COBIT ומפת''ח

COBIT ומפת''ח

מדריך זה דן במודל COBIT ושם דגש על גרסה 5 למודל. המדריך מתאר את מאפייניו השונים של COBIT ואת עקרונות מימושו באמצעות כלי מפת"ח. המדריך משווה את תהליכי העל המוגדרים במודל לפתרונות הקיימים במתודולוגיית מפת"ח. המטרה המעשית היא להראות כיצד מפת"ח עונה לכל נושא המוכל במודל COBIT. במילים אחרות, כיצד עבודה עפ"י נוהל מפת"ח מקיימת את דרישות COBIT בפועל.

מבוא

מודל COBIT (Control Objectives for IT & Related Technologies) פותח על ידי האיגוד הבינלאומי לביקורת ואבטחת מערכות מידע ISACA (Information Systems Audit and Control Association)

הוא מהווה מסגרת לניהול ובקרה של ממשל טכנולוגיית המידע. המודל משמש בעלי עניין שונים (בהם גורמי הנהלה, ספקים של שירותי IT ואנשי ביקורת) ומאפשר גישור בין היעדים העסקיים של הארגון ליעדי טכנולוגיית המידע. המודל מתייחס לצרכים הכספיים, האיכותיים וצרכי האבטחה של ארגונים ומספק קריטריונים להגדרה של ציפיות הארגון מפונקציית טכנולוגיית המידע.

זהו מודל מקיף ורחב הכולל מגוון תהליכים ויעדי בקרה בסביבה טכנולוגית. אוסף בין-לאומי של יעדי בקרה לטכנולוגיית המידע לשימושם היום-יומי של מנהלים ומבקרים. במקומות רבים המודל משמש כמענה לצורך הולך וגדל לעמידה בדרישות SOX ומספק מסגרת בקרה ל-IT תוך התמקדות בתהליכים העסקיים של הארגון.

כמו כן, COBIT מספק כלים למדידת ביצועים והערכה עצמית מרמת התהליך הבודד ועד לרמת הממשל הטכנולוגי.

מדריך זה מציג את בסיס המודל של COBIT ומשווה את תהליכי העל המוגדרים במודל לפתרונות הקיימים במתודולוגיית מפת"ח. המטרה המעשית של מדריך זה היא להראות כיצד מפת"ח עונה, באופן מלא או חלקי, לכל נושא המוכל במודל COBIT. במילים אחרות, כיצד עבודה עפ"י נוהל מפת"ח מקיימת את דרישות COBIT בפועל.

תרומה והשפעה של השימוש במודל COBIT

התרומה של COBIT לארגון מתבטאת במספר אופנים שונים:

 ·         קישור הדוק אל דרישות הפעילות העסקית,

 ·         ארגון של פעילויות ה- IT לכדי מודל תהליכי יעיל ומקובל,

 ·         זיהוי המשאבים המרכזיים של טכנולוגיית המידע שיש למנף,

 ·         הגדרת יעדי בקרה ניהוליים שיש לשקול,

 ·         תאימות בין פעילויות IT והיעדים העסקיים כאשר ה- IT מאפשר את הפעילות העסקית וממקסם את תועלתה,

 ·         משאבי IT מנוצלים בצורה אחראית ואפקטיבית,

 ·         בקרת סיכוני IT האם מנוהלים כראוי.

 

השפעת הטמעת COBIT על הגורמים השונים:

 ·         הנהלה ובעלי עניין - כדי לסייע בהערכת ההשקעה הנדרשת ב- IT וכדי לאזן סיכונים ב- IT ולשלוט בהשקעות בסביבת אי וודאות,

 ·         משתמשים - ליצירת ביטחון בנוגע למוצרים ושירותים הניתנים על ידי ה- IT וגורמי צד ג',

 ·         גוף הביקורת בארגון - כדי לבסס את דעותיו על הבקרות הפנימיות וכדי לקבוע מהי הבקרה המינימאלית הנדרשת.

עקרונות COBIT

מודל COBIT מבוסס על חמשה עקרונות יסוד:

עקרון I – מענה לצרכים של בעלי עניין

עקרון יסוד במודל COBIT מגדיר את הקשר בין בעלי העניין לארגון. כל ארגון מתקיים כדי לייצר ערך עבור בעלי העניין תוך כדי התייחסות לסיכונים ולעלויות. מודל COBIT, דרך שימוש בטכנולוגית המידע, מגדיר סדרה של תהליכים ארגוניים המארגנים את היחס בין הצרכים של בעלי העניין לבין מימוש התנאים להשגתם. המודל מאפשר התאמות כדי לייצר מבנה ייחודי שיתאים לצרכיי הארגון הספציפי, דרך הגדרת היעדים והתאמת התהליכים.

