COBIT
Acest articol sau secțiune referitoare la informatică este considerat a fi verificat . |
Obiectivele de control pentru tehnologia informației și conexe ( COBIT ) este un model ( cadru ) pentru managementul tehnologiei informației și comunicațiilor (TIC) creat în 1992 de Asociația Americană a Auditorilor de Sisteme de Informații ( Asociația de Control și Control a Sistemelor de Informații - ISACA ), și Institutul de guvernanță IT (ITGI).
COBIT oferă managerilor , auditorilor și utilizatorilor sistemelor IT o grilă de referință formată din:
- o structură a proceselor funcției IT, cu privire la care sa format consensul experților din sector
- o serie de instrumente teoretice și practice legate de procese
cu scopul de a evalua dacă există o guvernanță IT eficientă sau de a oferi îndrumări pentru stabilirea acesteia.
Modelul COBIT (în versiunea în limba engleză) este public și poate fi descărcat gratuit. Există, de asemenea, o versiune italiană; mai multe detalii despre disponibilitatea documentelor și despre cum să le obțineți sunt în secțiunea Cum se obține COBIT .
Caracteristici
COBIT a fost publicat pentru prima dată în 1996. Misiunea sa este de a „cerceta, dezvolta, face publicitate și promova un set internațional de obiective generale de control al acceptării pentru utilizare zilnică de către manageri și auditori” .
Companiile trebuie să îndeplinească cerințele de calitate, fiabilitate și securitate ale organizației lor IT urmărind obiective de eficacitate, adică trebuie:
- verificați funcția IT pentru a furniza informațiile de care are nevoie compania
- gestionați riscurile care afectează resursele IT
- asigurați-vă că funcția IT își atinge obiectivele și că acestea sunt în ton cu obiectivele afacerii
De asemenea, trebuie să urmărească obiective de eficiență, evaluând maturitatea proceselor și măsurând performanța funcției IT.
Modelul COBIT își propune să răspundă la aceste nevoi:
- Furnizarea unei legături între obiectivele funcției IT și obiectivele de afaceri
- Organizarea activităților funcției IT conform unui model de proces general acceptat
- Definirea obiectivelor de control care trebuie utilizate în management
- Furnizarea unui model de maturitate pe baza căruia să evalueze maturitatea proceselor IT
- Prin definirea obiectivelor măsurabile ( obiective ) în funcție de valori bazate pe principiile tabloului de bord echilibrat
COBIT 4.1 împarte controlul funcției IT în patru domenii: Planificare și organizare ( Plan și organizare ), Achiziție și implementare ( Achiziționare și implementare ), Livrare și asistență ( Livrare și asistență ), Monitorizare și evaluare ( Monitorizare și evaluare ). În cele patru domenii există un total de 34 de procese, care în versiunea 4.1 se referă la un total de 210 obiective de control; acestea din urmă au o importanță centrală în COBIT, până la punctul de a da modelului numele său.
Versiuni
COBIT a văzut cinci lansări majore:
- În 1996 a fost lansată prima ediție COBIT.
- În 1998 s-au adăugat „Orientările de management”.
- În 2000 a fost distribuită cea de-a treia ediție.
- În 2003, a fost disponibilă o ediție online.
- În decembrie 2005 a fost lansată cea de-a patra ediție
- În mai 2007 este lansată o actualizare (4.1) a celei de-a patra ediții.
- Cea de-a cincea ediție, COBIT 5, a fost lansată în 2012, consolidând și integrând cadrele COBIT 4.1, Val IT 2.0 și Risk IT.
Structura COBIT 4.1
COBIT cuprinde patru domenii :
- Planificare și organizare ( planificați și organizați )
- Achiziționați și implementați
- Livrare și asistență ,
- Monitorizează și evaluează
Cele 34 de procese sunt localizate în domenii, fiecare dintre acestea incluzând o serie de activități cu obiective specifice (obiectivul activității ).
