COBIT 5. APO procesai VU APO_1.pdf · 2013-11-06 · COBIT 5. APO procesai 2013.03.15 Aldas Glemža • 01 IT valdymo sistemos valdymas • 02 Strategijos valdymas • 03 Organizacijos

www.bluebridge.lt

COBIT 5. APO procesai

2013.03.15

Aldas Glemža

• 01 IT valdymo sistemos valdymas

• 02 Strategijos valdymas

• 03 Organizacijos architektūros valdymas

• 04 Inovacijų valdymas

• 05 Portfelio valdymas

• 06 Biudžeto ir sąnaudų (kaštų) valdymas

• 07 Personalo (ŽI) valdymas

• 08 Santykių valdymas.

• 09 Paslaugų susitarimų valdymas

• 10 Tiekėjų valdymas

• 11 Kokybės valdymas

• 12 Rizikos valdymas

• 13 Saugumo valdymas

Suderinti, Planuoti ir OrganizuotiAlign, Plan and Organise (APO)

• Aprašas: Išgryninti ir palaikyti vadovavimo IT misiją ir viziją. Įgyvendinti ir palaikyti atsakomybes ir mechanizmus užtikrinančius informacijos ir IT naudojimą sutinkamai su organizacijos tikslais ir nuostatomis.

• Paskirtis: Sukurti valdymo sistemą, įgyvendinančią vadovavimo principus per valdymo procesus, organizacines struktūras, roles ir atsakomybes, patikimas ir kartotines veiklas, įgūdžius ir kompetencijas

• Susiję Bendrieji IT tikslai

– Labai daug

APO01 IT valdymo sistemos (framework) valdymas. Tikslai

• APO01.01 Nustatyti organizacinę struktūrą IT valdymo komitetas, atsakomybės ir įgaliojimų suderinimas, IT padalinio pavaldumo lygis

• APO01.02 Nustatyti roles (pareigas) ir atsakomybes rolių atskyrimas, priklausomybės nuo vieno asmens išvengimas, kompetencijų dubliavimas (cross-training), dokumentavimas, atsakomybių ir įgaliojimų bei resursų suderinimas

• APO01.03 IT Valdymo sistemos įgalintojų (enablers) palaikymas Aiškus reikalavimų ir poreikių komunikavimas, tinkamo IT naudojimo principai, bendradarbiavimas tarp padalinių, komandinis darbas, suderinamumas, nuolatinis tobulėjimas, nukrypimų šalinimas

• APO01.04 IT vadovybės tikslų ir krypties komunikavimas žodžiais ir veiksmais, resursų skyrimas komunikavimui, atsižvelgimas į gavėją

• APO01.05 IT funkcijos pavaldumo optimizavimas IT kritiškumas veiklai, alternatyvų išskyrimas ir įvertinimas, tiesioginio vadovo kompetencija

APO01 IT valdymo sistemos (framework) valdymas. Praktikos

• APO01.06 Nustatyti duomenų ir sistemų savininkus savininkų ir IT pasidalijimas atsakomybe, bendradarbiavimo mechanizmai, informacijos klaisfikavimas ir atsakomybė už jos kokybę, sistemų ir duomenų grupių sąrašo sudarymas, vieningo informacinio modelio klausimų sprendimas

• APO01.07 Nuolatinis procesų tobulinimas naujų standartų atsiradimas, automatizavimas, procesų naudotojų nuomonė, kritinių procesų išskyrimas, tobulinimo veiksmų prioritetizavimas, rodiklių išskyrimas, matavimas (sąsaja su kokybės valdymu), procesų ar jų komponentų „išjungimas“

• APO01.08 Palaikyti tvarkų (politikų) ir procedūrų atitikimą Stebėti tvarkų ir procedūrų vykdymą, numatyti ir įgyvendinti sankcijas už jų nesilaikymą (kartais gali prireikti pakeitimų), atitikties reikalavimas „nuleistas“ iki individualių personalo tikslų, tendencijų stebėjimas

