Slides explaining COBIT framework and COBIT processes

1. COBIT 4.1
Kontrolni cilji za informacijsko in sorodno
tehnologijo
1
dr. Gregor Polančič ©

2. Razumeti COBIT do stopnje, ko ga lahko učinkovito
uporabimo v službi za informatiko, zahteva veliko
učenja, logičnega razmišljanja, izkušenj
in temeljnega znanja na področju informatike.
2

3. Vsebina
• Predstavitev COBIT-a
• Okvir COBIT-a
• Kako uporabljati COBIT
• Primer COBIT procesa
3

4. COBIT
PREDSTAVITEV
4

5. Kaj je COBIT?
• Angl.: COBIT = Control OBjectives for Information and related Technology
• Slo.: COBIT = Kontrolni cilji za informacijsko in sorodno tehnologijo
• COBIT podpira vodenje informatike tako, da zagotavlja ogrodje, ki
omogoča da:
– so IKT usklajene s poslovanjem podjetja,
– IKT omogočajo poslovanje in maksimizirajo koristi (prednosti, konkurenčnost, dobiček),
– So viri IKT izkoriščeni (aplikacije, infrastruktura, ljudje, storitve, ...),
– Tveganja, ki jih prinaša IKT upravljana (identificirana, nadzorovana, odpravljena, ...).
5

6. Zakaj COBIT
• COBIT je mednarodno sprejeto ogrodje za
notranji nadzor IT.
• COBIT se uporablja v številnih podjetjih kot
ogrodje (osnova) za vodenje informatike in
implementacijo notranjega nadzora.
• COBIT temelji na poslovnih zahtevah.
• COBIT vključuje ključne kontrole in cilje
poslovnih in IT procesov, ki omogočajo
doseganje ciljev organizacije.
• COBIT je usklajen z drugimi dobrimi praksami
in standardi na področju IT
6

7. Komu je COBIT (primarno) namenjen
Pridobitev Pripomoček pri
vrednosti iz notranjih kontrolah
naložb v IKT (utemeljitev mnenj)
Direktorji
Revizorji,
presojevalci
Poslovno vodstvo Zagotavljanje
Pridobitev jamstva potrebnih IT storitev Vodstvo IT
glede upravljanja in na ustrezen način
nadzora IT storitev
7

8. Osnovna filozofija COBIT-a
Poslovni cilji
Poslovni procesi
Informacije
IT viri
• Razpoložljivi IT viri morajo podjetju dostavljati informacije, ki jih potrebuje,
da podjetje dosega želene poslovne cilje.
• COBIT se osredotoča na kaj in ne na kako
Trenutno Cilj
stanje
Pot do cilja (kako?)
(kaj?)
8

9. Osnovne komponente COBIT-a
Kaj potrebujemo
Kaj zaposleni
za izvajanje
pričakujejo od
procesov
IT COBIT
Poslovni cilj
IT viri
Kriteriji za
informacije
IT procesi
Kako je IT
organiziran da
Poslovna strategija izpolnjuje zahteve 9

10. Dimenzije COBIT-ove kocke
10

11. Princip delovanja COBIT-a
Načrtovanje in organizacija
Kaj potrebuje poslovanje
Nabava in vpeljava
Informacije
Poslovanje
IT Viri
Izvedba in podpora
Kaj prejme poslovanje
Spremljanje in vrednotenje
• Uspešnost
• Učinkovitost
• Zaupnost
• Aplikacije • Procesi • Celovitost
• Informacije • Domene procesov • Razpoložljivost
• Infrastruktura • Skladnost
• Ljudje 11
• Zanesljivost

12. 12

13. COBIT
OKVIR
13

14. Osnove COBIT okvirja
• Okvir za kontrolo upravljanja IT določa razloge,
– zakaj je upravljanje IT (vodenje informatike) potrebno,
• Informacije podjetja uspešnost podjetja
• Potrebno je razumeti koristi in tveganja IKT
• Potrebno je sistematično upravljanje IKT
– kdo so udeleženci in
• Zainteresirani znotraj podjetja, ki jih zanima ustvarjanje
vrednosti iz investicij v IKT
• Notranji in zunanji udeleženci, ki izvajajo storitve IKT
• Notranji in zunanji udeleženci, ki so zadolženi za nadzor/tveganje
– kaj je treba s tem okvirom doseči.
• Poslovna usmeritev (poslovni cilji  IT cilji)
• Procesna usmeritev (domene in procesi, ki jih okvir pokriva)
• Skladnost (s standardi, z dobrimi praksami, z zakonodajo)
14

15. Glavne značilnosti COBIT
• Osredotočenost na poslovanje Osnovno načelo
COBIT-a
– Poslovni cilji  IT cilji
– COBIT-ovi informacijski kriteriji
– Viri IT
• Usmerjenost na procese
– Domene:
• načrtujte in organizirajte (Plan and Organize … PO),
• nabavite in vpeljite (Acquire and Implement … AI),
• izvajajte in podpirajte (Deliver and Support … DS),
• spremljajte in vrednotite (Monitor and Evaluate … ME).
• Osnovanost na kontrolah
– Kontrole procesov, poslovne in IT kontrole, splošne kontrole in aplikacijske
kontrole
• Vodenje z meritvami
– Zrelostni modeli (neobstoječe ad Hoc ponovljivo opredeljeno vodeno in
merljivo optimizirano)
15

16. COBIT: Osredotočenost na poslovanje
COBIT-ovi informacijski kriteriji
• Predstavljajo poslovne zahteve po informacijah.
– Za izpolnitev poslovnih ciljev morajo biti informacije podjetja skladne s
kontrolnimi kriteriji:
• Uspešnost (effectiveness) se v prvi vrsti nanaša na informacije, ki vplivajo na
uspešnost doseganja poslovnih ciljev.
• Učinkovitost (efficiency) se nanaša na zagotavljanje informacij z optimalno (najbolj
produktivno in varčno) uporabo virov.
• Zaupnost (confidentiality) se nanaša na varovanje občutljivih informacij pred
nepooblaščenim razkritjem.
• Celovitost (integrity) se nanaša na pravilnost in popolnost informacij.
• Razpoložljivost (availability) se nanaša na informacije, ki morajo biti na razpolago,
kadar se potrebujejo v poslovnih procesih zdaj in v prihodnosti.
• Skladnost (compliance) obravnava uskladitev z zakoni, predpisi in pogodbenimi
dogovori.
• Zanesljivost (reliability) je povezana z zagotavljanjem ustreznih in zanesljivih
informacij za vodstvo.
16

17. COBIT: Osredotočenost na poslovanje
Poslovni cilji in cilji IT
Poslovni cilji podjetja
Poslovni cilji
podjetja, ki jih
omogoča IT
(Poslovni cilji za IT)
• Da bi stranke razumele cilje IT in sistem kazalnikov za IT, je treba vse cilje in sorodne
metrike izraziti v poslovnem jeziku, razumljivem strankam.
• To bo skupaj z uspešno uskladitvijo hierarhične lestvice ciljev zagotovilo, da lahko
poslovni del potrdi, da bo IT (verjetno) podprla cilje podjetja.
17

