HOPET Informatika

Név:
Jelszó:

2024. november 21. csütörtök, Olivér

„Informatika az üzlet szolgálatában!”


COBIT tartalmi összefoglaló

Cobit

Az ISACA, az informatikai auditorok nemzetközi szervezete az informatikai kockázatok hatékony kezelésére dolgozta ki a COBIT (Control Objectives for Information and related Technologies) elnevezésű módszertanát.
A módszertan elsősorban az üzleti irányítás vezetőinek ad segítséget ahhoz, hogy felmérhessék és elfogadható szintre csökkenthessék azokat a kockázatokat, amelyeket az informatika üzleti folyamatokba épülése jelent. Iránymutatásokat tartalmaz egy kontroll rendszer kialakításához és annak a folyamatos menedzseléséhez.
A COBIT módszertana az információtechnológia alkalmazás folyamataira nemzetközileg is egységes meghatározást ad. A módszertan alkalmazóinak ezen belül kell rögzíteniük a folyamatokhoz tartozó kontrollok célkitűzéseit, majd ezeket meg kell valósítaniuk.
Ennek érdekében három szintű csoportosítást alkalmaz:

  • területek (4 db)

  • folyamatok (34 db)

  • folyamatokon belüli tevékenységek (238 db)


A COBIT elvárások

  • Hatékonyság
    • Az információk az üzleti folyamatokra vonatkozzanak, valamint megfelelő időben, helyesen, konzisztensen és használhatóan történjek előállításuk.
  • Hatásfok
    • Az információszolgáltatás során az erőforrások felhasználása optimálisan történjen.
  • Bizalmasság
    • Az érzékeny információk védve legyenek az illetéktelen hozzáféréstől.
  • Integritás
    • Az adatok pontossága és teljessége megfeleljen az üzleti értékkészletnek és feltételezéseknek.
  • Rendelkezésre állás
    • Az információ akkor álljon rendelkezésre, amikor az üzleti folyamatnak arra szüksége van.
  • Megfelelés
    • Az informatikai szolgáltatások feleljenek meg a törvényeknek, szabályozásoknak és szerződéses feltételeknek.
  • Megbízhatóság
    • Az információ reprodukálható és hiteles legyen.
  • Minőség
    • Az információ előállítása és a szolgáltatások nyújtása megfelelő minőségben történjen.
  • Költség
    • A szolgáltatás nyújtása az előre meghatározott költségkereten belül történjen.

A COBIT kontroll területek

  1. Tervezés és szervezet
    • PO1 - IT stratégiai terv meghatározása

      • Olyan tervezési tevékenység, amely az informatikai lehetőségek és az üzleti célok közötti optimális egyensúly kialakítását és fenntartását biztosítja.

    • PO2 - Információ architektúra meghatározása

      • Olyan információs architektúrát kell meghatározni és olyan megfelelő rendszerek használatát kell biztosítani a szervezet számára, amely lehetővé teszi az üzleti tevékenység IT támogatottságának megvalósítását és végzését.

    • PO3 - Technológiai fejlődési irány meghatározása

      • A technológiai fejlődési irány meghatározása során az üzleti stratégiából kell kiindulni, figyelembe véve a technikai lehetőségeket és kényszerűségeket.

    • PO4 - IT szervezet és kapcsolatainak meghatározása

      • Az IT szervezet kialakításánál, szervezetbe illesztésénél az üzleti tevékenységet kell elsődlegesnek tekinteni, ehhez alkalmazkodó számú és szintű szerepkört és felelősségi kört kell meghatározni. Figyelemmel kell lenni arra, hogy az IT szervezet létrehozása, a szervezeten belüli és kívüli kommunikáció meghatározása minden esetben a stratégia előmozdításának, közvetlen irányításának és kielégítő ellenőrzöttségének érdekében történjen.

    • PO5 - IT beruházások irányítása

      • Az IT beruházások irányítása során kell gondoskodni a pénzügyi kiadások megalapozottságáról és ellenőrzöttségéről.

    • PO6 - A menedzsment célok és irányok kommunikálása

      • Biztosítani kell az IT rendszerek üzemeltető és fejlesztő személyzetének megfelelő szintű tájékoztatását a menedzsment céljairól.

