نیلوفر
نیلوفر
خواندن ۷ دقیقه·۳ سال پیش

استاندارد COBIT چیست؟

استاندارد کوبیت (COBIT) به حاکمیت فناوری اطلاعات در سازمان‌ها می‌پردازد و در سال‌های اخیر موردتوجه سازمان‌ها و مدیران قرار گرفته است تا به کمک آن بتوانند ارتباط خوبی بین اهداف و خط مشی‌های سازمان و فرایندهای سازمانی برقرار کرده و از توانمندسازهای سازمانی به خوبی و در یک راستا بهره بگیرند.

COBIT مخفف Control Objectives for Information & related Technology به معنی کنترل اهداف و اطلاعات مربوط به فناوری های مرتبط است. این چارچوبی است که توسط ISACA (انجمن حسابرسی و کنترل سیستم‌های اطلاعاتی) برای مدیریت فناوری اطلاعات ایجاد شده است. این طراحی به عنوان یک ابزار حمایتی برای مدیران طراحی شده است و اجازه می دهد تا شکاف اساسی بین موضوعات فنی، خطرات تجاری و الزامات کنترلی پر شود. COBIT یک راهنمای کاملاً شناخته شده است که می تواند برای هر سازمانی در هر صنعتی اعمال شود.

به طور کلی، COBIT کیفیت، کنترل و قابلیت اطمینان سیستم های اطلاعاتی را در یک سازمان تضمین می کند که یکی از مهمترین جنبه هر تجارت مدرن است.

امروزه، COBIT در سطح جهانی توسط کلیه مدیران فرایندهای تجاری IT برای تجهیز آنها به یک الگوی برای ارزشمند ساختن سازمان، و شیوه های بهتر مدیریت ریسک مرتبط با فرآیندهای IT مورد استفاده قرار می گیرد. مدل کنترل COBIT درستی سیستم اطلاعات را تضمین می کند.


چارچوب COBIT

در سالهاي اخير بديهي است که به يک چارچوب مرجع براي کنترل و امنيت در خبرهاي فناوري اطلاعات نياز است، همچنين نياز بيشتري وجود دارد براي اينکه کاربران از ارائه خدمات فناوري اطلاعات، از راه مميزي خدمات ارائه شده توسط گروه‌هاي داخلي و شخص ثالث، اطمينان حاصل كنند. همچنين براي دستيابي به مزيت رقابتي و کارآمد بودن از نظر هزينه با تکيه بر تکنولوژي، براي دستيابي به موفقيت در مديريت سازمان و مديريت فناوري اطلاعات و نظارت و ارزيابي بر عملکرد سازمان، براي برآورده کردن هدفها و الزامات تجاري در جهت پاسخگويي به نيازها، از چارچوب مرجع به نام COBIT استفاده مي‌شود.


تعاريفي که در چارچوب COBIT بايد در نظر گرفته شود، عبارتند از:

  • کنترل: خط مشي‌ها، روشهاي اجرايي، فعاليتها و ساختارهاي سازماني که طراحي شده‌اند، براي ايجاد اطمينان از اينکه هدفهاي تجاري برآورده خواهند شد و از حوادث نامطلوب جلوگيري كرده، يا کاهش و يا اصلاح خواهند شد.
  • هدفهاي کنترل فناوري اطلاعات: بيان نتايج يا طرح مطلوبي که از راه پياده‌سازي روشهاي اجرايي، کنترل يک فعاليت خاص، به دست خواهد آمد.
  • راهبري فناوري اطلاعات: ايجاد ارتباطات و فرايندها براي هدايت و کنترل سازمان براي دستيابي به هدفهاي سازمان براي ايجاد ارزش افزوده يا ايجاد تعادل و توازن ريسکهاي حاصل از به كارگيري فناوري اطلاعات و فرايندهاي آن.

هدف اصلي پروژه COBIT، توسعه خط مشيهاي واضح و مدلهاي مناسب براي امنيت و کنترل فناوري اطلاعات، براي تأييد جهاني توسط سازمانهاي تخصصي، دولتي و تجاري است. هدف COBIT برآورده کردن هدفهاي تجاري است.