18. COBIT: Osredotočenost na poslovanje
Viri IT
• Aplikacije:
– avtomatizirani uporabniški sistemi,
– ročni postopki za obdelavo informacij.
• Informacije
– podatki v vseh oblikah,
– vhodni podatki, podatki v obdelavi in izhodni podatki.
• Infrastruktura
– tehnologija in zmogljivosti, ki omogočajo delovanje aplikacij.
– strojna oprema, operacijski sistemi, SUPB, omrežje,
multimedijske tehnologije, komunikacijske tehnologije, ERP, HRM,
CRM, …
• Ljudje
– osebje, ki je potrebno za načrtovanje, organizacijo,
pridobivanje, vpeljevanje, izvajanje, podporo, spremljanje in
vrednotenje informacijskih sistemov in storitev.
– lahko so notranji, zunanji ali pogodbeni sodelavci.
18

19. COBIT: Usmerjenost na procese
• Proces je skupek opravil (delovnih nalog,
aktivnosti) z določenim vrstnim redom izvajanja,
ki pretvarjajo vhode v izhode (energijo,
materiale, informacije).
• Domene procesov v COBIT-u
– Načrtujte in organizirajte
– Nabavite in vpeljite
– Izvajajte in podpirajte
– Spremljajte in vrednotite
• 4 domene IT
– 34 procesov IT
• 210 Kontrolnih ciljev
19

20. Domene procesov v COBIT-u
Načrtujte in organizirajte
• Ta domena zajema strategijo in taktike ter se
nanaša na prepoznavanje načina, kako lahko IT
najbolje prispeva k uresničevanju poslovnih
ciljev.
• Domena običajno obravnava naslednja vprašanja v
zvezi z upravljanjem:
PO1 Opredelite strateški načrt za IT
– Ali sta IT in poslovna strategija usklajeni?
PO2 Opredelite informacijsko arhitekturo
– Ali podjetje optimalno uporablja svoje vire? PO3 Določite tehnološko usmeritev
– Ali vsi v organizaciji razumejo cilje IT? PO4 Opredelite procese, organizacijo in razmerja IT
– Ali podjetje razume tveganja IT in jih upravlja? PO5 Upravljajte investicije v IT
– Ali kakovost sistemov IT ustreza poslovnim potrebam? PO6 Sporočajte cilje in usmeritev vodstva
PO7 Upravljajte človeške vire v sektorju IT
PO8 Upravljajte kakovost
PO9 Ocenjujte in obvladujte tveganja IT
PO10 Upravljajte projekte
20

21. Domene procesov v COBIT-u
Nabavite in vpeljite
• Za uresničitev strategije IT je treba poiskati rešitve IT,
jih razviti ali nabaviti ter jih vpeljati in vključiti v
poslovne procese.
• Razen tega ta domena zajema tudi spremembe in
vzdrževanje obstoječih sistemov kot zagotovitev, da
rešitve še naprej izpolnjujejo poslovne cilje.
• Domena običajno obravnava naslednja vprašanja v
zvezi z upravljanjem:
– Ali novi projekti zagotavljajo rešitve,
ki izpolnjujejo poslovne potrebe? AI1 Določite avtomatizirane rešitve
– Ali so novi projekti izvedeni pravočasno, AI2 Nabavite in vzdržujte aplikacijske programe
kakovostno in v okviru proračuna? AI3 Nabavite in vzdržujte tehnološko infrastrukturo
– Ali novi sistemi delujejo ustrezno, AI4 Omogočite delovanje in uporabo
ko so vpeljani? AI5 Zagotovite IT vire
– Ali vpeljane spremembe ne bodo AI6 Upravljajte spremembe
negativno vplivale na sedanje poslovanje? AI7 Namestite in potrdite rešitve in spremembe
21

22. Domene procesov v COBIT-u
Izvajajte in podpirajte
• Ta domena zajema dejansko izvajanje zahtevanih
storitev
– izvajanje storitev,
– upravljanje varnosti in neprekinjenega poslovanja,
– podpora storitvam za uporabnike,
– upravljanje podatkov in produkcijskih zmogljivosti.
• Običajno obravnava naslednja vprašanja v zvezi z DS1 Opredelite in upravljajte ravni storitve
upravljanjem: DS2 Upravljajte storitve tretje stranke
DS3 Upravljajte delovanje in zmogljivost
– Ali se storitve IT izvajajo v skladu s poslovnimi prednostnimi
DS4 Zagotovite neprekinjenost storitev
nalogami?
DS5 Zagotovite varnost sistemov
– Ali so stroški IT optimizirani?
DS6 Ugotovite in porazdelite stroške
– Ali lahko zaposleni sisteme IT uporabljajo produktivno in varno? DS7 Izobrazite in usposobite uporabnike
– Ali je pri varovanju informacij ustrezno poskrbljeno za zaupnost, DS8 Upravljajte službo za pomoč
celovitost in razpoložljivost? uporabnikom in obvladujte incidente
DS9 Upravljajte konfiguracijo
DS10 Upravljajte probleme
DS11 Upravljajte podatke
DS12 Upravljajte fizično okolje
DS13 Upravljajte delovanje
22

23. Domene procesov v COBIT-u
Spremljajte in vrednotite
• Vse procese IT je treba redno ocenjevati, če
zagotavljajo kakovost in skladnost s kontrolnimi
zahtevami!
• Ta domena obravnava vodenje delovanja, spremljanje
notranje kontrole, regulativno skladnost in upravljanje.
• Domena obravnava naslednja vprašanja v zvezi z
upravljanjem:
– Ali se delovanje IT meri, da se problemi odkrijejo, preden je
prepozno?
– Ali vodstvo zagotavlja uspešne in učinkovite notranje kontrole?
– Ali je zmožnost IT mogoče povezati s poslovnimi cilji?
– Ali so za varnost informacij zagotovljene
kontrole zaupnosti, celovitosti in razpoložljivosti? ME1 Spremljajte in vrednotite delovanje IT
ME2 Spremljajte in vrednotite notranje kontrole
ME3 Zagotovite skladnost z zunanjimi zahtevami
ME4 Zagotovite upravljanje IT
23

24. COBIT: Osnovanost na kontrolah
• COBIT definira
– Kontrolne cilje za vseh 34 procesov
• Opredeljujejo, kaj mora narediti lastnik procesa.
• Zagotavljajo nabor visoko-nivojskih zahtev za vodstvo, ki so namenjene
učinkovitem nadzoru COBIT-ovih procesov.
• So oblikovani tako, da se zagotovi razumno jamstvo, da bodo poslovni cilji
doseženi ter neželeni dogodki preprečeni ali odkriti in popravljeni.
• Kontrolni cilji povečujejo vrednosti ali zmanjšujejo tveganja.
• Vsak COBIT-ov proces IT ima opis procesa in navedbo kontrolnih ciljev.
Na splošno so to značilnosti dobro vodenega procesa.
– Splošne procesne in aplikacijske kontrole
• Nekatere kontrole se nanašajo na vse procese
• Šest splošnih procesnih kontrol
• Šest splošnih aplikacijskih kontrol
24