APO01 IT valdymo sistemos (framework) valdymas. Praktikos (2)

• Aprašas: Pateikti visaapimantį dabartinės veiklos ir IT aplinką, numatomą kryptį, iniciatyvas vedančias ta kryptimi. Gerinti organizacijos architektūros dalis ir komponentus, pasitelkiant išorines paslaugas ir gebėjimus, sukuriant gyvą, patikimą ir efektyvią sistemą, leidžiančią siekti organizacijos tikslų

• Paskirtis: Suderinti strateginius veiklos ir IT planus, nustatyti aiškius tikslus ir jų pasiekimo atsakomybę, nustatant ir susisteminant IT strateginius pasirinkimus, integruojant juos su veiklos planais


– 01 IT ir veiklos (Organizacijos) strategijų suderinamumas

– 07 IT paslaugų teikimas pagal veiklos reikalavimus (poreikius)

– 17 Žinios, kompetencijos ir iniciatyvos, skatinančios inovacijas

APO02 Strategijos valdymas. Tikslai

• APO02.01 Nustatyti organizacijos vystymosi kryptį

• APO02.02 Dabartinės IT aplinkos, gebėjimų ir veiksmingumo įvertinimas būtinai įvertinti išorinių gebėjimų panaudojimo galimybę, IT brandą industrijoje, pas konkurentus, SWOT,

• APO02.03 Tikslinių IT gebėjimų nustatymas reikiami gebėjimai (time to market - tele2, savitarna) ir IT paslaugos (mobilumas), kylančios technologijos (apps), „suderinti pokyčius su organizacijos architektu“

• APO01.04 Atotrūkio įvertinimas (Gap analysis) ... Ir pokyčių, kurie šį atotrūkį panaikintų. Svarbus jų eiliškumas, ne per didelis intensyvumas

• APO02.05 Nustatyti IT strateginį planą ir kelio gaires IT tikslų susiejimas su organizacijos tikslais. Sąsaja su IT projektais, IT resursais ir paslaugomis. Tikslo pasiekimo matavimas, reikalingų resursų išskyrimas ar įsigijimas, IT kritiškumas veiklai, alternatyvų išskyrimas ir įvertinimas

• APO02.06 IT strategijos ir krypties komunikavimas svarbu kam sakome, kodėl tai pranešame (klientams, darbuotojams, vadovybei)

APO02 Strategijos valdymas. Praktikos

• Aprašas: Sudaryti esamą ir siektiną architektūras, susidedančias iš veiklos procesų, informacijos, duomenų, aplikacijų ir technologijų sluoksnių. Nustatyti reikalavimus taksonomijai, standartams, procedūroms ir įrankiams, apjungiantiems šiuos sluoksnius. Siekti pakartotino blokų panaudojimo (pvz., klientų aptarnavimas, mokėjimų surinkimas, pakeitimų valdymas)

• Paskirtis: Atvaizduoti skirtingus blokus, sudarančius organizacijos architektūrą, ir sąsajas tarp šių blokų, bei blokų kūrimo ir susiejimo principus.


– 01 IT ir veiklos (Organizacijos) strategijų suderinamumas

– 09 IT judrumas (Agility)

– 11 IT išteklių ir gebėjimų optimizavimas

APO03 Organizacijos architektūros valdymas. Tikslai

• APO03.01 Sukurti organizacijos architektūros viziją. Ši vizija yra įrankis, skirtas naujo organizacijos gebėjimo vertės parodymui: pvz., nuosavo pardavimo tinklo sukūrimas. Įtraukti į architektūros kontekstą ir išorines paslaugas

• APO03.02 Pasirinkti architektūros modelį (reference architecture). Šis modelis turi aprašyti ir esamą ir siekiamą (vizija) architektūras, jos turi būti palaikomos, jose atvaizduojamos iniciatyvos ir pasikeitimai. Apima ir duomenų žodyną (loginį veiklos modelį)

• APO03.03 Pasirinkti galimybes ir sprendimus. Nagrinėjant atotrūkį tarp esamos architektūros ir vizijos identifikuoti galimus pokyčius, juos grupuoti, svarstyti su suinteresuotomis šalimis, paversti projektais.

