1 / 14

Управление ИТ рисками. Использование модели COBIT .

Управление ИТ рисками. Использование модели COBIT . Михаил Савчук, ООО «ЕвразХолдинг». 06 июня 2013 года. Несколько слов о компании. ИТ без надлежащего управления. Хорошее ИТ. Насколько важны те или иные информационные сервисы или ИТ в целом ? Какая выгода от их использования?

dinos
Download Presentation

Управление ИТ рисками. Использование модели COBIT .

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Управление ИТ рисками. Использование модели COBIT. Михаил Савчук, ООО «ЕвразХолдинг» 06 июня 2013 года

  2. Несколько слов о компании

  3. ИТ без надлежащего управления

  4. Хорошее ИТ • Насколько важны те или иные информационные сервисы или ИТ в целом? Какая выгода от их использования? • Что делать если ИТ система недоступна или работает некорректно? • Стоит ли тратить дополнительные ресурсы на покупку, разработку, дополнительную поддержку?

  5. Модель COBIT www.isaca.org

  6. Принципы COBIT ИТ технологии очень сложны. Управление ИТ не обязано быть таким.

  7. Движущие силы COBIT • Принципы, политики и системы • Процессы • Организационные структуры • Культура, этика и поведение • Информация • Сервисы, инфраструктура и приложения • Люди, умения и компетенции

  8. Процессы COBIT EDMОценка, выбор направления и наблюдение EDM01 Обеспечение создания и обновление подхода к руководству EDM02 Обеспечение создания выгоды EDM03 Обеспечение оптимизации рисков EDM04 Обеспечение оптимизации ресурсов EDM05 Обеспечение прозрачности для заинтересованных сторон MEA Отслеживание, измерение и оценка APOОбеспечение соответствия, планирование и организация APO01 Управление подходом к управлению ИТ APO02 Управление стратегией APO03 Управление архитектурой предприятия APO04 Управление инновациями APO05 Управление портфелем APO06 Управление бюджетом и затратами APO07 Управление персоналом APO08 Управление отношениями APO09 Управление соглашениями об услугах APO10 Управление подрядчиками APO11 Управление качеством APO12 Управление рисками APO13 Управление безопасностью MEA01 Отслеживание, подсчет и оценка производительности и соответствия BAI Создание, приобретение и внедрение BAI01 Управление программами и проектами BAI02 Управление выявлением требований BAI03 Управление выбором и внедрением решений BAI04 Управление доступностью и мощностью BAI05 Управление поддержкой организационных изменений BAI06 Управление изменениями BAI07 Управление передачей и приемкой изменений MEA02 Отслеживание, подсчет и оценка системы внутреннего контроля BAI08 Управление знаниями BAI09 Управление активами BAI10 Управление конфигурациями DSS Обслуживание, эксплуатация и сопровождение MEA03 Отслеживание, подсчет и оценка соответствия внешним требованиями DSS01 Управление эксплуатацией DSS02 Управление запросами на обслуживание и инцидентами DSS03 Управление проблемами DSS04 Управление непрерывностью DSS05 Управление услугами безопасности DSS06 Управление контролями бизнес-процессов

  9. Основные контрольные задачи Развитие Формирование оптимальных показателей портфеля ИТ проектов Эффективная реализация ИТ проектов в рамках ожидаемых бюджетов, сроков и полученных от реализации выгод Использование существующих ИТ сервисов Минимизация затрат при заданном уровне эффективности Максимизация выгод при фиксированных затратах

  10. Пять почему (пример декомпозиции рисков) минимизация затрат при заданном уровне эффективности при использовании существующих ИТ сервисов и услуг адаптации существующих ИТ услуг к изменяющимся бизнес требованиям эффективности масштабирования существующих ИТ услуг (например, в части изменения количества пользователей, географии и т.д.) эффективности обработки транзакций при увеличении количества пользователей и данных

  11. Меры по компенсации рисков Невозможность обработки транзакций при увеличении количества пользователей и данных • APO03. Управление архитектурой предприятия Создание архитектуры, основанной на принципах масштабируемости и гибкости (TOGAF); • BAI03. Управление выбором и внедрением решений Управление инфраструктурой (COBIT: Enabling process); • BAI04. Управление доступностью и мощностью Планирование и управление проблемами с мощностью и производительностью(ISO/IEC 20000, ITIL)

  12. Уровни зрелости ИТ процессов • 0 Отсутствующий. • 1 Начальный. • 2 Повторяемый, но интуитивный. • 3 Определенный. • 4 Управляемый и измеримый. • 5 Оптимизируемый. Целевой уровень зрелости определяется задачами бизнеса и рисками

  13. Саммари Контрольные задачи высшего, среднего и низшего уровней Связанные ИТ риски Необходимые к реализации ИТ процессы и уровень зрелости Стандарты, организационная структура, потоки информации COBIT 5 Implementation COBIT 5 for Information Security COBIT 5: Enabling Processes COBIT 5 Больше информации на www.isaca.org

  14. Спасибо за внимание Михаил Савчук, CIA, CISA Руководитель блока внутреннего аудита по ИТ ООО «ЕвразХолдинг» e-mail: mikhail.savchuk@evraz.com

More Related