25. COBIT: Osnovanost na kontrolah
Kontrolni model
• Ko se nastavi sobna
Kontrolni cilj temperatura (standard) za
sistem ogrevanja (proces), bo
sistem ves čas preverjal
(primerjava) sobno
22ºC temperaturo prostora
(kontrolni podatek) ter
opozoril (ukrepanje) sistem
za ogrevanje, naj proizvaja
več ali manj toplote.
Kontrolni Proces
podatek
25

26. COBIT: Osnovanost na kontrolah
Kontrolni cilji procesov
PO1 PO1.1 PO1.2 PO1.3 PO1.4 PO1.5 PO1.6
PO2 PO2.1 PO2.2 PO2.3 PO2.4
PO3 PO3.1 PO3.2 PO3.3 PO3.4 PO3.5
… Peti kontrolni cilj
procesa PO3 v
PO10.1 domeni PO
PO10 PO10.1 PO10.2 PO10.3 … 4
AI1 AI1.1 AI1.2 AI1.3 AI1.4
…
ME4 ME4.1 ME4.2 ME4.3 ME4.4 ME4.5 ME4.6 ME4.7
Splošne
PC1
PC2
PC3
PC4
PC5
PC6
kontrolne
zahteve procesa 26

27. COBIT: Osnovanost na kontrolah
Splošne kontrolne zahteve procesa
• PC1 Cilji procesa
– Za učinkovito izvajanje vsakega procesa IT opredelite in posredujte posebne, merljive,
izvedljive, realne, k rezultatom usmerjene in pravočasne cilje procesa. Poskrbite, da so
povezani s poslovnimi cilji ter da jih podpirajo ustrezne metrike.
• PC2 Lastništvo oz. skrbništvo procesa
– Določite lastnika vsakega procesa IT in jasno opredelite vloge in zadolžitve lastnika
procesa.
• PC3 Ponovljivost procesa
– Zasnujte in vzpostavite vsak ključni proces IT tako, da je ponovljiv in da vedno daje
pričakovane rezultate.
• PC4 Vloge in zadolžitve
– Opredelite ključne dejavnosti in končne rezultate procesa.
• PC5 Politika, načrti in postopki
– Opredelite in posredujte, kako so vse politike, načrti in postopki, ki poganjajo proces IT,
dokumentirani, pregledani, vzdrževani, odobreni, shranjeni, sporočeni in kako se
uporabljajo za usposabljanje.
PC1
PC2
PC3
PC4
PC5
PC6
• PC6 Izboljšanje zmogljivosti procesa
– Določite sklop metrik, ki omogočajo vpogled v rezultate in delovanje procesa.
27

28. COBIT: Osnovanost na kontrolah
Splošne aplikacijske kontrole
• Kontrole, vključene v aplikacije poslovnih procesov, se imenujejo
aplikacijske kontrole. Primeri vključujejo:
– popolnost,
– pravilnost,
– veljavnost,
– avtorizacijo,
– ločevanje nalog.
• Seznam aplikacijskih kontrolnih ciljev
– AC1 Priprava in odobritev izvornih podatkov
– AC2 Zbiranje in vnos izvornih podatkov
– AC3 Preverjanje pravilnosti, popolnosti in verodostojnosti
– AC4 Veljavnost in celovitost obdelave
– AC5 Pregled in uskladitev rezultatov ter odprava napak
– AC6 Overjanje in celovitost transakcije
28

29. COBIT: Osnovanost na kontrolah
Splošne kontrole
• Splošne kontrole so kontrole, vključene v procese in
storitve IT. Primeri vključujejo:
– razvoj sistemov,
– upravljanje sprememb,
– varovanje,
– delovanje računalnikov.
29

30. COBIT: Vodenje na osnovi metrik
• Podjetja morajo meriti, kakšno je njihovo stanje in katere izboljšave so
potrebne.
• COBIT obravnava vodenje na osnovi metrik z/s:
– zrelostnimi modeli, ki omogočajo primerjalno analizo in prepoznavanje
potrebnih izboljšav zmožnosti.
– Za vsakega izmed 34 COBIT-ovih procesov je podan specifičen model zrelosti
na osnovi splošne lestvice zrelosti procesov (vzet iz CMM)
– cilji izvedbe in metrik za procese IT, ki kažejo, kako procesi uresničujejo
poslovne cilje in cilje IT, ter se uporabljajo za merjenje delovanja notranjih
procesov na podlagi principov uravnoteženih kazalnikov.
– cilji aktivnosti (dejavnosti) za omogočanje uspešne izvedbe procesov.
30

31. COBIT: Vodenje na osnovi metrik
Splošni zrelostni model
• 0: Neobstoječe
– Popolna odsotnost kakršnih koli prepoznavnih procesov. Podjetje se
niti ne zaveda, da obstajajo procesi.
• 1: Začetno/ Ad Hoc
– Obstajajo dokazi, da se podjetje zaveda, da procesi obstajajo in da
jih je treba obravnavati. Vendar pa ni standardiziranih procesov,
temveč ad hoc pristopi, ki se uporabljajo za posamezne primere ali
od primera do primera.
• 2: Ponovljivo, vendar intuitivno
– Podjetje je razvilo procese do stopnje, ko različni ljudje, ki opravljajo
enako nalogo, uporabljajo podobne postopke. Obstaja visoka
stopnja zanašanja na znanje posameznikov, zato so verjetne napake.
• 3: Opredeljeno
– Postopki so standardizirani in dokumentirani ter sporočeni prek
usposabljanja. Postopke je treba obvezno upoštevati, vendar je malo
verjetno, da bodo odstopanja ugotovljena.
• 4 :Vodeno in merljivo
– Vodstvo spremlja in meri skladnost s postopki ter ukrepa, kadar
procesi ne delujejo uspešno. Procesi se stalno izboljšujejo in
zagotavljajo dobro prakso. Avtomatizacija in orodja se uporabljajo
omejeno ali razdrobljeno.
• 5: Optimizirano
– Procesi so izboljšani na raven dobre prakse na podlagi rezultatov
nenehnega izboljševanja in primerjanja zrelostnih ravni z drugimi
podjetji. IT se uporablja celovito za avtomatizacijo delovnega toka. 31

32. COBIT: Vodenje na osnovi metrik
Grafična predstavitev zrelostnega modela
32

33. COBIT: Vodenje na osnovi metrik
Dimenzije zrelosti procesa
• Ustrezno kontrolno okolje je
doseženo, če so bili obravnavani
vsi trije vidiki zrelosti
• Kako?
– Kako dobro se proces upravlja
– Splošni zrelostni model
– Primer: proces je definiran.
• Kaj?
– Kaj se dogaja v procesu
– COBIT-ovi kontrolni cilji
– Primer: poslovanje in IT je usklajeno
• Koliko?
– Koliko (delež, globina) so procesi v
podjetju upravljani
– Primer: pod-proces “usklajevanja” še
ni vključen v upravljanje procesa
33

