4. Metodiky auditu ( Cobit 4 a Cobit 5) Řízení kvality (audit) IS BIVŠ ZS15
Osnova Modely pro řízení kontrol IS/IT COBIT 4.1
1. Modely pro řízení kontrol-1 Customer Operations Performance Center (call center services) eSourcing Capability Model for Service Providers
Modely pro řízení kontrol-2
Certifikační program pro organizace vyvíjející software, Británie, Švédsko, kvalita SW
2. ISACA - COBIT Cíl: Zkoumat, rozvíjet, publikovat a propagovat sadu všeobecně přijímaných kontrolních cílů pro oblast informačních technologií, které jsou určené pro každodenní využití – především manažery IT, IT odborníky a auditory (externí i interní), pro všechny typy organizací Forma: sada dokumentů, které obsahují všeobecně přijímaný souhrn tzv. „best practises“ v oblasti řízení IT Dostupnost: dokumenty lze stáhnout na stránkách ITGI či ISACA, některé zdarma Forma: elektronická, knižní, CD-ROM
Historie Cobit
ISO/IEC 38500: 2008
ISO/IEC 38500: 2015 Stejný koncept jako ve verzi 2008 „Governance of IT“ je „systém, pomocí kterého se řídí a kontroluje současné a budoucí využívání IT V poznámkách (není obvyklé u ISO norem) je uvedeno, že jde o ekvivalent výrazů: Corporate governance of IT Enterprise governance of IT Organizational governance of IT (bohužel enterprise governance of IT užívaný v Cobit 5 není zmíněn!) Dále stejné (hlavní činnosti: Evaluate – Direct – Monitor; hlavní principy: odpovědnost, strategie, pořízování, provozování, soulad, lidské zdroje
Další provázané normy ISO 38501: 2015 Information technology -- Governance of IT -- Implementation guide Poskytuje návod pro implementaci IT governance v organizacích je rozšířením ISO 38500 a ISO 38502 ISO 38502 Information technology — Governance of IT — Framework and model poskytuje informace o rámci a modelu, který je možné použít pro určení hranic mezi a vztahů mezi governance a managementem současných a budoucích IT v organizacích
ITIL COBIT
Cobit 4.1
Obsah Cobit 4.1 (200 str. PDF dokument) Executive Overview = 4-stránkový manažerský souhrn účelu CobiT® Framework = 20-stránkový popis koncepce a způsobu jeho používání Popis 34 procesů rozdělených do 4 domén. Pro každý z těchto procesů je definován: Process description = cíl a účel procesu (1 str. A4) Control objectives = několik dílčích kontrolních cílů (1-3 str. A4) Management guidelines = definice vstupů do / výstupů z ostatních procesů, seznam klíčových aktivit procesu a rolí, resp.funkcí, které je provádějí (RACI matice), cíle a metriky (1 str. A4) Maturity model = kritéria vyspělosti procesu pro zařazení na škále 0 – 5 8 příloh = celkem 44 stran, mimo jiné i slovník pojmů
Základní vlastnosti COBITu Je procesně orientovaný s vazbou na IT zdroje, požadavky businessu na vlastnosti informací a cíle IT Governance Klade důraz na kontroly Je orientovaný na propojení různých úrovní cílů a jejich metrik Umožňuje hodnocení zralosti procesů Má definované vazby na jiné frameworky
A. COBIT je procesně orientovaný 4 domény : Plánování a organizace Pořízení a implementace Dodávka a podpora Monitorování a hodnocení 34 procesů (high level control objectives) Aktivity ??? 214 kontrolních cílů
Procesy jsou provázány s IT zdroji Aplikace- automatizované systémy a ruční procedury Informace – data ve všech formách Infrastruktura – HW. OS, aplikační systémy, síťové prostředky, multimedia a prostředí, které umožňuje jejich fungování Lidé – interní i externí
