Embed Size (px)
DESCRIPTION
Управление ИТ рисками. Использование модели COBIT . Михаил Савчук, ООО «ЕвразХолдинг». 06 июня 2013 года. Несколько слов о компании. ИТ без надлежащего управления. Хорошее ИТ. Насколько важны те или иные информационные сервисы или ИТ в целом ? Какая выгода от их использования? - PowerPoint PPT Presentation
Citation preview
Управление ИТ рисками. Использование модели COBIT.
06 июня 2013 годаМихаил Савчук, ООО «ЕвразХолдинг»
2
Несколько слов о компании
3
ИТ без надлежащего управления
4
Хорошее ИТ
Насколько важны те или иные информационные сервисы или ИТ в целом? Какая выгода от их использования?
Что делать если ИТ система недоступна или работает некорректно?
Стоит ли тратить дополнительные ресурсы на покупку, разработку, дополнительную поддержку?
6
Принципы COBIT
ИТ технологии очень сложны. Управление ИТ не обязано быть таким.
7
Движущие силы COBIT
Принципы, политики и системы Процессы Организационные структуры Культура, этика и поведение Информация Сервисы, инфраструктура и
приложения Люди, умения и компетенции
8
Процессы COBIT
EDM Оценка, выбор направления и наблюдениеEDM01 Обеспечение
создания и обновление подхода к руководству
EDM02 Обеспечение создания выгоды
EDM03 Обеспечение оптимизации рисков
EDM04 Обеспечение оптимизации ресурсов
EDM05 Обеспечение прозрачности для
заинтересованных сторон
APO01 Управление подходом к
управлению ИТ
APO02 Управление стратегией
APO03 Управление
архитектурой предприятия
APO04 Управление
инновациями
APO05 Управление портфелем
APO06 Управление бюджетом и затратами
APO07 Управление персоналом
APO08 Управление
отношениями
APO Обеспечение соответствия, планирование и организация
APO09 Управление
соглашениями об услугах
APO10 Управление
подрядчиками
APO11 Управление качеством
APO12 Управление
рисками
APO13 Управление
безопасностью
BAI01 Управление
программами и проектами
BAI02 Управление выявлением требований
BAI03 Управление выбором и
внедрением решений
BAI04 Управление
доступностью и мощностью
BAI05 Управление поддержкой
организационных изменений
BAI06 Управление
изменениями
BAI07 Управление передачей и
приемкой изменений
BAI08 Управление знаниями
BAI Создание, приобретение и внедрение
BAI09 Управление активами
BAI10 Управление конфигурациями
DSS02 Управление
запросами на обслуживание и
инцидентами
DSS03 Управление
проблемами
DSS04 Управление непрерывностью
DSS05 Управление
услугами безопасности
DSS06 Управление контролями
бизнес-процессов
DSS Обслуживание, эксплуатация и сопровождение DSS01
Управление эксплуатацией
MEA Отслеживание, измерение и оценка
MEA01 Отслеживание, подсчет и оценка
производительности и соответствия
MEA02 Отслеживание, подсчет и оценка
системы внутреннего контроля
MEA03 Отслеживание, подсчет и оценка
соответствия внешним требованиями
9
Основные контрольные задачи
Формирование оптимальных показателей портфеля ИТ
проектов
Максимизация выгод при фиксированных затратах
Эффективная реализация ИТ проектов в рамках ожидаемых
бюджетов, сроков и полученных от реализации
выгод
Минимизация затрат при заданном уровне
эффективности
Развитие
Использование существующих ИТ сервисов
10
Пять почему (пример декомпозиции рисков)
минимизация затрат при заданном уровне эффективности при использовании существующих
ИТ сервисов и услуг
адаптации существующих ИТ услуг к изменяющимся бизнес требованиям
эффективности масштабирования существующих ИТ услуг (например, в части изменения количества
пользователей, географии и т.д.)
эффективности обработки транзакций при увеличении количества пользователей и данных
11
Меры по компенсации рисков
Невозможность обработки транзакций при увеличении количества пользователей и данных
APO03. Управление архитектурой предприятияСоздание архитектуры, основанной на принципах масштабируемости и гибкости (TOGAF); BAI03. Управление выбором и внедрением решенийУправление инфраструктурой (COBIT: Enabling process); BAI04. Управление доступностью и мощностьюПланирование и управление проблемами с мощностью и производительностью (ISO/IEC 20000, ITIL)
12
Уровни зрелости ИТ процессов
0 Отсутствующий. 1 Начальный. 2 Повторяемый, но интуитивный. 3 Определенный. 4 Управляемый и измеримый. 5 Оптимизируемый.
Целевой уровень зрелости определяется задачами бизнеса и рисками
13
Саммари
Контрольные задачи высшего,
среднего и низшего уровней
Связанные ИТ риски
Необходимые к реализации ИТ
процессы и уровень зрелости
Стандарты, организационная структура, потоки
информации
Больше информации на www.isaca.org
COBIT 5 COBIT 5: Enabling Processes
COBIT 5 Implementation
COBIT 5 for Information Security
14
Спасибо за внимание
Михаил Савчук, CIA, CISAРуководитель блока внутреннего аудита по ИТ ООО «ЕвразХолдинг»
e-mail: [email protected]
