Embed Size (px)
Citation preview
1
1
COBITיסודות
03-מהדורה
ארגז הכלים לממשל טכנולוגיית המידע
2
מעגל הכוחות
IT Processes
BusinessRequirements
IT Resources
IT Processes
BusinessRequirements
IT Resources
2
3
ITמסגרות עבודה מק ובלות לניה ול
גוף הפיתוח וגוף יעדי המודל המשתמשים
תחומי ידעמסגרת עבודה
בקרה , פנימיתניהול
סיכונים
COSOCOSO, COSO ERMControl environment, risk assessment, control
activities, information and communication,
monitoring
, ITממשל בקרה
ISACACOBIT FrameworkPlan and Organize ,Acquire and Implement ,Deliver and Support ,Monitor and Evaluate
משרד המסחר (ITOGCתהליכי itSMF, הבריטי
ITILv3service strategy, service design, service
transition, service operation, continual service
improvement
ניהול סיכונים
IT Governance
Institute, ISACA
Risk IT FrameworkIT Risk governance, risk evaluation, risk
response
השאת ערך
מהשקעות IT
ITGIVAL IT FrameworkValue Governance ,Portfolio Management ,
Investment Management
3עמוד
4
ITמסגרות עבודה מק ובלות לניה ול
גוף הפיתוח וגוף יעדי המודל המשתמשים
תחומי ידעמסגרת עבודה
ניהול
פרוי קטים
PMIPMBOKProject Integration Management ,Project Scope
Management ,Project Time Management ,Project Cost
Management ,Project Quality Management ,Project
Human Resource Management ,Project Communications Management ,Project Risk
Management ,and Project Procurement Management
שיפור תהליכ י ם
The Carnegie Mellon
Software
Engineering Institute
CMMIProduct and service development - CMMI for Development (CMMI-DEV) ,Service establishment ,
management ,and delivery - CMMI for Services
)CMMI-SVC) ,Product and service acquisition –
CMMI for Acquisition (CMMI-ACQ )
, ניהול איכ ות
אבטחת מידע
וניהול ש יר ותי
IT
ISO/IECISO 9000
ISO 20000
ISO 27000
אבטחת איכות
IT/ITILניהול ש ירו תי
אבטחת מידע
Prince2אחרי ם
SixSigma
ניהול פרו יקטי ם
מתודולו ג ית איכות במקו ר בת הל יכי י יצו ר
4עמוד
3
5
IT Governance
COBIT4.0/4.1
Management
COBIT3
Control
COBIT2
An business framework from ISACA, at www.isaca.org/cobit
Audit
COBIT1
COBIT 5: Now One Complete
Business Framework for
2005/720001998
Evolu
tion
of
scope
1996 2012
Val IT 2.0(2008)
Risk IT(2009)
5
© 2012 ISACA® All rights reserved.
6
הגדרה
03-מהדורה
COBITהמסייע ביישום נושא הניהול והבקרה , הינו תקן בינלאומי פתוח
אופטימיזציה, תוך תמיכה ביעדים ארגוניים, של מערכות מידע ארגוניות
של השקעות הארגון במערכות המידע וניהול נאות של הסיכונים בסביבה
כל תהליך כולל מספר. תהליכים 34 תחומים וכולל 4התקן מחולק ל . זו
על רקע הצורך ההולך וגובר . יעדי בקרה318כ יש "בסה. יעדי בקרה
מספק אתCOBITה , SOX 404של ארגונים לעמוד בדרישות חוק
תוך התמקדות, מסגרת הבקרה הנדרשת בכדי לאפשר עמידה בחוק זה
. בתהליך העסקי והתבססות על מדידה
,ולקדם מסגרת בקרה מקובלת, לפרסם, ל פתח, לחקור: COBITהחזון של
,י ארגונים" בינלאומית ומעודכנת לממשל טכנולוגית מידע לאימוץ ע
, ולשימוש יום יומי על ידי מנהלי עסקים
.מקצועני טכנולוגית מידע למיניהם ומקצועני ביקורת
4
7
המטרה
COBIT תומך בממשל IT על ידי אספקת מסגרת המבטיחה :
והיעדים העסקייםIT תאימות בין �
מאפשר את הפעילות העסקית וממקסם את תועלתוIT ה �
מנוצלים בצורה אחראיתIT משאבי �
מנוהלים כראויIT סיכוני �
8
SDLCו COBIT
•C ייצור
COBIT
5
9
מרכיבים
10
COBIT מרכיבי
6
11
חמשת עק רו נות המסגרת
11עמוד
12
הפרדת ממשל מהנהלה– 5עק רו ן
12עמוד
7
13
A structure of relationships and processes
to direct and control the enterprise in
order to achieve the enterprise’s goals by
adding value while balancing risk versus
return over IT and its processes.