Procesy jsou provázány s požadavky businessu na vlastnosti informací Effectiveness (účelnost) Efficiency (účinnost) Confidentiality (důvěrnost) Integrity (spávnost a úplnost) Availability (dostupnost) Compliance ( soulad s normami) Reliability (spolehlivost)
Procesy jsou provázány s ITG
Příklad proces DS2
COBIT 4.1
Procesy jsou vzájemně provázány pomocí vstupů a výstupů Každý proces je popsán tabulkou vstupů a výstupů: Z jakých procesů a jaké vstupy proces potřebuje Jakým procesům a jaké výstupy poskytuje
Procesy mají určené odpovědosti Každý proces je popsán pomocí RACI Chart Diagram určující kdo je za proces a jeho jednotlivé aktivity R Resposible (odpovědný) A Accountable (právně odpovědný) C Consulted (konzultant) I Informed (informován)
RACI diagram (Responsible-Accountable-Consulted-Informed)
B. COBIT klade důraz na kontroly Systém interních kontrol ovlivňuje IT na třech úrovních: Na úrovni exekutivy – kontrolní prostředí Na úrovni business procesů – IT aplikační kontroly Na úrovni IT služeb – IT obecné kontroly Na úrovni IT procesů kontrolní cíle – specifické pro každý proces generické kontroly – společné pro všechny procesy
Aplikační a obecné kontroly jsou součástí IT procesů a služeb Jsou společné pro všechny aplikace Jsou v odpovědnosti IT Příklady: tvorba systémů, řízení změn, bezpečnosti, provozu Jsou hlavním obsahem Cobitu Aplikační kontroly jsou součástí aplikací, které podporují business procesy jsou specifické pro každou aplikaci Jsou ve společné odpovědnosti uživatelů a IT Uživatelé jsou odpovědní za Definování funkčních a kontrolních požadavků Za užívání automatizovaných služeb IT odpovídá za Automatizaci a implementaci funkčních a kontrolních požadavků Zajištění integrity aplikačních kontrol Příklady: úplnost, správnost, autorizace, oddělení odpovědností
Aplikační kontroly V Cobitu částečně v doméně AI plus stručný popis v úvodu mají označení ACn: AC1: Příprava zdrojových dat (dokumentů) a jejich autorizace AC2: Shromažďování dat a jejich vstup AC3: Kontroly správnosti, úplnosti a pravosti (spolehlivosti) AC4: Integrita zpracování a hodnověrnost AC5: Kontrola výstupů, konsolidace, ošetření chyb AC6: Správnost, originalita a autentizace předávaných výstupů
Kontroly na úrovni procesů Cíle kontrol/řízení – Control Objectives Označení procesu, za tečkou číslo cíle kontrol PO10 Manage projects PO10.1 Programme management framework PO10.2 Project management framework PO10.3 Project management approach PO10.4 Stakeholder commitment PO10.5 Project scope statement PO10.6 Project phase initiation PO10.7 Integrated project plan PO10.8 Project resources PO10.9 Project risk management PO10.10 Project quality plan PO10.11 Project change control PO10.12 Project planning of assurance methods PO10.13 Project performance measurement, reporting and monitoring PO10.14 Project closure
Kontroly na úrovni procesů Obecné kontrolní požadavky „generic control requirements“ Mají označení PCn (process control) a číslo PC1 Cíle procesů PC2 Vlastnictví procesu PC3 Opakovatelnost procesu PC4 Role a odpovědnosti (odpovědnost za aktivity procesu) PC5 Politiky, plány a procedury (dokumentace, školení) PC6 Zlepšování realizace procesu (vzory, metriky)