עקרון II – כיסוי כול רוחב הארגון

עקרון זה קובע כי יש לשלב את טכנולוגית המידע לכל אורך פעילות הארגון מרמת הממשל ועד רמת הביצוע היומיומי. מודל COBIT מגדיר תכולה תהליכית המכסה את כל הפעילויות הטכנולוגיות והממשליות של הארגון ומוגדרת ביחס לטכנולוגית המידע וכולל הגורמים הפנימיים והחיצוניים.

עקרון III – יצירת מסגרת אינטגרטיבית

מודל COBIT תואם את כלל התקנים הרלוונטיים בנוגע לתהליכים השונים של טכנולוגית המידע, ובהיותו רחב ומקיף הוא מהווה בסיס לשילוב בין הדרישות השונות העולות מתקינה, מסגרות מקומיות ונוהגים כלליים.

עקרון IV – גישה הוליסטית

מודל COBIT מגדיר "מאפשרים" (Enablers) שונים המייצרים את התנאים לפעילויות מורכבות לסיפוק הצרכים של בעלי העניין, יעדי הארגון וממשל טכנולוגיית המידע. "מאפשרים" אלו כוללים:

 ·         עקרונות, מדיניות ומסגרות,

 ·         תהליכים,

 ·         מבנים ארגוניים,

 ·         תרבות, אתיקה והתנהגות,

 ·         מידע,

 ·         שירותים, תשתיות ויישומים,

 ·         אנשים, מיומנויות וכישורים.

עקרון V – הפרדה בין ממשל לניהול

מודל COBIT מבחין בין ממשל וניהול שוטף ומדיר תהליכים שונים ונפרדים הרלוונטיים לכל אחד מהם. ככלל, ממשל כולל הערכת צרכים, תנאים וחלופות של בעלי עניין לקביעת מטרות ארגוניות. הממשל מתווה כיווני פעולה תוך כדי תעדוף ועוקב אחר ביצוע מול המוגדר על ידו. ניהול כולל תכנון, ביצוע ומעקב פעילויות  בהלימה למתווה שהוגדר על ידי הממשל.

מבנה מודל COBIT

תחומים ותהליכים

מודל COBIT בגרסה 5 מכיל חמישה תחומי פעילות עיקריים ולהם סך הכל של 37 תהליכים ראשיים. תהליכים אלו בתורם מכילים פרקטיקות מפורטות, יעדים ובקרות. התחומים העיקריים הינם:

1.       (Evaluate, Direct and Monitor) EDM הערכה, הכוונה וניטור (תהליכי ממשל).

2.       (Align, Plan and Organise) APO  הלימה, תכנון וארגון

3.       (Build, Acquire and Implement) BAI  בניה, רכש ויישום

4.       (Deliver, Service and Support) DSS  הספקה, שירות ותמיכה

5.       (Monitor, Evaluate and Assess) MEA ניטור, הערכה ואמידה

 

לכל תהליך מוגדרים יעדים ומדדים לבחינת ביצוע של דרישות טכנולוגית המידע ודרישות יעדי הארגון בכלל. המשך התהליך הוא פירוק לסדרה של הפרקטיקות השונות המרכיבות אותו, כפי שמתואר בסעיף הבא.

 

 

התהליכים המרכיבים את התחומים הללו מותאמים לפעילויות הארגון ומגדרים בהתאם ליעדים הנגזרים מצרכי בעלי העניין של הארגון.

דרישות בקרה ויעדי בקרה

כל אחד מבין 37 התהליכים הראשיים במודל מכיל בתוכו סדרה משתנה של פרקטיקות מפורטות הנדרשות לביצוע.

לכל פרקטיקה מודל קבוע הבנוי מהפרטים הבאים:

 ·         הגדרה ומטרות

 ·         הגדרת הגורמים המעורבים ורמת מעורבותם בתהליך (מטריצת RACI). ראה פרק תוצרים להלן.

 ·         קלט/פלט לפרקטיקה – מוגדר כסוג המידע העובר מ/אל פרקטיקות אחרות או מחוץ לגבולות המודל. על פי רוב ישנם מספר קלטים ופלטים המשפיעים על אזורים שונים של המודל בהתאם.

 ·         סדרת פעילויות אפשריות לביצוע הפרקטיקה.