34. Tabela atributov zrelosti upravljanja informacijskih procesov
Ozaveščanje in Politike, načrt in postopki Orodja in Sposobnosti in strokovno Zadolžitev in Postavljanje ciljev in
sporočanje avtomatizacija znanje odgovornost merjenje
1. Organizacija priznava Organizacija uporablja ad hoc Organizacija uporablja Sposobnosti, potrebne za proces, niso Cilji niso jasni, prav tako Cilji niso jasni, prav tako organizacija
potrebo po procesu. pristope k procesom in praksam. nekatera orodja; uporaba opredeljene. organizacija ne opravlja ne opravlja nobenih meritev.
temelji na standardnih namiznih nobenih meritev.
Občasno se obvešča o tej Procesi in politike niso opredeljeni. orodjih. Organizacija nima načrta za usposabljanje,
temi. prav tako ne izvaja nobenega formalnega
usposabljanja.
2. Organizacija se zaveda Pojavljajo se podobni in skupni Organizacija uporablja skupne Organizacija je opredelila minimalne Posameznik prevzame Pojavlja se postavljanje ciljev, Izvajajo se
potrebe po ukrepanju. postopki, vendar so večinoma pristope k uporabi orodij, zahteve glede sposobnosti za kritična zadolžitve in je običajno nekatere finančne meritve, vendar so
intuitivni zaradi strokovnega znanja vendar ti temeljijo na rešitvah, področja. odgovoren za proces, tudi če rezultati znani le višjemu vodstvu.
Vodstvo zaposlene obvešča posameznikov. ki jih je razvilo ključno osebje. to ni formalno dogovorjeno. V Spremljanje je izolirano na posamezna
o splošnih temah. Usposabljanje je zagotovljeno kot odziv na organizaciji vlada zmeda področja in nedosledno.
Nekateri vidiki procesa so ponovljivi Organizacija je morda kupila potrebe in ne na podlagi dogovorjenega glede zadolžitev. Kadar pride
zaradi znanja posameznikov, prav standardna orodja, vendar jih načrta, pojavlja se neformalno do problemov, se običajno išče
tako morda obstajajo dokumenti o verjetno ne uporablja pravilno usposabljanje na delovnem mestu. krivce.
tem in neformalno razumevanje ali pa jih sploh ne uporablja.
politike in postopkov.
3. Organizacija razume Organizacija občasno uporablja Organizacija je opredelila načrt Zahteve glede sposobnosti so opredeljene Zadolžitev in odgovornost za Nekateri cilji in merila glede uspešnosti
potrebo po ukrepanju dobre prakse. za uporabo in standardizacijo in dokumentirane za vsa področja. proces sta opredeljeni, prav so določeni, vendar niso sporočeni po
orodij za avtomatizacijo tako so določeni lastniki organizaciji, prav tako obstaja jasna
Sporočila vodstva so bolj Za vse ključne dejavnosti so procesa. Organizacija je razvila formalen načrt za procesa. Malo verjetno je, da povezava s poslovnimi cilji. Pojavljajo
dokumentirani procesi, politike in usposabljanje, vendar formalno ima lastnik zadostna se procesi merjenja, vendar se ne
formalna in strukturirana.
postopki. Orodja se uporabljajo za njihov usposabljanje še vedno poteka na podlagi pooblastila za opravljanje uporabljajo dosledno. Organizacija je
osnovni namen, vendar morda posameznih pobud. zadolžitev. sprejela zamisel sistema uravnoteženih
niso v skladu z dogovorjenim kazalnikov za IT ter občasno na
načrtom in niso med seboj pobudo posameznikov izvaja analizo
povezana. osnovnega vzroka.
4. Organizacija razume vse Proces je trden in celovit, uporabljajo Orodja so vpeljana na podlagi Zahteve glede sposobnosti se redno Zadolžitev in odgovornost za Uspešnost in učinkovitost se merita,
zahteve. se najboljše notranje prakse. standardiziranega načrta, posodabljajo za vsa področja, za vsa proces sta sprejeti ter se sporočata in sta povezana s poslovnimi
nekatera so bila integrirana s kritična področja je zagotovljena zadostna izvajata na način, ki lastniku cilji ter strateškim načrtom za IT. Na
Organizacija oblikuje Vsi vidiki procesa so dokumentirani in drugimi zadevnimi orodji. strokovnost, spodbuja se certifikacija. procesa omogoči, da v celoti nekaterih področjih je vpeljan sistem
tehnike sporočanja, ponovljivi. Vodstvo je odobrilo in izpolni svoje zadolžitve. uravnoteženih kazalnikov za IT, izjeme
uporabljajo se standardna podpisalo politike. Standardi za Orodja se uporabljajo na Organizacija uporablja izdelane tehnike za Organizacija uporablja sistem ugotavlja vodstvo, analiza osnovnega
komunikacijska orodja. razvoj in vzdrževanje procesov in glavnih področjih za usposabljanje, ki jih izvaja v skladu z nagrajevanja, da motivira vzroka pa je standardizirana. Izvaja se
postopkov so sprejeti in se avtomatizacijo upravljanja načrtom usposabljanja, spodbuja se delitev zaposlene k pozitivnemu stalno izboljševanje.
uporabljajo. procesa in spremljanje kritičnih znanja. Pri tem sodelujejo strokovnjaki za ukrepanju.
dejavnosti in kontrol. vsa notranja področja, prav tako se ocenjuje
uspešnost načrta usposabljanja.
5. Organizacija razume Uporabljajo se zunanje najboljše Po organizaciji se uporablja Organizacija formalno spodbuja stalno Lastniki procesov so Organizacija ima integriran sistem za
zahteve na višji ravni in prakse in standardi. standardiziran sklop orodij. izboljševanje sposobnosti na podlagi jasno pooblaščeni za sprejemanje merjenje izvedbe, ki delovanje IT
upošteva prihodnje možnosti. opredeljenih osebnih ciljev in ciljev odločitev in ukrepanje. povezuje s poslovnimi cilji prek splošne
Orodja so v celoti integrirana z organizacije. Prevzemanje zadolžitev je uporabe sistema uravnoteženih
Dokumentacija o procesih je drugimi sorodnimi orodji, da se
V organizaciji poteka prilagojena avtomatiziranemu porazdeljeno konsistentno po kazalnikov za IT. Vodstvo ves čas
omogoči celovita podpora Usposabljanje in izobraževanja podpirata vseh nivojih v organizaciji. ugotavlja izjeme v vsej organizaciji ter
dejavno obveščanje o raznih delovnemu toku. Procesi, politike in procesu. zunanje najboljše prakse in uporabo
temah na podlagi postopki so standardizirani in izvaja analizo osnovnega vzroka.
najsodobnejših konceptov in tehnik. Delitev Stalno izboljševanje je način življenja.
najnovejših trendov, integrirani, da omogočajo celovito znanja je kultura v podjetju, uporabljajo se
uporabljajo se zrele tehnike upravljanje in izboljševanje. Orodja se uporabljajo za
sporočanja in integrirana podporo izboljšanja procesa in sistemi, ki temeljijo na znanju. Nasveti se
orodja za komuniciranje. za avtomatizirano odkrivanje poiščejo pri zunanjih strokovnjakih in
vodilnih v industriji.
34
izjem pri kontroli.

