2 презентация kpmg cobit by Evgeny Lunev

GLOBAL SERVICE/ INDUSTRY

Управление ИТ на основе CobiT IT Advisory

Денис Волков, CISA Андрей Дроздов, CISA, CISM KPMG 26 ноября 2008

Что такое CobiT? CobiT (Цели контроля для информационных и смежных технологий) является методологией корпоративного управления ИТ Разработан Международной ассоциацией аудита и контроля за информационными системами (ISACA) CobiT характеризуется ориентация на бизнес требования процессным подходом к управлению ИТ целями контроля к управлению ИТ процессами оценка эффективности ИТ

Предыстория CobiT CobiT и сопутствующие продукты обеспечивают методологию управления ИТ для многих предприятий и государственных учреждений по всему миру 1992 – первая версия стандарта 2000 – выпуск CobiT® 3.0 (включая Management guidelines) 2003 – создание CobiT® 3.1 Online 2005 – создание Cobit® 4.0 2007 – создание CobiT ® 4.1 2008 – издание официальной русской версии CobiT 4.1 www.isaca-russia.ru и www.ozon.ru CobiT используется в компаниях S.W.I.F.T., Cedel Group, Министерство обороны США, DaimlerChrysler, Royal Philips Electronics,

Стандарты и рекомендации, лежащие в основе CobiT CobiT стал интегратором передовой ИТ практики и основой для корпоративного ИТ управления (соответствует ITIL, ISO 17799, PMBOK, PRINCE2) Технические стандарты (ISO) Нормы корпоративного управления, установленные организациями Европейской Комиссия, ISACA Стандарты качества информационных технологий и процессов ITSEC, TCSEC, ISO 9000, SPICE, TICKIT, Common Criteria Профессиональные стандарты внутреннего контроля и аудита COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO Индустриальные стандарты и международные практики построения ИТ (NIST, BS7799) Требования к активно развивающимся отраслям 4

Что покрывает CobiT? Стимулы

Корпоративное управление

Система Сбалансированных показателей

Корпоративное управление ИТ

Стандарты лучших практик

Процессы и процедуры

Соответствие Требованиям: Basel II, SOX, …

Эффективность: Цели Бизнеса

COSO

CobiT

ISO 9001:2000

QA Процедуры контроля качества

ISO 17799

Безопасность

ISO 20000

ITIL

COBIT и другие стандарты в области ИТ Организации используют различные модели управления ИТ, стандарты и лучшие практики. Данный слайд демонстрирует возможное совместное использование различных стандартов, при этом COBIT выступает в качестве консолидирующего (‘зонтичного’) стандарта. COSO COBIT ISO 17799 ISO 9000 ЧТО

ITIL

ОБЛАСТЬ ПРИМЕНЕНИЯ

КАК

CobiT: Достоинства и ограничения Достоинства CobiT: Ориентация на высшее руководство и соответствие требованиям бизнеса Соответствует основным международным стандартам в области ИТ (такими как ITIL, ISO 17799, PMBOK, PRINCE2) Понятное для менеджмента видение деятельности ИТ Определение четкого владения ИТ процессами и распределения ответственности Подкреплен инструментариями и учебными курсами Общедоступен Выполнение требований COSO к контролю в сфере ИТ Ограничения при использовании CobiT: Документ высокого уровня, при внедрении требует использования специфичных стандартов Представляет собой руководство, а не готовое решение Требует кастомизации с учетом бизнес целей компании, рисков и организации, проектов и инфраструктуры ИТ

Целевая аудитория CobiT Высшему руководству Для контроля отдачи от инвестиций в ИТ, уравновешивания рисков и управления инвестициями в непредсказуемой сфере ИТ Бизнес-менеджменту организации Для уверенности в надлежащем управлении и контроле над ИТ сервисами ИТ менеджменту Для оказания ИТ услуг, требуемых бизнесом и реализации корпоративной стратегии в контролируемых и управляемых условиях Аудиторам Для обоснования собственных заключений и/или консультирования менеджмента по вопросам внутреннего контроля 8

Публикации CobiT Совещание по вопросам упраления ИТ, 2-е издание

Как исполнять свои обязанности? Высшее руководство и Совет директоров

Руководства по управлению Модели зрелости

Как оценивается эффективность ИТ? Как сравнить ИТ с другими компаниями? Что совершенствовать в ИТ? Бизнес и ИТ менеджмент Как использовать методологию управления ИТ? ИТ?

