1 / 23

COBIT 5 w kontekście ISO 22301

COBIT 5 w kontekście ISO 22301 . Zapewnienie ciągłości usług IT oraz odzyskiwanie sprawności po katastrofie. Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r. Plan prezentacji. COBIT – informacje wstępne Historia rozwoju standardu Zastosowanie w Polsce COBIT - Struktura

heller
Download Presentation

COBIT 5 w kontekście ISO 22301

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. COBIT 5w kontekście ISO 22301 Zapewnienie ciągłości usług IT oraz odzyskiwanie sprawności po katastrofie Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r.

  2. Plan prezentacji • COBIT – informacje wstępne • Historia rozwoju standardu • Zastosowanie w Polsce • COBIT - Struktura • Proces zarządzania ciągłością • Zadania menadżera ds. ciągłości działania • Podsumowanie

  3. COBIT 5 Informacje wstępne Control OBjectices for IT and relatedsolutions Początek prac nad standardem w roku 1992 Najnowsze wydanie standardu, czyli COBIT 5, to rok 2012 Obejmuje dodatkowo zarządzanie: ryzykiem, bezpieczeństwem, inwestycjami

  4. Standard COBIT - zastosowanie w POLSCE Stosowany w audycie wewnętrznym i kontroli (banki, domy maklerskie, KNF, NIK,…) Liczne odwołania do standardu COBIT w dokumentach dotyczących cyfryzacji • Przykłady: • Centrum Projektów Informatycznych MSWiA, Zeszyt 1B/2011, str. 9, 36; • (…) Standardy Przedmiotowe. Do tej grupy zaliczamy standardy zarządzania, audytowania i kontroli środowiska informatycznego. Najważniejsze z nich to: • • COBIT (Control Objective for Information and Related Technology), • • CONeCT (Control Objective for Net Centric Technology), • • COEG (Control Objective for Enterprise Governance), • • PRINCE2 (PRoject IN Controlled Environment), • • ITIL (Information Technology Infrastructure Library), • • Normy ISO. • PTI, Izba Rzeczoznawców, Ekspertyza „Realizacja projektów informatycznych przez administrację publiczną na podstawie doświadczeń wynikających z wdrażania działania 1.5 SPO WKP”, 2008 r., str. 5, 7, 36, 38, 49,

  5. COBIT 5 Struktura Podejście procesowe Potrzeby biznesowe Ład korporacyjny Ocenianie Kierowanie Monitorowanie Informacja zwrotna od kierownictwa Zarządzanie Planowanie (APO) Uruchamianie (DSS) Tworzenie (BAI) Monitorowanie (MEA)

  6. COBIT 5 Struktura Domeny w obszarze zarządzania APO(ang. Align, Plan and Organise) – Dostosowanie, planowanie i organizowanie BAI(and. Build, Acquire and Implement) – Tworzenie, nabywanie i wdrażanie DSS(ang. Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie MEA(ang. Monitor, Evaluate and Assess) – Monitorowanie, szacowanie i ocenianie

  7. COBIT 5 Struktura • Elementy opisu procesów • Tabela RACI- sugerowany podział odpowiedzialności za realizację poszczególnych działań w procesach, znacznie szerszy, niż tylko w obszarze IT • R(esponsible)— Kto dostaje zadanie do wykonania? • A(ccountable)—Kto zostanie rozliczony ze skutecznej realizacji zadania? Zasadą jest, że rozliczalność nie może być współdzielona. • C(onsulted)—Kto dostarcza dane wejściowe? • I(nformed)—Kto otrzymuje informacje wyjściowe?

  8. COBIT 5 Struktura Elementy opisu procesów: role w organizacji

  9. COBIT 5 Struktura • Elementy opisu procesów • Cykl życia procesów • Każdy proces przechodzi przez etapy • Definiowania • Tworzenia • Działania • Monitorowania • Dostosowywania/aktualizacji lub • Wycofania • Model oceny dojrzałości procesów bazuje na • ISO/IEC 15504 (SPICE)

  10. COBIT 5 Zarządzanie ciągłością BalanceScore Card – zrównoważona karta wyników Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu

  11. COBIT 5 Zarządzanie ciągłością IT BalanceScore Card – zrównoważona karta wyników IT Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu

  12. COBIT 5 Zarządzanie ciągłością Mierniki

  13. COBIT 5 Zarządzanie ciągłością DSS(Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie Procesy zarządzania: 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciągłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizmami kontrolnymi dla procesów biznesowych

  14. COBIT 5 Zarządzanie ciągłością DSS04 Zarządzanie Ciągłością Odwołanie do innych standardów i dobrych praktyk ISO 22301 musi zostać zaimplementowane

  15. COBIT 5 Zarządzanie ciągłością DSS04 Zarządzanie Ciągłością – kluczowe działania zarządcze DSS04.01 - Definiowanie polityki, celów i zakresu ciągłości biznesowej DSS04.02 Utrzymywanie strategii ciągłości DSS04.03 Opracowanie i wdrożenie reakcji ciągłości biznesowej DSS04.04 Ćwiczenia, testy i przegląd BCP DSS04.05 Przegląd, utrzymanie i doskonalenie planów ciągłości DSS04.06 Szkolenie z planów ciągłości DSS04.07 Wypełnianie założeń dotyczących kopii zapasowych DSS04.08 Przeprowadzanie przeglądu po odzyskiwaniu sprawności