מודל בשלות התהליך

מודל בשלות התהליכים משמש למדידת רמת הבשלות הנוכחית ורמת הבשלות הרצויה בארגון לכל תהליך מתהליכי COBIT.

מודל הבשלות של COBIT – CMM עבר שינוי עקרוני בין גרסאות 4.1 וגרסה 5. עד גרסה 4.1 מודל הבשלות היה מבוסס על עקרונות של בחינת היכולת לפיתוח תוכנה. המודל בגרסה 5 מבוסס תקן ISO 15504 לניהול איכות ויכולת. מודל זה רחב מהקודם ומשמש הן עבור טכנולוגיית המידע והן עבור תהליכים עסקיים, ובאופן זה תואם את המעבר של גרסה 5 לדגש על הקשר לממשל. אין אפשרות ישירה להשוות בין תוצאות מודלי הבשלות השונים לאור המבנה השונה החל עליהם ולכן המעבר בין המודלים השונים למעשה מעמיד מחדש את מידת התאמת הארגון ל- COBIT.

 

השינויים במהדורה 5 של COBIT

השינוי שעבר מודל COBIT מהגרסה הקודמת 4.1 לגרסה הנוכחית 5 הוא מהותי ועקרוני. גרסה 5 מבוססת על הגרסה הקודמת אך מרחיבה אותה והופכת את התפיסה הכוללת והממשלית לכלל יסוד במודל המשפיעה באופן גורף על כל המודל.

ההבדלים העיקריים בגרסה 5 כוללים:

הרחבה על בסיס COBIT 4.1, עם שינויי מבנה עקרוניים. שינוי סיווג תחומי התהליכים והוספת תחום ממשלי,

דגש והרחבה של הקשר לרובד ה-Enterprise ,

הרחבת ההתמקדות בתהליכי ממשל,

כיסוי מקצה לקצה, תפיסה כוללת לארגון,

התמקדות בקשר הישיר עם צרכי בעלי העניין,

ניהול סיכונים מורחב אשר עומד גם כסדרת תהליכים בפני עצמם,

שינוי בתפיסת מודל הבשלות של COBIT,

הרחבת רשימת הגורמים המעורבים ודיוק מטריצת ה- RACI לכל תהליך הכוללת את האחראים, המושפעים והמעורבים מבין בעלי התפקידים לכל פרקטיקה,

תהליכים חדשים שנוספו למודל, לדוגמא: ניהול ארכיטקטורה ארגונית, ניהול יוזמות וחדשנות, ניהול קשרי גומלין, ניהול ידע, ניהול נכסים.

 

COBIT ומפת"ח

מיפוי מפת"ח מול COBIT

מודל COBIT בגרסה 5 מכיל חמישה תחומי פעילות עיקריים ולהם סך הכל של 37 תהליכים ראשיים. תהליכים אלו בתורם מכילים פרקטיקות מפורטות, יעדים ובקרות. בפרק זה נסקור את רמת התהליכים הראשיים ואת מיקום המענה העקרונית של מפת"ח לאלו:

EDM הערכה, הכוונה וניטור (תהליכי ממשל)

 

#

תהליך COBIT 5

מענה במפת"ח

EDM01

וידוא קביעה ותחזוקה של מסגרת הממשל

קיט COBIT וקיט פנימי של רגולציה, תוך שימוש ב- aKit רגולציה

EDM02

וידוא אספקת תועלות

קיט ישימות עלות/תועלת

EDM03

וידוא אופטימיזציה של סיכונים

קיט ניהול סיכונים תוך התמקדות באפקטיביות הטיפול בסיכונים, aKit ניהול סיכונים

EDM04

וידוא אופטימיזציה של משאבים

קיט אמידת עלויות

EDM05

וידוא שקיפות מול בעלי עניין

קיט שיתוף המשתמש, קיט סקרים Reviews

 

 

APO הלימה, תכנון וארגון

 

#

תהליך COBIT 5

מענה במפת"ח

APO01

ניהול מסגרת טכנולוגיית המידע

הכנת מסמך מדיניות/מסגרת טכנולוגית המידע תוך הסתייעות בקיט ניהול יחידת המחשוב, קיט תוכנית אסטרטגית ותוכנית אב למחשוב.

APO02

ניהול אסטרטגיה

הכנת מסמך מדיניות/מסגרת טכנולוגית המידע תוך הסתייעות בקיט ניהול יחידת המחשוב, קיט תוכנית אסטרטגית ותוכנית אב למחשוב.

