Úvod do COBIT

Marek Rychlý

Vysoké ucení technické v BrneFakulta informacních technologií

Ústav informacních systému

Prednáška pro ISE9. brezna 2015

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 1 / 37

Obsah

1 ÚvodOpakování – ITILCíle prednášky – COBIT

2 Control Objectives for Information and Related Technology (COBIT)IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

3 Shrnutí a záver

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 2 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

Opakování – ITILCíle prednášky – COBIT

Opakování: ITIL

ITIL je procesne orientovaný rámec pro IT Service Management(tj. rámec pro správu a poskytování IT služeb v organizaci)

ITIL je založený na „best practices“(popisuje, jak spravovat IT služby, tj. jak zavést odpovídající procesy, funkce a role)

ITIL v3 a ITIL 2011 je popsán v peti knihách dle životního cyklu služby

Service Strategy (strategie služeb)Service Design (návrh služeb)Service Transition (zavedení služeb)Service Operation (provoz služeb)Continual Service Improvement (zdokonalování služeb a procesu)

ITIL implementuje v organizaci IT oddelení(za každý proces ITILu odpovédá príslušný IT manager, napr. Security Manager)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 4 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

Opakování – ITILCíle prednášky – COBIT

Cíle prednášky: COBIT

Vysvetlit význam IT Governance a její pozici v Enterprise Governance.

Uvést procesní rámec COBIT a vysvetlit jeho význam pro IT Governance.

Popsat a vysvetlit význam „COBIT Cube“ a „COBIT Model“.

Uvést IT domény COBIT vc. prehledu jejich IT procesu.

Vysvetlit význam „COBIT Maturity Model“.

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 5 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Enterprise Governance & IT Governance

. . . Governance provádí proaktivní rízení(soustred’uje se na strategii, na dosažení strategických cílu)

„Enterprise Governance“ je problematika strategického rízení organizace(patrí sem ruzné metodiky a normy podnikového rízení)

„Business Governance/Performance“ → zisk organizace(cíle: nízké náklady a vysoký zisk, konkurenceschopnost, poptávka, atp.)„Corporate Governance/Conformance“ → znacka organizace(cíle: poctivost, transparentnost, duveryhodnost, zodpovednost, legalita, atp.)

„IT Governance“ rídí IT organizace pro podporu strategie i businessu(vedení/nastavení IT organizace pro podporu CG&BG, úkol vrcholových manažeru)

ITIL cástecne reší „IT Governance“ v rámci Service Strategy a CSI(specializovanejšími rámci jsou napr. COBIT nebo ISO/IEC 38500:2008)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 7 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

IT Service Management vs. IT Governance

operativní rízení × strategické rízení

krátkodobé cíle × dlouhodobé cíle

stabilní IT služby × evoluce IT služeb

reaktivní rízení × proaktivní rízení

provádecí postupy × predpisy a kontroly

IT manažeri, vedoucí týmu × reditelé organizace, CEO

. . . × . . .

„best practices“/ITIL × „control objectives“/COBIT

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 8 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Zodpovednosti IT Governance

Strategic Alignment(mela by podporovat business strategii)

Value Delivery(mela by prinášet hodnotu spotrebitelumslužeb, business jednotnám/zákazníkum)

Risk Management(mela by rídít IT rizika, tj. eliminovat,prenést, prijmout, nebo obejít)

Resource Management(mela by rídít zdroje, tj. aplikace,informace, infrastrukturu a lidi)

Performance Measurement(mela by stanovit meritelné cíle a merit je)

(diagram prevzat z „IT Governance Institute: COBIT 4.1.ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 9 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Úcastníci IT Governance

Vedení/predstavensto(urcuje smer a sleduje vývoj IT, vyžaduje nápravná opatrení)

Business manažeri(urcují business požadavky na IT, zajišt’ují dorucení hodnoty a správy rizik)

IT manažeri(zajišt’ují dodávku optimálních IT služeb dle požadavku businessu)

Interní IT auditori(nezávisle kontrolují, jestli IT poskytuje to, co má poskytovat)

