Differences

This shows you the differences between two versions of the page.

--- statnice:slovnik:cobit [17.05.2008 11:55] – xvalo07
+++ statnice:slovnik:cobit [24.05.2008 16:19] (current) – xvalo07
@@ Line 1: / Line 1: @@
-====== CobIT ======
+====== COBIT ======
-CobiT (Control Objectives for Information and related Technology) je mezinárodně uznávanou metodikou, která podporuje systematický přístup k řízení informatiky. Metodika se opírá soubor všeobecně akceptovaných nejlepších praktik tak, aby využití informací a nasazení informačních a komunikačních technologií přispívalo k dlouhodobému rozvoji organizace, prohlubovalo její strategické cíle a snižovalo rizika související s použití ICT.
+  * Control Objectives for Information and Related Technology
+  * COBIT představuje procesně orientovaný nástroj pro řízení informatiky, kontrolní nástroj pro auditory a model zralosti. Je to nástroj pro budování a rozvoj ICT governance (nikoli pro realizaci ICT managementu).
+  * COBIT je vlastně balíček 6 publikací
+    * **Executive Summary** - shrnutí pro top management, popis základních konceptů, principů, obsah, popis 4 domén a 34 IT procesů
+    * **Framework** - popis IT procesů, informačních kritérií, a IT zdrojů
+    * **Control Objectives** - popisuje smysl a přínosy všech detailních kontrolních kritérií pro ty IT procesy
+    * **IT Assurance Guide** (dříve Audit Guidelines) - návrh kontrolních činností a identifikace rizik, pokud nebudou prováděny. Bezva věc pro auditory IT.
+    * **Implementation Tool Set** - obsahuje Management Awareness and IT Control Diagnostics, Implementation Guide, FAQ, případové studie uživatelů COBIT a prezentace pro management.
+    * **Management Guidelines** - modely vyspělosti procesů, kritické faktory úspěchu, klíčové indikátory splění cílů (KGI) a výkonu (KPI)
+===== Historie =====
+  * Metodiku původně vyvinula auditorská organizace ISACA ([[http://www.isaca.org|Information System Audit and Control Association]] ) v roce 1996
+  * Na dalším vývoji se od roku 1998 podílí institut [[http://www.itgi.org|IT Governance]].
+  * 1998, druhé vydání přidává "Management Guidelines".
+  * 2000, třetí vydání (od 2003 i online verze)
+  * prosinec 2005, COBIT 4.0
+  * květen 2007, COBIT 4.1 (přidává "Maturity Model", zjednodušuje popis "Goals", kaskádové uspořádání procesů a vztahy mezi "Business", "IT Goals" a "IT Processes")
-Pro správné pochopení metodiky CobiT je potřeba nejprve objasnit dva důležité pojmy z oblasti řízení informačních a komunikačních technologií (ICT), které jsou v poslední době stále více rozlišovány.
+===== Pro koho je určena =====
-ICT governance je odpovědností nejvyššího vedení, které svým příkladem, organizačním uspořádáním a vnitřními procesy zajišťuje, že ICT přispívá a prohlubuje strategii a dlouhodobé cíle organizace.
-ICT management se soustředí na efektivní poskytování služeb a produktů ICT a na účinné řízení rozvoje a provozu ICT.
-V kontextu těchto definic je zřejmé, že ICT governance má širší pojetí a jeho snahou je definovat strategické cíle ICT v souladu s potřebami a zájmy celé organizace. Naproti tomu snahou ICT managementu je efektivně a účinně realizovat stanovené cíle, a proto se orientuje na taktické a operativní řízení. ICT management je realizován zejména v rámci útvarů ICT.
-Pro pochopení metodiky CobiT je rozlišení těchto pojmů velmi důležité. Metodika CobiT totiž není určena jako nástroj pro realizaci ICT managementu, za což je často ale mylně považována.
-Určení metodiky CobiT
-Metodika CobiT je charakterizován jako procesně orientovaný nástroj pro budování a rozvoj ICT governance. Metodika vychází z nejlepší vžité praxe a její první verze pochází z roku 1996. V roce 1998 byla vydána druhá verze a byl v ní zapracován širší okruh zdrojů a východisek (celkem 41 standardů a metodik). Platná třetí verze byla zveřejněna v roce 2000 IT Governance Institutem, který ke konci roku 2005 plánuje další aktualizaci.