    • PO7 - Emberi erőforrás gazdálkodás

      • Olyan alkalmas motivációs és ráhatási rendszer kell kialakítani és fenntartani, amely biztosítja az IT eljárásokban való személyes közreműködés maximális eredményességét.

    • PO8 - Külső követelményeknek való megfelelés biztosítása

      • Biztosítani kell a legális, szabályos és szerződésszerű kötelezettségek teljesítését, ezáltal a külső követelményeknek való megfelelést.

    • PO9 - Kockázatok felmérése

      • A kockázatok felmérése támogatja a menedzsment döntéseit az IT célok megvalósításával és a fenyegetésekre adott válaszokkal kapcsolatban.

    • PO10 - Projekt irányítás

      • A projekt irányítás feladata a projekt időtartama alatt a projekt működésének felügyelete, a prioritások meghatározása, az ütemezésnek megfelelő időben és a jóváhagyott költségvetési kereteken belüli működés és az átlátható változáskezelés biztosítása.

    • PO11 - Minőség menedzselése

      • A minőség menedzselés alkalmazásával biztosítható az egyértelműen meghatározott minőségi követelményeknek, a minőségi szabályozásnak, valamint az IT-t felhasználók elvárásainak történő megfelelés.

  2. Beszerzés, fejlesztés, implementálás
    • AI1 - Tervezés, döntés

      • A felhasználói igények kielégítésére szolgáló fejlesztések/beszerzések elindítása előtt olyan tervet kell készíteni, amely biztosítja a szervezet stratégiai céljainak való megfelelést, átlátható és megfelelő funkcionalitás és költséggazdálkodás mellett figyelembe veszi a különböző biztonsági és ellenőrzési szempontokat is. Megfelelően előkészített tervek alapján a menedzsment minden szempontot figyelembe véve tud dönteni a fejlesztés/beszerzés elindíthatóságáról.

    • AI2 - Felhasználói szoftver beszerzés és karbantartás

      • Felhasználói szoftver beszerzése/karbantartása során kerül sor az adott szervezet üzleti tevékenységét, vagy saját működését támogató szoftver, illetve az aktuális szabályzóknak megfelelő új szoftververzió beszerzésére és üzembe helyezésére.

    • AI3 - Technológiai architektúra (hardver, szoftver, orgver) beszerzés és karbantartás

      • Technológiai architektúra beszerzésén és karbantartásán azoknak az eszközöknek a beszerzése és karbantartása értendő, amelyeken az üzleti applikációk működnek.

    • AI4 - IT eljárások, ügyrendek fejlesztése és karbantartása

      • Az alkalmazott IT eljárások és ügyrendek biztosítják, hogy az előre meghatározott szolgáltatási szintnek megfelelő szintet nyújtsák a használt applikációk és a felhasználók által végzett operatív tevékenységek. Gondoskodni kell arról, hogy a mindenkori szabályzóknak és a vállalt szolgáltatási szintnek megfelelőek legyenek az ügyrendi, a dokumentációs és oktatási anyagok.

    • AI5 - Rendszerek installálása és átvétele

      • Rendszerek installálásán és átvételén az új szoftververziók telepítését, a bennük lévő megoldások, a tervezettnek megfelelő elvárások szempontjai alapján történő ellenőrzését és jóváhagyását értjük.

    • AI6 - Változáskezelés

      • A változáskezelésen egy olyan menedzselési rendszert értünk, amely a definiálatlan működésű, ellenőrizetlen változatok és hibajelenségek valószínűségének minimalizálására alkalmas, továbbá lehetővé teszi az egyértelmű elemzést, implementálást és változás követést a teljes IT infrastruktúrában és eszközrendszerben.

  3. Üzemeltetés, szolgáltatások, biztonság
    • DS1 - Szolgáltatási típusok és szintek meghatározása

      • A szolgáltatási típusok és szintek megadásával olyan teljesítmény kritériumokat lehet meghatározni, amelyek lehetővé teszik a szolgáltatás minőségének és mennyiségének meghatározását, ezáltal mérhetővé a szolgáltatás színvonalát.

    • DS2 - Szolgáltatók menedzselése

      • Biztosítani kell, hogy a külső szolgáltatók teljesítése folyamatosan a megkötött szerződések szerint elvárható szintű legyen. Ezáltal fenntartható a szolgáltató felé egyértelműen meghatározott szolgáltatási igények, teljesítmény követelmények, valamint a szolgáltató által nyújtott lehetőségek szinkronja.