Manažeri rizik a „Compliance Managers“(monitorují oštrení nových rizik a shodu IT se stanovenými predpisy)

Krome toho má na IT Governance vliv rada externích subjektu.(zákazníci, dodavatelé, externí auditori, statní správa a samospráva, atp.)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 10 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Rámec COBITControl Objectives for Information and Related Technology

COBIT je rídící rámec pro IT Governance, kterýje procesne orientovaný,(podporuje procesní rízení, kombinovatelný s ostatními procesními rámci)je zameren na podporu businesu,(IT procesy jsou prímo mapovány na business cíle)definuje zavedené názvosloví/slovník,(zavedená jména procesu, rolí, zodpovedností, atp; podobne jako v ITIL)podporuje politiky a audity, interní i externí(možno propojit s celou radou standardu, legislativních predpisu, atd.)

COBIT zahrnujeCOBIT Framework(definuje 4 domény IT Gov. a v nich 34 IT procesu vc. mapování na business)Control Objectives(u každého z procesu definuje nutné požadavky jeho úspešné implementace)Control Practices(doporucené rízení každého z procesu, aby byly splneny jeho požadavky)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 11 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

COBIT CubeBusiness Requirements × IT Resources × IT Processes

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 12 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Business Requirements

IT procesy podporují business IT službami/informacemi.(napr. informacní systémy i systémy rízení výroby, vše je o informacích)

Požadavky businessu jako „information control criteria“:effectiveness vcasné, správné a pro business užitecné informace

efficiency informace poskytnuté pri optimálním využitím zdroju

confidentiality duverné informace, únik by ohrozil business

integrity presné a úplné informace dle požadavku businessu

availability dostupné informace vždy, když je a bude potreba

compliance odpovídající vnitrním narízením, legislativním predpisum ibusiness zavazkum

reliability spolehlivé informace podporující rozhodování

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 13 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Business Requirements & Information Criteria

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 14 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

IT Resources

IT procesy potrebují k poskytování IT služeb zdroje.

Zdroje pro IT procesy/služby jsou:applications ISs a SW nástroje pro zpracování informací

information vstupní data, zpracovávané a výstupní informace

infrastructure technologie a zarízení jako je HW, OSs, síte, atp.

people interní nebo externí pracovnící a dodavatelé pro provoz

Podobne zdroje také v ITILu, až na chybející „information“.

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 15 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

IT Resources & IT Processes

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 16 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

IT Processes: Domains, Processes, and Activities

Zpracování zdroju IT procesy za úcelem splnení business požadavkuje rozdeleno do 4 domén, skupin IT procesu:

Plan and Organize(pripravuje návrh rešení a dorucení služeb)

Acquire and Implement(navrhuje rešení, tj. pozdejší služby)

Deliver and Support(zprístupnuje zákazníkovi rešení v podobe služeb)

Monitor and Evaluate(sleduje všechny procesy, zajišt’uje plnení plánu)

(diagram prevzat z „IT Governance Institute: COBIT 4.1.ISACA, 2007, ISBN 1-933284-72-2“)

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Procesy se dále rozkládají na dílcí aktivity. COBIT definuje, jak tytoprocesy a jejich aktivity sledovat a rídit (nikoliv, jak je provádet).

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 17 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Plan and Organize (PO)

Formuluje strategii a taktiku IT podpory businessu.

Stanovuje, jak muže IT nejlépe podporit business cíle.

Plánuje, komunikuje a rídí tvorbu strategické vize.

Implementuje organizacní strukturu a technologickou infrastrukturu.

Otázky:

Je stanovena strategie podpory businessu pomocí IT?

Využívá organizace zdroje optimálne?

Rozumí a sohlasí každý v organizaci s IT cíli?

Jsou známá IT rizika a jsou rízena?

Odpovídá kvalita IT komponent/procesu/služeb požadavkum business?

