250 likes | 564 Views
COBIT 5 w kontekście ISO 22301 . Zapewnienie ciągłości usług IT oraz odzyskiwanie sprawności po katastrofie. Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r. Plan prezentacji. COBIT – informacje wstępne Historia rozwoju standardu Zastosowanie w Polsce COBIT - Struktura
E N D
COBIT 5w kontekście ISO 22301 Zapewnienie ciągłości usług IT oraz odzyskiwanie sprawności po katastrofie Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r.
Plan prezentacji • COBIT – informacje wstępne • Historia rozwoju standardu • Zastosowanie w Polsce • COBIT - Struktura • Proces zarządzania ciągłością • Zadania menadżera ds. ciągłości działania • Podsumowanie
COBIT 5 Informacje wstępne Control OBjectices for IT and relatedsolutions Początek prac nad standardem w roku 1992 Najnowsze wydanie standardu, czyli COBIT 5, to rok 2012 Obejmuje dodatkowo zarządzanie: ryzykiem, bezpieczeństwem, inwestycjami
Standard COBIT - zastosowanie w POLSCE Stosowany w audycie wewnętrznym i kontroli (banki, domy maklerskie, KNF, NIK,…) Liczne odwołania do standardu COBIT w dokumentach dotyczących cyfryzacji • Przykłady: • Centrum Projektów Informatycznych MSWiA, Zeszyt 1B/2011, str. 9, 36; • (…) Standardy Przedmiotowe. Do tej grupy zaliczamy standardy zarządzania, audytowania i kontroli środowiska informatycznego. Najważniejsze z nich to: • • COBIT (Control Objective for Information and Related Technology), • • CONeCT (Control Objective for Net Centric Technology), • • COEG (Control Objective for Enterprise Governance), • • PRINCE2 (PRoject IN Controlled Environment), • • ITIL (Information Technology Infrastructure Library), • • Normy ISO. • PTI, Izba Rzeczoznawców, Ekspertyza „Realizacja projektów informatycznych przez administrację publiczną na podstawie doświadczeń wynikających z wdrażania działania 1.5 SPO WKP”, 2008 r., str. 5, 7, 36, 38, 49,
COBIT 5 Struktura Podejście procesowe Potrzeby biznesowe Ład korporacyjny Ocenianie Kierowanie Monitorowanie Informacja zwrotna od kierownictwa Zarządzanie Planowanie (APO) Uruchamianie (DSS) Tworzenie (BAI) Monitorowanie (MEA)
COBIT 5 Struktura Domeny w obszarze zarządzania APO(ang. Align, Plan and Organise) – Dostosowanie, planowanie i organizowanie BAI(and. Build, Acquire and Implement) – Tworzenie, nabywanie i wdrażanie DSS(ang. Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie MEA(ang. Monitor, Evaluate and Assess) – Monitorowanie, szacowanie i ocenianie
COBIT 5 Struktura • Elementy opisu procesów • Tabela RACI- sugerowany podział odpowiedzialności za realizację poszczególnych działań w procesach, znacznie szerszy, niż tylko w obszarze IT • R(esponsible)— Kto dostaje zadanie do wykonania? • A(ccountable)—Kto zostanie rozliczony ze skutecznej realizacji zadania? Zasadą jest, że rozliczalność nie może być współdzielona. • C(onsulted)—Kto dostarcza dane wejściowe? • I(nformed)—Kto otrzymuje informacje wyjściowe?
COBIT 5 Struktura Elementy opisu procesów: role w organizacji
COBIT 5 Struktura • Elementy opisu procesów • Cykl życia procesów • Każdy proces przechodzi przez etapy • Definiowania • Tworzenia • Działania • Monitorowania • Dostosowywania/aktualizacji lub • Wycofania • Model oceny dojrzałości procesów bazuje na • ISO/IEC 15504 (SPICE)
COBIT 5 Zarządzanie ciągłością BalanceScore Card – zrównoważona karta wyników Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu
COBIT 5 Zarządzanie ciągłością IT BalanceScore Card – zrównoważona karta wyników IT Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu
COBIT 5 Zarządzanie ciągłością Mierniki
COBIT 5 Zarządzanie ciągłością DSS(Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie Procesy zarządzania: 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciągłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizmami kontrolnymi dla procesów biznesowych
COBIT 5 Zarządzanie ciągłością DSS04 Zarządzanie Ciągłością Odwołanie do innych standardów i dobrych praktyk ISO 22301 musi zostać zaimplementowane
COBIT 5 Zarządzanie ciągłością DSS04 Zarządzanie Ciągłością – kluczowe działania zarządcze DSS04.01 - Definiowanie polityki, celów i zakresu ciągłości biznesowej DSS04.02 Utrzymywanie strategii ciągłości DSS04.03 Opracowanie i wdrożenie reakcji ciągłości biznesowej DSS04.04 Ćwiczenia, testy i przegląd BCP DSS04.05 Przegląd, utrzymanie i doskonalenie planów ciągłości DSS04.06 Szkolenie z planów ciągłości DSS04.07 Wypełnianie założeń dotyczących kopii zapasowych DSS04.08 Przeprowadzanie przeglądu po odzyskiwaniu sprawności
