весвес
1)1)СуммированиеСуммирование
весоввесов
попо
каждомукаждому уровнюуровню
моделимодели
зрелостизрелости
ии получениеполучение
среднегосреднего
значениязначенияНормализацияНормализация
векторавектора
среднихсредних значенийзначений
уровнейуровней
зрелостизрелостиРасчетРасчет
оценкиоценки
зрелостизрелости
45
Метод
расчета
уровня
зрелости
ИТ процесса
Метод
расчета
уровня
зрелости
ИТ процесса
46
Пример
оценки
уровней
зрелости
ИТ процессов
по
CobiT
Пример
оценки
уровней
зрелости
ИТ процессов
по
CobiT
47
Представление
ИТ
процессовПредставление
ИТ
процессов
ОписаниеОписание
процессапроцесса ««чточто»»
владельцывладельцы
процессапроцесса
должныдолжны
делатьделать
ЦелиЦели
контроляконтроля СоставляющаяСоставляющая
задачазадача
ИТИТ
процессапроцесса
сс
акцентомакцентом
нана контрольконтроль
««ВходыВходы»»
процессапроцесса ««чточто»»
участникиучастники
процессапроцесса
должныдолжны
получитьполучить
отот другихдругих
процессовпроцессов
««РезультатыРезультаты»» процессапроцесса««чточто»»
владельцывладельцы
процессапроцесса
должныдолжны
предоставитьпредоставить
другимдругим
процессампроцессамЦелиЦели
ии
показателипоказатели
процессапроцесса ««каккак»»
оцениватьоценивать
процесспроцесс
RACI RACI диаграммадиаграмма ««чточто»»
ии
««комукому»»
делегироватьделегировать, , ктокто
отвечаетотвечает, , ктокто информируетсяинформируется, , сс
кемкем
выполняетсявыполняется
согласованиесогласование
МоделиМодели
зрелостизрелости показываютпоказывают
««каккак»»
процесспроцесс
можетможет
бытьбыть
улучшенулучшен
48
Управление
ИТ
на
базе
CobiTУправление
ИТ
на
базе
CobiT
ОбеспечитьОбеспечить
взаимосвязьвзаимосвязь
бизнесбизнес
ии
ИТИТ
целейцелейИспользоватьИспользовать
целицели
контроляконтроля
ИТИТ
процессовпроцессов
длядля
внедрениявнедрения
соответствующихсоответствующих
процедурпроцедур
ии
задачзадач
процессапроцессаОбеспечитьОбеспечить
вовлеченностьвовлеченность
ии
ответственностьответственность
высшеговысшего
руководстваруководства
ии
бизнесбизнес--менеджментаменеджмента
вв
вопросахвопросах
управленияуправления ИТИТ
ВнедритьВнедрить
процессныйпроцессный
подходподход
кк
управлениюуправлению
ИТИТ::входывходырезультатырезультатыответственностиответственностизадачизадачиресурсыресурсы
процессапроцесса
ОпределитьОпределить
показателипоказатели
ИТИТОбеспечитьОбеспечить
отчетностьотчетность
49
Самостоятельное
использование
CobiTСамостоятельное
использование
CobiT
СопоставьтеСопоставьте
целицели
бизнесабизнеса
ии
целицели
ИТИТПостройтеПостройте
модельмодель
ИТИТ
процессовпроцессов, , задачизадачи
ИТИТ
процессовпроцессов, , ролироли
ии
ответственностиответственности, , ««входывходы»»
ии ««результатырезультаты»»
ИТИТ
процессовпроцессов
ОценитеОцените
выполнениевыполнение
целейцелей
контроляконтроля
ИТИТ
процессовпроцессовОценитьОценить
зрелостьзрелость
ИТИТ
процессовпроцессов
ОпределитеОпределите
целицели
ии
показателипоказатели
ИТИТ, , ИТИТ
процессовпроцессов
ии ихих
задачзадач
50
Внедрение
CobiT Книга
«IT Governance implementation Guide using
CobiT
and ValIT»
Внедрение
CobiT Книга
«IT Governance implementation Guide using
CobiT
and ValIT»
ОзнакомительныйОзнакомительный
тренингтренинг
длядля
менеджментаменеджмента
ии
детальныйдетальный
тренингтренинг
длядля
ответственныхответственных
заза
внедрениевнедрениеПервичнаяПервичная
диагностикадиагностика
текущеготекущего
состояниясостоянияОпределениеОпределение
приоритетовприоритетов
ии
ограниченийограниченийРазработкаРазработка
планаплана
внедрениявнедренияРаспоряжениеРаспоряжение
оо
началеначале
внедрениявнедренияПроцессПроцесс
внедрениявнедренияПодготовкаПодготовка
отчетаотчета
оо
результатахрезультатах
ии
мониторингмониторинг
НеобходимыеНеобходимые
предпосылкипредпосылки::ИнициативаИнициатива
менеджментаменеджментаУчастиеУчастие
бизнесбизнес
подразделенийподразделений
ии
внутреннеговнутреннего
спонсораспонсораСогласованиеСогласование
действийдействий
сс
отделомотделом
ИТИТУчетУчет
внешнихвнешних
ии
внутреннихвнутренних
требованийтребований
51
Аудит
ИТ
с
использованием
CobiT Книга
«IT Assurance Guide using CobiT»
Аудит
ИТ
с
использованием
CobiT Книга
«IT Assurance Guide using CobiT»
РуководствоРуководство
попо
ИТИТ
аудитуаудиту
сс использованиеиспользование
CobiTCobiT””
включаетвключаетКонцепцииКонцепции
оценкиоценки
рисковрисковОценкаОценка
бизнесбизнес
рисковрисков
ии
ценностейценностейПланированиеПланирование
аудитааудита
ии
рамкирамки
проектапроектаОценкаОценка
ии
тестированиетестирование
контролейконтролейЗрелостьЗрелость
контролейконтролей
ии
процессовпроцессов
((самооценкасамооценка))ОбоснованиеОбоснование
рисковрисков
ии
отчетностьотчетностьРуководствоРуководство
содержитсодержит::Value driversValue driversRisk drivers Risk drivers Test the control objective Test the control objective Test outcome of the control Test outcome of the control objectiveobjective
52
The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such
information without appropriate professional advice after a thorough examination of the particular situation.
БорисБорис
ЛьвовЛьвов, , CISACISAПартнерПартнер
BLvovBLvov@@kpmg.rukpmg.ru
©
2008 ZAO KPMG, a company incorporated under the Laws of the Russian Federation and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in Russia.
АндрейАндрей
ДроздовДроздов, , CISA, CISMCISA, CISMСтаршийСтарший
менеджерменеджер
[email protected]@kpmg.ru
ДенисДенис
ВолковВолков, , CISACISAСтаршийСтарший
консультантконсультант
DVolkovDVolkov@@kpmg.rukpmg.ru
+7 (495) 937 4477+7 (495) 937 4477www.kpmg.ruwww.kpmg.ru