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 18 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Plan and Organize (PO)procesy

PO1 Define a Strategic IT PlanPO2 Define the Information ArchitecturePO3 Determine Technological DirectionPO4 Define the IT Processes, Organisation and RelationshipsPO5 Manage the IT InvestmentPO6 Communicate Management Aims and DirectionPO7 Manage IT Human ResourcesPO8 Manage QualityPO9 Assess and Manage IT Risks

PO10 Manage Projects

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 19 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Acquire and Implement (AI)

Identifikace, vývoj nebo získání, implementace a integrace IT rešení.

Zmeny a údržba existujících systému tak, aby odpovídaly businessu.

Tato doména je podobná skupine ITIL procesu Service Transition.

Otázky:

Prinesou nové projekty rešení, které splnuje business požadavky?

Budou nove rešené projekty dokonceny vcas a s daným rozpoctem?

Budou nove navržené systémy a v budoucnu implementované systemypracovat dle ocekávání?

Budou provedeny plánované zmeny bez ohrožení businessu?

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 20 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Acquire and Implement (AI)procesy

AI1 Identify Automated SolutionsAI2 Acquire and Maintain Application SoftwareAI3 Acquire and Maintain Technology InfrastructureAI4 Enable Operation and UseAI5 Procure IT ResourcesAI6 Manage ChangesAI7 Install and Accredit Solutions and Changes

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 21 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Deliver and Support (DS)

Skutecné zprovoznení a dorucení požadovaných služeb.

Rízení bezpecnosti, obnovitelnosti, správy dat a operacní rízení.

Zajištení uživatelské podpory.

Tato doména je podobná skupine ITIL procesu Service Operation.

Otázky:

Jsou služby poskytovány dle business ocekávání/priorit?

Jsou náklady na IT optimální?

Jsou schopni uživatelé používat IT systému úcelne a bezpecne?

Je zajištena duvernost, integrita a dostupnost služeb/informací?

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 22 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Deliver and Support (DS)procesy

DS1 Define and Manage Service LevelsDS2 Manage Third-party ServicesDS3 Manage Performance and CapacityDS4 Ensure Continuous ServiceDS5 Ensure Systems SecurityDS6 Identify and Allocate CostsDS7 Educate and Train UsersDS8 Manage Service Desk and IncidentsDS9 Manage the Configuration

DS10 Manage ProblemsDS11 Manage DataDS12 Manage the Physical EnvironmentDS13 Manage Operations

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 23 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Monitor and Evaluate (ME)

Sledování a vyhodnocování výkonu zdroju.

Sledování úspešnosti vlastního rízení IT procesu/služeb.

Zajištení dodržení narízení, predpisu a business zavazku.

Zajištení „governance“.

Otázky:

Je sledován výkon IT a umožnena vcasná detekce prípadných problému?

Je vlastní rízení úcinné a nákladove úcelné/optimální?

Muže být výkon IT namapován na business cíle?

Jsou mereny a reportovány rizika, úcinost rízení, plnení politik a výkon?

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 24 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Monitor and Evaluate (ME)procesy

ME1 Monitor and Evaluate IT PerformanceME2 Monitor and Evaluate Internal ControlME3 Ensure Compliance With External RequirementsME4 Provide IT Governance

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 25 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Komponenty COBIT a business&IT cíle

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 26 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Cíle: Business, IT, Process, Activity Goals

COBIT definuje cíle IT procesu a jejich dílcích aktivit.(neríká jak provádet procesy, ale jen jakých cílu dosáhnout/kontrolovat)

Business cíle jsou mapovány na IT cíle a ty již na cíle IT porcesu.(IT cíl podporuje business cíl a je realizován cíli jemu prirazených IT procesu)

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 27 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Merení splnení cílu: Outcome Measures

Pro rízení IT procesu je nutno sledovat dosažení jeho cílu.(aneb „bez merení není rízení“)

COBIT definuje ke každému cíli IT procesu „výstupní“ metriku.(schopnost merit tuto metriku, tzv. „outcome measure“, znací splnení daného cíle)

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 28 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Merení úspešnosti plnení cílu: Performance Metrics

Pro rízení IT procesu je nutno sledovat úspešnost plnení jeho cílu.(tj. výkon daného IT procesu; toto platí nejen pro cíle IT procesu, ale i pro ostantí)

„Výstupní“ metrika cíle udává úspešnost/výkon nadrazeného cíle.(napr. „outcome measures“ u IT cíle urcují/ „drive“ výkon, tzv. „performancemetric“, business cíle)

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 29 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

COBIT Maturity Model

Schopnost specifikace, merení a optimalizace IT procesu ovlivnuje„zralost“ organizace poskytovatele IT služeb.