Kontroly- příklad DS – Deliver and Support DOMÉNA DS1 Define and Manage Service Levels DS2 Manage Third-party Services PROCES DS3 Manage Performance and Capacity DS4 Ensure Continuous Service DS5 Ensure Systems Security DS6 Identify and Allocate Costs DS7 Educate and Train Users DS8 Manage Service Desk and Incidents DS9 Manage the Configuration DS10 Manage Problems DS11 Manage Data DS12 Manage the Physical Environment DS13 Manage Operations
Kontroly příklad Kontrolní cíle 2.1 Identifikace všech vazeb na dodavatele 2.2 Řízení vazeb na dodavatele 2.3 Řízení rizika dodavatelů 2.4 Monitorování dodávek
C. Cobit je orientovaný na propojení cílů a jejich metrik Pro každý proces jsou definované cíle a metriky určující míru jejich dosažení. Rozlišují se Úrovně cílů a metrik: Podnikatelské cíle a metriky (Business Goals) 17, BSC IT (útvar) cíle a metriky (IT Goals) 28 IT procesní cíle a metriky (IT Process Goals) 34 Cíle a metriky IT aktivit (Activity Goals) Druhy metrik Outcome metrics/measures) ve verzi 3 KGI- klíčové metriky cílů (např. počet stížností na externě dodávané služby) Performance indikátory/measures, KPI –klíčové metriky realizace (např. procento dodavatelů, kteří jsou předmětem pravidelného monitoringu)
Vazby mezi cíli
METRIKY DOSAŽENÍ PODNIKATELSKÝCH CÍLŮ METRIKY IT PROCESŮ METRIKY IT
Metriky cílů (outcome measures) Outcome measures vztahující se k cílům jedné úrovně lze zároveň považovat za performance indicators vztahující se k cílům vyšší úrovně
Cíle a metriky příklad DS2
D. Cobit umožňuje hodnocení zralosti procesů
Tři dimenze zralosti procesů How capable- způsobilost procesů závisí na IT misi a business cílech How much – kolik se z toho využívá závisí na požadované návratnosti investic What – míra kontrol závisí na riziku a požadavcích na soulad se standardy Ne všechny procesy musí dosáhnout 5. úroveň
Příklad: popis úrovně 2 modelu vyspělosti pro DS2 Úroveň 2 – Opakující se ale intuitivní Proces hodnocení poskytovatelů služeb a dodávek služeb je neformální. Podepisují se rámcové kontrakty, ale mají formu standardní smlouvy vytvořenou poskytovatelem. Měřítka jsou uvedena, ale nejsou využívána. Vytvářejí se reporty, ale nevyužívají se pro zpětnou vazbu
E. Cobit má definované vazby na jiné frameworky Aligning COBIT, ITIL and ISO 17799 for Business Benefit COBIT Mapping: Mapping of CMMI for Development V1.2 With COBIT 4.1 COBIT Mapping: Mapping of TOGAF 8.1 With COBIT 4.0-Appendices COBIT Mapping: Mapping of NIST SP800-53 Rev 1 With COBIT 4.1 COBIT Mapping: Mapping ISO/IEC 17799:2005 With COBIT 4.0 COBIT Mapping to ISO/IEC 17799 :2000 With COBIT COBIT Mapping: Mapping of ISO/IEC 20000 With COBIT 4.1 COBIT Mapping: Mapping of ITIL With COBIT 4.0 COBIT Mapping: Mapping of PMBOK With COBIT 4.0 COBIT Mapping: Mapping of PRINCE2 With COBIT 4.0 Etc.
Vazby mezi komponentami
Cobit 5: Struktura dokumentů Cobit 5 Framework; popisuje základní rámec (principy, předpoklady, vazby na jiné rámce), Cobit 5 Enabler Guides; jde o dokumenty, které jsou obecným návodem na vytváření předpokladů pro efektivní řízení IT; z těchto dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Enabling processes, Cobit 5 Processional Guides; jde o dokumenty určené pro jednotlivé specialisty, jako například auditory, specialisty pro informační bezpečnost, specialisty pro řízení rizik, apod.; z tento dokumentů byl k srpnu 2012 uvolněn dokument Cobit 5 Implementation, Colaborativní on-line dokumenty, jejichž prostřednictvím budou uživatelé Cobit 5 sdílet svoje znalosti získané aplikací předešlých dokumentů.