Как внедрить ее в Компании? Компании?

Как выполнять аудит ИТ? ИТ?

Специалисты по аудиту, аудиту, информационной безопасности, безопасности, сертификации, сертификации, контролю - Методологии CobiT и Val IT - Цели контроля - Основные практики управления

Руководство по внедрению корпоративного Управления ИТ Основные контрольные практики

Руководство по аудиту в сфере ИТ

Специальные издания и продукты: • Цели контроля для соответствия закону Сарбейнса-Окслей, 2е издание • CobiT Security Baseline™ • Корпоративное управление информационной безопасностью: руководство для совета директоров и менеджмента • CobiT QuickStart™ • CobiT online 9

Взаимосвязи компонентов CobiT Цели бизнеса

ИТ цели ИТ процессы

Зр ел ос ть

Показатели результативности

Цели контроля

Показатели эффективности

Тесты контролей

з ся и т ю а лек И зв

ся ют ря ю ед щь В н мо по

RACI диаграммы

ь ст о н ив т ек ф эф

т льта Резу

Вы по лн яю тс я

Задачи

Контр олиру ются с помощ ью

Ау ди ру ю тс я

я тс ю а ив н е Оц

на

я руютс Ауди

на тся ю я л е разд Под

Модели зрелости

Тесты дизайна мер контроля

Практики контроля

Основы CobiT Обеспечение взаимосвязи между ИТ и бизнесом основано на том, что ИТ процессы и ресурсы предоставляют информацию бизнес процессам, удовлетворяющую определенным критериям информации, которая требуются для достижения бизнес целей. Обеспечить управление и контроль ИТ ресурсов на основе структурированного набора процессов для предоставления необходимых ИТ услуг

для Информацию

БизнесПроцессов

Для достижения

Целей Бизнеса

обеспечивают ИТ Процессы и Ресурсы 11

Основы CobiT ИТ процессы используя ИТ ресурсы предоставляют бизнес процессам информацию удовлетворяющую критериям информации

Критерии Информации Результативность Эффективность Конфиденциальность Целостность Доступность Соответствие требованиям Достоверность

ИТ Ресурсы ИТ Процессы Группы Процессы Задачи

Приложения Информация Инфраструктура Персонал

Взаимосвязи между бизнес и ИТ целями CobiT определяет взаимосвязи между бизнес целями целями ИТ ИТ процессами Взаимосвязи представлены в Приложении 1 к стандарту CobiT 4.0 в виде двух матриц Взаимосвязь бизнес и ИТ целей Взаимосвязь ИТ целей и ИТ процессов

Взаимосвязь бизнес целей, ИТ целей и поддерживающих ИТ процессов Цели бизнеса рассматриваются с точки зрения перспектив: Финансы Клиенты Внутренние процессы Обучение и развитие Каждой цели бизнеса соответствует цель ИТ, которая в свою очередь подкрепляется ИТ процессами

Оптимизация затрат предоставления ИТ сервисов

БизнесБизнес-цель

Цели для ИТ

2. 3.

ИТ процессы

1. 2. 3. 4. 5. 6. 7.

Улучшить экономическую целесообразность ИТ затрат и вклад ИТ в прибыльность бизнеса Обеспечить экономически выгодное приобретение и поддержку ИТ приложений и инфраструктуру Обеспечить экономически выгодное взаимодействие со сторонними организациями оказывающие ИТ услуги

PO3 Определение направления техн. развития PO5 Управление ИТ инвестициями AI2 Приобретение и поддержка приложений AI3 Приобретение и поддержка техн. инфр. AI5 Приобретение ИТ ресурсов DS2 Управление услугами сторонних организаций DS6 Определение и распределение ИТ затрат

