趋势与观点 | 如何定制和实施COBIT的最佳实践
COBIT框架在治理、风险、保证、安全、网络安全、控制、数字信任等方面拥有丰富的最佳实践知识库,旨在使企业和专业人士能够更好地为未来做好准备,并通过实现数字信任来应对数字时代的现有和新兴的挑战。通过有效的实施,特别是根据用户的具体需求进行定制,COBIT的具体价值得到了极大的提升。
COBIT有一套多样化的出版物,每一个都是为特定目的而设计的。此外,在这些出版物中,可能需要根据需求选择特定的组件。因此,了解COBIT的最佳策略是对整套COBIT出版物有一个总体的了解,这样就可以根据需要使用相关的出版物和组件。
COBIT很少被完整地实施,而是根据需求有选择地使用,选择相关内容,对其进行定制,并根据具体目标实施这些定制的COBIT内容。因此,实施COBIT的最佳方法是浏览COBIT知识库,根据需求选择相关内容,根据需求定制、调整和添加相关内容。
COVID-19导致企业的IT外包和使用云计算的情况急剧增加。在本文中,我们说明了如何定制COBIT 2019的 "治理和管理 "出版物中的每个特定组件,并提供使用COBIT对现有政策和程序进行基准测试的特定场景,以及云计算特定领域的工作描述,按要求实施COBIT的最佳实践。这里详述的定制COBIT的策略和步骤不仅可以用于COBIT 2019,还可以通过使用适用的特定组件用于COBIT的早期版本。下面的概述简要说明了COBIT的每个组成部分。
治理或管理目标(GMO)说明
这是用来了解GMO的覆盖范围的。对描述的快速浏览将提供一个与目的有关的特定GMO的初步清单。通过对治理和管理实践的详细审查,进一步验证了这些内容,以筛选出要使用的GMO的具体内容。选择APO08管理关系、APO09管理服务协议和APO10管理供应商的GMO。
目的
这个目的声明有助于理解具体的益处和可以实现的价值。这可用于介绍商业案例和设定COBIT实施项目的总体目标。
企业目标和调整目标与指标示例
企业目标和调整目标可以根据需求选择,并根据企业的目标和指标进行定制。选择的企业目标是 "EG08 内部业务流程功能的优化",选择的调整目标是。"b. 新的I&T相关服务和应用进入市场的平均时间;c. 将I&T战略目标转化为商定和批准的计划的平均时间"。
从COBIT 2019流程的7个组成部分中选择和定制:治理或管理实践(GMP)和活动
治理或管理实践与衡量标准实例
使用具体的GMP作为基准,将COBIT中规定的内容与企业现有的实践进行对比。识别企业的差距/风险,这些差距/风险可以通过实施COBIT的最佳实践来弥补/缓解。识别为特定实践设置的指标,并根据需要进行更新。如果需要额外的细节/指导,可以使用相关指导部分的框架,并添加到基准中。实践 "APO08.03管理业务关系 "指出。"管理IT服务组织和其业务伙伴之间的关系。确保界定和分配关系角色和责任,并促进沟通"。
企业根据当前企业实践的基准,注意到在管理关系方面的差距,以及在服务水平协议(SLA)中没有明确规定角色和责任。企业更新服务水平协议,增加供应商和企业员工的具体角色和责任,并设定相关指标来衡量绩效。
能力水平评级的活动集
通过使用COBIT活动的相关能力水平作为基准,可以为企业的具体实践分配一个能力水平。此外,企业中执行的每项任务/活动都可以被映射出来,以确定活动/能力水平的任何差距。
根据企业现有活动与COBIT活动在 "APO08.03管理业务关系 "实践中的映射,企业发现在活动3和4中存在差距,因为这些活动没有被执行,尽管它们对企业至关重要。所选择的COBIT活动是。"3.定义并传达一个投诉和升级程序,以解决任何关系问题;4. 确保关键决策得到相关负责任的利益相关者的同意和批准。" 企业通过让相关利益相关者参与最终确定云计算外包的所有关键流程来实施相关的升级程序。
流程:组织结构
企业的组织结构中选定的实践可以与COBIT中的规定进行对比,以确定在定义责任方面的差距。在与相关的企业利益相关者讨论后,可以通过在组织结构图中添加这些实践来弥补这些差距。
