מדריך זה דן במודל COBIT ושם דגש על גרסה 5 למודל. המדריך מתאר את מאפייניו השונים של COBIT ואת עקרונות מימושו באמצעות כלי מפת"ח. המדריך משווה את תהליכי העל המוגדרים במודל לפתרונות הקיימים במתודולוגיית מפת"ח. המטרה המעשית היא להראות כיצד מפת"ח עונה לכל נושא המוכל במודל COBIT. במילים אחרות, כיצד עבודה עפ"י נוהל מפת"ח מקיימת את דרישות COBIT בפועל.
מודל COBIT (Control Objectives for IT & Related Technologies) פותח על ידי האיגוד הבינלאומי לביקורת ואבטחת מערכות מידע ISACA (Information Systems Audit and Control Association)
הוא מהווה מסגרת לניהול ובקרה של ממשל טכנולוגיית המידע. המודל משמש בעלי עניין שונים (בהם גורמי הנהלה, ספקים של שירותי IT ואנשי ביקורת) ומאפשר גישור בין היעדים העסקיים של הארגון ליעדי טכנולוגיית המידע. המודל מתייחס לצרכים הכספיים, האיכותיים וצרכי האבטחה של ארגונים ומספק קריטריונים להגדרה של ציפיות הארגון מפונקציית טכנולוגיית המידע.
זהו מודל מקיף ורחב הכולל מגוון תהליכים ויעדי בקרה בסביבה טכנולוגית. אוסף בין-לאומי של יעדי בקרה לטכנולוגיית המידע לשימושם היום-יומי של מנהלים ומבקרים. במקומות רבים המודל משמש כמענה לצורך הולך וגדל לעמידה בדרישות SOX ומספק מסגרת בקרה ל-IT תוך התמקדות בתהליכים העסקיים של הארגון.
כמו כן, COBIT מספק כלים למדידת ביצועים והערכה עצמית מרמת התהליך הבודד ועד לרמת הממשל הטכנולוגי.
מדריך זה מציג את בסיס המודל של COBIT ומשווה את תהליכי העל המוגדרים במודל לפתרונות הקיימים במתודולוגיית מפת"ח. המטרה המעשית של מדריך זה היא להראות כיצד מפת"ח עונה, באופן מלא או חלקי, לכל נושא המוכל במודל COBIT. במילים אחרות, כיצד עבודה עפ"י נוהל מפת"ח מקיימת את דרישות COBIT בפועל.
התרומה של COBIT לארגון מתבטאת במספר אופנים שונים:
· קישור הדוק אל דרישות הפעילות העסקית,
· ארגון של פעילויות ה- IT לכדי מודל תהליכי יעיל ומקובל,
· זיהוי המשאבים המרכזיים של טכנולוגיית המידע שיש למנף,
· הגדרת יעדי בקרה ניהוליים שיש לשקול,
· תאימות בין פעילויות IT והיעדים העסקיים כאשר ה- IT מאפשר את הפעילות העסקית וממקסם את תועלתה,
· משאבי IT מנוצלים בצורה אחראית ואפקטיבית,
· בקרת סיכוני IT האם מנוהלים כראוי.
השפעת הטמעת COBIT על הגורמים השונים:
· הנהלה ובעלי עניין - כדי לסייע בהערכת ההשקעה הנדרשת ב- IT וכדי לאזן סיכונים ב- IT ולשלוט בהשקעות בסביבת אי וודאות,
· משתמשים - ליצירת ביטחון בנוגע למוצרים ושירותים הניתנים על ידי ה- IT וגורמי צד ג',
· גוף הביקורת בארגון - כדי לבסס את דעותיו על הבקרות הפנימיות וכדי לקבוע מהי הבקרה המינימאלית הנדרשת.
מודל COBIT מבוסס על חמשה עקרונות יסוד:
עקרון יסוד במודל COBIT מגדיר את הקשר בין בעלי העניין לארגון. כל ארגון מתקיים כדי לייצר ערך עבור בעלי העניין תוך כדי התייחסות לסיכונים ולעלויות. מודל COBIT, דרך שימוש בטכנולוגית המידע, מגדיר סדרה של תהליכים ארגוניים המארגנים את היחס בין הצרכים של בעלי העניין לבין מימוש התנאים להשגתם. המודל מאפשר התאמות כדי לייצר מבנה ייחודי שיתאים לצרכיי הארגון הספציפי, דרך הגדרת היעדים והתאמת התהליכים.