Информационные критерии CobiT

CobiT

Ресурсы ИТ

з ои пр

тс я

Информация

ьз ую

Достоверность

т дя во

ИТ процессы

ис по л

Доступность Соответствие требованиям

Бизнес требования

т яе вл и и ра тиц ап с Н нве и

Конфиденциальность Целостность

со от ве тс тв уе т

Полезность Эффективность

ИТ ресурсы CobiT Приложения Прикладные системы и ручные процедуры для обработки информации Информация Данные в любой форме, введенные, обработанные или представленные информационными системами в любой используемой бизнес процессами форме Инфраструктура Технологии и технические средства (аппаратное обеспечение, ОС, СУБД, сетевое оборудование), которые обеспечивают работ приложений Персонал Люди и их квалификации, необходимые для планирования, организации, приобретения, внедрения, работы, обслуживания, мониторинга и оценки информационных систем и ИТ услуг.

ИТ процессы CobiT CobiT описывает жизненный цикл ИТ с помощью 4 групп ИТ процессов : Планирование и Организация Приобретение и внедрение Эксплуатация и Сопровождение Мониторинг и Оценка 34 процесса представляют собой набор задач (действий), объединенных естественным образом и содержащих детальные цели контроля. Задачи представляют собой действия, необходимые для достижения измеримых результатов.

Планирование и Организация

Приобретение и Внедрение

Эксплуатация и Сопровождение

Мониторинг и Оценка

Цели контроля CobiT CobiT представляет собой методологию управления ИТ процесами с акцентами на контроль Цели контроля описывают требования по эффективному контролю над каждым ИТ процессом и являются: формулировками управленческих действий политиками, процедурами, практиками и организационными структурами обеспечивающих уверенность в достижении бизнес целей, предотвращении нежелательных событий, чьи последствия идентифицированы и исправлены

Общие требования к мерам контроля для всех процессов Нормы Стандарты Цели

PC1 Цели и задачи процесса PC2 Владение процессом

Сравнение

Действие

PC5 Политики, планы и процедуры PC6 Повышение эффективности процесса

Контрольная информация

PC3 Повторяемость процесса PC4 Роли и ответственности

Процесс

Модель контроля 19

ИТ процессы CobiT Группа «Планирование и Организация» Вопросы управления: Согласованы ли ИТ стратегия и корпоративная стратегия? Как управлять инвестициями в ИТ? Используются ли ресурсы оптимально? Все ли понимают цели стоящие перед ИТ? Осознаются и управляются ли ИТ риски? Соответствует ли качество систем ИТ потребностям бизнеса?

Планирование и Организация PO1 Определение стратегического плана развития ИТ. ИТ. PO2 Определение информационной архитектуры. архитектуры. PO3 Определение направлений технологического развития. развития. PO4 Определение организационной структуры и взаимосвязей. взаимосвязей. PO5 Управление ИТ инвестициями. инвестициями. PO6 Информирование о целях и направлениях развития. развития. PO7 Управление ИТ персоналом. . персоналом PO8 Управление качеством. качеством. PO9 Оценка и управление ИТ рисками. рисками. PO10 Управление проектами. . проектами

ИТ и Бизнес 20

ИТ процессы CobiT Группа «Приобретение и Внедрение» Вопросы управления: Выбираются ли информационные системы и инфраструктура отвечающие потребностям бизнеса? Будут ли информационные системы работать должным образом после внедрения? Не нанесут ли урон внедряемые изменения в информационных системах?

Приобретение и Внедрение AI1 Выбор решений по автоматизации. автоматизации. AI2 Приобретение и поддержка приложений. приложений. AI3 Приобретение и поддержка технологической инфраструктуры. инфраструктуры. AI4 Обеспечение ввода в эксплуатацию. эксплуатацию. AI5 Приобретение ИТ ресурсов. ресурсов. AI6 Управление изменениями. изменениями. AI7 Внедрение и приемка ИТ решений и изменений. изменений.

? Новые Проекты

Организация 21

ИТ процессы CobiT Группа «Эксплуатация и Поддержка» Вопросы управления: Предоставляется ли ИТ услуги соответствующие приоритетам бизнеса? Оптимизированы ли затраты на ИТ? Способен ли персонал использовать системы эффективно и безопасно? Обеспечивается ли информационная безопасность?