بطور خلاصه می توان مزایای استفاده از چهارچوب COBIT را در چند مورد زیر خلاصه نمود:

  • یک ابزار کارآمد برای بخش IT جهت پشتیبانی از اهداف تجاری یک سازمان
  • ایجاد یک چرخه حیات کامل برای IT جهت پیش بینی هزینه های این بخش در تجارت یک سازمان
  • بهبود هرچه بیشتر کیفیت سرویس های IT و موفقیت روزافزون در پروژه های IT
  • مدیریت موثر در مدیریت ریسک های مرتبط به بخش IT سازمان


چگونه COBIT را در سازمان اجرا کنیم؟

پذیرش و اجرای موفق COBIT به آموزش احتیاج دارد. پس از معرفی COBIT در سازمان، ابتدا مسئولان باید با آن آشنایی پیدا کرده و آن را بپذیرند. پس از پذیرش، لازم است کوبیت فناوری اطلاعات در اساسنامه و خط مشی سازمان به عنوان یک مدل مناسب و سودمند مشخص شود. سپس از طریق فرم‌ها ارزیابی ریسک و برنامه ریزی ممیزی انجام شود. این فرم‌ها عبارتند از:

فرم فعالیت‌های پیش ممیزی:

شناسایی این موضوع که آیا فعالیت‌های ممیزی مرتبط با فرآیند فناوری اطلاعات در حوزه پیش از ممیزی قرار می‌گیرد یا خیر، بر عهده این دسته از فرم‌ها است. فرم فعالیت‌های پیش ممیزی، توسط تیم ممیزی تکمیل می‌شود.

فرم خلاصه گزارش بخش:

این فرم فرآیندهای مربوط به فناوری اطلاعات را که اهمیت زیادی هم دارند، شناسایی کرده و مورد توجه قرار می‌دهد. این فرم توسط مدیران بخش‌ها تکمیل می‌شود.

فرم ارزیابی ریسک:

این فرم به تیم ممیزی در شناسایی فرآیندهای مربوط به فناوری اطلاعات، در جایی که احتمال ریسک وجود دارد، کمک می‎‌کند. فرم ارزیابی ریسک توسط تیم ممیزی یا مدیران و یا به طور مشترک تکمیل می‌شود.

فرم گروه‌های مسئول:

این فرم‌ها برای شناسایی افرادی مورد استفاده قرار می‌گیرد که هر فرآیند مربوط به فناوری اطلاعات را انجام می‌دهند و همچنین افرادی که مسئول نهایی هر فرآیند هستند. فرم گروه‌های مسئول، توسط تیم ممیزی با مشارکت مدیران بخش ممیزی تکمیل می‌شود.


انجام مميزی با استفاده از COBIT

پس از برنامه‌ريزی، فرايند مميزی براساس گامهای زير انجام می گيرد:

1. تعيين نوع مميزی: نوع مميزی مورد نياز براي بخشی که بايد مميزی شود را انتخاب کنيد. انواع مميزی هايی که ممکن است انجام شوند، عبارتند از: مالی، عملکرد، مطلوبيت و غیره.

2. تعيين هدفهای مميزی: بعد از انتخاب نوع مميزی، زمان آن است که هدفهای کنترل COBIT برای دستيابي به بينش و آگاهی بيشتر فرايندهای مربوط به فناوری اطلاعات انتخاب شده براي اين مميزی به کار گرفته شود.

3. توسعه و برنامه‌ريزی مميزی: در صورتی که يک برنامه مميزی وجود داشته باشد، آن برنامه با راهنمای مميزی COBIT مقايسه مي‌شود و اگر برنامه مميزی وجود نداشته باشد، از راه راهنمای مميزی COBIT يک برنامه مميزی تهيه می شود. در اين گام فعاليتهای زير انجام مي‌شود: مقايسه هدفهای مميزی با هدفهای کنترل COBIT، مقايسه برنامه مميزی با برنامه مميزی COBIT، افزودن فعاليتهای مميزی پيشنهاد شده از راه نظامنامه‌ها و راهنماهای سازمانی و قانونی.

4. انجام مميزی: مميزی مطابق راهنمای مميزی COBIT انجام مي‌گيرد.

5. نوشتن گزارش مميزی: نوشتن نتايج با تمرکز روی هدفهايی که برآورده شده‌اند و هدفهایی که برآورده نشده‌اند.


ارتباط COBIT با سایر مدل ها و چارچوب های شناخته شده

خیلی از کارشناسان حوزه فناوری اطلاعات ارتباط و تشابه ویرایش جدید COBIT را با سایر چارچوب ها ی شناخته شده همچون ITIL (ISO/IEC 20000), TOGAF و CMMI بیش از پیش مطرح میکنند ولی علیرغم اینکه همه آنها در بستر فناوری اطلاعات و ارتباطات سازمان محقق می شوند، تفاوت های قابل توجهی با یکدیگر دارند. چاچوب (ITIL (ISO/IEC 20000 به مدیریت خدمات فناوری اطلاعات و TOGAF نیز در حوزه معماری فرایندهای سازمانی می پردازد ولی COBIT صرفا حاکمیت و مدیریت اطلاعات و فناوری سازمان را در می گیرد. به عبارتی COBIT به چرایی موضوع و ITIL به چگونگی انجام موضوع در سازمان می‌پردازد که البته بکارگیری این دو چارچوب در سازمان هیچ مغایرتی نداشته و استفاده از هر دو پیشنهاد می گردد.

