Embed Size (px)
Citation preview
www.bluebridge.lt
COBIT 5. DSS procesai
2013.11.15
Aldas Glemža
• 01 Operacijų valdymas
• 02 Kreipinių ir incidentų valdymas
• 03 Problemų valdymas
• 04 Tęstinumo valdymas
• 05 Saugumo paslaugų valdymas
• 06 Veiklos procesų kontrolių valdymas
Teikti, Aptarnauti ir PalaikytiDeliver, Service and Support (DSS)
• Aprašas: Koordinuoti ir vykdyti veiksmus ir operacijas, reikalingus vidinių ir išorinių IT paslaugų teikimo užtikrinimui, įtraukiant iš anksto nustatytas, reguliarias standartines operacijas ir stebėjimo veiksmus.
• Paskirtis: Teikti IT paslaugas pasiekiant numatytus, suplanuotus rezultatus.
• Susiję Bendrieji IT tikslai
– 04 minimizuota su IT susijusi veiklos rizika
– 07 IT paslaugų teikimas pagal veiklos poreikius
– 11 IT turto, išteklių ir gebėjimų optimizavimas
DSS01 Operacijų valdymas. Tikslai
• DSS01.01 Vykdyti reguliarias operacijas Sukurti, palaikyti ir atlikti operacijas – nuosekliai ir patikimai (pvz., įrangos profilaktika, versijų atnaujinimas, rodiklių surinkimas). Sudaryti operacijų grafiką, įskaitant rezervinį kopijavimą. Laikytis informacinio saugumo
• DSS01.02 Valdyti išorines IT paslaugas Palaikyti informacinį saugumą, paslaugų teikimo tęstinumą ir patikimumą, atitikimą SLA ir sutartims, integruoti išorines paslaugas į konfigūracijos, incidentų, pakeitimų, pajėgumų ir pan. valdymą. Planuoti išorinį išorinių paslaugų teikimo auditą
• DSS01.03 Stebėti IT infrastruktūrą susijusius su ja įvykius, išsaugant galimybę rekonstruoti operacijų ir veiksmų eigą (event log), reguliariai juos peržiūrėti, prireikus registruoti incidentus
DSS01 Operacijų valdymas. Praktikos (1)
• DSS01.04 Valdyti aplinką (environment) Vykdyti apsaugą nuo aplinkos poveikio (elektros dingimas, potvyniai, įsilaužimas), vertinti aplinkos poveikio rizikas ir parinkti atitinkamas kontroles, geriausiai prevencines (pvz., modernus DC), stebėti ir tikrinti aplinkos daviklius (vandens, gaisro, drėgnumo, temperatūros ir pan.), reaguoti į jų suveikimą, palaikyti patalpas švarias ir neužgriozdintas, apsidrausti jei tokios kompensuojančios priemonės reikia.
• DSS01.05 Valdyti patalpas (facilities) įtraukiant komunikacijas ir elektros tiekimą, teisinį reguliavimą (pvz., darbuotojų higiena ir saugumas) ir sutartis, rūpintis, kad neliktų visiško pažeidimo taškų „single point offailure“, remontu metu suvaldyti su tuo susijusią riziką, fiksuoti ir spręsti su patalpomis susijusius incidentus tam skirto proceso apimtyje, neviešinti patalpų paskirties (pvz., nereikia saugiklių skydelio su užrašais „ Serverinė. DB klasteris“ )
DSS01 Operacijų valdymas. Praktikos (2)
• Aprašas: Laiku ir efektyviai atsakyti į IT naudotojų kreipinius ir spręsti visų tipų incidentus, atstatyti įprastines paslaugas, registruoti ir patenkinti naudotojų kreipinius; registruoti, tirti, diagnozuoti, eskaluoti ir išspręsti incidentus. Susiję standartai – ISO 20000, 27000, ITIL v3
• Paskirtis: Pasiekti aukštą produktyvumą ir minimizuoti sutrikimus greitai išsprendžiant incidentus ir naudotojų kreipinius.