Эксплуатация и Поддержка DS1 Определение и управление уровнем услуг. услуг. DS2 Управление услугами сторонних организаций. организаций. DS3 Управление производительностью и мощностями. мощностями. DS4 Обеспечение непрерывности обслуживания. обслуживания. DS5 Обеспечение безопасности систем. систем. DS6 Определение и распределение затрат. затрат. DS7 Обучение и подготовка пользователей. пользователей. DS8 Поддержка пользователей и управление инцидентами. инцидентами. DS9 Управление конфигурациями. . конфигурациями DS10 Управление проблемами. проблемами. DS11 Управление данными. данными. DS12 Управление физической безопасностью. безопасностью. DS13 Управление операциями. операциями.

ИТ Сервисы

Приоритеты бизнеса

ИТ процессы CobiT Группа «Мониторинг и Оценка» Вопросы управления: Как установить обратную связь между эффективностью ИТ и целями бизнеса? Как выявить проблемы, связанные с эффективностью ИТ процессов, пока не стало слишком поздно? Может ли менеджмент быть уверен в том, что меры внутреннего контроля результативны и эффективны?

Мониторинг и Оценка ME1 Мониторинг и оценка эффективности ИТ. ME2 Мониторинг и оценка системы внутреннего контроля. ME3 Обеспечение соответствия внешним требованиям. ME4 Обеспечение корпоративного управления ИТ.

ИТ

Эффективность 23

Ключевые области корпоративного управления ИТ Корпоративное управление ИТ есть ответственность высшего руководства и Совета директоров, которое включает в себя методы руководства, организацию и процессы, обеспечивающие соответствие ИТ текущим и стратегическим целям организации Области корпоративного управления ИТ:

Оценка эффективности

По ле зн ос ть

Корпоративное управление ИТ

У пр авл рис ение кам и

Управление ресурсами Управление рисками

нка Оце вности екти э фф

Соответствие стратегии Полезность

е ви т тс ии е тв атег о Со стр

Управление ресурсами

Структура CobiT Бизнес цели и цели корпоративного управления

C ME1 ME2 ME3 ME4

DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13

Мониторинг и оценка эффективности ИТ Мониторинг и оценка системы внутреннего контроля Обеспечение соответствия внешним требованиям Обеспечение корпоративного управления ИТ

Определение и управление уровнем обслуживания Управление услугами сторонних организаций Управление производительностью и мощностями Обеспечение непрерывности ИТ сервисов Обеспечение безопасности систем Определение и распределение затрат Обучение и подготовка пользователей Управление службой технической поддержки и инцидентами Управление конфигурацией Управление проблемами Управление данными Управление физической безопасностью и и защитой от воздействия окружающей среды Управление операциями по эксплуатации систем

O B I

T PO1

Информация Эффективность Результативность

Целостность

Доступность Соответствие Конфиденциальность требованиям Достоверность Планирование и Организация

Мониторинг и Оценка ИТ ресурсы

Приложения Информация Инфраструктура Персонал Эксплуатация и Сопровождение

Разработка стратегического плана развития ИТ PO2 Определение информационной архитектуры PO3 Определение направления технологического развития PO4 Определение организационной структуры и взаимосвязей PO5 Управление ИТ инвестициями PO6 Информирование о целях и направлениях развития ИТ PO7 Управление персоналом PO8 Управление качеством PO9 Оценка и управление ИТ рисками PO10 Управление проектами

AI1 AI2 Приобретение и Внедрение

AI3

AI4 AI5 AI6 AI7

Выбор решений по автоматизации Приобретение и поддержка программных приложений Приобретение и обслуживание технологической инфраструктуры Обеспечение выполнения операций Поставки ИТ ресурсов Управление внесением изменений Внедрение и приемка решений и изменений

Представление ИТ процессов Высокоуровневая цель контроля Общее описание процесса Характерна цель ИТ (бизнес требование к ИТ), цель ИТ процесса, цели действий, показатели достижения цели ИТ Критерии информации ИТ ресурсы Области корпоративного управления ИТ Детальные цели контроля ИТ процесса «входы» и «результаты» ИТ процесса RACI диаграмма Цели и показатели ИТ, ИТ процесса, задач Модель зрелости процесса 26