Obiective de control
Obiectivele specifice de control sunt definite pentru fiecare proces. În plus, există două seturi de obiective de control „generale” aplicabile fiecărui proces:
- primul set se referă la procesele în sine (acestea sunt controale identificate cu acronimul PC n - Controlul procesului n )
- al doilea set se referă la datele de intrare și ieșire pentru procese (acestea sunt controale identificate cu acronimul AC n - Controlul aplicației n )
Conform modelului, realizarea obiectivelor de control garantează un nivel rezonabil de încredere în ceea ce privește realizarea obiectivelor corporative legate de proces și prevenirea riscurilor asociate procesului în sine.
Modelul nu dictează neapărat realizarea fiecărui obiectiv de control. Conducerea companiei poate decide ce controale sunt aplicabile fiecărui proces în cadrul companiei, care vor fi implementate și cum, sau invers, poate risca să nu le implementeze.
Procese COBIT 4.1 împărțite pe domenii
Planificați și organizați
Domeniul acoperă aspecte strategice și tactice și își propune să identifice cel mai bun mod în care funcția IT poate contribui la atingerea obiectivelor de afaceri. Scopul este de a înțelege dacă obiectivele funcției IT sunt cunoscute de toată lumea din cadrul organizației, dacă funcția IT este în conformitate cu strategia de afaceri, dacă compania își folosește resursele în mod optim, gestionând corect riscurile și oferind calitatea necesară.
PO1 | Definiți un plan strategic pentru IT |
PO2 | Definiți arhitectura sistemului informațional |
PO3 | Definiți adresele tehnologice |
PO4 | Definiți procesele, organizarea și relațiile IT |
PO5 | Gestionați investițiile IT |
PO6 | Comunicați obiectivele și liniile directoare ale managementului |
PO7 | Gestionați resursele umane IT |
PO8 | Gestionați calitatea |
PO9 | Evaluează și gestionează riscurile IT |
PO10 | Gestionați proiectele |
Achiziționați și implementați
Soluțiile aflate în serviciul strategiei IT trebuie în primul rând identificate, apoi construite sau achiziționate; ulterior, acestea trebuie implementate și integrate în serviciul proceselor de afaceri. În plus, în acest domeniu, gestionarea modificărilor și întreținerea sistemelor, serviciilor și aplicațiilor sunt controlate, întotdeauna compatibile cu obiectivele companiei. Scopul este de a înțelege dacă proiectele vor oferi soluții în conformitate cu așteptările și cu timpul și costurile estimate, dacă vor funcționa corect odată distribuite și dacă metoda de gestionare a schimbării este capabilă să asigure că acestea sunt implementate fără efecte negative asupra operațiunile companiei.
AI1 | Identificați soluții IT |
AI2 | Achiziționați și întrețineți software pentru aplicații |
AI3 | Achiziționați și mențineți infrastructura tehnologică |
AI4 | Activați funcționarea și utilizarea sistemelor IT |
AI5 | Achiziționarea de resurse IT |
AI6 | Gestionați modificările |
AI7 | Instalați și certificați soluțiile și modificările |
Livrare și asistență
Procesele din domeniul Livrare și asistență se referă la livrarea efectivă a serviciilor, care include, de asemenea, verificarea disponibilității, conformitatea cu nivelurile de servicii și securitatea serviciului în sine, precum și asistența utilizatorilor și gestionarea datelor și a mediului fizic.
Procesele de domeniu asigură furnizarea serviciilor IT în conformitate cu prioritățile de afaceri, realizarea unui management optim al costurilor, personalul capabil să utilizeze sistemele cu cunoștințe despre fapte și în siguranță și că informațiile sunt protejate în ceea ce privește confidențialitatea, integritatea, confidențialitate care le aparține.
DS1 | Definiți și gestionați nivelurile de servicii |
DS2 | Gestionați serviciile terților |
DS3 | Gestionați performanța și capacitatea de producție |
DS4 | Asigurați continuitatea serviciului |
DS5 | Asigurați securitatea sistemelor |
DS6 | Identificați și atribuiți costurile |
DS7 | Antrenează și antrenează utilizatorii |
DS8 | Birou de service și gestionarea incidentelor |
DS9 | Gestionați configurația |
DS10 | Manipulați problemele |
DS11 | Gestionați datele |
DS12 | Gestionați mediul fizic |
DS13 | Gestionați operațiunile |
Monitorizează și evaluează
Este necesară o evaluare periodică și periodică a calității proceselor IT. Procesele din acest domeniu sunt preocupate de verificarea dacă performanța funcției IT este în concordanță cu așteptările conducerii superioare, dacă sistemul de control intern este bine gândit, dacă legăturile dintre performanța funcției IT și obiectivele de afaceri sunt ferme și dacă este asigurată respectarea legilor și reglementărilor.