 ICT Governance je záležitost plošného vnímání možností využívání ICT a jejich integrace do celkového fungování organizace. Z tohoto pohledu je metodika CobiT určena především pro následující skupiny pracovníků:
-Management - potřebuje rozhodovat o výdajích do rozvoje a provozu ICT a posoudit, zda jsou tyto výdaje správně a efektivně využívány. V tomto směru je CobiT nástrojem pro definování jednoznačného rámce řízení ICT a usnadňuje orientaci managementu v nečitelném prostředí ICT.
+  * **Management** - potřebuje rozhodovat o výdajích do rozvoje a provozu ICT a posoudit, zda jsou tyto výdaje správně a efektivně využívány. V tomto směru je CobiT nástrojem pro definování jednoznačného rámce řízení ICT a usnadňuje orientaci managementu v nečitelném prostředí ICT.
-Uživatelé - mají stále vyšší potřebu seznámit se s fungování ICT a nalézt přiměřené záruky za správné a bezpečné fungování služeb ICT, které využívají či garantují.
+  * **Uživatelé** - mají stále vyšší potřebu seznámit se s fungování ICT a nalézt přiměřené záruky za správné a bezpečné fungování služeb ICT, které využívají či garantují.
-Auditoři - při své práci neustále naráží na využívání ICT. V tomto směru CobiT poskytuje základní rámec pro to, jakým způsobem hodnotit správnost a hodnost nasazení ICT vzhledem k posuzované části organizace.
+  * **Auditoři** - při své práci neustále naráží na využívání ICT. V tomto směru CobiT poskytuje základní rámec pro to, jakým způsobem hodnotit správnost a hodnost nasazení ICT vzhledem k posuzované části organizace.
 Již výčet uživatelů metodiky CobiT naznačuje, že metodika není přímo určena pro ICT management (vnitřní řízení ICT). CobiT je nástrojem, který dovoluje prezentovat činnosti ICT vůči okolnímu světu, jenž nedisponuje detailními znalostmi o ICT. Cílem je vytvořit rámec pro řídící a kontrolní systém fungující nad prostředím ICT, který je nastaven ve schodě s ostatními řídícími a kontrolními systémy organizace (např. pro finanční oblast, vnitřní řízení apod.).
-===== Obecný model řízení =====
+===== Obsah metodiky =====
-Obecný model řízení se opírá o prosazování cílů pomocí přímého řízení činností, kterých se účastní dostupné zdroje. U těchto činnostech musí být vytvořena intenzivní zpětná vazba, pomocí které je možné objektivně posoudit, zda provedení činností skutečně přispělo k naplnění daných cílů.
+COBIT pro každý z procesů definuje klíčové cíle, ukazatele výkonnosti a kritické faktory úspěchů ({{statnice:slovnik:cobit-popis_procesu.pdf|ukázka popisu procesu}}).
+Každý proces je tedy charakterizován obecným a detailním kontrolním cílem, informačním kritériem, IT zdroji, kritickými faktory úspěchu, ukazateli výkonnosti, ukazateli dosažení cíle a úrovní zralosti procesu.
-{{statnice:slovnik:cobit-obecny_model_rizeni.png|Obecný model řízení}}
+{{ statnice:slovnik:cobit-kostka.png?200|}}
-V některých systémech řízení je podobný princip označován jako model PDCA ze zkratek anglických slov Plan - Plánuj, Do - dělej, Check - kontroluj a Act - jednej. Na tomto modelu je založena nejen metodika CobiT ale i řada dnes velmi známých systémů řízení např. systém managementu jakosti podle ISO 9001, systém managementu služeb ICT podle ISO/IEC 20000 či systém managementu bezpečnosti informací podle ISO/IEC 27001:2005 (BS 7799-2).
+COBIT definuje:
+  * **34 IT procesů**
+    * **4 domény** (viz níže)
+    * **34 obecně definovaných kontrolních cílů** - high-level control objectives (viz níže)
+    * **318 detailních cílů** - control objectives
+  * **5 IT zdrojů** (lidé, aplikace, technologie, vybavení, data)
+  * **7 informačních kritérií** (efektivita, výkonnost, důvěryhodnost, integrita, dostupnost, přizpůsobivost, spolehlivost).