• APO03.04 Sukurti architektūros vizijos įgyvendinimo planą.

• APO03.05 Teikti organizacijos architektūros paslaugas. Panaudoti architektūrą pasirenkant sprendimus, vertinant iniciatyvas, prsikirtiarchitektūros palaikymo atsakomybę

APO03 Organizacijos architektūros valdymas. Praktikos

• Aprašas: Sekti IT technologines naujoves, aptikti inovacines galimybes, daryti įtaką strateginiam planavimui ir architektūrai

• Paskirtis: Pasiekti organizacijos konkurencinį pranašumą, geresnį veiksmingumą panaudojant IT ir jų taikymo naujoves.


– 05 realizuota nauda iš su IT susijusių sprendimų ir paslaugų

– 08 tinkamas aplikacijų, informacijos ir technologijų naudojimas

– 09 IT judrumas (agility)



APO04 Inovacijų valdymas. Tikslai

• APO04.01 Palankios inovacijoms aplinkos sukūrimas. Konkursai, skunk-works, innoFriday, intraneto grupės, išorinių specialistų įtraukimas, idėjų bankas

• APO04.02 Organizacijos aplinkos supratimo palaikymas. Reguliarus bendravimas su susijusiomis šalimis, jų problemos, apribojimai, požiūris

• APO04.03 Stebėti ir skenuoti technologinę aplinką. Pvz., mobilumas, savitarna, el. pinigai, robotai ir pan. Apžvelgti rinkas, industrijas ir pan.

• APO04.04 Įvertinti technologijų potencialą ir inovacines idėjas. Nustatyti pastarųjų prioritetus, proof-of-concept (POC) vykdymas,

• APO04.05 Teikti rekomendacijas dėl tolesnio inovacinių idėjų įgyvendinimo POC įvertinimas, teikimas į įgyvendinimą ar atmetimas, pastarųjų komunikavimas

• APO04.06 Stebėti inovacijų įgyvendinimą ir panaudojimą stebėti atitikimą prielaidoms (Assumption based planning), inicijuoti vertės gavimo gerinimo veiksmus (vertės valdymas), mokytis iš savo patirties

APO04 Inovacijų valdymas. Praktikos

• Aprašas: strategiškai valdyti investicijų portfelį – sutinkamai su IT strategija ir architektūra, subalansuojant jų tipus, atsižvelgiant į trukmę, išteklius ir kitus apribojimus, suderinant naudą ir susijusią riziką. Stebėti portfelio vykdymą ir, išaiškėjus neatitikimui, imtis priemonių.

• Paskirtis: Optimizuoti viso portfelio programų (investicijų grupių) vykdymą, reaguojant į organizacijos prioritetų kaitą.


– 01 Organizacijos ir IT strategijos suderinamumas


– 13 portfelio programų vykdymas atnešant vertę, laiku ir atitinkant biudžetą, reikalavimus bei kokybės standartus

APO05 Portfelio valdymas. Tikslai

• APO05.01 Nustatyti siekiamą investicijų rinkinio struktūrą. Strateginiai tikslai, sąnaudų optimizavimas, atitikimas reikalavimams; ilgalaikiai ir trumpalaikiai tikslai, savo jėgomis ir išorinių tiekėjų, aukšta ir žema rizika

• APO05.02 Nustatyti finansinių išteklių prieinamumą ir jų šaltinius. Kokiomis lėšomis disponuojame, terminai, sponsorius,

• APO05.03 Įvertinti investicijas ir pasirinkti tinkamas būtinai vertinti verslo planus (business case). Pasirinktoms skirti lėšas ir dėmesį.