(diagram prevzat z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN 1-933284-72-2“)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 30 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Struktura popisu IT procesu v COBIT I

Kód, název, doména a slovní popis úcelu procesu.

Oblast IT Governance, do které proces patrí.(strategic alignment, value delivery, risk management, resource management,performance measurement; primárne nebo sekundárne)

„Information control criteria“, které proces implementuje.(effectiveness, efficiency, confidentiality, integrity, availability, compliance, reliability;primárne nebo sekundárne)

Zdroje, které proces využívá nebo spravuje.(applications, information, infrastructure, people)

Jaký business požadavek zajišt’uje, jakým zpusobem, jak to bude mereno.(textem „Control over the IT process of . . . that satisfies the business requirementfor IT of . . . by focusing on . . . is achieved by . . . and is measured by . . . .“)

Seznam „control objectives“, které musí být splneny pro implementaci.

Názvy, zdroje vstupu a cíle výstupu procesu od/do ostatních procesu.

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 31 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Struktura popisu IT procesu v COBIT II

Matici úcastníku procesu, jim prirazených aktivit a druhu zodpovedností.(tzv. „RACI charts“ podle druhu zodpovedností: Responsible, Accountable,Consulted, Informed)

Související cíle a metriky (vstupní i výkonostní).(IT goals, process goasl, activity goals; outcome measures, performance metrics)

Textový popis podmínek jednotlivých úrovní COBIT Maturity Model.(non-existent, initial/ad-hoc, repeatable but intuitive, defined, managed andmeasurable, optimised)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 32 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

IT Service Management vs. IT GovernanceRámec COBIT, model, domény a procesyMerení splnení cílu a COBIT Maturity Model

Ukázka popisu procesu AI6 Manage Changes

— zde má být príloha —

prejít na prílohu

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 33 / 37

ÚvodControl Objectives for Information and Related Technology (COBIT)

Shrnutí a záver

Shrnutí a záver

ITIL je pro IT Service Management, COBIT pro IT Governance.(poskytování IT služeb/„jak“ vs. strategiká podpora businessu IT službami/„proc“)

COBIT definuje 34 procesu ve ctyrech doménách.(každý proces urcen, mimo jiné, cíli, které je nutno splnit)

Procesy jsou v COBITu mapovýny na business požadavky a na zdroje.(7 business požadavku/rídících kritérií služeb a 4 druhy zdroju)

COBIT mapuje business cíle, IT cíle, cíle procesu a cíle aktivit.(definuje vztah dílcích ciností pri poskytování IT služeb až po business hodnoty)

COBIT zavádí ke každému cíli výstupní metriky a metriky výkonu.(implementované výstupní metriky prokazují splnení cíle, zatímco metriky výkonuurcují výkon nadrazeného cíle)

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 35 / 37

Prílohy

Process AI6 Manage Changes

— ZACÁTEK PRÍLOHY —

zpet do prezentace preskocit prílohu

Proces v doméne „Acquire and Implement“.

Jeden z nejduležitejších procesu.

Velice podobný (a kompatibilní) s ITIL procesem Change Management.

Prevzato z „IT Governance Institute: COBIT 4.1. ISACA, 2007, ISBN1-933284-72-2“.