Cobit 5 Product Family Cobit 5 Framework Cobit 5 Enabling Processes Cobit 5 Implementation Copbit 5 for Information Security Cobit 5 for Assurance Cobit Assessment Programme Cobit 5 for Risk
Cobit 5 - Model
Obsah Cobit 5 (asi 200 stránkový dokument pdf) Kapitola 1: obsah dokumentu a jeho vazby na další dokumenty Cobit 5; rozsah 1 stránka A4), Kapitola 2: vysvětlení úrovní cílů, jejich popis a příklady metrik pro podnikové cíle (enterprise goals) a IT cíle (IT goals); rozsah 6 stránek A4, Kapitola 3: představuje komponenty popisu každého procesu (governance a manažerské procesy), umožňují nahradit procesy, které byly obsahem dílčích dokumentů Cobit 4.1 (Val IT, Risk IT, ISO/IEC 38500); rozsah 3 stránky A4, Kapitola 4: referenční model procesů; popis je obecný a je potřeba ho přizpůsobit podmínkám v každé organizaci; rozsah 2 stránky A4, Kapitola 5: je hlavní kapitolou dokumentu a obsahuje podrobný popis všech 37 procesů referenčního modelu; rozsah 176 stránek A4, Příloha A: mapování procesů mezi Cobit 5, Val IT a Risk IT do úrovně cílů kontrol/řízení; rozsah 8 stránek A4, Příloha B a C: mapování mezi podnikovými cíli, IT cíli a procesy Cobit 5; rozsah 5 stránek A4.
Struktura popisu procesu Cobit 5 Každý z 37 procesů Cobit 5 je popsán ve stejné struktuře, která zahrnuje: identifikaci procesu, oblasti Governance/management, domény, popis procesu (Process Description), popis účelu procesu (Process Purpose Statement), tabulku obsahující IT cíle, na které má daný proces primární vazbu a metriky pro tyto cíle, tabulku obsahující cíle procesu a metriky k těmto cílům, tabulku ukazující vazby mezi klíčovými procesními praktikami a typickými rolemi na všech úrovních řízení a typ odpovědnosti (RACI Chart), tabulku popisující vstupy a výstupy pro jednotlivé procesní praktiky a dále aktivity spojené s jednotlivými procesními praktikami (Process Practices, Inputs/Outputs and Activities), tabulku vazeb procesu na jiné standardy (Related Guidance).
Rozdíly: 1. Zavedení nových principů GEIT Uspokojení potřeb zájmových skupin cílem existence podniků je generování hodnot pro tyto skupiny kaskádování cílů a metriky „End-to-end“ pokrytí podniku Informace celopodniková aktiva, všechny úrovně řízení Aplikace jednoho integrovaného rámce Podpora holistického přístupu 7 předpokladů (Enablers) majících vliv na to, zda bude cílů dosaženo Principy, politiky a rámce; Procesy; Organizační struktury; Kultura, etika a chování; Informace; Služby, infrastruktura a aplikace; Lidé, dovednosti a kompetence. Oddělení úrovně řízení „Governance“ od úrovně řízení „Management“
Cobit 5: Principles
COBIT 5 Enablers
Rozdíly: 2. Nový referenční model procesů na první pohled nedošlo k velké změně v počtu procesů (Cobit 4.1 –obsahuje 34 procesů, Cobit 5 obsahuje 37 procesů) hlavní změny se odehrály na úrovni cílů kontrol/řízení (Control Objectives- v terminologii Cobit 4.1) a praktik procesů/řízení (Process Practices v terminologii Cobit 5). Dokument Cobit 5 Enabling Processes obsahuje ve své příloze A mapující tabulku mezi těmito dvěma procesními modely.