    • DS3 - Teljesítmény és kapacitás menedzselés

      • A teljesítmény és kapacitásadatok elemzése és folyamatos figyelemmel kísérése, valamint az eszköz és terhelési igények esetleges átméretezése révén biztosítható a szükséges kapacitások optimális rendelkezésre állása.

    • DS4 - A szolgáltatások folytonosságának biztosítása

      • Üzletmenet folytonossági tervek készítésével, rendszeres ellenőrzésével biztosítható, hogy a szerződésekben meghatározott igényeknek megfelelő legyen a rendszerek működése.

    • DS5 - Rendszerek biztonságának biztosítása

      • A rendszerek megfelelő szintű biztonsága fontos eleme az információ bizalmasság megőrzésének. Gondoskodni kell a rendszeren belüli információk jogosulatlan felhasználásának, nyilvánosságra kerülésének, módosításának, valamint a megsemmisülésnek vagy az elveszésének a megakadályozásáról.

    • DS6 - Költségelemzés és –tartalékolás

      • Olyan költség követési rend kialakítására szükséges, amely megfelelő szintű, egyértelmű követést és visszacsatolást tesz lehetővé a szolgáltatások tényleges, kalkulált és allokált költségei tekintetében.

    • DS7 - Felhasználók oktatása és továbbképzése

      • A felhasználókat fel kell készíteni az alkalmazott technológiák tényleges használatára, a lehetőségek és a kockázatok tudatosítása.

    • DS8 - IT-hez kapcsolódó ügyfelek támogatása

      • A szerződésekben vállalt szolgáltatási szintnek megfelelően gondoskodni kell a felhasználóknál felmerülő problémák megfelelő szintű kezeléséről.

    • DS9 - Konfiguráció menedzsment

      • A biztonságos működés érdekében szükséges minden IT összetevő nyilvántartása, ezáltal az azonosítatlan változat létének megelőzése, a fizikai létezés és az alapvető változás kezelésének ellenőrzése.

    • DS10 - Probléma és esemény kezelés, naplózás

      • Olyan probléma kezelési megoldás kidolgozása szükséges, amely garantálja az összes felmerülő incidens regisztrálását és nyomon követését, a hiba ismételhetősége, ezáltal a hiba okának kiderítése és megelőzése érdekében.

    • DS11 - Adatok menedzselése

      • Az adatok megfelelő szintű menedzselésével biztosítható az adatbevitel, módosítás és tárolás során az adatok teljessége, pontossága, valódisága, ezáltal az információ sértetlensége.

    • DS12 - Fizikai környezet menedzselése

      • A fizikai környezet menedzselésével biztosítható az emberi vagy természeti veszélyek elleni, az IT berendezések és személyzet megóvására alkalmas, azokat körülvevő fizikai környezet kezelése.

    • DS13 - Rendszerek üzemeltetésének menedzselése

      • A rendszerek üzemeltetésének menedzselésére kidolgozott eljárások, ügyrendek segítségével, ezek rendszeres ellenőrzésével biztosítható a lényeges, IT támogatást igénylő funkciók rendszeres és precíz végrehatása.

  4. Monitorozás, független ellenőrzés
    • M1 - Folyamatok nyomon követése, monitorozás

      • A hatékony működés érdekében szükséges a lényeges teljesítmény mutatók meghatározása, a működés során a teljesítmény mérése, alapos és időben elkészített teljesítmény jelentések elkészítése és azonnali reagálás az eltérésekre.

    • M2 - Belső kontroll minőségének ellenőrzése

      • A hatékonyan működő belső kontroll megvalósítása érdekében szükséges az IT folyamatok belső ellenőrzésére kitűzött célok megvalósításának biztosítása, az ellenőrzés elkötelezettsége, hatékonysága és pontos elvek alapján készített kimutatásai.

    • M3 - Független ellenőrzés biztosítása

      • A szervezet, a felhasználói szervezetek és a külső szervezetek közötti bizalom erősítése érdekében független ellenőrzés biztosítása szükséges.

    • M4 - Független auditálásról való gondoskodás

      • A bizalmi szint és hasznosság növelése érdekében szükséges a független audit.


xhtml logo css logo
| Last modified: 2009. 06. 10.
Privacy policy | Terms & Conditions