APO03

ניהול ארכיטקטורה ארגונית

התמקדות בפרק 3 בתוכנית אסטרטגית ותוכנית אב למחשוב + קיט תוספת למפת"ח בנושא מדיניות ממשל ואסטרטגיית IT, קיט תיעוד.

APO04

ניהול חדשנות

התמקדות בקיט ייזום ובקיט ניתוח חלופות, ניהול סיכונים, ישימות ועלות תועלת

APO05

ניהול תיק פורטפוליו

קיט תוספת למפת"ח לקטלוג מערכות ושירותים, קיט ישימות ועלות תועלת

APO06

  ניהול תקציב ועלויות

קיט תוכנית עבודה שנתית, חישוב עלויות, אמידת עלויות, קיט ניהול יחידת המחשוב

APO07

ניהול משאבי אנוש

קיט ניהול יחידת המחשוב, דגש על פרק 4 וביחוד סעיף 4.1 במפת"ח

APO08

  ניהול קשרי גומלין

קיט שיתוף המשתמש, קיט ניהול פגישות ודיונים, סעיף 4.1 גורמים מעורבים.

APO09

  ניהול הסכמי שירות

קיט מיקור חוץ (דגש על תבנית אמנת שירות - מדדים ו- SLA)

APO10

  ניהול ספקים

קיט ניהול סיכונים (בנושא ספקים והספקה), קיט בקשה להצעות, קיט ניתוח חלופות (השוואה בין ספקים), קיט מיקור חוץ, קיט הערכת ספקים

APO11

ניהול איכות

קיט ISO (דגש על מדריך האיכות), קיט מדדים, קיט ניהול איכות תוכנה, קיט אימות והוכחת תקפות, קיט סקרים.

APO12

ניהול סיכונים

קיט ניהול סיכונים

APO13

ניהול אבטחה

קיט תשתית אבטחת מידע, קיט סיכונים תפעוליים, קיט פנימי להמשכיות עסקית, התמקדות בסעיף 2.19 אבטחת מידע ו- 4.8.2 זמינות ושרידות.

 

 

BAI בניה, רכש ויישום

 

#

תהליך COBIT 5

מענה במפת"ח

BAI01

 ניהול תוכניות ופרויקטים

כרך יסודות: מחזור חיים, מפת"ח, קיט PMBOK וכרך נושאים תומכים: ניהול סיכונים, ניהול שינויים, תחקור והפקת לקחים.

BAI02

ניהול הגדרת דרישות

קיט ניהול דרישות, קיט ייזום, אפיון, אפיון-על

BAI03

ניהול זיהוי ובנייה של פתרונות

קיט ניתוח חלופות, קיט אפיון על, נספח מצב קיים, קיט עיצוב ובניה, קיט בדיקות מערכת (התמקדות בבדיקות יחידה ו- code review), קיט ניהול שינויים

BAI04

ניהול זמינות וקיבולת

קיט ישימות ועלות תועלת, סעיף 2.21 עומסים, נפחים וביצועים.

BAI05

ניהול שינויים ארגוניים

סעיף 4.7 השתלבות בארגון, קיט הדרכה והטמעה

BAI06

ניהול שינויים

קיט ניהול שינויים

BAI07

ניהול קבלה והעברה לייצור של שינויים

קיט התקנה והרצה, קיט בדיקות

BAI08

ניהול ידע

קיט מערכות ניהול ידע, קיט ECMS

BAI09

ניהול נכסים

קיט פנימי לניהול נכסי IT, קיט בקשה להצעות RFP

BAI10

  ניהול תצורה

קיט ניהול תצורה

 

 

DSS הספקה, שירות ותמיכה

 

#

תהליך COBIT 5

מענה במפת"ח

DSS01

ניהול התפעול

קיט תפעול, קיט תחזוקה, ניהול מערכות, קיט פנימי ITIL

DSS02

ניהול בקשות שירות ואירועים

קיט תחזוקה, קיט מיקור חוץ – מוקד שירות ואירועים

DSS03

ניהול בעיות

קיט תחזוקה, קיט מיקור חוץ

DSS04

ניהול המשכיות

4.8.2 זמינות ושרידות, קיט פנימי להמשכיות עסקית

DSS05

ניהול שירותי אבטחה

קיט פנימי לניהול זהויות, קיט תשתית אבטחת מידע, קיט סיכונים תפעוליים, סעיף 2.19 אבטחת מידע

DSS06

ניהול בקרות תהליכים עסקיים

קיט מיקור חוץ, קיט תחקור והפקת לקחים, קיט תחקור והערכת מערכת

 

 

 

MEA ניטור, הערכה ואמידה

 