Представление ИТ процессов PO1. Разработка стратегического плана развития ИТ Результативность Эффективность Конфиденциальность Целостность Доступность Соответствие требованиям Достоверность

П В

Критерии информации Приложения Информация Инфраструктура Персонал

ие тв с ет ии тв тег о а Со стр

+ + + + ИТ ресурсы

По

ле зн ос ть

Корпоративное управление ИТ Управление ресурсами

Упра вл риск ение ами

нка Оце вности екти

эфф

управление процессом ИТ процесс Разработка стратегического плана развития ИТ удовлетворяет следующим бизнес требованиям к ИТ Цели Поддержка или расширение корпоративной стратегии и требований управления при условии прозрачности в части ИТ преимуществ, преимуществ, затрат и рисков сосредоточено на Соединении корпоративного и ИТ управления путем Цели преобразования бизнес требований в предложение процесса конкретных услуг и разработке стратегий оказания этих услуг прозрачным и эффективным образом достигается с помощью Совместной работы с бизнес и высшим руководством по совмещению стратегического планирования ИТ с текущими Цели и будущими потребностями организации действий Понимания текущих возможностей ИТ Выработки схемы приоритетов бизнес целей, целей, которые охарактеризует количественно бизнес требования Результаты оцениваются с помощью следующих показателей Доля целей ИТ в стратегическом плане ИТ, ИТ, поддерживающих стратегический бизнесбизнес-план Доля проектов ИТ в портфеле ИТИТ-проектов, проектов, которые Показатели отражены в тактических планах ИТ Время задержки между обновлением стратегического плана ИТ и тактических планов ИТ

Области Корпоративного управления 27 ИТ

Представление ИТ процессов PO1. Разработка стратегического плана развития ИТ Цели контроля PO 1.1. Управление пользой от ИТ

Детальные цели контроля

PO 1.2. Обеспечение соответствия между бизнесом и ИТ PO 1.3. Оценка текущих возможностей и эффективности PO 1.4. Стратегический план ИТ «Разработать стратегический план, план, в котором будет определено …»

PO 1.5. Тактический план ИТ «Создать портфель тактических планов, планов, которые будут вытекать из стратегического плана …»

PO 1.6. Управление ИТ портфелем ИЗ PO5 PO9 PO10

Входящая информация Отчеты о затратах и выгодах Оценка рисков Обновленный портфель ИТ проектов

DS1

Новые/обновленные требования к услугам; обновленный портфель ИТ услуг

Корпоративная стратегия и приоритеты

Портфель инвестиционных программ

ME1 ME4

Результаты оценки эффективности Входы Корпоративные директивы для ИТ ИТ процесса

Результат В процессы Стратегический план ИТ PO2..PO6, PO8, PO9, AI1, DS1 Тактические планы ИТ PO2..PO6, PO9, AI1, DS1 Портфель ИТ проектов PO5, PO6, PO10, AI6 PO5, PO6, PO9, DS1 Портфель ИТ услуг DS2 Стратегия аутсорсинга ИТ AI5 Стратегия приобретений в сфере ИТ

Результаты ИТ процесса 28

Представление ИТ процессов PO1. Разработка стратегического плана развития ИТ

Дирек

Владе лец би знес п роцес са Руков одите ль экс систем плуат ации Главн ы систем й архитекто р ИТ Руков одите ль раз ПО работ ок Руков од админ итель истра ции И Т Руков одите ль пр офиса оектно го Специ алист ы риска м и бе по аудиту, зопас ности

У/О

Определить критические зависимости и текущую эффективность

У/О

Разработать стратегический план ИТ

Разработать тактические планы ИТ

Провести анализ портфеля инвестиционных программ и управлять портфелем проектов и услуг ИТ

И – Информированным

Действия

ИТ тор по

К – Консультирующим

Высш ее рук о

У – Утверждающим/ Утверждающим/Подотчетным

водст во

Финан совый дирек тор

Обеспечить взаимосвязь бизнес целей и ИТ целей

О – Ответственным

Д олж но сти

Прези дент

В таблице ОУКИ показано кто является

Цели и показатели ИТ Цели и показатели определены на 3 уровнях: Цели и показатели ИТ Цели и показатели ИТ процесса Цели и показатели задач ИТ процесса Стандарт определяет два типа показателей: Показатели результативности Показатели эффективности

