АС2. Сбор и ввод исходных данных

⇐ ПредыдущаяСтр 2 из 3Следующая ⇒

Обеспечить, чтобы ввод данных выполнялся своевременно и с участием квалифицированного и уполномоченного персонала. Корректировка и повторный ввод данных в случае ошибки при вводе должны выполняться с авторизацией на тех же уровнях. По возможности сохранять первоначальные исходные документы в течение надлежащего периода времени.

АС3. Проверка на точность, завершенность и аутентичность

Обеспечить точность, завершенность и достоверность транзакции. Проверять введенные данные, редактировать или возвращать для исправления как можно ближе к точке ввода.

АС4. Работа с целостностью и достоверностью

Поддерживать целостность и достоверность данных на протяжении всего цикла обработки. Обнаружение ошибочных транзакций не отражается на обработке правильных транзакций.

АС5. Выходные проверки

Разработать процедуры и связанные с ними обязанности, обеспечивающие, что выходные данные обрабатываются в соответствии с правилами авторизации, направляются надлежащему получателю и защищаются при передаче, а также то, что точность выходных данных верифицируется, распознается и корректируется и что информация, содержащаяся в них, используется.

АС6. Аутентификация и целостность транзакции

До передачи данных транзакции между внутренними приложениями и бизнес/операционными подразделениями (внутри организации или вовне ее) проверить правильность их адресной информации, подлинность происхождения и целостность. Поддерживать подлинность и целостность при передаче или пересылке.

Не обсуждая осмысленности и логической завершенности этого перечня, следует отметить, что сформулированные цели скорее относятся не к приложениям, а к единой технологии их разработки. В COBIT говорится, что " ИТ-процессы COBIT затрагивают только те аспекты управления приложениями, которые связаны с их разработкой". Тем самым подразумевается, что достижение целей управления ИТ-процессами должно обеспечивать достижение вышеприведенных целей приложений. О том, как это достигается, COBIT умалчивает.

Значительное место в COBIT занимает описание методовоценки эффективности и результативности ИТ-процессов. Для этого используется комбинированный подход, включающий:

· сравнительный анализ эффективности и развитости процессов управления ИТ с помощью модели зрелости, близкой к модели CMM;

· использование иерархии целей и метрик для ИТ в целом, ИТ-процессов и составляющих их активностей.

Прежде чем переходить к более подробному анализу структуры и содержания модели ИТ-процессов COBIT, стоит сделать два замечания. Во-первых, несмотря на постоянно акцентируемую поддержку взаимосвязи методов управления ИТ и бизнеса, COBIT не предлагает ничего нового в этой сфере. Задача обеспечения взаимосвязи декларируется (как и в множестве других методик, например SPICE), но конструктивных способов ее решения не даётся. Во-вторых, иерархия целей управления, о которой столько говорится, играет на самом деле чисто декоративную роль: никаких специфических задач, связанных с этой иерархией, не ставится и специальных методических приемов не используется. Пожалуй, единственное, для чего эта иерархия может оказаться полезной, - это разработка общего языка для руководителей бизнеса, ИТ-руководителей и специалистов. С этой точки зрения, однако, система понятий, выстроенная COBIT, не оправдывает своего назначения: объем усилий, потраченных на то, чтобы разобраться в невнятном обосновании COBIT, в конечном итоге не вознаграждается, поскольку не приводит к простому и компактному набору убедительных положений, которые могли бы лечь в основу такого языка. Безусловными недостатками (COBIT, 2007) являются многословие, избыток плохо определенных терминов, ненужные " формальные" рассуждения, использующиеся для объяснения очевидных вещей, и поверхностность изложения. Еще хуже обстоит дело с русским переводом (COBIT 4.1 рус, 2008), авторы которого вынуждены были буквально следовать невнятному и косноязычному английскому оригиналу и не могли изложить материал своими словами.

Процессная модель COBIT

Процессная модель COBIT организована следующим образом. Всего имеется 34 процесса, сгруппированных в четыре процессные области. Перечень областей и составляющих их процессов приведен ниже.

Процессная область " Планирование и организация (Plan and Organize) " включает следующие процессы:

· разработка стратегического плана развития ИТ;

· определение информационной архитектуры;

· определение направления технологического развития;

· разработка ИТ-процессов, методов организации и взаимосвязей;

· управление ИТ-инвестициями;

· информирование о директивных целях и направлениях развития ИТ;

· управление персоналом;

· управление качеством;

· оценка ИТ-рисков и управление ими;

· управление проектами.