עקרון זה קובע כי יש לשלב את טכנולוגית המידע לכל אורך פעילות הארגון מרמת הממשל ועד רמת הביצוע היומיומי. מודל COBIT מגדיר תכולה תהליכית המכסה את כל הפעילויות הטכנולוגיות והממשליות של הארגון ומוגדרת ביחס לטכנולוגית המידע וכולל הגורמים הפנימיים והחיצוניים.
מודל COBIT תואם את כלל התקנים הרלוונטיים בנוגע לתהליכים השונים של טכנולוגית המידע, ובהיותו רחב ומקיף הוא מהווה בסיס לשילוב בין הדרישות השונות העולות מתקינה, מסגרות מקומיות ונוהגים כלליים.
מודל COBIT מגדיר "מאפשרים" (Enablers) שונים המייצרים את התנאים לפעילויות מורכבות לסיפוק הצרכים של בעלי העניין, יעדי הארגון וממשל טכנולוגיית המידע. "מאפשרים" אלו כוללים:
· עקרונות, מדיניות ומסגרות,
· תהליכים,
· מבנים ארגוניים,
· תרבות, אתיקה והתנהגות,
· מידע,
· שירותים, תשתיות ויישומים,
· אנשים, מיומנויות וכישורים.
מודל COBIT מבחין בין ממשל וניהול שוטף ומדיר תהליכים שונים ונפרדים הרלוונטיים לכל אחד מהם. ככלל, ממשל כולל הערכת צרכים, תנאים וחלופות של בעלי עניין לקביעת מטרות ארגוניות. הממשל מתווה כיווני פעולה תוך כדי תעדוף ועוקב אחר ביצוע מול המוגדר על ידו. ניהול כולל תכנון, ביצוע ומעקב פעילויות בהלימה למתווה שהוגדר על ידי הממשל.
מודל COBIT בגרסה 5 מכיל חמישה תחומי פעילות עיקריים ולהם סך הכל של 37 תהליכים ראשיים. תהליכים אלו בתורם מכילים פרקטיקות מפורטות, יעדים ובקרות. התחומים העיקריים הינם:
1. (Evaluate, Direct and Monitor) EDM הערכה, הכוונה וניטור (תהליכי ממשל).
2. (Align, Plan and Organise) APO הלימה, תכנון וארגון
3. (Build, Acquire and Implement) BAI בניה, רכש ויישום
4. (Deliver, Service and Support) DSS הספקה, שירות ותמיכה
5. (Monitor, Evaluate and Assess) MEA ניטור, הערכה ואמידה
לכל תהליך מוגדרים יעדים ומדדים לבחינת ביצוע של דרישות טכנולוגית המידע ודרישות יעדי הארגון בכלל. המשך התהליך הוא פירוק לסדרה של הפרקטיקות השונות המרכיבות אותו, כפי שמתואר בסעיף הבא.
התהליכים המרכיבים את התחומים הללו מותאמים לפעילויות הארגון ומגדרים בהתאם ליעדים הנגזרים מצרכי בעלי העניין של הארגון.
כל אחד מבין 37 התהליכים הראשיים במודל מכיל בתוכו סדרה משתנה של פרקטיקות מפורטות הנדרשות לביצוע.
לכל פרקטיקה מודל קבוע הבנוי מהפרטים הבאים:
· הגדרה ומטרות
· הגדרת הגורמים המעורבים ורמת מעורבותם בתהליך (מטריצת RACI). ראה פרק תוצרים להלן.
· קלט/פלט לפרקטיקה – מוגדר כסוג המידע העובר מ/אל פרקטיקות אחרות או מחוץ לגבולות המודל. על פי רוב ישנם מספר קלטים ופלטים המשפיעים על אזורים שונים של המודל בהתאם.
· סדרת פעילויות אפשריות לביצוע הפרקטיקה.
מודל בשלות התהליכים משמש למדידת רמת הבשלות הנוכחית ורמת הבשלות הרצויה בארגון לכל תהליך מתהליכי COBIT.