Příklady nových nebo upravených procesů APO03 Manage enterprise architecture. APO04 Manage innovation. APO05 Manage portfolio. APO06 Manage budget and costs. APO08 Manage relationships. APO13 Manage security. BAI05 Manage organisational change enablement. BAI08 Manage knowledge. BAI09 Manage assets. DSS05 Manage security service. DSS06 Manage business process controls.
Cobit 5 procesní model
Změna: 3. Terminologie, dekompozice procesního modelu a detail popisu opuštění termínu cíl kontrol/řízení – Control Objective a nahrazení termínem procesní praktika – Process Practice, případně manažerská praktika (Management Practice) Control – definice: navržené politiky, procedury a praktiky a organizační struktury, které poskytují záruky, že bude dosaženo business cílů a že nežádoucí události budou eliminovány, nebo včas odhaleny a napraveny (Cobit 3) Practice – definice: ověřená činnost nebo proces, které byly úspěšně použity v řadě organizací a prokázaly, že vedou ke spolehlivým výsledkům (Cobit 5) Dobré: nejasný překlad termínu Control Objective do češtiny (překladatelsky správně cíl řízení; logicky ale správně spíše cíl kontrol) nejasná vazba mezi procesem, cíli kontrol a aktivitami procesu, (viz další slide)
Rozdíly v dekompozici Doména Proces Praktika Aktivita Aktivita Cíl kontrol Doména Proces
Změna: 4. Nové kaskádování cílů a metrik Cobit 4.1 formuloval 4 úrovně cílů: Business cíle (17) členěné do 4 perspektiv BSC IT cíle (28) Cíle procesů Cíle aktivit procesů Cobit 5 pracuje s těmito úrovněmi cílů: Governance cíle (3) Podnikové (Enterprise) cíle (17) členěné do 4 perspektiv podle BSC IT cíle (17) členěné do 4 perspektiv podle BCS Procesní cíle Se změnami kaskádování cílů došlo také ke změně metrik.
Změna: 5. Rozšířená RACI matice Cobit 4.1: odpovědnosti formou R- Resposible, A-Accountable, C-consulted a I-Informed uvedeny ke každé aktivitě procesu a uvažoval se omezený počet rolí Cobit 5: odpovědnosti přiřazeny ke každé praktice a počet rolí byl rozšířen
Rozdíly RACI Aktivity Výkonný ředitel Finanční ředitel Liniový manažer Manažer IT Vlastník business procesu Vedoucí provozu Hlavní architekt Vedoucí vývoje Vedoucí správce Vedoucí proj. kanceláře Audit, bezpečnost, řízení rizika A1 A2 A3 … Klíčové praktiky Představenstvo Výkonný ředitel Finanční ředitel Provozní ředitel Liniový manažer Vlastník procesu Strategický výbor Programový/projektový výbor Projektová kancelář Kancelář řízení hodnot Manažer rizik Vedoucí útvaru bezpečnosti i-cí Výbor pro architekturu Výbor pro řízení rizik Manažer lidských zdrojů Soulad s regulacemi Audit Vedoucí útvaru IT Vedoucí architekt Vedoucí vývoje Vedoucí provozu Vedoucí správce Manažer služeb Manažer bezpečnosti informací Manažer kontinuity procesů Manažer důvěrnosti informací P …
Změna: 6. Změna v hodnocení úrovní zralosti procesů Cobit 5 opouští model hodnocení zralosti procesů, CMM (Capability Maturity Model) Přechází na model PAM (Process Assessment Model) a je formulován v normě ISO/IEC 15504 Model PAM se podobá modelu CMM v tom smyslu, že používá 6 úrovní zralosti, avšak jejich vlastní obsah je vymezen přesněji definovanými atributy, které je potřeba navázat na indikátory procesů uvedenými jak ve verzi Cobit 4.1, tak v verzi COBIT 5 úrovně jiný věcný obsah, který je určován atributy procesu a dále upřesňován definovanými postupy (Practices) a pracovními výstupy (Work Products)
Příklad DS2: Manage third party services