IT Governance
14
IT Governance is the responsibility of the board of directors
and executive management. an integral part of enterprise
governance and consists of the leadership and organizational
structures and processes that ensure that the organization's IT
sustains and extends the organization's strategies and
objectives. (ITGI)
IT Governance is the system by which the current and future
use of ICT is directed and controlled. It involves evaluating and
directing the plans for the use of ICT to support the
organization and monitoring this use to achieve plans. It
includes the strategy and policies for using ICT within an
organization. (AS8015, the Australian Standard for Corporate
Governance of ICT, ISO/IEC 38500:2008)
הגדרה
14עמוד
8
15
"ניהול של הניהול"•
תיאום אסטרטגי•
מתודולוגיה/מסגרת עבודה•
מנגנונים ארגוניים תומכים•
טווח ארוך•
ציות•
מעקב ובקרה•
" נ יהול"לעומת " ממשל"
15עמוד
16
? למה זה טוב
תמונה מובנת לה נהלה �
אחריות ובע לויו ת ברורות על תהליכים ויעד ים �
וצדדים שלישיים רגול טור יםמסגרת מ קובלת על �
המבוס סת ע ל שפה , העני ןבקרב כל בעלי , תרומה להבנ ה הדדית�משותפת
ומודלים אחרים COSOתאימו ת ל �
ITטיפול בכל מ חזור החיים ובכ ל מרכיבי ממשל �
התאמה טובה למ יקוד הע ס קי �
COBIT באמצעו ת ITממשל
16עמוד
9
17
SOX Section 404
Section 404 of the Act has two parts:
� Section 404(a) describes management’s responsibility for
establishing and maintaining an adequate internal control
structure and procedures for financial reporting. It also
outlines management’s responsibility for assessing the
effectiveness of internal control over financial reporting.
� Section 404(b) describes the independent auditor’s
responsibility for attesting to and reporting on management’s
internal control assessment.
18
IT GovernanceIT Governance
Goals ResponsibilitiesControlObjectives
Requirements
BusinessBusiness ITIT Governance
Information theBusiness Needs to
Achieve Its Objectives
Direction(IT Strategy and Policy)
Information (IT
Control, Risk andAssurance)
How Does COBIT Link to IT Governance?
10
19
חמשת עק רו נות המסגרת
19עמוד
20
גישה כו ללת לארג ונ יי ם – 4עק רו ן
20עמוד
11
21
חמשת עק רו נות המסגרת
21עמוד
22
? מי מעורב. ה ענ ין עמ ידה ב צרכ י בעל י – 1עקרון
� Executive manager
� Business manager
� IT manager
� Project manager
� Developer
� Operations
� User
� Information security officer
� Auditor
12
23
Who needs COBIT ?
� Management needs COBIT
� to evaluate IT investment decisions
� to balance risk and control of investment in an often unpredictable
IT environment
� to benchmark existing and future IT environment
� Users need COBIT
� to obtain assurance on security and controls of products and
services provided by internal and third-parties.
� IS auditors need COBIT
� to substantiate opinions to management on internal controls
� to answer the question: What minimum controls are necessary?