+Tři základní stavební kameny CobiT: informační kritéria, zdroje ICT a procesy ICT a jejich vzájemné vztahy jsou zachyceny v tabulce vpravo v kapitole Control Objectives, která je jádrem celé metodiky CobiT. Pro každý proces ICT je v tabulce znázorněna míra vlivu na naplnění informačních kritérií (s rozlišením primárního a sekundární účinku) a zdroje ICT, se kterými proces souvisí.
+==== Domény ====
+  * **Plan and Organize (PO)** - Plánování & Organizace  - doména se soustředí na definování informační strategie a hledání vhodných taktik pro dosažení nejvyšší míry přispění ICT k naplňování obecných cílů organizace.
+  * **Acquire and Implement (AI)** - Akvizice (Pořízení) & Implementace  - aby bylo možné realizovat strategie ICT je důležité identifikovat, vyvinout nebo nakoupit a implementovat zdroje ICT, které jsou důsledně provázány s příslušnými procesy organizace.
+  * **Deliver and Support (DS)** - Dodání & Podpora  - doména se soustředí na zajištění kvalitního dodání požadovaných služeb ICT, což zahrnuje činnosti od provozu přes bezpečnost až po přípravu uživatelů.
+  * **Monitor and Evaluate (M)** - Monitorování  - všechny procesy ICT musí být pravidelně sledovány a hodnoceny, zda kvalita jejich provádění odpovídá stanoveným požadavkům a potřebám. Tato doména je zaměřena na získávání objektivního přehledu o prováděných činnostech ICT.
+==== Control Objectives (obecné cíle) ====
+{{ statnice:slovnik:cobit_-_vliv_procesu_na_kriteria.png|Vliv procesů na naplnění informačních kritérií}}
+^Plan and Organize^^
+|PO1 	|Define a Strategic IT Plan and direction  |
+|PO2 	|Define the Information Architecture  |
+|PO3 	|Determine Technological Direction  |
+|PO4 	|Define the IT Processes, Organization and Relationships  |
+|PO5 	|Manage the IT Investment  |
+|PO6 	|Communicate Management Aims and Direction  |
+|PO7 	|Manage IT Human Resources  |
+|PO8 	|Manage Quality  |
+|PO9 	|Assess and Manage IT Risks  |
+|PO10 	|Manage Projects  |
+^Acquire and Implement^^
+|AI1 	|Identify Automated Solutions|
+|AI2 	|Acquire and Maintain Application Software|
+|AI3 	|Acquire and Maintain Technology Infrastructure|
+|AI4 	|Enable Operation and Use|
+|AI5 	|Procure IT Resources|
+|AI6 	|Manage Changes|
+|AI7 	|Install and Accredit Solutions and Changes|
+^Deliver and Support^^
+|DS1 	|Define and Manage Service Levels|
+|DS2 	|Manage Third-party Services|
+|DS3 	|Manage Performance and Capacity|
+|DS4 	|Ensure Continuous Service|
+|DS5 	|Ensure Systems Security|
+|DS6 	|Identify and Allocate Costs|
+|DS7 	|Educate and Train Users|
+|DS8 	|Manage Service Desk and Incidents|
+|DS9 	|Manage the Configuration|
+|DS10 |Manage Problems|
+|DS11|Manage Data|
+|DS12|Manage the Physical Environment|
+|DS13|Manage Operations|
+^Monitor and Evaluate^^
+|ME1 |Monitor and Evaluate IT Processes|
+|ME2 |Monitor and Evaluate Internal Control|
+|ME3 |Ensure Regulatory Compliance|
+|ME4 |Provide IT Governance|
-===== Vnitřní uspořádání CobiT =====
-Výše uvedené skutečnosti se odráží v základu metodiky CobiT, který se soustředí na vyjádření vzájemných vztahů tří klíčových prvků řízení. Za základní stavební prvky CobiT jsou tudíž považovány: {{ statnice:slovnik:cobit_krychle.png?300|krychle CobIT}}
-  * Informační kritéria - vyjadřují požadavky, které jsou na ICT kladeny a podle kterých by měla být posuzována úspěšnost naplnění stanovených cílů. Informační kritéria by měla odrážet všeobecné zájmy organizace.