• Susiję Bendrieji IT tikslai
– 04 minimizuota su IT susijusi veiklos rizika
– 07 IT paslaugų teikimas pagal veiklos poreikius
DSS02 Kreipinių ir incidentų valdymas. Tikslai
• DSS02.01 Nustatyti incidentų ir kreipinių klasifikavimo schemas (taisykles) Sukurti klasifikavimo ir prioritetų nustatymo taisykles, įskaitant problemų registravimą; išskirti žinomus ir dažnus incidentus ir kreipinius, kaupti jų sprendimo žinias ar net savitarnos priemones. Sukurti eskalavimo taisykles - ypač saugumo ir dideliems incidentams
• DSS02.02 Registruoti, klasifikuoti ir suteikti prioritetus kreipiniams ir incidentams Klasifikavimas padeda incidentus nukreipti tinkamiems specialistams, įskaitant ir eskalavimą, o vėliau padeda analizei. Prioritetai suteikiami pagal incidento poveikį (vienas, grupė ar visi naudotojai, bei sutrikusios IT paslaugos svarba)
• DSS02.03 Verifikuoti, patvirtinti ir patenkinti kreipinius , kur įmanoma standartizuojant jų patenkinimą (iki savitarnos – pvz. slaptažodžio keitimas); gauti vadovų patvirtinimą, kai kreipinio patenkinimas susijęs su išlaidomis (pvz., prašoma geresnio monitoriaus)
DSS02 Paklausimų ir incidentų valdymas. Praktikos (1)
• DSS02.04 Tirti, diagnozuoti ir priskirti incidentus sprendimui nustatyti ir užregistruoti incidentų simptomus, naudojant turimą incidentų valdymo istoriją išsaiškinti galimas priežastis ir incidentų sprendimo būdus (įskaitant apėjimus (workaround) paskirti tinkamam sprendėjui. Iki tol nespręstiems incidentams registruoti problemą. Informuoti vadovus pagal poreikį
• DSS02.05 Išspręsti incidentus ir atstatyti normalų paslaugų teikimą dokumentuojant, pritaikant galimus sprendimus (įskaitant apėjimus) ir pasitikrinant ar incidentas išnyko. Būtinai registruoti pritaikytus apėjimus, juos vėliau reikės naikinti. Prireikus, sprendimą įtraukti į žinių bazę
• DSS02.06 Uždaryti incidentus ir kreipinius, jei numatyta, pasitikrinant su naudotojais bei gaunant išsprendimo įvertinimą.
• DSS02.07 Sekti būsenas ir generuoti ataskaitas, jei siekiant visų incidentų išsprendimo, analizuojant tendencijas ir imantis reikiamų priemonių (pvz., padidėjus saugumo incidentų, rengti mokymus)
DSS02 Paklausimų ir incidentų valdymas. Praktikos (2)
• Aprašas: Identifikuoti bei klasifikuoti problemas, nustatyti jų priežastis ir laiku jas išspręsti užkertant kelią pasikartojantiems incidentams. Teikti gerinimo pasiūlymus. Susiję standartai – ISO 20000, ITIL v3
• Paskirtis: Didinti pasiekiamumą ir paslaugų lygį, mažinti kaštus ir gerinti paslaugų naudotojų pasitenkinimą mažinant jiems kylančių operacinių problemų skaičių
• Susiję Bendrieji IT tikslai
– 04 minimizuota su IT susijusi veiklos rizika
– 07 IT paslaugų teikimas pagal veiklos poreikius
– 11 IT turto, išteklių ir gebėjimų optimizavimas
– 14 Patikimos ir naudingos sprendimų priėmimui informacijos turėjimas
DSS03 Problemų valdymas. Tikslai
• DSS03.01 Identifikuoti ir klasifikuoti problemas pasinaudojant incidentų analize, klaidų pranešimais (logs), atsiliepimais ir kitais šaltiniais; nustatyti prioritetus pagal poveikį veiklai (ar paslaugoms), nagrinėti problemas formaliai – apimant visus duomenis ir IT procesus (pvz., pakeitimų valdymą). Klasifikuoti problemas pagal sritis (tinklas, serveriai, KDV, ir pan.), įtraukiant šių sričių specialistus; Informuoti apie problemų būseną, naudoti vieną bendrą problemų registravimo katalogą.