24
חמשת עק רו נות המסגרת
24עמוד
13
25
מסגרת אחת משותפת– 3עק רו ן
25עמוד
26
המשאבים שעומדים
ITלרשות ה
ITונבנים על ידי ה
המשאבים שעומדים
ITלרשות ה
ITונבנים על ידי ה
ציפיות בעלי העניין
ITמ
ציפיות בעלי העניין
ITמ מאורגןITכיצד ה
למתן מענה
לדרישות
מאורגןITכיצד ה
למתן מענה
לדרישות
מעגל הכ וחות
� נתונים
� יישומים
� טכנולוגיה
� מתקנים
� אנשים
� תכנון וארגון
� רכש ויישום
� אספקה ותמיכה
� מעקב והערכה
� אפקטיביות
� יעילות
� סודיות
� שלמות
� זמינות
� התאמה לכללים
� אמינות
משאבי
IT
ITתהליכי דרישות
עסקיות
14
27
Acquire and
Implement
Deliver and
Support
Monitor and
Evaluate
Criteria• Effectiveness
• Efficiency
• Confidentiality
• Integrity
• Availability
• Compliance
• Reliability
• Data
• Application systems• Technology
• Facilities
• People
IT Resources
Business Objectives
Plan and
Organise
COBIT Framework
IT Life Cycle
28
לכסות את כל הפעילות העסקית– 2עקרון
28עמוד
15
29
לכסות את כל הפעילות העסקית– 2עקרון
29עמוד
30
Business Goals
16
31
Business Goals
32
Business Goals
17
33
PO1 Define a strategic IT planPO2 Define the information architecturePO3 Determine the technological directionPO4 Define the IT organisation and relationshipsPO5 Manage the IT investmentPO6 Communicate management aims and directionPO7 Manage human resourcesPO8 Ensure compliance with external requirementsPO9 Assess risksPO10 Manage projectsPO11 Manage quality
AI1 Identify automated solutionsAI2 Acquire and mantain application softwareAI3 Acquire and maintain technology infrastructureAI4 Develop and maintain IT proceduresAI5 Install and accredit systemsAI6 Manage changes
M1 Monitor the processM2 Assess internal control adequacyM3 Obtain independent assuranceM4 Provide for independent audit
DS1 Define service levelsDS2 Manage third-party servicesDS3 Manage peformance and capacityDS4 Ensure continuous serviceDS5 Ensure systems securityDS6 Identify and attribute costsDS7 Educate and train usersDS8 Assist and advise IT customersDS9 Manage the configurationDS10 Manage problems and incidentsDS11 Manage dataDS12 Manage facilitiesDS13 Manage operations
IT RESOURCES
IT RESOURCES
• Data• Application systems• Technology• Facilities• People
• Data• Application systems• Technology• Facilities• People PLAN AND
ORGANISE
PLAN AND
ORGANISE
ACQUIRE AND
IMPLEMENT
ACQUIRE AND
IMPLEMENT
DELIVER AND
SUPPORT
DELIVER AND
SUPPORT
• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Compliance• Reliability
• Effectiveness• Efficiency• Confidenciality• Integrity• Availability• Compliance• Reliability
Criteria
Business ObjectivesCOBITFramework
MONITOR AND
EVALUATE
34
COBIT Processes
Plan andOrganise
Acquire and
Implement
PO1 Define an IT strategic plan.
PO2 Define the information architecture.
PO3 Determine technological direction.
PO4 Define the IT processes, organisation and relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims and direction.
PO7 Manage IT human resources.
PO8 Manage quality.
PO9 Assess and manage IT risks.
PO10 Manage projects.
AI1 Identify automated solutions.
AI2 Acquire and maintain application software.
AI3 Acquire and maintain technology infrastructure.
AI4 Enable operation and use.
AI5 Procure IT resources.
AI6 Manage changes.
AI7 Install and accredit solutions and changes.
18
35
COBIT Processes
Deliver andSupport
Monitor andEvaluate
ME1 Monitor and evaluate IT performance.
ME2 Monitor and evaluate internal control.
ME3 Ensure compliance with external requirements.
ME4 Provide IT governance.
DS1 Define and manage service levels.
DS2 Manage third-party services.
DS3 Manage performance and capacity.
DS4 Ensure continuous service.
DS5 Ensure systems security.
DS6 Identify and allocate costs.
DS7 Educate and train users.
DS8 Manage service desk and incidents.
DS9 Manage the configuration.
DS10 Manage problems.
DS11 Manage data.
DS12 Manage the physical environment.
DS13 Manage operations.
36
COBIT Processes
19
37
COBIT 5: Enabling Processes
� COBIT 5: Enabling Processes complements COBIT 5 and contains a detailed reference guide to the processes that are defined in the COBIT 5 process reference model:
� In Chapter 2, the COBIT 5 goals cascade is recapitulated and complemented with a set of example metrics for the enterprise goals and the IT-related goals.