对于该实践。"APO08.03 管理业务关系",注意到没有写明首席信息官的责任,也没有将责任分配给具体的业务流程负责人。企业在管理层讨论和批准后,更新组织结构图,加入首席信息官和业务流程负责人的角色和责任。
流程:有输入和输出的信息流和项目
作为输入产生的文件和作为输出共享的选定GMP的文件可用于识别和基准化企业的现有工作产品,以确定文件的差距。基于GMP "APO08.03管理业务关系 "的基准,企业发现涵盖"分类和优先考虑的事件和服务请求"的输入文件和"投诉和升级状态"的输出文件没有准备并在内部共享,以便更好地监测该过程。考虑到这些文件的关键性和相关性,应准备一个标准的文件模板,在得到利益相关者的批准后,将准备和在企业内共享这些文件的责任分配给具体的工作人员。
流程:人员、技能和能力
企业可以使用 COBIT 指导特定的 G&MP 来映射到企业内的人员,并确定人员或技能组合的差距。基于 "APO08-管理关系 "的G&MP映射,企业识别目前被指派负责的人员在关系管理技能上的差距。使用"信息时代框架V6-2015"来指导,将现有的技能组合与指定的技能组合进行映射,以帮助培训人员,弥补技能组合的差距。
流程:政策和程序
企业现有的政策和程序与COBIT针对特定的G&MP的内容相匹配,并找出差距,按要求更新政策和程序,以弥补差距。
根据 "APO08-管理关系 "的G&MP映射,企业发现"业务-IT关系管理政策"中存在差距,该政策应提供准则,以建立和维护业务与IT之间的关系,并促进透明度和互信,以及在预算和风险容忍度范围内共同关注并实现战略目标。企业在与利益相关者讨论后更新该政策文件,并包括涵盖关系、预算和风险容忍度等相关方面。
流程:文化、道德和行为
企业审查现有的文化、道德和行为,发现文化中存在的差距,因为可能在相互信任、沟通的透明度、公开和可理解的条款、共同语言、所有权和问责制方面存在问题。此外,企业内部的业务和IT之间的关系并不和谐,因为出于保密的考虑,双方的目标可能并不一致。企业可以通过在业务部门和IT部门之间建立定期沟通、会议和分享目标的程序,以及促进参与实现企业目标的文化,来缓解文化、道德和行为方面的已识别的问题。
流程:服务、基础设施和应用程序
企业审查现有的服务、基础设施和应用程序,并确定有更多的流程可以外包给云计算供应商来完成流程周期。
COBIT要求针对具体的G&MP实施协作平台的内部培训和意识建设服务。企业完善识别外包流程和供应商与企业之间的协作平台,并进行内部培训,确保外包给云计算供应商的业务流程按时完成,并对绩效和成本进行监控。企业使用ITIL框架作为额外的参考,并将其内容整合到COBIT的企业基准中。
COBIT在微观层面的实施
实施COBIT的相关内容是应用IT的企业的当务之急,通过利用其丰富的知识库来增强数字信任和提供价值。实施COBIT的好处不仅可以由大型企业获得,也可以由中小型企业获得。
COBIT最好的部分是,它不仅可以在宏观层面上实施,而且可以根据需要在微观层面上实施。学习COBIT的最佳方法是确定存在痛点的具体领域实施与基准相关的COBIT最佳实践,并找出差距和需要改进的地方。
COBIT的知识体系可以使专业人员在他们的工作领域增加价值,无论是治理、业务、IT、合规管理还是保证服务。COBIT都可以作为单一的综合框架,其全球最佳实践库可以与其他框架和现有的企业实践相适应和整合。使用COBIT的关键问题不是它是否适用,而是你是否知道如何使用COBIT获得最大的影响和效率,来增加价值。
编者注:本文首次发表于2022年9月7日ISACA官网News and Trends /Newsletter/@ISACA。文章内容仅代表作者本人观点。
作者:Abdul Rafeq,CISA,FCA,是Wincer Infotech有限公司的常务董事。自COBIT第一版以来,他一直是COBIT的布道者、使用者和培训师。
翻译:王岩 (Liam Wong),CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员。
校对:谭辰菲(William Tan),CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员,德国商业银行信息安全经理。