35. COBIT: Vodenje na osnovi metrik
Merjenje delovanja
• V COBIT-u so cilji in metrike Podjetje
opredeljeni na treh ravneh: 1
– Cilji IT in metrike, ki opredelijo, *
kaj podjetje pričakuje od IT in
Poslovni cilji
kako to meriti.
1..*
– Procesni cilji in metrike, ki
*
opredelijo, kaj morajo ustvariti
procesi IT za podporo ciljev IT in Cilji IT
kako to meriti. 1
– Cilji aktivnosti in metrike, ki *
opredelijo, kaj se mora zgoditi Procesni cilji
znotraj procesa, da se doseže
1
zahtevana storilnost in kako to
meriti. *
Cilji aktivnosti
35

36. COBIT: Vodenje na osnovi metrik
Merjenje delovanja
Hierarhija ciljev
Merila ciljev
Kazalniki delovanja
36

37. COBIT: Vodenje na osnovi metrik
Merjenje delovanja
Usmerjenost Domena
opredelitve COBIT-a
ciljev
(top-down)
Kazalniki
delovanja
Usmerjenost
kazalnikov
delovanja
(bottom-up) 37

38. COBIT: Vodenje na osnovi metrik
Predstavitev ciljev in metrik
38

39. COBIT
KAKO UPORABLJATI COBIT
39

40. Osnovno načelo COBIT-a
Vire IT upravljajo procesi IT z namenom doseganja
ciljev IT, ki izpolnjujejo poslovne zahteve.
40

41. Sestavni deli COBIT-a
• OKVIR COBIT obsega 34 procesov IT, ki opisujejo, kako nadzorovati,
upravljati in meriti vsakega izmed njih.
• Vsak proces se obravnava v štirih delih (~ 4×A4):
– 1. del:
• opis procesa prikazan v kaskadni obliki
• prekrivanje procesa z informacijskimi kriteriji
• sredstva IT in
• ciljna področja upravljanja IT (s črko P za primarni pomen in črko S za sekundarni pomen).
– 2. del vsebuje kontrolne cilje za proces
– 3. del vsebuje smernice za upravljanje, ki vsebujejo:
• vhode in izhode procesa,
• matriko ZOPS,
• cilje in
• metrike.
– 4. del vsebuje zrelostni model za proces
41

42. Povezanost COBIT-ovih sestavnih delov
42

43. Obveznosti lastnika (skrbnika) procesa
• Vhod v proces je to, kar mora
Vhod
lastnik procesa pridobiti od
drugih.
• Kontrolni cilji procesa opisujejo,
kaj mora storiti lastnik procesa.
• Izhodi iz procesa so to, kar mora
lastnik procesa ustvariti.
• Cilji in metrike kažejo, kako je
treba proces meriti.
• Matrika ZOPS opredeljuje, za kaj
Izhod
je treba koga zadolžiti in na
kakšen način.
• Zrelostni model kaže, kaj je
treba storiti za izboljšavo.
43

44. Navigacija po COBIT-ovem okvirju
Vpliv specifičnega Domena
procesa na specifičnega
informacijske procesa
kriterije
Opis procesa v
kaskadni obliki
Sredstva IT
potrebna za
specifični proces
Vpliv specifičnega
procesa na ciljna
področja
upravljanja IT
44

45. COBIT
PRIMER PROCESA DS2
45

46. DS2: Upravljajte storitve tretje stranke
(DS2-Manage third-party services)
Partnerji
Dobavitelji Storitve, ki jih podjetju
zagotavljajo drugi, morajo
izpolnjevati poslovne
zahteve
Potrebujemo uspešen
proces upravljanja s
takšnimi storitvami
Prodajalci
46

47. DS2: Upravljajte storitve tretje stranke
Opis procesa
• Potreba po zagotovitvi, da storitve, ki jih
zagotavljajo tretje strani (dobavitelji,
prodajalci in partnerji), izpolnjujejo
poslovne zahteve, zahteva uspešen
proces za upravljanje storitve tretje
stranke.
• Ta proces se doseže z jasno opredelitvijo
vlog, zadolžitev in pričakovanj v
sporazumih s tretjo stranko ter pregled in
spremljanje takšnih sporazumov glede
uspešnosti in skladnosti.
• Uspešno upravljanje storitev tretje stranke
zmanjšuje poslovna tveganja, povezana z
dobavitelji, ki ne izpolnjujejo svojih nalog.
47

48. DS2: Upravljajte storitve tretje stranke
Opis procesa
Povezava “DS2: Upravljajte storitve
tretje stranke” s/z:
• informacijskimi kriteriji
• IT viri
• ključnimi področji vodenja informatike
48

49. DS2: Upravljajte storitve tretje stranke
Opis procesa v kaskadni obliki
Nadzor nad procesom IT
Ime procesa
Upravljajte storitve tretje stranke
ki izpolnjuje poslovno zahtevo za IT glede
zagotavljanja zadovoljivih storitev tretje stranke, pri čemer morajo biti Najpomembnejši IT cilji
pregledne glede koristi, stroškov in tveganj
z usmerjanjem na
vzpostavitev odnosov in dvostranskih odgovornosti s kvalificiranimi ponudniki storitev tretje
stranke ter spremljanje izvajanja storitev, da se potrdi in zagotovi upoštevanje sporazumov,
kar se doseže
– s prepoznavanjem in kategorizacijo storitev dobavitelja,
– s prepoznavanjem in zmanjševanjem tveganja dobavitelja,
– s spremljanjem in merjenjem uspešnosti dela dobavitelja
ter se meri
• s številom pritožb uporabnikov glede pogodbenega izvajanja storitev,
• z odstotkom glavnih dobaviteljev, ki izpolnjujejo jasno opredeljene zahteve
in ravni storitev,
• z odstotkom glavnih dobaviteljev, ki se spremljajo.
49

50. DS2: Upravljajte storitve tretje stranke
Kontrolni cilji
Zagotavljajo nabor visoko-nivojskih zahtev, ki so namenjene učinkovitem nadzoru
COBIT-ovih procesov.
So oblikovani tako, da se zagotovi razumno jamstvo, da bodo poslovni cilji doseženi
ter neželeni dogodki preprečeni ali odkriti in popravljeni.
50

51. DS2: Upravljajte storitve tretje stranke
Smernice za upravljanje
Vhodi
Matrika ZOPS določa, kdo je:
•Zadolžen (tisti ki izvedejo aktivnosti, lahko več oseb)
Upravljajte storitve tretje stranke
•Odgovoren (za kakovost, rezultate, samo ena oseba)
•Posvetovan (vključen z informacijami)
Izhodi
•Seznanjen (informiran)
51

52. DS2: Upravljajte storitve tretje stranke
Smernice za upravljanje
Upravljajte storitve tretje stranke
Kaj so cilji in metrike na
nivojih IT, procesa in
aktivnosti