-  * Zdroje ICT - jsou dostupné prostředky, které je možné při řízení ICT využít.
-  * Procesy ICT - jsou skupiny činnosti, které jsou při řízení ICT vykovávány.
-Vzájemné vztahy tvoří trojrozměrný prostor nazývaný krychle CobiT, který je znázorněn na obrázku.
-Procesy ICT rozděluje metodika CobiT do 4 domén, které odráží hlavní oblasti řízení ICT:
-  * Plánování & Organizace (PO) - doména se soustředí na definování informační strategie a hledání vhodných taktik pro dosažení nejvyšší míry přispění ICT k naplňování obecných cílů organizace.
-  * Akvizice & Implementace (AI) - aby bylo možné realizovat strategie ICT je důležité identifikovat, vyvinout nebo nakoupit a implementovat zdroje ICT, které jsou důsledně provázány s příslušnými procesy organizace.
-  * Dodání & Podpora (DS) - doména se soustředí na zajištění kvalitního dodání požadovaných služeb ICT, což zahrnuje činnosti od provozu přes bezpečnost až po přípravu uživatelů.
-  * Monitorování (M) - všechny procesy ICT musí být pravidelně sledovány a hodnoceny, zda kvalita jejich provádění odpovídá stanoveným požadavkům a potřebám. Tato doména je zaměřena na získávání objektivního přehledu o prováděných činnostech ICT.
-Tři základní stavební kameny CobiT: informací kritéria, zdroje ICT a procesy ICT a jejich vzájemné vztahy jsou zachyceny v následující tabulce, která je jádrem celé metodiky CobiT. Pro každý proces ICT je v tabulce znázorněna míra vlivu na naplnění informačních kritérií (s rozlišením primárního a sekundární účinku) a zdroje ICT, se kterými proces souvisí.
-{{statnice:slovnik:cobit_-_vliv_procesu_na_kriteria.png|Vliv procesů na naplnění informačních kritérií}}
 ===== Závěr =====
@@ Line 62: / Line 102: @@
   * Orientovat se na možnosti rozvoje v budoucnosti.
-Zajištění těchto obecných cílů není vůbec jednoduché a správné pochopení principů a vztahů, které jsou v metodice CobiT zformulovány je velmi důležité pro zvládnutí tak nelehlého úkolu, jakým řízení ICT bezesporu je. Pomocí metodiky CobiT na tento problém nezůstáváte samy, ale můžete využít zkušenosti mnoha odborníků z celého světa. Tak proč se alespoň nepoučit.
+Zajištění těchto obecných cílů není vůbec jednoduché a správné pochopení principů a vztahů, které jsou v metodice CobiT zformulovány je velmi důležité pro zvládnutí tak nelehlého úkolu, jakým řízení ICT bezesporu je. Pomocí metodiky CobiT na tento problém nezůstáváte sami, ale můžete využít zkušenosti mnoha odborníků z celého světa. Tak proč se alespoň nepoučit.
+Z pohledu manažerů ICT je důležité vnímat skutečnost, že metodika CobiT není určena pro každodenní řízení chodu ICT útvarů. Její použití by mělo sloužit pro komunikaci s pracovníky mimo ICT. Pro účely vnitřního řízení ICT útvarů je pak vhodné sáhnout jiných osvědčených nástrojích (např. [[statnice:slovnik:itil|ITIL]]), jejichž implementace není v rozporu s využitím metodiky CobiT.
+===== Další zdroje =====
+  * {{statnice:slovnik:cobit-vorisek.pdf|prezentace}} o MMDIS od Voříška (pouze část o COBIT)
+  * Wikipedia [[wp>COBIT]]
-Z pohledu manažerů ICT je důležité vnímat skutečnost, že metodika CobiT není určena pro každodenní řízení chodu ICT útvarů. Její použití by mělo sloužit pro komunikaci s pracovníky mimo ICT. Pro účely vnitřního řízení ICT útvarů je pak vhodné sáhnout jiných osvědčených nástrojích (např. ITIL), jejichž implementace není v rozporu s využitím metodiky CobiT.