� In Chapter 3, the COBIT 5 process model is explained and its components defined.
� Chapter 4 shows the diagram of this process reference model.
� Chapter 5 contains the detailed process information for all 37 COBIT 5 processes in the process reference model.
37
38
COBIT 5: Enabling Processes (cont.)
38
Source: COBIT® 5, figure 29. © 2012 ISACA® All rights reserved.
20
39
COBIT 5: Enabling Processes (cont.)
39Source: COBIT® 5, figure 16. © 2012 ISACA® All rights reserved.
40
COBIT 5: Enabling Processes (Cont.)
COBIT 5: Enabling Processes:
• The COBIT 5 process reference model subdivides the IT-
related practices and activities of the enterprise into two
main areas—governance and management— with
management further divided into domains of processes:
• The GOVERNANCE domain contains five
governance processes; within each process, evaluate,
direct and monitor (EDM) practices are defined.
• The four MANAGEMENT domains are in line with
the responsibility areas of plan, build, run and monitor
(PBRM).
40
21
41
� CobiT focuses on information having integrity and
being secure and available.
� At the highest level, it focuses on the importance of
information to the long-term success of the
organization.
COBITדגשים
42
Audit Guidelines
The process is audited by:
� Obtaining an understanding of business requirements, related risks,
and relevant control measures
� Evaluating the appropriateness of stated controls
� Assessing compliance by testing whether the stated controls are
working as prescribed, consistently and continuously
� Substantiating the risk of the control objectives not being met by
using analytical techniques and/or consulting alternative sources.
22
43
Generic Audit Guideline
� Gain an understanding of:
� Business requirements
� Organisation structure
� Roles and responsibilities
� Policies and procedures
� Laws and regulations
� Control measures in place
� Evaluate the controls
� Documented processes
� Appropriate deliverables
� Responsibility/accountability
� Compensating controls
� Assess compliance
� procedures
� process deliverables
� Determine level of testing
� provide assurance that the IT
process is adequate
� Substantiate the risk
� control weaknesses
� actual and potential impact
44
CMMIמודל הבשלות לפי
44עמוד
23
45
CobiT 4.1 Maturity Model
� 0 Non-existent. � האר גון לא זיה ה כלל את הצו רך לטפל בתהלי ך זה , התהל י ך אינו ק יי ם כלל .
� 1 Initial. � תוך הו קהטיפול בו נעשה ב ג יש ה אד . אין סטנדרטים מו גד רי ם לתהל י ך. האר גון זי ה ה את הצור ך בת הל יך בתחו ם
.התמונ ה ה גדול ה ש ל התהל יך אינ ה חשופה להנהל ה. טיפול בכל מקר ה לגופו של עני ין
� 2 Repeatable. � Processes have developed to the stage where similar procedures are followed by different
people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and, therefore, errors are likely.
� 3 Defined. � Procedures have been standardized and documented, and communicated through training. It is,
however, left to the individual to follow these processes, and it is unlikely that deviations will be detected. The procedures themselves are not sophisticated but are the formalization of existing practices.
� 4 Managed. � It is possible to monitor and measure compliance with procedures and to take action where
processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way.
� 5 Optimized. � Processes have been refined to a level of best practice, based on the results of continuous
improvement and maturity modeling with other enterprises. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt.