• DSS03.02 Tirti ir diagnozuoti problemas panaudojant atitinkamos srities specialistus ir nustatant pirmines priežastis. Stengtis išsiaiškinti ar problemos yra žinomos kaip klaidos (išoriniuose šaltiniuose), nuolat sekti problemų daromą įtaką,
• DSS03.03 Pasižymėti žinomas klaidas, kai nustatome problemos priežastis ir rasti šioms klaidoms jų pašalinimo ar apėjimo būdus, iš jų išrinkti tinkamiausią kaštų ir skubos prasme.
DSS03 Problemų valdymas. Praktikos (1)
• DSS03.04 Spręsti ir uždaryti problemas nustatant jų sprendimus, nuosekliai pašalinančius problemą ir šiuos sprendimus įgyvendinti pagal Pakeitimų valdymo procesą; informuoti naudotojus apie numatomus sprendimus. Pašalinus problemą ir tuo įsitikinus (ar sutarus dėl problemos minimizavimo) uždaryti ją. Sprendimo patirtų fiksuoti žinių bazėje pagal poreikį. Sekti problemų išsprendimą (vengti ilgai „marinuoti“ problemą)
• DSS03.05 Proaktyviai valdyti problemas renkant ir analizuojant duomenis (incidentus ir pakeitimų kreipinius) bei pagal juos įžvelgiant potencialias problemas. Rengti bendrus pakeitimų, konfigūracijos, incidentų ir problemų valdymo procesų savininkų susitikimus; vertinti problemų poveikį ir jo tendencijas, eskaluoti problemas iki tiekėjų ar kitų trečiųjų šalių, įtraukiant vadovybę.
DSS03 Problemų valdymas. Praktikos (2)
• Aprašas: Sukurti ir palaikyti planą, leidžiantį veiklai ir IT tęsti kritinių veiklos procesų vykdymą ir svarbiausių IT paslaugų veikimą ženklių sutrikimų (avarinių situacijų – elektros dingimas, DB sustojimas) atveju
• Paskirtis: Tęsti veiklą ir pasiekti reikiamą informaciją patenkinančiu organizaciją lygiu ženklių sutrikimų metu.
• Susiję Bendrieji IT tikslai
– 04 minimizuota su IT susijusi veiklos rizika
– 07 IT paslaugų teikimas pagal veiklos poreikius
– 14 Patikimos ir naudingos sprendimų priėmimui informacijos turėjimas
DSS04 Tęstinumo valdymas. Tikslai
• DSS04.01 Identifikuoti veiklos tęstinumo tvarką, tikslus ir apimtį nustatant kritinius veiklos procesus (įskaitant ir išorinius) dėl tęstinumo ar teisinių reikalavimų, išsiaiškinti svarbiausias suinteresuotas šalis nustatant tvarką ir apimtį, apibrėžti ir dokumentuoti juos
• DSS04.02 Palaikyti tęstinumo strategiją išrenkant geriausią alternatyvą leidžiančią efektyviai ir pakankamu lygmeniu išlaikyti gyvybingumą; apsibrėžti galimas situacijas ir sprendimus priimančius asmenis, gauti vadovybės pritarimą pasirinktai strategijai
• DSS04.03 Sukurti ir įgyvendinti veiklos tęstinumo priemones, Sukurti strategiją atitinkantį tęstinumo planą, dokumentuojant priemones irkomunikaciją jame, personalą, patalpas, IT infrastruktūrą, atsakomybę. Įtraukti reikalavimus išoriniams tiekėjams. Akcentuoti rezervinių duomenų valdymą!!! Supažindinti su planu laikantis informacijos saugos!
• DSS04.04 Aiškintis, testuoti ir peržiūrėti veiklos tęstinumo planą siekiant įsitikinti jo realumu ir veiksmingumu, testuojant komunikavimą, rezervines apdorojimopriemones, vertinant testavimo rezultatus ir gerinant planus.