#

תהליך COBIT 5

מענה במפת"ח

MEA01

ניטור, הערכה ואמידה של ביצועים וציות

כרך האיכות – מדדים, אימות והוכחת תקפות, ניהול איכות תוכנה, קיט תחקור והערכת מערכת

MEA02

ניטור, הערכה ואמידה של מערכת הבקרה הפנימית

כרך האיכות, אימות והוכחת תקפות, ניהול איכות תוכנה

MEA03

ניטור, הערכה ואמידה של ציות לדרישות חיצוניות

כרך האיכות – מתודולוגיות ורגולציות, קיט פנימי לתקינה ורגולציה

 

 

כיצד לממש את COBIT יחד עם מפת"ח

כפי שהוצג בסעיף הקודם, מפת"ח נותן מענה עקרוני ובסיסי לרוב המכריע של תהליכי COBIT המוגדרים ויכול לשמש לצורך כך ככלי מוביל למימוש המודל, עם הרחבות מקומיות והתאמות מפורטות.

מפת"ח משתמש כתשתית מתודולוגית ונהלית המשלבת תבניות, מסמכים, טפסים וכלים אקטיביים. מימוש המודל בהתאם לייחוד הארגון המטופל יבוצע בהתאם לבסיס זה ובהתאמת רמת הפרקטיקות המוכלות בכל תהליך המוגדר במודל.

1.       תהליך מימוש המודל יחל בבדיקה ומיפוי פערים באמצעות קיט זה ובאמצעות aKit למיפוי פרקטיקות COBIT. אלו יבחנו את דרישות המודל מול המצב הקיים בארגון והנהלים התומכים בארגון. ראה פרק תוצרים להלן.

2.       לאחר מיפוי הבסיס יש לקבוע את התהליכים האפקטיביים לביצוע בארגון מתוך אלו שבהם נמצא פער. הארגון יכול לבחור שאיפה למימוש מלא לכל דרישות COBIT או מימוש נקודתי על פי החזקות והחולשות המזוהות בארגון.

3.       לכל תהליך יש לקבוע אחראי, רמת בשלות וקביעת הצרכים להשלמה. אלו מהווים כללי הבסיס לשיפור ובקרת התהליך. לכל תהליך יש לספק תיאור מלא והגדרה ליעדים והמדדים לבחינתו. (ראה תבנית תהליך בפרק תוצרים להלן)

4.       לכתיבת תיאור מפורט לכל פרקטיקה נדרשת ניתן להשתמש בתבנית "מבנה פרקטיקה". תיאור מפורט זה יגדיר את המימוש בנקודה היסודית ביותר בתהליך. (ראה פרק תוצרים להלן)

5.       לאחר השלמת המיפוי יש לקבוע תכנית עבודה למימוש והטמעת התהליכים.

6.       לאחר המימוש יש לבצע בקרה שוטפת לביצוע וחזרה להחלטה על המשך מימוש.

 

תוצרים

תבנית תהליך

התבנית מאפשרת לספק תיאור מלא והגדרות ליעדים ומדדים לבחינת התהליך.

תבנית פרקטיקה

תבנית זו משמשת לכתיבת תיאור מפורט לכל פרקטיקה נדרשת. תיאור מפורט זה יגדיר את המימוש בנקודה היסודית ביותר בתהליך.

מטריצת RACI

מטריצה זו מיועדת לתיאור פעילויות שמתבצעות על ידי גורמים שונים בפרויקט. כל הפעילויות מפורטות בציר אחד ובעלי התפקיד בציר השני. במפגש שני הצירים מתוארת רמת המעורבות והאחריות של כל בעל תפקיד בכל פעילות על פי הסימון הבא:

 ·         R – Responsible האחראי בפועל לביצוע

 ·         A – Accountable מאשר את המשימה ואחראי לוודא שהיא מתקיימת

 ·         C - Contributor\Consulted מסייע, מייעץ או מספק משאבים לצורך ביצוע המשימה

 ·         I – Informed גורם מיודע ההתקדמות על סטטוס המשימה ו/ או החלטות שהתקבלו.

 

תבנית למיפוי הארגון

חוברת אקסל למימוש המודל החל בבדיקה ומיפוי פערים פרקטיקות COBIT. אלו יבחנו את דרישות המודל מול המצב הקיים בארגון והנהלים התומכים בארגון.

ספריית מסמכים למודל COBIT

עץ הספריות מהוה מודל לבניית ספריית מסמכים לאחסון כל תיעוד הארגון עפ"י תחומים, תהליכים ופרקטיקות.