• APO05.04 Stebėti, optimizuoti ir atsiskaityti už portfelio investicijų vykdomumą Laiku sureaguoti į pokyčius įmonėje, rinkoje ir pan.

• APO05.05 Palaikyti portfelius apima ne tik investicijų, bet ir paslaugų, išteklių portfelius. Svarbu išimti iš portfelio, kai tikslai jau pasiekti ar matome, kad jie nebus pasiekti

• APO05.06 Valdyti vertės sukūrimą Matuoti tikslų (vertės) pasiekimo laipsnį, esant atsilikimui rasti sprendimus pasiekti planuotą vertę arba koreguoti verslo planą (business case)

APO05 Portfelio valdymas. Praktikos

• Aprašas: valdyti su IT susijusius finansus IT ir veiklos pusėje, apimant biudžetų, sąnaudų ir naudos valdymą. Apima formalaus biudžetavimo, skaidraus ir sąžiningo sąnaudų paskirstymo organizacijoje sistemą bei biudžeto ir sąnaudų atitikimo kontrolę

• Paskirtis: Partnerystės tarp IT ir suinteresuotų organizacijos šalių stiprinimas, užtikrinat tinkamą ir efektyvų IT išteklių naudojimą, skaidrumą ir atskaitomybę siejant patiriamas sąnaudas su sukuriama verte.



– 06 IT sąnaudų, vertės ir rizikos skaidrumas

NB Egzistuoja daug IT finansavimo modelių – nuo centralizuoto IT iki nekoordinuojamo; bendrinių paslaugų ir padalinių specifinių paslaugų hibridinė sistema; galimybė padaliniams iš IT biudžeto lėšas pervesti kitur

APO06 Biudžeto ir sąnaudų valdymas. Tikslai

• APO06.01 Finansų ir apskaitos valdymas Nustatyti ir palaikyti būdą apskaityti visas su IT susijusias sąnaudas, investicijas ir nusidėvėjimą kaip integralią visos organizacijos finansų apskaitos dalį. Priskirti šias IT sąnaudas projektams, paslaugoms, ištekliams ir pan. (pvz., S-F vizavimas)

• APO06.02 Nustatyti lėšų paskirstymo prioritetus. Priskirti atsakomybę už lėšų paskirstymą IT koordinavimo (ar pan.). Svarstyti savo ar išorinių išteklių ar paslaugų kūrimą, pasirinkti turėti ar nuomotis

• APO06.03 Suplanuoti ir palaikyti biudžetus. Biudžetai turi atitikti IT investicijų, paslaugų ir išteklių strateginius prioritetus. Biudžetų suma atspindi visas planines IT sąnaudas. Komunikuoti biudžetus, Naudotis biudžetų informacija ateities laikotarpių planavimui

• APO06.04 Sukurti sąnaudų paskirstymo modelį. Mokėtojai turi galėti prognozuoti sąnaudas, pasirinkti mažesnį paslaugos lygį su mažesne kaina

• APO06.05 Valdyti sąnaudas sekti biudžetų naudojimą, aptikus nukrypimusinformuoti atitinkamus vadovybės lygius. Įtraukti į sprendimų priėmimą veiklos žmones (IT paslaugų naudotojus), prireikus riboti IT išlaidas

APO06 Biudžeto ir sąnaudų valdymas. Praktikos

• Aprašas: Sukurti ir palaikyti tinkamą organizacinę struktūrą, su atsakomybe ir įgaliojimais, leidžiančią optimaliai panaudoti IT personalo gebėjimus. Tai apima mokymąsi ir kompetencijos tobulinimą, siekiamų gebėjimų formulavimą ir personalo motyvavimą

• Paskirtis: Optimizuoti žmogiškuosius išteklius siekiant organizacijos tikslų.