53. DS2: Upravljajte storitve tretje stranke
Zrelostni model
Upravljanje procesa Upravljajte storitve tretje stranke, ki izpolnjuje poslovno zahtevo za IT glede zagotavljanja zadovoljivih storitev tretje stranke, pri
čemer morajo biti storitve pregledne glede koristi, stroškov in tveganj, je:
0 Neobstoječe, kadar
Zadolžitve in odgovornosti niso opredeljene. Organizacija nima formalnih politik in postopkov za sklepanje pogodb s tretjimi strankami. Storitve tretje stranke se
ne odobravajo, niti jih vodstvo ne pregleduje. Organizacija nima nobenih dejavnosti za merjenje, prav tako ne zahteva poročanja tretjih strank. Zaradi odsotnosti
pogodbenih obveznosti o poročanju se višje vodstvo ne zaveda kakovosti opravljenih storitev.
1 Začetno/ Ad Hoc, kadar
Vodstvo se zaveda potrebe po dokumentiranih politikah in postopkih za upravljanje tretje stranke, vključno s podpisanimi pogodbami. Organizacija nima
nobenih standardnih pogodbenih pogojev za ponudnike storitev. Merjenje dobavljenih storitev je neformalno in reaktivno. Prakse so odvisne od izkušenj (npr. na
zahtevo) posameznika in dobavitelja.
2 Ponovljivo, vendar intuitivno, kadar
Proces za nadzor ponudnikov storitev tretje stranke, zadevnega tveganja in izvajanja storitev je neformalen. Uporablja se podpisana standardna predloga
pogodbe s standardnimi pogoji prodaje (tj. opis storitev, ki bodo zagotovljene). Na voljo so poročila o dobavljenih storitvah, vendar ne podpirajo poslovnih ciljev.
3 Opredeljeno, kadar
Organizacija ima dobro dokumentirane postopke za upravljanje storitev tretje stranke z jasnimi procesi za preverjanje in pogajanje s ponudniki. Kadar
organizacija sklene sporazum o izvajanju storitev, je razmerje s tretjo stranko povsem pogodbeno. Narava storitev, ki se bodo izvajale, je natančno določena v
pogodbi in vključuje pravne, produkcijske in kontrolne zahteve. Določena je zadolžitev za nadzor storitev tretje stranke. Pogodbeni pogoji temeljijo na
standardnih predlogah. Poslovno tveganje, povezano s storitvami tretje stranke, je ocenjeno in o njem se poroča.
4 Vodeno in merljivo, kadar
Organizacija je določila formalna in standardizirana merila za pogoje izvedbe, vključno z obsegom dela, storitvami/rezultati dela, predpostavkami, roki dobave,
stroški, dogovori glede plačevanja in zadolžitvami. Zadolžitve za upravljanje pogodbe in sodelovanje s prodajalcem so dodeljene. Kvalifikacije, tveganja in delo
ponudnika storitve se redno preverjajo. Zahteve glede storitev so opredeljene in povezane s poslovnimi cilji. Organizacija ima proces za pregledovanje izvedbe
storitev glede na pogodbene pogoje, s čimer zagotovi prispevke za ocenjevanje sedanjih in prihodnjih storitev tretje stranke. V procesu nabave se
uporabljajo transferne cene. Vse sodelujoče stranke poznajo pričakovanja v zvezi s storitvami, stroški in ključnimi točkami. Organizacija ima dogovorjene cilje in
metrike za nadzor ponudnikov storitev.
5 Optimizirano, kadar
Organizacija redno po vnaprej določenem razporedu pregleduje pogodbe, podpisane s tretjimi strankami. Zadolžitev za upravljanje dobaviteljev in kakovosti
opravljenih storitev je dodeljena. Organizacija spremlja dokazila o pogodbeni skladnosti s produkcijskimi, pravnimi in kontrolnimi določbami ter izvaja popravne
ukrepe. Tretja stranka je podvržena rednim neodvisnim pregledom, odziv na njeno delovanje je zagotovljen in se uporablja za izboljšanje izvajanja storitev.
Meritve se spreminjajo kot odziv na spreminjajoče se pogoje poslovanja. Merila podpirajo zgodnje odkrivanje morebitnih težav s storitvami tretje stranke. Izčrpno
in opredeljeno poročanje o doseganju ravni storitev je povezano s plačilom tretji stranki. Vodstvo prilagaja proces pridobivanja in spremljanja storitev tretje
stranke na podlagi meril.

54. COBIT
POENOSTAVLJENA
INTERPRETACIJA PROCESNIH
PODROČIJ
54

55. Procesi domene
“Načrtujte in organizirajte”
• PO1 Opredelite strateški načrt za IT
• PO2 Opredelite informacijsko arhitekturo
• PO3 Določite tehnološko usmeritev
• PO4 Opredelite procese, organizacijo in razmerja IT
• PO5 Upravljajte investicije v IT
• PO6 Sporočajte cilje in usmeritev vodstva
• PO7 Upravljajte človeške vire v sektorju IT
• PO8 Upravljajte kakovost
• PO9 Ocenjujte in obvladujte tveganja IT
• PO10 Upravljajte projekte
55

56. PO1: Opredelite strateški načrt za IT
• Upravljanje virov IT skladno s
poslovno strategijo.
– Poslovni cilji IT cilji
strategija IT
• Trenutne zmogljivost IT
investicije v IT želene
zmogljivosti IT
• Maksimizacija uspešnosti IT s kar
se da učinkovitim delovanjem IT
56

57. PO2: Opredelite informacijsko arhitekturo
• Opredelitev informacijskega
vidika podjetja
– Strukturirani podatkovni viri
– Nestrukturirani podatkovni viri
• Kakovost informacij kakovost
odločanja uspešnost poslovanja
• Organizacija hranjenih informacij
– ponovna uporaba informacij (poveča
se učinkovitost)
– boljša normalizacija informacij
(izboljša se celovitost informacij)
57

58. PO3: Določite tehnološko usmeritev
• Kaj pričakuje poslovanje  kaj
lahko tehnologija ponudi
• Poslovne zahteve informacijske
rešitve in storitve tehnološke
usmeritve
• Ustrezne tehnološke usmeritve
– izboljšanje poslovanja (uspešnost)
– optimizacija poslovanja (učinkovitost)
• Nenehno spremljanje trendov in
standardov na področju IT
58

59. PO4: Opredelite procese, organizacijo in
razmerja IT
• Opredelitev procesov, ki se Ime procesa
Odvisni procesi
Zrelostni nivo
izvajajo v IT
Odgovoren
Skladnost
– Procesi, ki pomagajo izvrševati
strategijo podjetja
1. Pomoč uporabnikom AB 3 ISO 3,8,
– Podporni procesi v IT 7
2. Zagotavljanje CD 3 ISO 4,6,
neprekinjenega delovanja HW 8
• Opredelitev organizacije IT
– Odbor za opredelitev strategije IT
– Nadzorna skupina sektorja IT
– Organizacijska struktura IT
• Vloge, zadolžitve zaposlenih v IT
– ZOPS
• Zadolžen
• Odgovoren
• Posvetovan
• Seznanjen
59

60. PO5: Upravljajte investicije v IT
• Proračun za IT upravljanje
Potrebe po IT
investicij v IT
investicijah (IT virih)
– maksimizacija ustvarjanja vrednosti
– izboljšanje stroškovne učinkovitosti IT
• Upravljanje investicij
– Stroški investicij
– Koristi (donosnost) investicij
Stroški Koristi
– Tveganja investicij
– Prioritete investicij
Opredelitev smiselnosti
in prioritet naložb
60