מודל הבשלות של COBIT – CMM עבר שינוי עקרוני בין גרסאות 4.1 וגרסה 5. עד גרסה 4.1 מודל הבשלות היה מבוסס על עקרונות של בחינת היכולת לפיתוח תוכנה. המודל בגרסה 5 מבוסס תקן ISO 15504 לניהול איכות ויכולת. מודל זה רחב מהקודם ומשמש הן עבור טכנולוגיית המידע והן עבור תהליכים עסקיים, ובאופן זה תואם את המעבר של גרסה 5 לדגש על הקשר לממשל. אין אפשרות ישירה להשוות בין תוצאות מודלי הבשלות השונים לאור המבנה השונה החל עליהם ולכן המעבר בין המודלים השונים למעשה מעמיד מחדש את מידת התאמת הארגון ל- COBIT.
השינוי שעבר מודל COBIT מהגרסה הקודמת 4.1 לגרסה הנוכחית 5 הוא מהותי ועקרוני. גרסה 5 מבוססת על הגרסה הקודמת אך מרחיבה אותה והופכת את התפיסה הכוללת והממשלית לכלל יסוד במודל המשפיעה באופן גורף על כל המודל.
ההבדלים העיקריים בגרסה 5 כוללים:
הרחבה על בסיס COBIT 4.1, עם שינויי מבנה עקרוניים. שינוי סיווג תחומי התהליכים והוספת תחום ממשלי,
דגש והרחבה של הקשר לרובד ה-Enterprise ,
הרחבת ההתמקדות בתהליכי ממשל,
כיסוי מקצה לקצה, תפיסה כוללת לארגון,
התמקדות בקשר הישיר עם צרכי בעלי העניין,
ניהול סיכונים מורחב אשר עומד גם כסדרת תהליכים בפני עצמם,
שינוי בתפיסת מודל הבשלות של COBIT,
הרחבת רשימת הגורמים המעורבים ודיוק מטריצת ה- RACI לכל תהליך הכוללת את האחראים, המושפעים והמעורבים מבין בעלי התפקידים לכל פרקטיקה,
תהליכים חדשים שנוספו למודל, לדוגמא: ניהול ארכיטקטורה ארגונית, ניהול יוזמות וחדשנות, ניהול קשרי גומלין, ניהול ידע, ניהול נכסים.
מודל COBIT בגרסה 5 מכיל חמישה תחומי פעילות עיקריים ולהם סך הכל של 37 תהליכים ראשיים. תהליכים אלו בתורם מכילים פרקטיקות מפורטות, יעדים ובקרות. בפרק זה נסקור את רמת התהליכים הראשיים ואת מיקום המענה העקרונית של מפת"ח לאלו:
# |
תהליך COBIT 5 |
מענה במפת"ח |
---|---|---|
EDM01 |
וידוא קביעה ותחזוקה של מסגרת הממשל |
קיט COBIT וקיט פנימי של רגולציה, תוך שימוש ב- aKit רגולציה |
EDM02 |
וידוא אספקת תועלות |
קיט ישימות עלות/תועלת |
EDM03 |
וידוא אופטימיזציה של סיכונים |
קיט ניהול סיכונים תוך התמקדות באפקטיביות הטיפול בסיכונים, aKit ניהול סיכונים |
EDM04 |
וידוא אופטימיזציה של משאבים |
קיט אמידת עלויות |
EDM05 |
וידוא שקיפות מול בעלי עניין |
קיט שיתוף המשתמש, קיט סקרים Reviews |
# |
תהליך COBIT 5 |
מענה במפת"ח |
---|---|---|
APO01 |
ניהול מסגרת טכנולוגיית המידע |
הכנת מסמך מדיניות/מסגרת טכנולוגית המידע תוך הסתייעות בקיט ניהול יחידת המחשוב, קיט תוכנית אסטרטגית ותוכנית אב למחשוב. |
APO02 |
ניהול אסטרטגיה |
הכנת מסמך מדיניות/מסגרת טכנולוגית המידע תוך הסתייעות בקיט ניהול יחידת המחשוב, קיט תוכנית אסטרטגית ותוכנית אב למחשוב. |
APO03 |
ניהול ארכיטקטורה ארגונית |
התמקדות בפרק 3 בתוכנית אסטרטגית ותוכנית אב למחשוב + קיט תוספת למפת"ח בנושא מדיניות ממשל ואסטרטגיית IT, קיט תיעוד. |
APO04 |
ניהול חדשנות |
התמקדות בקיט ייזום ובקיט ניתוח חלופות, ניהול סיכונים, ישימות ועלות תועלת |
APO05 |
ניהול תיק פורטפוליו |
קיט תוספת למפת"ח לקטלוג מערכות ושירותים, קיט ישימות ועלות תועלת |
APO06 |
ניהול תקציב ועלויות |
קיט תוכנית עבודה שנתית, חישוב עלויות, אמידת עלויות, קיט ניהול יחידת המחשוב |