DSS04 Tęstinumo valdymas. Praktikos (1)
• DSS04.05 Peržiūrėti, palaikyti ir gerinti veiklos tęstinumo planą dalyvaujant vadovybei reguliariai ir įvykus didesniems pokyčiams org. Struktūroje, infrastruktūroje, paslaugose ir pan.
• DSS04.06 Vykdyti tęstinumo plano mokymus visam vidiniam ir išoriniam personalui. Reguliariai mokyti atitinkamų procedūrų ir jų vaidmenų jose. Naudoti testavimą ir pratybas.
• DSS04.07 Valdyti rezervines duomenų kopijas nustatant dažnumą, būdą, media ir jos saugojimą, kopijų registravimą, saugumo užtikrinimą. Pasirūpinti Escrow susitarimais. Testuoti ir atnaujinti archuvus ir rezervines kopijas.
• DSS04.08 Vykdyti peržiūras po veiklos tęstinumo atstatymo siekiant įvertinti plsno tinksmumą, nustatant tobulinimo sritis ir atnaujinant planą
DSS04 Tęstinumo valdymas. Praktikos (2)
• Aprašas: Saugoti organizacijos informaciją išlaikant informacinio saugumo riziką sulig priimtinu pagal saugumo tvarką lygiu. Nustatyti informacinio saugumo roles, prieigos teises ir saugumo stebėseną
• Paskirtis: Minimizuoti įtaką veiklai įvykus saugumo incidentams
• Susiję Bendrieji IT tikslai
– 02 IT atitiktis ir pagalba veiklos atitikčiai teisiniams aktams ir reguliavimui
– 04 minimizuota su IT susijusi veiklos rizika
– 10 informacijos, jos apdorojimo infrastruktūros ir taikomųjų sistemų saugumas
DSS05 Saugumo paslaugų valdymas. Tikslai
• DSS05.01 Saugotis nuo žalingos programinės įrangos (malware) naudojant prevencines, detekcines ir korekcines priemones apsaugant duomenis, IS ir technologijas (sisteminės PĮ atnaujinimai, antivirusai, antispam ir pan.). Mokyti naudotojus atpažinti grėsmę, laikytis tvarkų.
• DSS05.02 Valdyti tinklo ir prisijungimų saugumą valdyti prie organizacijos tinklo besijungiančius įrenginius ir tinklo komponentus, filtruoti praeinančią informaciją (IPS), šifruoti perduodamą informaciją, vykdyti įsilaužimo testavimą,
• DSS05.03 Valdyti galinės įrangos (PC, serverių, išmaniųjų telefonų ir pan.) saugumą valdant OS konfigūravimą, nuotolinę prieigą, saugant fiziškai, filtruojant gaunamą informaciją, šifruojant ir prireikus naikinant duomenis, saugiai „atsikratant“ įrangos
• DSS05.04 Valdyti naudotojų autentifikavimą ir loginę prieigą užtikrinant, kad visi naudotojai turi prieigos teises (tik) pagal jų vykdomą veiklą prieigos suteikimą koordinuojant su veiklos procesų savininkais. Registruoti veiklą su aukšto saugumo lygio informacija.
DSS05 Saugumo paslaugų valdymas. Praktikos (1)
• DSS05.05 Valdyti fizinę prieigą prie IT turto (išteklių) nustatant irįgyvendinant patekimo į IT turto dislokavimo patalpas tvarkas ir panaudojant technines priemones šių tvarkų užtikrinimui. Lydėtilankytojus, registruoti įėjimo/išėjimo įvykius
• DSS05.06 Valdyti jautrius dokumentus ir susijusius išvesties įrenginius tokius kaip specialūs blankai, jų spausdinimo įranga, registruojant ir apskaitant dokumentus ir įrangos naudojimą
• DSS05.07 Stebėti su saugumu susijusius įvykius IT infrastruktūroje naudojant įsiskverbimo aptikimo priemones, analizuojant įvykių žurnalus ir užtikrinant, kad saugumo incidentų pobūdis ir charakteristikos būtų žinomos personalui ir leistų juos laiku aptikti ir nagrinėti prioritetine tvarka.
