Najlepsze praktyki COBIT

Cele kontroli w zakresie technologii informacyjnych i pokrewnych (COBIT) zostały ustanowione przez Stowarzyszenie Kontroli Systemów Informatycznych i Audytu (ISACA). COBIT to struktura, która ma na celu zapewnienie wytycznych dotyczących organizacji zarządzania technologią informacyjną w przedsiębiorstwie. Dopasowanie wszystkich inicjatyw dotyczących bezpieczeństwa i zgodności w zakresie bezpieczeństwa z najlepszymi praktykami COBIT umożliwi Twojej organizacji utrzymanie stabilnego programu zarządzania ryzykiem.

Najlepsze praktyki COBIT

ISACA w skrócie

ISACA została pierwotnie założona w 1969 roku. Zadaniem organizacji jest stworzenie uznanego na całym świecie certyfikatu IT, oprócz opracowania wytycznych dotyczących kontroli audytu. ISACA jest mózgiem Instytutu Zarządzania Informacją (ITGI), który koncentruje się wyłącznie na odkrywaniu i publikowaniu odpowiednich zasobów, które zapewniają wytyczne i standardy w czasie rzeczywistym dotyczące utrzymywania aktualnych kontroli bezpieczeństwa informacji.

Co to jest COBIT 5?

COBIT 5 zasadniczo zapewnia ramy technologii informacyjnej, które integrują zastrzeżone IT ryzyka, bibliotekę infrastruktury informatycznej (ITIL) i Val IT firmy ISACA z odpowiednimi normami określonymi przez Międzynarodową Organizację Normalizacyjną (ISO). Poprzez połączenie tych elementów, COBIT 5 stara się zapewnić kompleksowy program bezpieczeństwa cybernetycznego dla zarządzania technologią informacyjną w przedsiębiorstwie.

COBIT 5 oferuje wszystkim organizacjom sposób oceny i ochrony danych jako podstawowej części ich procesów biznesowych. Mając na celu umożliwienie przedsiębiorstwom non-profit, publicznym i komercyjnym usprawnienia swoich procesów IT, COBIT koncentruje się głównie na dostarczaniu praktycznych wskazówek dotyczących zapewnienia niezawodności, jakości i kontroli infrastruktury IT.

Dlaczego warto wybrać COBIT 5?

COBIT 5 pozwoli Ci dostosować większość Twoich obecnych kontroli do różnych innych testów porównawczych i wymogów zgodności z przepisami. Na przykład, jeśli zamierzasz dostosować się do standardów ramowych COSO, możesz użyć COBIT 5 do pomiaru i zdefiniowania skuteczności kontroli IT. Ponadto COBIT 5 definiuje pięć podstawowych modeli dojrzałości, które mogą pomóc w ustaleniu, czy jesteś na właściwej ścieżce, jeśli chodzi o całkowitą zgodność.

Korzystanie z 5 zasad COBIT Framework w celu zapewnienia najlepszych praktyk

ISACA opiera COBIT 5 na pięciu istotnych zasadach przewodnich, które leżą u podstaw unikalnego podejścia COBIT do zarządzania informacjami i zarządzania nimi. Upewniając się, że kontrole wewnętrzne i procesy IT są zgodne z tymi ogólnymi zasadami, łatwo będzie ustanowić podejście korporacyjne, które odpowiada Twoim celom biznesowym.

Zasada 1: Spełnij potrzeby interesariuszy

ISACA zdaje sobie sprawę z faktu, że w Twojej organizacji są różni interesariusze, którzy mają różne, a czasem sprzeczne potrzeby. Na przykład dział marketingu może potrzebować skorzystać z mediów społecznościowych w celu zbudowania wizerunku Twojej marki. Niemniej jednak aplikacje społecznościowe innych firm zazwyczaj ignorują zagrożenia danych, które dział IT musi złagodzić.

Najlepszą praktyką zaspokajania potrzeb interesariuszy jest określenie namacalnych i odpowiednich celów oraz określenie poziomów odpowiedzialności. Pomoże Ci to zidentyfikować i przekazać znaczenie czynników umożliwiających.