– 16 kompetentingas ir motyvuotas IT ir veiklos personalas


APO07 Personalo (ŽI) valdymas. Tikslai

• APO07.01 Tinkamo IT Personalo pakankamumo užtikrinimas Apima vidinį ir išorinį (tiekėjų, laikinai samdomą ir pan.) personalą. Kompetencijos dubliavimas (matrica, pakeitimai), vengiant vieno „nepakeičiamo“ asmens

• APO07.02 Svarbiausiųjų IT specialistų nustatymas. Rizikos minimizavimas dokumentuojant, ruošiant pamainą, bendradarbiavimą ir rotaciją. Metinių atostogų „testas“

• APO07.03 Palaikyti personalo gebėjimus ir kompetenciją. Karjeros planavimas, sertifikavimai, vidiniai mokymai, kultūra

• APO07.04 Darbuotojų darbo vertinimas. Metiniai planai, jų peržiūra, klientų vertinimai, grįžtamasis ryšys – laiku, konkretus

• APO07.05 Planuoti ir sekti IT ir veiklos žmonių išteklių poreikį Proaktyviaiprognozuoti būsimą poreikį, analizuoti esamą panaudojimą

• APO07.06 Valdyti išorinį (laikinai samdomą) personalą Aiškus rezultatų, darbų ar atsakomybių reglamentavimas sutartimis, įrašant priemones, leidžiančias išorinius valdyti kaip vidinius – išoriniai darbuotojai supažindinti su organizacijos tvarkomis, jų veiksmai gali būti tikrinami

APO07 Personalo (ŽI) valdymas. Praktikos

• Aprašas: Valdyti santykius tarp IT ir veiklos skaidriu ir formalizuotu būdu, siekiant bendrų organizacijos tikslų. Santykius grįsti abipusiu pasitikėjimu (!), naudojant aiškias ir suprantamas sąvokas – bendrą kalbą, noriai (!) prisiimant atsakomybę už svarbiausius sprendimus.

• Paskirtis: Pasiekti geresnių rezultatų, didinti pasitikėjimą (IT ar net abipusį ) ir išteklių panaudojimo efektyvumą.



– 07 IT paslaugų teikimas atitinkant veiklos reikalavimus

– 12 veiklos procesų įgalinimas ir palaikymas integruojant į juos aplikacijas ir technologijas


APO08 Santykių valdymas. Tikslai

• APO08.01 Suprasti veiklos lūkesčius Žinoti svarbiausius veiklos atstovus, jų iššūkius, problemas, paversti veiklos lūkesčius reikalavimais , „algoritmizuoti jų svajones“, gauti veiklos pritarimą suformuluotiems reikalavimams IT

• APO08.02 Nustatyti su IT susijusias galimybes, riziką ir apribojimus didinant veiklos gebėjimus Veikti sutinkamai su organizacijos architektūros vizija, prisidėti formuojant portfelius ar vertinant jų elementų verslo planus, sekti technologijų ir jų pritaikymo tendencijas,

• APO08.03 Palaikyti santykius su pagrindinės veiklos atstovais. Nustatyti kontaktinius asmenis (gerai žino veiklą, autoritetingi, turi technologijų žinių), visoms svarbioms veiklos sritims. Periodiškai kartu aptarti situaciją ir iškylančias problemas, priimti sprendimus ir sekti jų įgyvendinimą.

APO08 Santykių valdymas. Praktikos (1)

• APO08.04 Koordinuoti ir komunikuoti. Proaktyviai derinti pokyčius ir informuoti apie juos – tai, ką veiklai reikia žinoti (greitaveika, galimi sutrikimai, mokymų poreikis), veiksmus nenumatytų situacijų metu, informuoti visais IT paslaugų teikimo klausimais

• APO08.05 Teikti informaciją IT paslaugų gerinimui Vykdyti IT paslaugų naudotojų nuomonės tyrimus, apklausas; kartu aptikti, prioritetizuoti, įgyvendinti ir komunikuoti gerinimo iniciatyvas; spręsti kertinius (root-cause) gerinimo klausimus.