APO07 |
ניהול משאבי אנוש |
קיט ניהול יחידת המחשוב, דגש על פרק 4 וביחוד סעיף 4.1 במפת"ח |
APO08 |
ניהול קשרי גומלין |
קיט שיתוף המשתמש, קיט ניהול פגישות ודיונים, סעיף 4.1 גורמים מעורבים. |
APO09 |
ניהול הסכמי שירות |
קיט מיקור חוץ (דגש על תבנית אמנת שירות - מדדים ו- SLA) |
APO10 |
ניהול ספקים |
קיט ניהול סיכונים (בנושא ספקים והספקה), קיט בקשה להצעות, קיט ניתוח חלופות (השוואה בין ספקים), קיט מיקור חוץ, קיט הערכת ספקים |
APO11 |
ניהול איכות |
קיט ISO (דגש על מדריך האיכות), קיט מדדים, קיט ניהול איכות תוכנה, קיט אימות והוכחת תקפות, קיט סקרים. |
APO12 |
ניהול סיכונים |
קיט ניהול סיכונים |
APO13 |
ניהול אבטחה |
קיט תשתית אבטחת מידע, קיט סיכונים תפעוליים, קיט פנימי להמשכיות עסקית, התמקדות בסעיף 2.19 אבטחת מידע ו- 4.8.2 זמינות ושרידות. |
# |
תהליך COBIT 5 |
מענה במפת"ח |
---|---|---|
BAI01 |
ניהול תוכניות ופרויקטים |
כרך יסודות: מחזור חיים, מפת"ח, קיט PMBOK וכרך נושאים תומכים: ניהול סיכונים, ניהול שינויים, תחקור והפקת לקחים. |
BAI02 |
ניהול הגדרת דרישות |
קיט ניהול דרישות, קיט ייזום, אפיון, אפיון-על |
BAI03 |
ניהול זיהוי ובנייה של פתרונות |
קיט ניתוח חלופות, קיט אפיון על, נספח מצב קיים, קיט עיצוב ובניה, קיט בדיקות מערכת (התמקדות בבדיקות יחידה ו- code review), קיט ניהול שינויים |
BAI04 |
ניהול זמינות וקיבולת |
קיט ישימות ועלות תועלת, סעיף 2.21 עומסים, נפחים וביצועים. |
BAI05 |
ניהול שינויים ארגוניים |
סעיף 4.7 השתלבות בארגון, קיט הדרכה והטמעה |
BAI06 |
ניהול שינויים |
קיט ניהול שינויים |
BAI07 |
ניהול קבלה והעברה לייצור של שינויים |
קיט התקנה והרצה, קיט בדיקות |
BAI08 |
ניהול ידע |
קיט מערכות ניהול ידע, קיט ECMS |
BAI09 |
ניהול נכסים |
קיט פנימי לניהול נכסי IT, קיט בקשה להצעות RFP |
BAI10 |
ניהול תצורה |
קיט ניהול תצורה |
# |
תהליך COBIT 5 |
מענה במפת"ח |
---|---|---|
DSS01 |
ניהול התפעול |
קיט תפעול, קיט תחזוקה, ניהול מערכות, קיט פנימי ITIL |
DSS02 |
ניהול בקשות שירות ואירועים |
קיט תחזוקה, קיט מיקור חוץ – מוקד שירות ואירועים |
DSS03 |
ניהול בעיות |
קיט תחזוקה, קיט מיקור חוץ |
DSS04 |
ניהול המשכיות |
4.8.2 זמינות ושרידות, קיט פנימי להמשכיות עסקית |
DSS05 |
ניהול שירותי אבטחה |
קיט פנימי לניהול זהויות, קיט תשתית אבטחת מידע, קיט סיכונים תפעוליים, סעיף 2.19 אבטחת מידע |
DSS06 |
ניהול בקרות תהליכים עסקיים |
קיט מיקור חוץ, קיט תחקור והפקת לקחים, קיט תחקור והערכת מערכת |
# |
תהליך COBIT 5 |
מענה במפת"ח |
---|---|---|
MEA01 |
ניטור, הערכה ואמידה של ביצועים וציות |
כרך האיכות – מדדים, אימות והוכחת תקפות, ניהול איכות תוכנה, קיט תחקור והערכת מערכת |
MEA02 |
ניטור, הערכה ואמידה של מערכת הבקרה הפנימית |
כרך האיכות, אימות והוכחת תקפות, ניהול איכות תוכנה |
MEA03 |
ניטור, הערכה ואמידה של ציות לדרישות חיצוניות |
כרך האיכות – מתודולוגיות ורגולציות, קיט פנימי לתקינה ורגולציה |
כפי שהוצג בסעיף הקודם, מפת"ח נותן מענה עקרוני ובסיסי לרוב המכריע של תהליכי COBIT המוגדרים ויכול לשמש לצורך כך ככלי מוביל למימוש המודל, עם הרחבות מקומיות והתאמות מפורטות.