DSS05 Saugumo paslaugų valdymas. Praktikos (2)
• Aprašas: Apibrėžti ir palaikyti reikiamas veiklos procesų kontroles užtikrinančias, kad informacija ir jos apdorojimas vykdomas organizacijoje ar už jos ribų atitinka veiklos keliamus reikalavimus.
• Paskirtis: Išlaikyti vidiniuose ar nuomojamuose (outsourced) veiklos procesuose naudojamos informacijos vientisumą ir informacinių išteklių saugumą
• Susiję Bendrieji IT tikslai.
– 04 minimizuota su IT susijusi veiklos rizika
– 07 IT paslaugų teikimas sutinkamai su veiklos keliamais reikalavimais
DSS06 Veiklos procesų kontrolių valdymas. Tikslai
• DSS06.01 Suderinti veiklos procesuose naudojamas kontroles (valdymo priemones) su organizacijos tikslais identifikuojant ir dokumentuojant kontroles, veiklas ir kitokias priemones naudojamas veiklos procesuose, skirtas informacijos strateginių, operatyvinių, atskaitomybės, suderinamumo ir kitokių reikalavimų užtikrinimui. Šias priemones reikia prioritetizuoti ir priskirti pagrindinėms priemonėms savininkus
• DSS06.02 Valdyti apdorojamą informaciją remiantis rizikų sąvadu užtikrinti apdorojimo tinkamumą (validity), išbaigtumą, tikslumą, savalaikiškumą, saugumą ir t.t. (pvz., įsitikinti, kad visos popierinės paraiškos tinkamai įvestos, reikiamos patvirtintos, patvirtintos apmokėtos ir pareiškėjas konfidencialiai informuotas). Apima ir popierinę informaciją
• DSS06.03 Valdyti roles, atsakomybes, prieigos teises ir įgaliojimų lygius. Svarbu paskirstyti atsakomybę, „neuzurpuoti“ viso proceso vienai rolei. Prieiga turi būti suteikiama tik autorizavus veiklos proceso savininkui ar lygiaverčiam. Pareigų ar atsakomybių pasikeitimai turi įtraukti teisių peržiūrą. Vadovai turi periodiškai peržiūrėti darbuotojų teises
DSS06 Veiklos procesų kontrolių valdymas Praktikos (1)
• DSS06.04 Valdyti klaidas ir išimtis padedant jų išsprendimui, naudojant eskalavimo mechanizmus – restartuojant (iš naujo įvedant dokumentą) tranzakcijas, tinkamai koreguojant duomenis, priimant išimtis ar kitokius būdus. Svarbu registruoti šias klaidas, kad pasiektume jų išsprendimą ir surinktume informaciją giluminių priežasčių radimui ir pašalinimui
• DSS06.05 Užtikrinti informacinių įvykių ir atskaitomybių atsekamumą (traceability) t.y., žinoti kokiu būdu, kokiame etape, prisidedant kuriems darbuotojams informacijos vienetas atsirado, buvo apdorotas ir t.t. Svarbu, nustatyti, kiek laiko tokią informaciją reikia saugoti ir laiku ją pašalinti.
• DSS06.06 Saugoti informacinius išteklius sukuriamus ir naudojamus veikloje tiek elektronine forma (failai, aplikacijos, laikmenos), tiek fizine (pirminiai dokumentai, spausdintos ataskaitos) įskaitant ir informacijos perdavimą. Taikyti duomenų klasifikavimą, ir valdyti prieigą pagal jį. Naudoti priemones, leidžiančias įsitikinti atitiktimi keliamiems reikalavimams, komunikuoti suinteresuotoms šalims apie atitikties pažeidimus.
DSS06 Veiklos procesų kontrolių valdymas Praktikos (2)
![Valdymas, atitinkantis vaiko poreikius - Gelbėkit vaikus · 2015. 6. 3. · vaLDymaS, atitinkantiS vaiko PoReikiuS vaLDymaS, atitinkantiS vaiko PoReikiuS 5 Esama situacija [1. Įvadas]](https://img.pdfslide.tips/doc/110x75/60485b30ed311346561923b3/valdymas-atitinkantis-vaiko-poreikius-gelbkit-vaikus-2015-6-3-valdymas.jpg)