Цели и метрики ИТ процессов Взаимодействие целей (DS5) Бизнес цель

Цель ИТ

Обеспечить корпоративную репутацию и лидерство

Обеспечить защиту и восстановление ИТ сервисов от атак

Обеспечить защиту и восстановление ИТ сервисов от атак Цели ИТ

Обнаружить и предотвратить несанкционированный доступ Цели ИТ процесса

Цель ИТ процесса

Обнаружить и предотвратить несанкционированный доступ

Определить уязвимости и угрозы ИБ Цели действия 31

Цели и метрики ИТ процессов Показатели результативности (DS5) Бизнес цель

Цель ИТ

Цель ИТ процесса

Цель действия

Обеспечить корпоративную репутацию и лидерство

Обеспечить защиту и восстановление ИТ сервисов от атак

Обнаружить и пресечь несанкционированный доступ

Определить уязвимости и угрозы ИБ

Число инцидентов, вызывающих публичные проблемы

Число ИТ инцидентов, с последствиями для бизнеса

Число инцидентов связанных с получением несанкционированного доступа

Регулярность мониторинга инцидентов безопасности

Показатель результативности

Цели и метрики ИТ процессов Показатели эффективности (DS5) Бизнес цель Обеспечить корпоративную репутацию и лидерство

Цель ИТ

Цель процесса Обнаружить и пресечь несанкционированный доступ

Обеспечить защиту и восстановление ИТ сервисов от атак

способствует

Число ИТ инцидентов, с последствиями для бизнеса

Число инцидентов связанных с получением несанкционированного доступа

Показатель эффективности

Регулярность мониторинга инцидентов безопасности Показатель эффективности

Цели и метрики ИТ процессов Взаимосвязь между процессами, целями и показателями (DS5) Цель действия

Цель процесса

Бизнес цель

Цель ИТ

Обеспечить корпоративную репутацию и лидерство

Обеспечить защиту и восстановление ИТ сервисов от атак

Обнаружить и пресечь несанкционированный доступ

Измеряется через

Число инцидентов, инцидентов, Вызывающих публичные проблемы

Число ИТ инцидентов с последствиями для бизнеса

Число инцидентов с несанкционированным доступом

Показатель результативности

Бизнес показатель

Определить уязвимости и угрозы ИБ

Измеряется через Регулярность мониторинга инцидентов безопасности

Оценить результаты

Усовершенствовать

Определить цели

Показатель эффективности

Показатель результативности

ИТ показатель

Показатель эффективности

Показатель результативности

Показатель процесса

Показатель эффективности

Оценить эффективность

Обеспечить соответствие требованиям корпоративной стратегии

Показатели

Измеряются

Процент одобренных руководством стратегических инициатив к общему числу предложенных инициатив

Сп ос об ст ву ю т

Процесс Разработать стратегию оказания услуг

Измеряются

Процент целей ИТ в стратегии ИТ, которые поддерживают реализацию корпоративной стратегии

устанавливаю т

Цели

ИТ

устанавливаю т

Представление ИТ процессов PO1. Разработка стратегического плана развития ИТ

Сп ос об ст ву ю т

Действие Совместная работа с бизнес руководством по совмещению стратегического планирования ИТ и текущих и будущих потребностей организации

Измеряются Временная задержка между обновлениями стратегических/тактич еских бизнес планов и стратегических и тактических планов ИТ

Модели зрелости ИТ процессов CobiT Используя модели зрелости можно определить: Текущую эффективность организации (где организация находится сейчас) Текущее положение дел в отрасли (сравнение) Корпоративные цели по совершенствованию (где организация желала бы находится) Требуемые меры по совершенствованию от состояния «как есть» к «как должно быть»

Основы моделей зрелости ИТ процессов Модели зрелости ИТ процессов основаны на атрибутах зрелости: Осведомленность и информированность Политики, планы и процедуры Инструментарии и средства автоматизации процесса Навыки и компетенция Ответственность и подотчетность Постановка целей и оценки их достижения