Przydział zadań w poszczególnych procesach dla Menadżera ds. Ciągłości Biznesowej Ład Korporacyjny (Governance) Ma swój udział w większości procesów z tego obszaru Jego udział, to tylko otrzymywanie informacji (I)
Udział Menadżera ds. Ciągłości Biznesowej Domena APO • Otrzymuje informacje oraz jest konsultowany w procesach 01- 02, 06 - 13. • Jest odpowiedzialny (R) w podprocesach: • APO01.07 Zarządzanie ciągłym doskonaleniem procesów • APO01.08 Utrzymanie zgodności z politykami i procedurami • APO02.01 Znajomość kierunków działania organizacji • APO07.01 Utrzymanie odpowiednich kadr • APO07.02 Identyfikacja kluczowego personelu IT • APO07.03 Utrzymanie umiejętności i kompetencji personelu • APO07.04 Szacowanie realizacji zadań na stanowiskach pracy • APO07.05 Planowanie i śledzenie wykorzystania zasobów kadrowych w biznesie i IT • APO07.06 Zarządzenie personelem kontraktowym • APO08.01 Zrozumienie oczekiwań biznesowych • APO11.02 Definiowanie i zarządzanie standardami, praktykami i procedurami jakości • APO11.06 Utrzymanie ciągłego doskonalenia • APO12.01 Gromadzenie danych • APO12.06 Odpowiedź na ryzyko • APO13.03 Monitorowanie i przegląd ISMS Zarządzanie 01 Ramowymi zasadami zarządzania 02 Strategią 03 Architekturą przedsiębiorstwa/ organizacji 04 Innowacjami 05 Portfolio (inwestycyjne) 06 Budżetem i kosztami 07 Kadrami 08 Relacjami 09 Umowami serwisowymi 10 Dostawcami 11 Jakością 12 Ryzykiem 13 Bezpieczeństwem
Udział Menadżera ds. Ciągłości Biznesowej Domena BAI • Otrzymuje informacje oraz jest konsultowany w procesach 01- 05, 07 - 09. • Jest odpowiedzialny (R) w podprocesach: • BAI03.07 Przygotowanie do testowania rozwiązań • BAI05.05 Zapewnienie funkcjonowania i stosowania • BAI05.06 Wbudowanie nowego podejścia • BAI05.07 Utrzymanie zmian • BAI07.01 Ustanowienie planu wdrożenia • BAI07.02 Planowanie konwersji procesów biznesowych, systemów i danych • BAI07.03 Planowanie testów akceptacyjnych • BAI07.04 Ustanowienie środowiska testowego • BAI07.05 Przeprowadzanie testów akceptacyjnych • BAI08.01 Pogłębianie oraz wspieranie kultury dzielenia się wiedzą • BAI08.05 Ocena oraz wycofywanie informacji Zarządzanie 01 Programami i projektami 02 Definiowaniem wymagań 03 Identyfikacją I tworzeniem rozwiązań 04 Dostępnością i wydajnością 05 Umożliwianiem zmian organizacyjnych 06 Zmianami 07 Akceptacją zmian oraz ich wprowadzaniem 08 Wiedzą 09 Aktywami 10 Konfiguracją
Udział Menadżera ds. Ciągłości Biznesowej Domena DSS • Otrzymuje informacje oraz jest konsultowany w procesach 01- 02, 07 - 09. • Jest odpowiedzialny (R) w podprocesach: • DSS04.01 Definiowanie polityki, celów i zakresu ciągłości biznesowej, • DSS04.02 Utrzymywanie strategii ciągłości • DSS04.05 Przegląd, utrzymanie oraz doskonalenie planów ciągłości • DSS04.07 Utrzymanie ustaleń dot. kopii zapasowych • Jest rozliczany (A) za podprocesy: • DSS04.03 Opracowanie i wdrożenie reakcji związanej z ciągłością działania • DSS04.04 Ćwiczenie, testowanie i przegląd BCP • DSS04.06 Przeprowadzanie szkoleń z planów ciągłości • DSS04.08 Przeprowadzanie przeglądu po odzyskaniu sprawności Zarządzanie 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciagłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizamami Kontrolnymi dla procesów biznesowych
Udział Menadżera ds. Ciągłości Biznesowej Domena MEA Monitorowanie, szacowanie i ocena 01 Wykonania oraz dostosowania 02 Systemu kontroli wewnętrznej (zarządczej) 03 Zgodności z wymogami zewnętrznymi • Otrzymuje informacje oraz jest konsultowany w procesach 01- 03 • Jest odpowiedzialny (R) w podprocesach: • MEA02.01 Monitorowanie kontroli wewnętrznych • MEA02.03 Przeprowadzanie samooceny kontroli • MEA02.04 Identyfikacja i raportowanie słabości kontroli • MEA03.02 Optymalizacja odpowiedzi na wymagania zewnętrzne
Podsumowanie Przez dobę policja w całym kraju była sparaliżowana w wyniku awarii strategicznego serwera - - dowiedział się "Dziennik Gazeta Prawna". (fakty.interia.pl)
Dziękuję za uwagę sylwia.wystub@isaca.katowice.pl