APO08 Santykių valdymas. Praktikos (2)

• Aprašas: Suderinti IT paslaugas ir jų lygius su organizacijos poreikiais ir lūkesčiais, apimant paslaugų, jų lygių ir veikimo (performance) indikatorių identifikavimą, specifikavimą, sukūrimą, pateikimą, susitarimą (?) ir monitoringą.

• Paskirtis: Užtikrinti, kad IT paslaugos ir jų lygiai atitinka dabartinius ir būsimus organizacijos poreikius.



– 14 Patikimos ir naudingos informacijos sprendimų priėmimui turėjimas

APO09 Paslaugų susitarimų valdymas. Tikslai

• APO09.01 Nustatyti IT paslaugas Analizuoti, kaip veikla naudoja IT paslaugas, aptarti ir suderinti potencialias naujas paslaugas ir/ar jų lygius. Vertinti būsimas paslaugų apimtis, stengtis paketizuoti ar kitaip standartizuoti IT paslaugas, valdyti paslaugų portfelį, apimant ir nebenaudingų paslaugų atsisakymą

• APO09.02 sukataloguoti IT paslaugas Pateikti katalogą skirtingais pjūviais pagal jų naudotojų poreikius (pvz., funkcinį, finansinį, rizikos ir pan.). Informuoti veiklą apie pasikeitimus kataloge

• APO09.03 Apibrėžti ir paruošti paslaugų susitarimus. Pasirengti vidinius IT operacinius susitarimus, leisiančius įvykdyti paslaugų susitarimus. Jei paslauga susijusi su išoriniu tiekėju, suderinti sutarties su juo sąlygas su paslaugos susitarimu. NB. Tiekėjo siūloma susitarimo kokybė dažnai atspindi paslaugų kokybę.

APO09 Paslaugų susitarimų valdymas. Praktikos (1)

• APO09.04 Stebėti ir atsiskaityti už faktinį paslaugos lygį. Naudojant automatizuotus sprendimus ar kitus, objektyvumą užtikrinančius mechanizmus, rinkti veikimo indikatorių reikšmes, atspindinčias paslaugos lygį. Reguliariai atsiskaityti paslaugos gavėjams, stebėti tendencijas, siūlyti gavėjams palankesnį paslaugos planą

• APO09.05 Peržiūrėti paslaugų susitarimus ir sutartis Reguliariai peržiūrėti paslaugų poreikį, pasirenkant tinkamesnį lygį, siūlant modifikuoti paslaugą ar net jos atsisakant (britų pabūklų tarnyba, fakso numeris blankuose, ir pan.)

APO09 Paslaugų susitarimų valdymas. Praktikos (2)

• Aprašas: Valdyti įvairių tipų tiekėjų teikiamas IT paslaugas apimant tiekėjų parinkimą, santykių ir sutarčių su jais valdymą bei stebint ir peržiūrint paslaugų tinkamumą ir efektyvumą.

• Paskirtis: Minimizuoti riziką susijusią su tiekėjo tapimu neveiksniu ir užtikrinant konkurencingą kainą.


– 04 minimizuota su IT susijusi veiklos rizika


– 09 IT judrumas (Agility)

APO10 Tiekėjų valdymas. Tikslai

• APO10.01 Sudaryti ir kategorizuoti tiekėjų bei jų sutarčių sąrašą. Įtraukti ir alternatyvius (rezervinius) tiekėjus. Vertinti jų svarbą ir kritiškumą.

