Стандарт CobiT

В настоящее время всё большее влияние в отрасли ИТ приобретает идея внедрения принципов ИТ аудита, т.е. независимой проверки и удостоверения степени соответствия ИТ менеджмента в организации и её информационной системы принятым правилам и стандартам. ИТ аудит может быть востребован как высшим руководством организаций для регулярной проверки правильности организации дел в этой сфере, так и самим ИТ руководителем для совершенствования своей деятельности и независимого подтверждения своей компетентности перед высшим руководством.

Аббревиатура CobiT расшифровывается как Управляемые ОБъекты для Информационных и смежных Технологий. Методология представлена в наборе документов, в которых изложены принципы управления и аудита информационных систем. Первое издание увидело свет в 1996 году, второе – в 1998 году, третье – в 2000 году, четвертое – в 2005 году. Последняя версия стандарта — 4.1. Выпущено шесть книг, ориентированных на разный уровень восприятия [38]:

- резюме для руководителя - ориентировано на топ-менеджеров организации для принятия ими решения о применимости стандарта;

- описание структуры - развернутое описание структуры стандарта, целей управления и пояснения к ним, необходимые для эффективной работы;

- объекты контроля - детальные описания объектов управления;

- принципы управления - как правильно поставить цель, достичь её и проконтролировать полноту ее достижения;

- принципы аудита - описание того, где можно получить необходимую информацию, как ее проверить, какие вопросы задавать при проверке соответствия конкретной организации ИТ менеджмента принципам стандарта;

- набор инструментов внедрения стандарта - практические советы по использованию стандарта в управлении и аудите ИТ.

CobiT выделяет 34 цели управления и соответствующие достижению каждой из них процессы, сгруппированные в 4 домена: Планирование и Организация; Проектирование и Внедрение; Эксплуатация и Сопровождение; Мониторинг.

ИТ ресурсы при изложении требований стандарта описываются четырьмя составляющими:

информация - объекты системы (то есть внутренние и внешние), в разных форматах: графика, звук и т.д.;

приложения - совокупность автоматизированных и выполняемых вручную системных процедур;

инфраструктура (в прежней редакции две отдельные компоненты - технология и оборудование) - операционные системы, системы управления базами данных, сетью и мультимедиа, а также прочие ресурсы, создающие и поддерживающие информационные технологии (включая и расходные материалы);

люди – персонал и его навыки планирования и организации, комплектования, обслуживания и управления системой и услугами.

CobiT позволяет оценить существующие в организации ИТ по семи критериям оценки качества обработки информации:

эффективность - актуальность информации соответствующего бизнес-процесса, гарантия своевременного и регулярного получения правильной информации;

продуктивность - обеспечение доступности информации с помощью оптимального (наиболее продуктивного и экономичного) использования ресурсов;

конфиденциальность - обеспечение защиты информации от неавторизованного ознакомления;

целостность - точность, полнота и достоверность информации в соответствии с требованиями бизнеса;

пригодность - предоставление информации по требованию бизнес-процессов;

согласованность - соответствие законам, правилам и договорным обязательствам;

надежность - доступ руководства организации к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.

Для каждого критерия должны быть определены текущие и целевые значения, а также методики определения этих значений и механизмы отчётности.

Стандарт определяет основные аспекты аудита информационной системы.

Цель аудита - определение соответствия сервисов, предоставляемых информационной системой сотрудникам компании, текущим и планируемым в будущем потребностям бизнеса компании.

Результаты аудита:

- оценка степени соответствия сервисов.

- предварительные рекомендации по совершенствованию и предложения по структуре проекта совершенствования информационной системы.

Аудит процессов управления службой ИТ состоит из специализированных аудитов по различным ИТ процессам. Результатом аудита каждого из процессов управления являются:

- общая модель действующего процесса управления;

- оценка степени соответствия передовому мировому опыту действующего процесса управления;

- предварительные рекомендации по совершенствованию и предложения по структуре проекта совершенствования процесса управления.

Перечень процессов управления службой ИТ по группам классификации CobiT в функциональной формулировке имеет следующий вид.

Мониторинг:

- проводить мониторинг ИТ процессов;

- оценивать адекватность внутреннего контроля;

- получать независимые гарантии объективности;

- обеспечивать независимый аудит системы.

Планирование и организация:

- определить стратегический план ИТ;

- определить информационную архитектуру;

- определить технологическое направление;

- определить организацию управления и взаимоотношения ИТ с бизнесом;

- управлять инвестициями в ИТ;

- согласованно управлять целями и задачами в сфере ИТ;

- управлять персоналом;

- обеспечить согласование ИТ с внешними требованиями;

- оценивать риски, связанные с ИТ;

- управлять ИТ проектами;

- управлять качеством ИТ решений и услуг.

Проектирование и внедрение:

- определить проектные решения по автоматизации;

- приобрести и поддерживать прикладное ПО;

- приобрести и поддерживать технологическую инфраструктуру;

- разработать и поддерживать процедуры управления и предоставления ИТ услуг;

- установить и аккредитовать информационные системы;

- управлять изменениями в системах.

Эксплуатация и сопровождение:

- определять уровни обслуживания и управлять ими;

- управлять услугами сторонних организаций;

- управлять производительностью и наращиваемостью услуг;

- обеспечивать непрерывность предоставления услуг;

- обеспечивать безопасность системы;

- определить и распределить затраты;

- обучать пользователей;

- помогать пользователям и консультировать их;

- управлять конфигурацией системы;

- управлять данными;

- управлять оборудованием;

- управлять операциями.

Таким образом, ценность стандарта для моделирования информационной системы заключается в том, что он:

- выделяет конкретные цели управления ИТ и соответствующие достижению каждой из них процессы, а также структурирует их в четыре домена;

- предлагает декомпозицию типов ИТ ресурсов на 4 составляющих;

- содержит критерии оценкикачества обработки информации в системе;

- определяет основные цели, принципы и результаты аудита информационной системы.

***

Приведённый выше краткий обзор методологий структурирования и представления процессов управления ИТ инфраструктурой показывает, что есть достаточно оснований выработать общие рекомендации по отражению этих аспектов в модели архитектуры как организационной системы в целом, так и в модели её информационной системы. Чем более автоматизированной является деятельность организации, тем в большей степени она зависит от ИТ, и тем в большей степени ИТ компоненты должны отображаться в общих архитектурных представлениях.

Вопросы для самоконтроля

1. Какое качество придают архитектурной модели информационной системы модели процессов управления ИТ инфраструктурой?

2. Какие процессы управления ИТ инфраструктурой определяет третья редакция библиотеки ITIL?

3. Нарисуйте типовую модель ITSM, предложенную НР в 2000 году.

4. Чем MOF Process Model отличается от модели ITIL?

5. Какие роли ИТ персонала содержит MOF Team Model?

6. Какие этапы управления рисками предусматривает MOF Risk Model?

7. На какие 4 составляющих предлагает декомпозицию типов ИТ ресурсов стандарт CobiT?

8. Назовите 7 критериев оценкикачества обработки информации в системе по версии стандарта CobiT.

Дата добавления: 2014-12-27; Просмотров: 1106; Нарушение авторских прав?; Мы поможем в написании вашей работы!