61. PO6: Sporočajte cilje in usmeritve vodstva
• Vodstvo sporoča poslanstvo, cilje, Kontrolni
aktualne predpise, … Strateška okvir
usklajenost IT s poslovanjem
• Tveganja poslovanja  Vodstvo
tveganja IT
IT oddelek
61

62. PO7: Upravljajte človeške vire v sektorju IT
• Osebje spada med
najpomembnejše (najdražje) IT
vire
• Upravljanje zaposlenih
– Zaposlovanje
– Ugotavljanje sposobnosti in
usposabljanje
– Motivacijski mehanizmi
– Vrednotenje dela
– Odvisnosti od posameznikov
– Spremembe in preklic zaposlitve
• Upravljanje zaposlenih
– učinkovitost in uspešnost
62

63. PO8: Upravljajte kakovost
• Cilj: zagotavljanje stalnega in
merljivega izboljševanja kakovosti
opravljenih storitev IT
• Osredotočenost na stranke 
opredelitev kakovosti  merljivi
kazalniki kakovosti
• Opredelitev standardov kakovosti
63

64. PO9: Ocenjujte in obvladujte tveganja IT
• Opredelitev procesa, ki nenehno
identificira, spremlja, ocenjuje in
minimizira tveganja IT.
• Tveganje  vzroki za tveganje
Tveganja
• Analiza tveganja
– Opis
– Verjetnost
– Vpliv
– Rešitev
Poslovni cilji
Izguba
64

65. PO10: Upravljajte projekte
• Kako se bodo upravljali projektu
IT (projektni pristop)
– Na primer: Prince2
• Orkestracija projektov IT
– Odvisnosti med projekti
– Vrstni red izvajanja projektov
– Prioritete projektov
• Zagotavljanje rezultatov projektov
v okviru dogovorjenih rokov,
stroškov in kakovosti
65

66. Procesi domene
“Nabavite in vpeljite”
• AI1 Določite avtomatizirane rešitve
• AI2 Nabavite in vzdržujte aplikacijske programe
• AI3 Nabavite in vzdržujte tehnološko infrastrukturo
• AI4 Omogočite delovanje in uporabo
• AI5 Zagotovite vire IT
• AI6 Upravljajte spremembe
• AI7 Namestite in potrdite rešitve in spremembe
66

67. AI1: Določite avtomatizirane rešitve
• Funkcionalne in kontrolne
zahteve podjetja
– programske rešitve, storitve
– nabava obstoječih rešitev ali
razvoj lastnih rešitev
• Študije izvedljivosti
ustrezne rešitve ali storitve
– Uspešno zagotavljanje informacij
– Učinkovito pridobivanje informacij
67

68. AI2: Nabavite in vzdržujte aplikacijske
programe
• Proces nabave programske
opreme
– Zahteve (F,N)
– Nabava
– Konfiguriranje
– Namestitev
• Proces razvoja programske
opreme
– Zahteve (F,N)
– Načrtovanje
– Razvoj
– Namestitev
• Proces vzdrževanja programske
opreme
– Upravljanje sprememb
– Nadgradnje
68

69. AI3: Nabavite in vzdržujte tehnološko
infrastrukturo
• Opredeljeni procesi
– Nabavo infrastrukture
– Vpeljavo infrastrukture
– Vzdrževanje infrastrukture
– Testiranje zmogljivosti infrastrukture
• Kakovostna nabava in
vzdrževanje tehnološke
infrastrukture nemoteno in
zanesljivo delovanje aplikacij
69

70. AI4: Omogočite delovanje in uporabo
• Aplikacijske rešitve in storitve (ki
temeljijo na ustrezni tehnološki
infrastrukturi) morajo biti
uporabljane.
• Enostavne za uporabo
– znanje o novih sistemih mora biti
razpoložljivo (dokumentacija,
priročniki, forumi, …)
– usposabljanje
70

71. AI5: Zagotovite vire IT
• Procesi zagotavljanja virov IT
– Postopki nabave
– Izbira dobaviteljev
– Sklenitev in upravljanje pogodb, SLA
• Zahteva po IT virih Procesi
zagotavljanja IT virov
– Pravočasna dostava zahtevanih virov
– Učinkovita dostava zahtevanih virov
71

72. AI6: Upravljajte spremembe
• Sodobno poslovanje
prilagajanje, posodabljanje
(proaktivna informatika)
Stabilnost Prilagodljivost
spremembe poslovanja poslovanja
– Povečanje uspešnosti in učinkovitosti
– Zagotavljanje stabilnosti
• Upravljanje sprememb
– Zahteva po spremembi
– Ocena spremembe in njenega vpliva
– Odobritev
– Izvedba
– Analiza rezultatov spremembe
72

73. AI7: Namestite in potrdite rešitve in
spremembe
• „Namestite in potrdite rešitve in Razvoj ali
spremembe“ vključuje naslednje nabava ali
(pod)procese sprememba
– Usposabljanje
– Postopki testiranja in testna okolja
– Postopki vpeljave
– Postopki migracije podatkov
Testiranje
– Sprejemni test
– Analiza vpeljanega sistema
Produkcijsko
okolje
73

74. Procesi domene
“Izvajajte in podpirajte”
• DS1 Opredelite in upravljajte ravni storitve
• DS2 Upravljajte storitve tretje stranke
• DS3 Upravljajte delovanje in zmogljivost
• DS4 Zagotovite neprekinjenost storitev
• DS5 Zagotovite varnost sistemov
• DS6 Ugotovite in porazdelite stroške
• DS7 Izobrazite in usposobite uporabnike
• DS8 Upravljajte službo za pomoč uporabnikom in obvladujte incidente
• DS9 Upravljajte konfiguracijo
• DS10 Upravljajte probleme
• DS11 Upravljajte podatke
• DS12 Upravljajte fizično okolje
• DS13 Upravljajte delovanje
74

75. DS1: Opredelite in upravljajte ravni storitve
• Opredelitev kataloga storitev
• Sporazumi o ravni storitev (angl.
service level agreement – SLA)
– Uvod v SLA
– Opis storitve SLA
– Odgovornosti strank Stranka 1
– Obseg SLA
– Dosegljivost storitve
– Zanesljivost storitve
– Zmogljivosti storitve IT oddelek
– Varnost
– Finančni vidik, …
• Izvajanje storitev z optimalno
uporabo virov
• Spremljanje in poročanje o
izvajanju storitev
SLA Stranka 2
75

76. DS2: Upravljajte storitve tretje stranke
• Določitev in upravljanje odnosov s
poslovnimi partnerji
– Dobavitelji, prodajalci, partnerji, …
• SLA med IT oddelkom in partnerji SLA
Poslovni
ki nudijo storitve. partner 1
IT oddelek
• Obvladovanje tveganj partnerja
– Izpad storitve partnerja težave pri
delu IT težave pri naših storitvah
• Spremljanje in poročanje o
izvajanju storitev partnerja.
– Stroški, koristi, tveganja SLA Poslovni
partner 2
76