ویژگی‌های اصلی COBIT 2019 نسبت به COBIT 5

  • ارتباط و تطابق بیشتر با سایر استاندارد ها و چارچوب های شناخته شده (ITIL, ISO/IEC 20000 & …)
  • ارائه الگوی یکپارچه جهت طراحی و بروزرسانی سیستم حاکمیت فناوری اطلاعات در سازمان
  • ارائه راهنمای کاربردی تر، کاملتر و دقیقتر جهت پیاده‌سازی سیستم حاکمیت فناوری اطلاعات در سازمان
  • ارائه ابزارهای جدید به عنوان راهنما برای ایجاد یک سیستم حاکمیت فناوری اطلاعات در سازمان


تفاوت COBIT با ITIL

چارچوب ITIL به عنوان یک چارچوب مدیریت سرویس فناوری اطلاعات (ITSM) برای بسیاری از متخصصین IT شناخته شده است. با در نظر گرفتن اینکه ITIL نسبت بهCOBIT از محبوبیت بالاتری برخوردار است، اما به نظر می‌رسد که تا حد زیادی هدف هر دو چارچوب‌، فراهم کردن رهنمون‌هایی جهت مدیریت و حکمرانی سرویس‌های مرتبط با IT است. پس چه چیزی COBIT را از ITIL متمایز می‌سازد؟

هدف اصلی چارچوب کوبیت فراهم کردن رهنمون‌هایی برای پیاده‌سازی، عملیاتی‌ کردن و همچنین بهبود تمامی امور مربوط به حکمرانی و مدیریت IT می‌باشد. ITIL رهنمون‌ها و توصیه‌هایی برای عملیاتی‌سازی ITSM با رویکرد افزایش ارزش تجاری فراهم می‌کند که عمدتاً مختص به فراهم کنندگان سرویس‌های IT است. به طور کلی، چارچوب COBIT گسترده‌تر از ITIL است، اما چارچوب ITIL مفاهیم و رهنمون‌های عمیق‌تر و جزئی‌تری را در خصوص ITSM فراهم می‌کند.

تفاوت بین این دو چارچوب در برخی منابع به یک عبارت کوتاه خلاصه می‌شود: “کوبیت به چرایی موضوع می‌پردازد حال آنکه ITIL به چگونگی انجام آن توجه می‌کند”. به طور دقیق‌تر، اگر به عنوان متخصص IT به دنبال برطرف کردن نیازهای تجاری خود در خصوص ITSM هستید، می‌توانید از رهنمون‌های هر دو چارچوب بهره ببرید. در بسیاری از موارد چارچوب‌های شناخته شده‌ی دیگر مانند چارچوب عملیاتی مایکروسافت (MOF) نیز می‌تواند فرایندها‌ی IT را بهبود بخشد.


عمده سوالاتی که در چهارچوب COBIT به آنها پاسخ داده می شود به شرح زیر می باشد:

1. آیا بخش سازمان فن آوری اطلاعات من رسالت خود را به درستی انجام می دهد یا خیر؟

2. آیا بخش IT در مسیر درستی حرکت کرده و به اهداف خود دست می یابد یا خیر؟

3. آیا پروژه های این بخش بدرستی انجام و به پایان می رسد یا خیر؟

4. آیا سازمان من از سود و مزایای IT بهره مند می گردد یا خیر؟


فرآیندهایی که توسط این چهارچوب کنترل می شوند شامل:

1. طراحی و سازماندهی فرآیندهای IT

2. بدست آوردن و پیاده سازی فرآیندها

3. تحویل و پشتیبانی فرآیندها

4. پایش و ارزیابی مستمر فرآیندهای IT می باشد.


این بدان معنی است که این چهارچوب سبب می شود که تمامی فرآیندها و پروژه های IT محور بصورت مداوم شامل این چرخه شده تا در سازمان شما به نهایت بلوغ خود نزدیک شود. در این چهارچوب منابع شامل برنامه های کاربردی، اطلاعات، زیرساخت و نیروی انسانی می شود که می بایست فرآیند های شما بر اساس این منابع طراحی و پیاده سازی گردد.

از یک منظر می توان گفت که COBIT یک هارمونی زیبا بین استاندارهایی مانند ITIL، PMBOK و ISO 27001 و ISO 27002 می باشد که در درون خود چرخه حیات IT، نحوه مدیریت پروژه های IT و ایجاد یک چتر امنیتی استاندارد را در بر دارد.

مدیران آینده


cobit
شاید از این پست‌ها خوشتان بیاید