• APO10.02 Pasirinkti tiekėjus Turėti formalią pasirinkimo procedūrą. Derinti tiekėjų ir savo organizacijos dydžius, patirtį, kultūras. Painaudotitiekėjų informacija iš RFI

• APO10.03 Valdyti santykius su tiekėjais ir sutartis. Paskirti kiekvienam tiekėjui savo atsakingą asmenį - atstovą, turėti tokį pas klientą. Sekti sutarčių galiojimą ir atitikimą vidaus tvarkoms. Kai keli tiekėjai susiję paslaugų teikime, išrinkti ir paskirti „generalinį rangovą“

• APO10.04 Valdyti tiekėjų riziką (tęstinumą). Stebėti, pasiruošti rizikos pasireiškimui - sutartyse apibrėžti atsakomybę, perėmimą (escrow)

• APO10.05 Stebėti ir vertinti tiekėjų veiksmingumą ir atitiktį. Reguliariai vertinti tiekėjų paslaugų kokybę, atitikimą sutartiniams reikalavimams, naudos/kaštų santykį, siekti nepriklausomo vertinimo, lyginti su alternatyviais tiekėjais

APO10 Tiekėjų valdymas. Praktikos

• Aprašas: Nustatyti ir komunikuoti kokybės reikalavimus visiems procesams, procedūroms, veiklų rezultatams, įskaitant kontroles (controls), nepertraukiamą stebėseną ir patikrintų standartų bei gerųjų praktikų naudojimą, siekiant nuolat gerinti veiklą ir jos efektyvumą.

• Paskirtis: Užtikrinti nuoseklų sprendimų ir produktų pateikimą, atitinkantį organizacijos kokybės reikalavimus ir tuo pačiu suinteresuotų šalių poreikius.





APO11 Kokybės valdymas. Tikslai

• APO11.01 Įdiegti kokybės vadybos sistemą. Suderinti IT kokybės valdymo sistemą su visos organizacijos, pasitvirtinti kokybės reikalavimus su savininkais, stebėti kokybės lygį

• APO11.02 Nustatyti ir valdyti kokybės standartus, praktikas ir procedūras Standartai turi atitikti IT valdymo sistemos objektus (procesus, praktikas ir pan.), pagal poreikį sertifikuoti procesus, padalinius ar paslaugas

• APO11.03 Paremti (fokusuoti) kokybės valdymą IT klientų poreikių tenkinimu.

• APO11.04 Nuolat stebėti kokybę, vykdyti peržiūras ir imtis priemonių.

• APO11.05 Integruoti kokybės valdymą į sprendimų ir paslaugų kūrimą

• APO11.06 Nuolat vykdyti kokybės gerinimą Sukurti gerųjų praktikų dalinimosi priemones, aptikti gilumines defektų priežastis, kokybės ir gerinimo kultūros skleidimas, susieti grįžtamuoju ryšiu kokybės ir problemų valdymą

APO11 Kokybės valdymas. Praktikos

• Aprašas: Nuolat identifikuoti, vertinti ir mažinti su IT susijusią riziką iki priimtino organizacijos vadovams lygio.

• Paskirtis: Integruoti su IT susijusios rizikos valdymą į visos organizacijos rizikos valdymo sistemą, subalansuoti rizikos valdymo naudą ir kaštus.


– 02 IT suderinamumas ir pagalba veiklos suderinamumui su išoriniais reikalavimais (teisės aktais)


– 06 IT sąnaudų, naudos ir rizikos skaidrumas

– 10 informacijos, jos apdorojimo infrastruktūros ir aplikacijų saugumas


APO12 Rizikos valdymas. Tikslai

• APO12.01 Rinkti duomenis. Identifikuoti ir rinkti duomenis, padedančius identifikuoti, analizuoti ir atsiskaityti apie su IT susijusią riziką

• APO12.02 Analizuoti riziką Pasirengti informaciją, padėsiančią priimti rizikos valdymo sprendimus pagal veiklos reikalavimus (tikėtini scenarijai, rizikos įvykių dažnumas ir mastas, turimos kontrolės, tikėtinos priemonės)

• APO12.03 Palaikyti rizikos profilį (sąvadą). Žinomos rizikos ir jos atributų (tikimybė, poveikis ir turimos/galimos kontrolės). Skirti ir grupuoti rizikos atvejus pagal funkcijas, pobūdį (neveikimas, praradimas, ...), technologijas

• APO12.04 Rizikos akcentavimas Informuoti suinteresuotas puses apie organizacijos riziką, susijusią su IT, kad vadovybė teisingai suprastų esamą rizikos valdymo lygį ir inicijuotų, jei reikia, jos valdymo pakeitimus.