77. DS3: Upravljajte delovanje in zmogljivost
• Katalog storitev
– Katere vire potrebujemo za
posamezne storitve?
– Koliko strankam lahko zagotovimo
določeno storitev?
SLA
Stranka 1
• IT oddelek nudi storitve stranke
povprašujejo in zahtevajo storitve
IT oddelek mora zagotavljati
vire za razpoložljivost storitev.
– Razpoložljivost je opredeljena v SLA
• Upravljanje delovanja in
zmogljivosti
– Analiza trenutnega stanja in SLA Stranka 2
zmogljivosti IT virov
– Napovedi prihodnjih potreb
77

78. DS4: Zagotovite neprekinjenost storitev
• Sodobno poslovanje je lahko zelo
odvisno od IT storitev.
– Razpoložljivost
Razpoložljivost
• Upravljanje neprekinjenega storitve
izvajanja storitev pomaga
zagotavljati razpoložljivost in hitro
obnovo storitev v primeru izpada.
Aktivnosti, ki jih obravnava, so:
– analiza in upravljanje tveganja Stranka 1
– upravljanje in testiranje načrta
postopkov ob izpadih
Razpoložljivost
• Fokusiranje na storitve, ki lahko v storitve
primeru izpada pomenijo
katastrofo za uporabnikov posel. Stranka od
naše stranke 78

79. DS5: Zagotovite varnost sistemov
• Varnost =~ zaupnost, celovitost
razpoložljivost
• Potrebno je zagotoviti varnost IT virov
(ljudi, aplikacij, informacij,
infrastrukture)
– Zaupnost informacij
– Celovitost informacij
• Identifikacija in razumevanje
varnostnih zadev, ranljivosti in groženj.
• Upravljanje avtentikacije in
avtorizacije.
• Testiranje varovanja, upravljanje
incidentov.
79

80. DS6: Ugotovite in porazdelite stroške
• Opredelitev stroškov IT virov (ljudi,
aplikacij, informacij, infrastrukture)
stroški posameznih IT storitev
zaračunavanje IT storitev
• Opredelitev modela
zaračunavanja stroškov
– Pavšalno zaračunavanje,
zaračunavanje po uporabi, …
80

81. DS7: Izobrazite in usposobite uporabnike
• Uspešnost programa
usposabljanja povečanje
uspešnosti in učinkovitosti uporabe
IT storitev
• Identifikacija in analiza potreb po
izobraževanju
• Priprava programa izobraževanja
• Organizacija in izvajanje
posameznih usposabljanj
• Preizkusi in vrednotenje znanja
81

82. DS8: Upravljajte službo za pomoč
uporabnikom in obvladujte incidente
• Pravočasen in učinkovit odziv
na uporabnike IT storitev
opredelitev “Help desk-a”.
• Služba za pomoč
uporabnikom
– Organizacija
– Beleženje poizvedb strank
– Postopki reševanja incidentov
• Incident predstavlja nenačrtovano
prekinitev storitve ali zmanjšanje
nivoja njene kakovosti.
82

83. DS9: Upravljajte konfiguracijo
• Specifična različica IT rešitve, ki se
ponuja specifični stranki, temelji na
unikatni zasnovi elementov
konfiguracije (strojna oprema,
programska oprema, informacije)
• Poznati je potrebno konfiguracijo
vsake različine vsake IT rešitve.
• Upravljanje konfiguracije
– Repozitorij
– Elementi konfiguracije
– Osnovne verzije
– Revizije
83

84. DS10: Upravljajte probleme
• Problem predstavlja nepoznan
vzrok za eno ali več prekinitev
storitev (incidentov).
• Prepoznavanje in razvrščanje
problemov
– Kategorija
– Vpliv
– Nujnost
– Prednost
• Identifikacija vzrokov za težave
• Sledenje problemov in reševanje
problemov.
84

85. DS11: Upravljajte podatke
• Potrebno je zagotavljati
zanesljive in celovite
informacije.
• Upravljanje podatkov
skladno s poslovnimi
zahtevami
– Opredelitev hranjenja, varnostnih
kopiranj in odstranjevanja podatkov
– Postopki uničenja podatkov
– Postopki arhiviranja in restavriranja
podatkov
– Varnostni vidik upravljanja s podatki
85

86. DS12: Upravljajte fizično okolje
• Učinkovito upravljanje fizičnega
okolja zmanjšanje fizičnih
prekinitev povečanje
razpoložljivosti IT virov
• Opredelitev in izbira prostorov za
opremo IT.
• Ukrepi za fizično varnost (kraja,
požar, voda, vibracije, …).
• Odobritev in omejevanje fizičnega
dostopa do IT virov.
• Upravljanje zmogljivosti električne
in komunikacijske infrastrukture.
86

87. DS13: Upravljajte delovanje
• Upravljanje delovanja IT
infrastrukture popolna in
pravilna obdelava podatkov.
• Opredelitev postopkov za
delovanje IT.
• Razporejanje nalog v najbolj
učinkovito zaporedje.
• Spremljanje delovanja IT
infrastrukture in aplikacij.
• Preventivna vzdrževanja.
87

88. Procesi domene
“Spremljajte in vrednotite”
• ME1 Spremljajte in vrednotite delovanje IT
• ME2 Spremljajte in vrednotite notranje kontrole
• ME3 Zagotovite skladnost z zunanjimi zahtevami
• ME4 Zagotovite upravljanje IT
88

89. ME1: Spremljajte in vrednotite delovanje IT
• Uspešno in učinkovito
delovanje IT  spremljanje
delovanja IT
– Opredelitev kazalnikov
delovanja
– Procesi nadzorovanja,
poročanja in ukrepanja
• Nenehno izboljševanje
delovanja
89

90. ME2: Spremljajte in vrednotite notranje
kontrole
• Uspešno in učinkovito
delovanje IT  notranje
kontrole (presoje) procesov v
IT
– Samokontrole
– Kontrole tretje strani
Skladnost izvajanja s
• Notranje kontrole kontrolami (z opisi)
skladnost z opisi procesov,
predpisi, zakonodajo
90

91. ME3: Zagotovite skladnost z zunanjimi
zahtevami
• Prepoznavanje
– vseh veljavnih zakonov,
predpisov in pogodb
– ustreznih ravni skladnosti IT
• Optimizacija procesov IT za
zmanjšanje tveganja
Skladnost izvajanja z
neskladnosti. zakoni, predpisi,
pogodbenimi
zahtevami
91

92. ME4: Zagotovite upravljanje IT
• Zagotovitev upravljanja IT
uspešnost in učinkovitost IT
• Poročanje upravljanju
podjetja o upravljanju IT
– IT strategija
– Tveganja, zmogljivosti
• Opredelitev okvirja
upravljanja IT
Podjetje IT
92

93. Uporabljena literatura
• COBIT Online. Available at:
http://www.isaca.org/Template.cfm?Section=COBIT_Online&Template=/C
ontentManagement/ContentDisplay.cfm&ContentID=15633 [Accessed
March 15, 2010].
• Publishing, V.H., 2007. IT Governance based on Cobit 4.1 - A Management
Guide 3. ed., Van Haren Publishing.
• Hardy, G., 2006. Using IT governance and COBIT to deliver value with IT
and respond to legal, regulatory and compliance challenges. Information
Security Technical Report, 11(1), 55-61.
93