Zasada 2: Kompleksowa obsługa przedsiębiorstwa

Zarządzanie informacją musi obejmować wszystkie technologie związane z IT. Wszyscy w Twojej organizacji powinni być świadomi zasobów informacyjnych, które umożliwiają realizację celów biznesowych. Najlepsze praktyki w zakresie kompleksowego pokrywania organizacji obejmują definiowanie elementów umożliwiających nadzór, definiowanie zakresu nadzoru oraz przypisywanie ról i działań.

Zasada 3: Użyj jednej zintegrowanej struktury

COBIT 5 jest dostosowany do różnych ram. Niektóre są związane z IT, a inne z zarządzaniem ryzykiem. Z podejścia do zarządzania przedsiębiorstwem, COBIT 5 czerpie z ISO/IEC 9000, COSO ERM, ISO/IEC 31000 i CSO. Z podejścia związanego z IT COBIT koncentruje się na integracji ITIL, TOGAF, serii ISO/IEC 27000, CMMI i ISO/IEC 38500.

Najlepsze praktyki stosowania zintegrowanej struktury obejmują przegląd standardów, które odnoszą się do Twojej organizacji, zaangażowanie w odpowiednią identyfikację ryzyka i zapewnienie, że COBIT 5 jest dostosowany do celów Twojej organizacji.

Zasada 4: Włącz podejście holistyczne

W ramach holistycznego podejścia do zarządzania informacjami, COBIT stara się integrować czynniki, które zbiorowo i indywidualnie wpływają na osiągnięcie celów biznesowych. Ramy, zasady i polityki łączą struktury organizacyjne, korporacyjną kulturę etyczną i procesy z usługami/aplikacjami/infrastrukturą, ludźmi/umiejętnościami/kompetencjami i informacjami.

Najlepsze praktyki umożliwiające holistyczne podejście obejmują zdefiniowanie kluczowych podmiotów decyzyjnych, nakreślenie działań i praktyk służących osiąganiu celów, zdefiniowanie najważniejszych zachowań organizacji i poszczególnych członków oraz zdefiniowanie ról w oparciu o indywidualne umiejętności i kompetencje.

Zasada 5: Oddziel nadzór od kierownictwa

Zarządzanie obejmuje monitorowanie, kierowanie i ocenę wdrożonego programu zarządzania informacjami. Z drugiej strony zarządzanie to planowanie, monitorowanie i prowadzenie codziennych czynności. Rolą rady dyrektorów Twojej organizacji jest zarządzanie, podczas gdy kierownictwo wykonawcze podlegające dyrektorowi generalnemu jest powierzone kierownictwu. Mimo że struktura COBIT integruje 37 procesów i 5 domen, ogólny przegląd oferuje zarys oddzielania nadzoru od zarządzania.

Najlepsze praktyki w zakresie zarządzania mogą obejmować tworzenie zasad przewodnich dla przedsiębiorstw, ustanawianie modelu podejmowania decyzji, tworzenie poziomów uprawnień, przeglądanie komunikatów dotyczących zarządzania przedsiębiorstwem oraz otrzymywanie informacji zwrotnych na temat wydajności i skuteczności zarządzania. Najlepsze praktyki dla kierownictwa obejmują komunikowanie podstawowych zasad, ustalanie zasad związanych z IT oraz komunikowanie celów IT.

Ken Lynch to weteran tworzenia oprogramowania dla przedsiębiorstw, który zawsze był zafascynowany tym, co motywuje pracowników do pracy i jak sprawić, by praca była bardziej angażująca. Ken założył Reciprocity, aby to osiągnąć.

Napędzał sukces Reciprocity dzięki temu celowi opartemu na misji, jakim jest zaangażowanie pracowników w cele związane z zarządzaniem, ryzykiem i zgodnością ich firmy, aby stworzyć bardziej społecznie nastawionych obywateli korporacyjnych. Ken uzyskał tytuł licencjata w dziedzinie informatyki i elektrotechniki na MIT. Dowiedz się więcej na ReciprocityLabs.com.

Masz jakieś przemyślenia na ten temat? Daj nam znać w komentarzach.

Rekomendacje redaktorów:

• Role i obowiązki inspektora ds. zgodności ubezpieczeń
• KPI do pomiaru skuteczności zgodności
• Ciągłe monitorowanie w celu zapewnienia zgodności w czasie rzeczywistym