Модели зрелости ИТ процессов CobiT Определенный

Начальный Несуществующий

Повторяющийся

Используемые символы: Текущий статус компании Требования международных стандартов Лучшая практика в данной индустрии Цель компании

Оптимизированный

Управляемый и измеряемый

Описания уровней: 0 Процесс управления не существует 1 Процесс используется разово или в отдельных случаях и не организован 2 Процесс повторяется по образцу 3 Процесс документально оформлен и доведен до сведения участвующих сторон 4 Ведётся мониторинг процесса в измеряемых показателях 5 Лучшие практики внедрены и автоматизированы

Пример модели зрелости ИТ процесса. DS8. Управление службой технической поддержки и инцидентами 0. Несуществующий Управление инцидентами полностью отсутствует Отсутствуют средства поддержки управления инцидентами В организации не осознана необходимость поддержки пользователей 1. Начальный/Повторяющийся эпизодически и бессистемно Организация осознала необходимость в процессе, поддерживаемый средствами и персоналом Стандартизованный процесс отсутствует Руководство не осуществляет текущий контроль за проблемами пользователей и связанными с ними тенденциями Не разработан процесс разрешения инцидентов и эскалации на следующий уровень 2. Повторяющийся но интуитивный Осознана необходимость создания службы поддержки пользователей Помощь пользователям предоставляется на неформализованной основе сотрудниками, обладающими необходимыми знаниями Используются инструментальный средства Нет формального обучения сотрудников участвующих в разрешении инцидентов Отсутствуют стандартные утвержденные процедуры процесса

Пример модели зрелости ИТ процесса. DS8. Управление службой технической поддержки и инцидентами 3. Определенный Осознана необходимость создания службы поддержки пользователей Процедуры оформлены и утверждены Выполняется обучение специалистов участвующих в разрешении инцидентов Существует база данных часто задаваемых вопросов и методов разрешения Контроль процесса ведется в отдельных случаях, нет формализованной системы отчетности Некоторые характеристики инцидентов не фиксируются Пользователи имеют четкие инструкции 4. Управляемый и измеряемый На всех уровнях организации имеется полное понимание выгод от создания службы поддержки пользователей Существует служба поддержки пользователей Инструментальные методы и средства автоматизированы Централизация базовых знаний по инцидентам и возникающим проблемам пользователей Подготовлен и обучен персонал Руководство разрабатывает показатели для оценки эффективности работы службы поддержки пользователей

Требования к формализации ИТ процессов Уровень зрелости «3.Определенный»

Политики, стандарты и процедуры: Процессы, политики и процедуры определены и документированы для всех ключевых деятельностей в процессах. Инструментарий и средства автоматизации/формализации процесса: Разработана документация по использованию и стандартизации средств автоматизации процесса Навыки и квалификация: Требования к квалификациям сотрудников определены и документированы для всех ключевых областей деятельности. Разработан план обучения персонала. Ответственность и подотчетность: Роли в ИТ процессах определены и документированы. Постановка целей и измерений: Цели и метрики измерения эффективности определены и документированы 41

Пример формализованного ИТ процесса DS8 Управление службой поддержки пользователей и инцидентами Выходы/результаты ИТ процесса: Стандартная форма запросов на изменения/запросы на сервис (Requests for change) Статистические отчеты об инцидентах произошедших за период, классифицированных по типам, критичности Отчета об эффективности работы службы поддержи пользователей Отчет о удовлетворенности пользователей (User satisfaction reports)

Входы процесса: Документация пользователя, эксплуатационные и технические материалы, руководства администрирования Реестр объектов конфигурации (Configuration Items register) Соглашения об уровнях обслуживания (SLA) и Соглашения операционного обслуживания (OLA) Требования о предельно допустимых сроков ликвидации инцидентов и аварийных ситуаций Определения инцидентов информационной безопасности Часто задаваемые вопросы (FAQ), список известных проблем и методы решения для сотрудников службы поддержки пользователей

Пример формализованного ИТ процесса DS8 Управление службой поддержки пользователей и инцидентами Политики, Политики, стандарты и процедуры: процедуры:

Положение о единой Службе поддержки пользователей Политика управления инцидентами и проблемам Каталог ИТ сервисов Процедуры эскалации инцидентов и проблем Чек-лист второго уровня поддержки Реестр услуг предоставляемых внешними компаниями, ключевые контакты Инструментарий и средства автоматизации/ автоматизации/формализации процесса: процесса:

Регламент применения автоматизированной системы управления инцидентами Руководство пользователя в случаях проблем и ошибок Навыки и квалификация: квалификация:

Список требуемых навыков и знаний для сотрудников Службы поддержки пользователей План обучения специалистов Службы поддержки пользователей Обучающие материалы для специалистов Службы поддержки пользователей Ответственность и подотчетность: подотчетность:

Утвержденное распределение ролей и ответственностей в процессе Должностные обязанности специалистов службы поддержи пользователей Постановка целей и измерений: измерений:

Карта показателей измерения эффективности службой поддержки пользователей

Метод расчета уровня зрелости ИТ процесса Описание модели зрелости каждого уровня разбивается на отдельные непротиворечивые утверждения. Против каждого утверждения устанавливается мнение: Полностью не согласны (вес 0) Отчасти согласны (вес 0.33) В основном согласны (вес 0.66) Полностью согласны (вес 1) Суммирование весов по каждому уровню модели зрелости и получение среднего значения Нормализация вектора средних значений уровней зрелости Расчет оценки зрелости

Метод расчета уровня зрелости ИТ процесса

Пример оценки уровней зрелости ИТ процессов по CobiT

Представление ИТ процессов

Описание процесса «что» владельцы процесса должны делать Цели контроля

Составляющая задача ИТ процесса с акцентом на контроль

«Входы» процесса

«что» участники процесса должны получить от других процессов

«Результаты» процесса

«что» владельцы процесса должны предоставить другим процессам

Цели и показатели процесса

«как» оценивать процесс

RACI диаграмма

«что» и «кому» делегировать, кто отвечает, кто информируется, с кем выполняется согласование

Модели зрелости

показывают «как» процесс может быть улучшен 47

Управление ИТ на базе CobiT Обеспечить взаимосвязь бизнес и ИТ целей Использовать цели контроля ИТ процессов для внедрения соответствующих процедур и задач процесса Обеспечить вовлеченность и ответственность высшего руководства и бизнес-менеджмента в вопросах управления ИТ Внедрить процессный подход к управлению ИТ: входы результаты ответственности задачи ресурсы процесса Определить показатели ИТ Обеспечить отчетность

Самостоятельное использование CobiT Сопоставьте цели бизнеса и цели ИТ Постройте модель ИТ процессов, задачи ИТ процессов, роли и ответственности, «входы» и «результаты» ИТ процессов Оцените выполнение целей контроля ИТ процессов Оценить зрелость ИТ процессов Определите цели и показатели ИТ, ИТ процессов и их задач

Внедрение CobiT Книга «IT Governance implementation Guide using CobiT and ValIT» Ознакомительный тренинг для менеджмента и детальный тренинг для ответственных за внедрение Первичная диагностика текущего состояния Определение приоритетов и ограничений Разработка плана внедрения Распоряжение о начале внедрения Процесс внедрения Подготовка отчета о результатах и мониторинг Необходимые предпосылки: Инициатива менеджмента Участие бизнес подразделений и внутреннего спонсора Согласование действий с отделом ИТ Учет внешних и внутренних требований

Аудит ИТ с использованием CobiT Книга «IT Assurance Guide using CobiT» Руководство по ИТ аудиту с использование CobiT” включает Концепции оценки рисков Оценка бизнес рисков и ценностей Планирование аудита и рамки проекта Оценка и тестирование контролей Зрелость контролей и процессов (самооценка) Обоснование рисков и отчетность Руководство содержит: Value drivers Risk drivers Test the control objective Test outcome of the control objective 51

Борис Львов, CISA

Андрей Дроздов, CISA, CISM

Партнер

Старший менеджер

BLvov@kpmg.ru

ADrozdov@kpmg.ru

Денис Волков, CISA Старший консультант DVolkov@kpmg.ru

+7 (495) 937 4477 www.kpmg.ru The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. © 2008 ZAO KPMG, a company incorporated under the Laws of the Russian Federation and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in Russia.