Процессная область " Приобретение и внедрение (Acquire and Implement) " включает процессы:

· выбор программного решения;

· проектирование, разработка и поддержка программного обеспечения;

· приобретение и поддержка технологической инфраструктуры;

· обеспечение использования;

· приобретение ИТ-ресурсов;

· управление изменениями;

· установка и формальная приемка.

Процессная область " Эксплуатация и сопровождение (Deliver and Support)" включает следующие процессы:

· определение уровней обслуживания и управление ими;

· управление услугами сторонних организаций;

· управление производительностью и мощностями;

· обеспечение непрерывности обслуживания;

· обеспечение безопасности систем;

· определение и распределение затрат;

· обучение и подготовка пользователей;

· управление службой поддержки и инцидентами;

· управление конфигурацией;

· управление проблемами;

· управление данными;

· управление физической защитой ИТ-ресурсов;

· управление функционированием.

Процессная область " Мониторинг и оценка5англ. Monitor and Evaluate " включает следующие процессы:

· мониторинг и оценка эффективности ИТ;

· мониторинг и оценка системы управления ИТ;

· обеспечение соответствия внешним требованиям;

· обеспечение корпоративного управления ИТ.

В большинстве случаев названия процессов достаточно точно выражают их смысл. Первое, что обращает на себя внимание, - это очень высокий уровень абстракции при описании процессов. Примерами могут служить процессы " Управление проектами" или " Проектирование, разработка и поддержка программного обеспечения". Второе - это несомненное близкое родство процессов процессной области " Эксплуатация и сопровождение" с процессами ITIL v.2. Учитывая, что процессная область " Приобретение и внедрение" по существу представляет собой просто высокоуровневую модель управления жизненным циклом систем, а такие процессы, как " Управление проектами", " Управление качеством", " Разработка ИТ-процессов, методов организации и взаимосвязей", " Управление ИТ-инвестициями", " Мониторинг и оценка эффективности ИТ", " Обеспечение корпоративного управления ИТ" и некоторые другие были с разной степенью детальности описаны в рассмотренных ранее процессных стандартах, можно утверждать, что собственный вклад COBIT в процессные модели управления ИТ ограничивается несколькими процессами стратегического управления из процессной области " Планирование и организация" и процессом " Обеспечение соответствия внешним требованиям" из области " Мониторинг и оценка".

В COBIT формулируются так называемые требования к управлению, одинаковые для всех процессов. Эти требования выглядят следующим образом (нумерация сохранена):

PC1. Цели и задачи процесса

Определить конкретные, измеримые, выполнимые, реалистичные, нацеленные на результат и привязанные ко времени цели и задачи процесса и цели управления для обеспечения результативности каждого ИТ-процесса. Обеспечить их связь с целями бизнеса и поддержку их метриками. Сделать эти цели доступными для заинтересованных лиц.

PC2. Владение процессом

Назначить владельца для каждого ИТ-процесса и явно определить его роли и ответственности. Включить, например, ответственность за структуру процесса, его взаимодействие с другими процессами, единоличную ответственность за конечный результат, измерение эффективности и определение возможностей улучшения.

PC3. Повторяемость процесса

Спроектировать и внедрить каждый ИТ-процесс так, чтобы он был повторяемым и устойчиво генерировал ожидаемые результаты. Разработать разумную, но гибкую и масштабируемую последовательность активностей, которая приводит к желаемому результату, и достаточно адаптивную, чтобы реагировать на исключительные и непредвиденные ситуации. Использовать устойчивые процессы всегда, когда это возможно, перекраивая их только по необходимости.

PC4. Роли и ответственности

Определить ключевые активности и выходные результаты каждого ИТ-процесса. Назначить однозначно определенные роли и ответственности для результативного и эффективного выполнения ключевых активностей и их документирование, а также определить единоличную ответственность за конечные результаты процесса; довести эту информацию до всех заинтересованных лиц.

PC5. Политики, планы и процедуры

Определить, как политики, планы и процедуры, управляющие ИТ-процессами, документируются, пересматриваются, сопровождаются, утверждаются, хранятся, доводятся до заинтересованных лиц и используются в целях обучения; в свою очередь, довести эту информацию до заинтересованных лиц. Назначить ответственных за каждое из перечисленных действий и периодически в назначенное время проверять, выполняются ли они корректно. Обеспечить, чтобы планы, политики и процедуры были доступны, корректны, правильно поняты и актуальны.

⇐ Предыдущая 123 Следующая ⇒