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 36 / 37

93© 2007 IT Governance Institute. All rights reserved. www.itgi.org

PROCESS DESCRIPTION

Control over the IT process of

Manage changes

that satisfies the business requirement for IT of

responding to business requirements in alignment with the business strategy, whilst reducing solutionand service delivery defects and rework

by focusing on

controlling impact assessment, authorisation and implementation of all changes to the ITinfrastructure, applications and technical solutions; minimising errors due to incompleterequest specifications; and halting implementation of unauthorised changes

is achieved by

• Defining and communicating change procedures, including emergency changes• Assessing, prioritising and authorising changes• Tracking status and reporting on changes

and is measured by

• Number of disruptions or data errors caused by inaccuratespecifications or incomplete impact assessment

• Amount of application or infrastructure rework caused by inadequatechange specifications

• Percent of changes that follow formal change control processes

AI6 Manage Changes

All changes, including emergency maintenance and patches, relating to infrastructure and applications within the productionenvironment are formally managed in a controlled manner. Changes (including those to procedures, processes, system and serviceparameters) are logged, assessed and authorised prior to implementation and reviewed against planned outcomes followingimplementation. This assures mitigation of the risks of negatively impacting the stability or integrity of the production environment.

Effec

tivene

ssEff

icienc

yCo

nfide

ntiali

tyInt

egrity

Avail

ability

Compli

ance

Relia

bility

SP P P P

Peop

le

Inform

ation

Appli

catio

nsInf

rastru

cture

STRATE

GIC

ALIGNMENT

PERFO

RM

AN

CE

MEA

SUR

EMEN

T

VALUEDELIVERY

RIS

KM

AN

AG

EMEN

T

RESOURCEMANAGEMENT

IT GOVERNANCE

Primary Secondary

Acquire and ImplementManage Changes AI6

AI6 Manage Changes

AI6.1 Change Standards and Procedures Set up formal change management procedures to handle in a standardised manner all requests (including maintenance and patches)for changes to applications, procedures, processes, system and service parameters, and the underlying platforms.

AI6.2 Impact Assessment, Prioritisation and Authorisation Assess all requests for change in a structured way to determine the impact on the operational system and its functionality. Ensurethat changes are categorised, prioritised and authorised.

AI6.3 Emergency Changes Establish a process for defining, raising, testing, documenting, assessing and authorising emergency changes that do not follow theestablished change process.

AI6.4 Change Status Tracking and Reporting Establish a tracking and reporting system to document rejected changes, communicate the status of approved and in-processchanges, and complete changes. Make certain that approved changes are implemented as planned.

AI6.5 Change Closure and Documentation Whenever changes are implemented, update the associated system and user documentation and procedures accordingly.

CONTROL OBJECTIVES

© 2007 IT Governance Institute. All rights reserved. www.itgi.org94

Acquire and ImplementManage ChangesAI6

95© 2007 IT Governance Institute. All rights reserved. www.itgi.org

MANAGEMENT GUIDELINES

Goals and Metrics

PO1 IT project portfolioPO8 Quality improvement actionsPO9 IT-related risk remedial action plansPO10 Project management guidelines and

detailed project planDS3 Required changesDS5 Required security changesDS8 Service requests/requests for changeDS9-10 Requests for change (where and how

to apply the fix)DS10 Problem records

Change process descriptionChange status reports ME1Change authorisation AI7 DS8 DS10

• Percent of changes recorded and trackedwith automated tools

• Percent of changes that follow formalchange control processes

• Ratio of accepted to refused changerequests

• Number of different versions of eachbusiness application or infrastructure beingmaintained

• Number and type of emergency changesto the infrastructure components

• Number and type of patches to theinfrastructure components

• Number of disruptions or data errorscaused by inaccurate specifications orincomplete impact assessment

• Amount of application rework caused byinadequate change specifications

• Reduced time and effort required to makechanges

• Percent of total changes that areemergency fixes

• Percent of unsuccessful changes to theinfrastructure due to inadequate changespecifications

• Number of changes not formally tracked,reported or authorised

• Number of backlogged change requests

Activities• Defining and communicating change

procedures, including emergency changesand patches

• Assessing, prioritising and authorisingchanges

• Scheduling changes• Tracking status and reporting on changes

IT• Respond to business requirements in

alignment with the business strategy.• Reduce solution and service delivery

defects and rework.• Ensure minimum business impact in the

event of an IT service disruption orchange.

• Define how business functional andcontrol requirements are translated intoeffective and efficient automatedsolutions.