46
מסו יים בשלות התהליכים השונ ים בא רגו ן
46עמוד
24
47
Implementation Guide –מימוש
47עמוד
48
Control Statements
Control Practices
is enabled by
and considers
IT Processes
The control of
Business Requirements
which satisfy
effe
ctiv
eness
effic
iency
confid
entia
lity
inte
grity
avai
labili
ty
com
pliance
relia
bility
SS PP
people
applic
atio
ns
technolo
gy
facili
ties
data
� �
Planning &
Delivery &
Organisation
Support
Monitoring
Acquisition & Implementation
COBIT’s Waterfall and Navigation Aids
25
49
COBIT לייש ום BDOמתודולוג ית , מבנה ארגוני תומך, מנהלת פרויקט, COBIT לימוד – לימוד והתארגנות
' וכובחינת ישימות , גיוס הנהלה
QuickStart/ מלאCOBITבחינת יישום
תהליכי ביקורת/מדידה וניטור שוטפים, יישום התוכנית
ITהגדרת יעדי – ותשתית המודל היישויותבניה ראשונית על עץ , יעדי בקרה, פעילויות, תהליכים, תחומים, בהתאמה ליעדים עסקיים
קישור , משאבים, Process Owners, הקצאת תחומי אחריות, בקרות
למסגרות עבודה אחרות
שלב
1
שלב
2
שלב
3
"מסוכנים"הערכת סיכונים ותועלות לצורך מיקוד בתהליכים
פ מודל הבשלות " בכל יעד בקרה ע TO-BEומצב AS-ISהערכת מצ ב
ניתוח פערים ובנית תוכנית לשיפור
אמצעים למימוש וקישור למנגנוני הערכה , KGI,KPIהגדרת יעדים ומדדים
ותגמול
הכשרות הנהלה ועובדים
דל מו
הת
תיש
ת ו
תיו
שוהי
ץ ע
וייב
ועל
לושכ
שלב
4
שלב
5
שלב
6
שלב
7
שלב
8
שלב
9 49עמוד
50
דוגמא לתהלי ך שיפור השרות ללקוח
מ"זמינות שירותי ט
יעד
עסקי
מ "יעד ט
3
תהליך מ"ט
DS-8ניהול מוקד שירות ואירועים
פעילויות וגורמים אחראים, נהלים50עמוד
26
51
סיפורי מעילות
52
סיפורי מעילות
27
53
סיפורי מעילות
54
סיפורי מעילות
–שימוש בד וחות חכמים . כלי בקר ה נוסף בעס קים ק טנים כגדו לים הו א שימו ש בדוחות חכמים
שינו ים חריגים במל אי ביחס לק ני ות , לדוגמה שקים מסדר ות ע תידי ות
,ומכיר ות
,גידול בשקים ביח ס למחזור, חוסר רציפות במספרי שקי ם
, קיום שקים במערכת על ש ם עובדים בעסק
ירידה בת קבו לים במזומן וע וד
. יכו לים להת קבל בק לות על ידי המנ הל ים ולס ייע בא יתו ר מעילות
עסקים קטנ ים נוטים פחות להיעזר ב כלים א לו אשר י כו לים לסי יע רבות
. לכל מנה ל בעסק
קיימ ים כיום מומח ים רבים אשר מסיעים ל ארגו נים לה פיק דוחות כאמ ור
בעלות נמו כה ובתמ ורה גב והה לע סק
28
55
מחול לים ארגו ניים / גורמים�, תהליכים5 אזור ממשל חדש הכול ל – התה ליכיעדכון במודל �
. חדשים וכמ ה תהל יכים שונותהליכים 13 ת הל יכים ל 10 מ –) תכנון ואר גון, כיום הלי מות(תכנון וארג ון �
ניהול , ניה ול ת קציב ועלו יות, ניהול חדשנות–נ וספו . תהליכיםאבטחה
10 תהליכים ל 7 מ –) רכש ויישום, כיום בניה(רכש ויישום �.ני הול נכסים, ניה ול ידע, ניהול השי נוי הארגו ני–נו ספו . תהליכים
6 ת הליכים ל 13מ ) שירות ו תמיכה, כיום אס פ קה(אספקה ותמ יכה �. נו סף ניהו ל בקרות יישום עסקי ות. תהליכים
. תהליכים3 תהליכ י ם ל 4 מ –ניטור והערכה �. בתוך המסגרת הרא שיתRISK IT ו VAL ITשילוב מסגרו ת �.ISO/IEC 15504מודל בשלות חדש ה מבוסס ע ל �.ISO/IEC 38500התאמה טובה יו תר ל �
COBIT4.1 ל COBIT5הבדלים בין
55עמוד
56
COSO – COBIT Mapping
29
57
COBITפרסומי
57עמוד
58
Helpful Links
� Committee of the Sponsoring Organizations of the Treadway
Commission www.coso.org
� Public Company Oversight Board www.pcaobus.org
� IT Governance Institute www.itgi.org
� Information Systems Audit and Control Association
www.isaca.org
� Ernst & Young, LLP www.ey.com