  16. Przydział zadań w poszczególnych procesach dla Menadżera ds. Ciągłości Biznesowej Ład Korporacyjny (Governance) Ma swój udział w większości procesów z tego obszaru Jego udział, to tylko otrzymywanie informacji (I)

  17. Udział Menadżera ds. Ciągłości Biznesowej Domena APO • Otrzymuje informacje oraz jest konsultowany w procesach 01- 02, 06 - 13. • Jest odpowiedzialny (R) w podprocesach: • APO01.07 Zarządzanie ciągłym doskonaleniem procesów • APO01.08 Utrzymanie zgodności z politykami i procedurami • APO02.01 Znajomość kierunków działania organizacji • APO07.01 Utrzymanie odpowiednich kadr • APO07.02 Identyfikacja kluczowego personelu IT • APO07.03 Utrzymanie umiejętności i kompetencji personelu • APO07.04 Szacowanie realizacji zadań na stanowiskach pracy • APO07.05 Planowanie i śledzenie wykorzystania zasobów kadrowych w biznesie i IT • APO07.06 Zarządzenie personelem kontraktowym • APO08.01 Zrozumienie oczekiwań biznesowych • APO11.02 Definiowanie i zarządzanie standardami, praktykami i procedurami jakości • APO11.06 Utrzymanie ciągłego doskonalenia • APO12.01 Gromadzenie danych • APO12.06 Odpowiedź na ryzyko • APO13.03 Monitorowanie i przegląd ISMS Zarządzanie 01 Ramowymi zasadami zarządzania 02 Strategią 03 Architekturą przedsiębiorstwa/ organizacji 04 Innowacjami 05 Portfolio (inwestycyjne) 06 Budżetem i kosztami 07 Kadrami 08 Relacjami 09 Umowami serwisowymi 10 Dostawcami 11 Jakością 12 Ryzykiem 13 Bezpieczeństwem

  18. Udział Menadżera ds. Ciągłości Biznesowej Domena BAI • Otrzymuje informacje oraz jest konsultowany w procesach 01- 05, 07 - 09. • Jest odpowiedzialny (R) w podprocesach: • BAI03.07 Przygotowanie do testowania rozwiązań • BAI05.05 Zapewnienie funkcjonowania i stosowania • BAI05.06 Wbudowanie nowego podejścia • BAI05.07 Utrzymanie zmian • BAI07.01 Ustanowienie planu wdrożenia • BAI07.02 Planowanie konwersji procesów biznesowych, systemów i danych • BAI07.03 Planowanie testów akceptacyjnych • BAI07.04 Ustanowienie środowiska testowego • BAI07.05 Przeprowadzanie testów akceptacyjnych • BAI08.01 Pogłębianie oraz wspieranie kultury dzielenia się wiedzą • BAI08.05 Ocena oraz wycofywanie informacji Zarządzanie 01 Programami i projektami 02 Definiowaniem wymagań 03 Identyfikacją I tworzeniem rozwiązań 04 Dostępnością i wydajnością 05 Umożliwianiem zmian organizacyjnych 06 Zmianami 07 Akceptacją zmian oraz ich wprowadzaniem 08 Wiedzą 09 Aktywami 10 Konfiguracją

  19. Udział Menadżera ds. Ciągłości Biznesowej Domena DSS • Otrzymuje informacje oraz jest konsultowany w procesach 01- 02, 07 - 09. • Jest odpowiedzialny (R) w podprocesach: • DSS04.01 Definiowanie polityki, celów i zakresu ciągłości biznesowej, • DSS04.02 Utrzymywanie strategii ciągłości • DSS04.05 Przegląd, utrzymanie oraz doskonalenie planów ciągłości • DSS04.07 Utrzymanie ustaleń dot. kopii zapasowych • Jest rozliczany (A) za podprocesy: • DSS04.03 Opracowanie i wdrożenie reakcji związanej z ciągłością działania • DSS04.04 Ćwiczenie, testowanie i przegląd BCP • DSS04.06 Przeprowadzanie szkoleń z planów ciągłości • DSS04.08 Przeprowadzanie przeglądu po odzyskaniu sprawności Zarządzanie 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciagłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizamami Kontrolnymi dla procesów biznesowych

  20. Udział Menadżera ds. Ciągłości Biznesowej Domena MEA Monitorowanie, szacowanie i ocena 01 Wykonania oraz dostosowania 02 Systemu kontroli wewnętrznej (zarządczej) 03 Zgodności z wymogami zewnętrznymi • Otrzymuje informacje oraz jest konsultowany w procesach 01- 03 • Jest odpowiedzialny (R) w podprocesach: • MEA02.01 Monitorowanie kontroli wewnętrznych • MEA02.03 Przeprowadzanie samooceny kontroli • MEA02.04 Identyfikacja i raportowanie słabości kontroli • MEA03.02 Optymalizacja odpowiedzi na wymagania zewnętrzne

  21. Podsumowanie Przez dobę policja w całym kraju była sparaliżowana w wyniku awarii strategicznego serwera - - dowiedział się "Dziennik Gazeta Prawna". (fakty.interia.pl)

  22. Dziękuję za uwagę sylwia.wystub@isaca.katowice.pl

More Related