• Maintain the integrity of information andprocessing infrastructure.

Process• Make authorised changes to the IT

infrastructure and applications.• Assess the impact of changes to the IT

infrastructure, applications and technicalsolutions.

• Track and report change status to keystakeholders.

• Minimise errors due to incompleterequest specifications.

Activities

RACI Chart FunctionsCE

O

CFO

Busi

ness

Exe

cutiv

eCI

O

Busi

ness

Pro

cess

Own

erHe

ad O

pera

tions

Chie

f Arc

hite

ctHe

ad D

evel

opm

ent

Head

IT A

dmin

istra

tion

PMO

Com

plia

nce,

Aud

it,

Ris

k an

d Se

curit

y

Develop and implement a process to consistently record, assess and prioritise change requests. A I R C R C C C

Assess impact and prioritise changes based on business needs. I R A/R C R C R C

Assure that any emergency and critical change follows the approved process. I I A/R I R C

Authorise changes. I C A/R R

Manage and disseminate relevant information regarding changes. A I R C R I R C

A RACI chart identifies who is Responsible, Accountable, Consulted and/or Informed.

AI6 Manage Changes

AI1…AI3

Acquire and ImplementManage Changes AI6

From Inputs Outputs ToFrom Inputs Outputs To

measure measure measure

drive

drive

set setGoa

lsM

etric

s

AI6 Manage Changes

Management of the process of Manage changes that satisfies the business requirement for IT of responding to businessrequirements in alignment with the business strategy, whilst reducing solution and service delivery defects and rework is:

0 Non-existent whenThere is no defined change management process, and changes can be made with virtually no control. There is no awareness thatchange can be disruptive for IT and business operations, and no awareness of the benefits of good change management.

1 Initial/Ad Hoc whenIt is recognised that changes should be managed and controlled. Practices vary, and it is likely that unauthorised changes take place.There is poor or non-existent documentation of change, and configuration documentation is incomplete and unreliable. Errors arelikely to occur together with interruptions to the production environment caused by poor change management.

2 Repeatable but Intuitive whenThere is an informal change management process in place and most changes follow this approach; however, it is unstructured,rudimentary and prone to error. Configuration documentation accuracy is inconsistent, and only limited planning and impactassessment take place prior to a change.

3 Defined whenThere is a defined formal change management process in place, including categorisation, prioritisation, emergency procedures,change authorisation and release management, and compliance is emerging. Workarounds take place, and processes are oftenbypassed. Errors may occur and unauthorised changes occasionally occur. The analysis of the impact of IT changes on businessoperations is becoming formalised, to support planned rollouts of new applications and technologies.

4 Managed and Measurable whenThe change management process is well developed and consistently followed for all changes, and management is confident thatthere are minimal exceptions. The process is efficient and effective, but relies on considerable manual procedures and controls toensure that quality is achieved. All changes are subject to thorough planning and impact assessment to minimise the likelihood ofpost-production problems. An approval process for changes is in place. Change management documentation is current and correct,with changes formally tracked. Configuration documentation is generally accurate. IT change management planning andimplementation are becoming more integrated with changes in the business processes, to ensure that training, organisational changesand business continuity issues are addressed. There is increased co-ordination between IT change management and business processredesign. There is a consistent process for monitoring the quality and performance of the change management process.

5 Optimised whenThe change management process is regularly reviewed and updated to stay in line with good practices. The review process reflectsthe outcome of monitoring. Configuration information is computer-based and provides version control. Tracking of changes issophisticated and includes tools to detect unauthorised and unlicensed software. IT change management is integrated with businesschange management to ensure that IT is an enabler in increasing productivity and creating new business opportunities for theorganisation.

MATURITY MODEL

© 2007 IT Governance Institute. All rights reserved. www.itgi.org96

Acquire and ImplementManage ChangesAI6

Prílohy

Process AI6 Manage Changes

— KONEC PRÍLOHY —

zpet na zacátek prílohy

Marek Rychlý Úvod do COBIT — Prednáška pro ISE, 9. brezna 2015 37 / 37