מפת"ח משתמש כתשתית מתודולוגית ונהלית המשלבת תבניות, מסמכים, טפסים וכלים אקטיביים. מימוש המודל בהתאם לייחוד הארגון המטופל יבוצע בהתאם לבסיס זה ובהתאמת רמת הפרקטיקות המוכלות בכל תהליך המוגדר במודל.
1. תהליך מימוש המודל יחל בבדיקה ומיפוי פערים באמצעות קיט זה ובאמצעות aKit למיפוי פרקטיקות COBIT. אלו יבחנו את דרישות המודל מול המצב הקיים בארגון והנהלים התומכים בארגון. ראה פרק תוצרים להלן.
2. לאחר מיפוי הבסיס יש לקבוע את התהליכים האפקטיביים לביצוע בארגון מתוך אלו שבהם נמצא פער. הארגון יכול לבחור שאיפה למימוש מלא לכל דרישות COBIT או מימוש נקודתי על פי החזקות והחולשות המזוהות בארגון.
3. לכל תהליך יש לקבוע אחראי, רמת בשלות וקביעת הצרכים להשלמה. אלו מהווים כללי הבסיס לשיפור ובקרת התהליך. לכל תהליך יש לספק תיאור מלא והגדרה ליעדים והמדדים לבחינתו. (ראה תבנית תהליך בפרק תוצרים להלן)
4. לכתיבת תיאור מפורט לכל פרקטיקה נדרשת ניתן להשתמש בתבנית "מבנה פרקטיקה". תיאור מפורט זה יגדיר את המימוש בנקודה היסודית ביותר בתהליך. (ראה פרק תוצרים להלן)
5. לאחר השלמת המיפוי יש לקבוע תכנית עבודה למימוש והטמעת התהליכים.
6. לאחר המימוש יש לבצע בקרה שוטפת לביצוע וחזרה להחלטה על המשך מימוש.
התבנית מאפשרת לספק תיאור מלא והגדרות ליעדים ומדדים לבחינת התהליך.
תבנית זו משמשת לכתיבת תיאור מפורט לכל פרקטיקה נדרשת. תיאור מפורט זה יגדיר את המימוש בנקודה היסודית ביותר בתהליך.
מטריצה זו מיועדת לתיאור פעילויות שמתבצעות על ידי גורמים שונים בפרויקט. כל הפעילויות מפורטות בציר אחד ובעלי התפקיד בציר השני. במפגש שני הצירים מתוארת רמת המעורבות והאחריות של כל בעל תפקיד בכל פעילות על פי הסימון הבא:
· R – Responsible האחראי בפועל לביצוע
· A – Accountable מאשר את המשימה ואחראי לוודא שהיא מתקיימת
· C - Contributor\Consulted מסייע, מייעץ או מספק משאבים לצורך ביצוע המשימה
· I – Informed גורם מיודע ההתקדמות על סטטוס המשימה ו/ או החלטות שהתקבלו.
חוברת אקסל למימוש המודל החל בבדיקה ומיפוי פערים פרקטיקות COBIT. אלו יבחנו את דרישות המודל מול המצב הקיים בארגון והנהלים התומכים בארגון.
עץ הספריות מהוה מודל לבניית ספריית מסמכים לאחסון כל תיעוד הארגון עפ"י תחומים, תהליכים ופרקטיקות.