• APO12.05 Apibrėžti rizikos valdymo veiksmų portfelį palaikyti esamų ir planuojamų įgyvendinti priemonių portfelį, įgyvendinti prioritetines

• APO12.06 Vykdyti atsakomąsias priemones rizikai pasireiškus minimizuojant rizikos pasireiškimo poveikį; pasiruošti, palaikyti ir testuoti reagavimą į riziką, kaupti informaciją tolimesniam rizikos valdymui(faktinis poveikis, trukmė, priemonių tinkamumas)

APO12 Rizikos valdymas. Praktikos

• Aprašas: Apibrėžti, vykdyti ir stebėti informacinio saugumo valdymo sistemą (ISMS). (sąsajos su ITIL ir ISO 27000)

• Paskirtis: Išlaikyti informacinio saugumo incidentų dažnumą ir jų poveikį priimtiname organizacijai lygmenyje (sutinkamai su rizikos apetitu).


– 02 IT suderinamumas ir pagalba veiklos suderinamumui su išoriniais reikalavimais (teisės aktais)


– 06 IT sąnaudų, naudos ir rizikos skaidrumas

– 10 informacijos, jos apdorojimo infrastruktūros ir aplikacijų saugumas

– 14 Patikimos ir naudingos informacijos sprendimų priėmimui turėjimas

APO13 Informacinio saugumo valdymas. Tikslai

The standard contains 11 domains (apart from introductory sections)• Security policy - management direction

• Organization of information security - governance of information security

• Asset management - inventory and classification of information assets

• Human resources security - security aspects for employees joining, moving and leaving an organization

• Physical and environmental security - protection of the computer facilities

• Communications and operations management - management of technical security controls in systems and networks

• Access control - restriction of access rights to networks, systems, applications, functions and data

• Information systems acquisition, development and maintenance - building security into applications

• Information security incident management - anticipating and responding appropriately to information security breaches

• Business continuity management - protecting, maintaining and recovering business-critical processes and systems

• Compliance - ensuring conformance with information security policies, standards, laws and regulations

ISVS apibrėžta ISO/IEC 27001:2005

• APO13.01 Sukurti ir palaikyti Informacinio saugumo valdymo sistemą (ISVS), kuri sudaro standartinį, formalų ir nuolatinį būdą valdyti informacinį saugumą, įgalindama naudoti saugias technologijas (pvz., PKI) ir veiklos procesus (pvz., 4 akys) sutinkamai su organizacijos saugumo reikalavimais. Gauti vadovybės pritarimą ISVS diegimui, apibrėžti ir komunikuoti roles joje,

• APO13.02 Apibrėžti ir palaikyti informacinio saugumo rizikos valdymo planą Jis derinamas su strateginiais tikslais ir organizacijos architektūra. Pastarojoje turi būti aptinkami informacinį saugumą užtikrinantys komponentai. Saugumo užtikrinimas turi būti įsiūtas į procesus ir aplikacijas. Rengti supažindinimo ir saugumo užtikrinimo mokymus (antiSocial engineering).

• APO13.03 Stebėti ir peržiūrinėti ISVS Reguliariai peržiūrėti ISVS tinkamumą pagal incidentus, atsiliepimus, renkamus monitoringo duomenis, vykdomus vidaus auditus, vadovybės peržiūros (dėl atitikimo veiklos poreikiams) išvadas

APO13 Informacinio saugumo valdymas. Praktikos

Documents

COBIT 5. APO procesai VU APO_1.pdf · 2013-11-06 · COBIT 5. APO procesai 2013.03.15 Aldas Glemža • 01 IT valdymo sistemos valdymas • 02 Strategijos valdymas • 03 Organizacijos