ME1 | Monitorizați și evaluați performanța IT |
ME2 | Monitorizați și evaluați controalele interne |
ME3 | Asigurați respectarea reglementărilor |
ME4 | Stabilirea guvernanței IT |
COBIT și alte standarde internaționale
Pentru multe standarde internaționale, sunt disponibile documente de cartografiere , adică documente care raportează domeniile acoperite de COBIT cu cele acoperite de celelalte standarde (a se vedea ( EN ) ISACA CobiT Mappings ).
Cu toate acestea, majoritatea acestor documente sunt rezervate membrilor ISACA.
O schemă de comparație între COBIT și alte cadre (reprodusă în figură) a fost dezvoltată de Eric Guldentops, unul dintre părinții modelului COBIT.
COBIT și ITIL
COBIT și ITIL au zone suprapuse, în care aceleași procese sunt analizate din puncte de vedere diferite; nici nu ar putea fi altfel, având în vedere că ambele cadre se referă la ceea ce, într-un sens larg, sunt performanța unei structuri IT.
Pe de o parte, modelul COBIT acoperă procesele de gestionare a serviciilor IT ; pe de altă parte, practicile ITIL consolidate (în cazul ITIL vorbim despre cele mai bune practici ) oferă instrumente și indicații cu privire la modul de îndeplinire a obiectivelor de control indicate de COBIT.
Introducerea recentă a versiunii 3 a ITIL, care abordează probleme specifice strategiei de construcție și livrare a serviciilor, a sporit zonele de suprapunere a modelelor sau, mai bine spus, a mărit zonele în care este posibil să se utilizeze practicile ITIL pentru a satisface obiectivele de control stabilite de COBIT.
O comparație între COBIT și ITIL este conținută într-un document datat mai 2007, editat de experți din itSMF Italia, AIEA și SDA Bocconi. Documentul poate fi descărcat gratuit de pe site-ul AIEA. Rețineți că versiunile comparate sunt COBIT 4.0 și ITIL v2; în ciuda modificărilor substanțiale aduse ambelor cadre în versiunile ulterioare, multe considerații se aplică în continuare.
COBIT, modelul COSO și legea Sarbanes-Oxley
Intrarea în vigoare a legii Sarbanes Oxley în Statele Unite, în iulie 2002, a dus la o creștere substanțială a difuzării COBIT, ca mijloc de realizare a unei guvernări eficiente a funcției IT și, prin urmare, respectarea prevederilor legii.
SEC - Securities and Exchange Commission a indicat în modelul COSO standardul de referință pentru conformitatea cu Sarbanes-Oxley. Publicarea de către ITGI a unui document de corespondență ( mapare ) între procesele COBIT și componentele COSO pe de o parte și obiectivele de control COBIT și controalele COSO pe de altă parte a făcut ca modelul COBIT să fie pe deplin aplicabil pentru verificările de conformitate cu Sarbanes-Oxley.
Cum să obțineți COBIT
COBIT poate fi descărcat de pe pagina de descărcare (EN) a site-ului web ISACA , precum și multe alte documente conexe sunt disponibile pentru descărcare pe model. Pentru a descărca modelul COBIT, este necesară înregistrarea (gratuită) pe site. Alte documente, în special cele referitoare la metodele de utilizare și aplicare a modelului, sunt accesibile numai membrilor ISACA.
Traducerea italiană a standardului este editată de AIEA [1]
Elemente conexe
Alte proiecte
- Wikimedia Commons conține imagini sau alte fișiere pe COBIT
linkuri externe
- ( EN ) ISACA Custodii COBIT
- ( EN ) Forum utilizator COBIT Principalul grup de utilizatori COBIT
- Capitolul italian AIEA al ISACA cu sediul la Milano
- ISACA Roma Capitolul italian al ISACA cu sediul la Roma
Controlul autorității | LCCN (EN) sh2008005383 · GND (DE) 7544194-9 |
---|