سفارش تبلیغ
صبا ویژن

اخبار آی تی

مدیریت فناوری اطلاعات

    نظر

 COBIT

COBIT که اختصار عبارت Control OBjectives for Information and related Technology است، عبارت است از روال‌ها و روش‌های اداره نمودن فرآیندهای مرتبط با فناوری اطلاعات. به عبارت ساده‌تر، COBIT ساختاری برای مدیریت فناوری اطلاعات است.

COBIT توسط سازمان ISACA که از معتبرترین سازمان‌های تخصصی بین‌المللی مدیریت فناوری اطلاعات می‌باشد، معرفی شده است.

این سازمان، به صورت رسمی در سال 1969 تاسیس و شروع به کار کرد، اما مقدمات تاسیس آن از سال 1967، توسط عده‌ای از افراد متخصص در زمینه ممیزی و کنترل سیستم‌های کامپیوتری، شروع شده بود.

در حال حاضر، بیشتر از 86 هزار نفر در بیش از 160 کشور جهان، عضو این سازمان یا دارنده گواهینامه‌های بین‌المللی آن هستند. ISACA اختصار Information Systems Audit and Control Association است.

ویرایش‌های COBIT

ویرایش نخست، در سال 1996 منتشر شد و در سال 1998، دومین ویرایش آن به انتشار رسید. ویرایش سوم، در سال 2000 و ویرایش چهارم، در سال 2005 منتشر شد. در سال 2007 نیز با کمی تغییر در ویرایش چهارم، COBIT version 4.1 به انتشار رسید.

ISACA اعلام کرده است که در سال 2011، ویرایش پنجم COBIT را منتشر خواهد ساخت. در حال حاضر تنها پیش‌نویس این ویرایش آماده شده است، اما همانگونه که ذکر شد، ISACA اعلام نموده است که نسخه نهایی این ویرایش را تا سال آینده، آماده و منتشر خواهد ساخت.

COBIT Version 4.0 شناخته‌شده‌ترین ویرایش COBIT است و تفاوت‌های عمده‌ای با ویرایش‌های قبلی دارد، اما در COBIT Version 4.1، تفاوت عمده‌ای نسبت به COBIT Version 4.0 به چشم نمی‌خورد و تغییرات را می‌توان در دو مورد زیر خلاصه نمود:

 الف‌ـ تعاریف ساده‌تر برای آرمان‌ها، اهداف و مقاصد سازمان (Goals)

ب‌ـ تفکیک بیشتر بین فرآیندها (Processes) و مقاصد (Goals) و ارتباطات آنها (Relations)

با توجه به آنکه تفاوت‌های عمده‌ای بین ویرایش‌های4.0 و 4.1 وجود ندارد و با توجه به آنکه ویرایش4.0 شناخته‌شده‌تر است، در ذیل به معرفی COBIT Version 4.0 و ساختار آن خواهیم پرداخت.

همانگونه که ذکر شد، ویرایش‌های قدیمی‌تر COBIT، دارای تفاوت‌های عمده با ویرایش‌های جدید آن هستند و طبیعتا، برخی ساختارهای معرفی شده در زیر، در COBIT 3.0 یا قبل از آن وجود ندارد یا دستخوش تغییر شده است.

(COBIT Product Family (Version 4.0

بسته  کامل COBIT شامل موارد زیر است:

1ـ خلاصه و چکیده اجرایی (Executive Summary)

تصمیمات مدیریتی و اجرایی صحیح و همچنین تصمیمات مربوط به اصلاح و بهینه‌سازی ساختارها در سازمان‌های فعال و موفق در جهان امروز، نیازمند اطلاعات دقیق، مناسب، قابل اتکاو مستندی است که به موقع و بدون تاخیر در اختیار مدیران سازمان قرار بگیرد.

طبیعی است که اطلاعاتی که در اختیار مدیران سازمان قرار می‌گیرد باید به صورت جامع باشد، اما لازم است که خلاصه و چکیده‌ای از آن نیز ارائه شود تا مدیریت بتواند با تمرکز بر رئوس مطالب و نکات کلیدی، تصمیمات مقتضی را اتخاذ نماید.

خلاصه و چکیده اجرایی COBIT شامل رئوس و نمای کلی مدیریتی و اجرائی است که بیانگر مفاهیم، اصول، مبانی و قواعد آن است. همچنین شامل خلاصه ساختار مدنظر است تا مفاهیم و مبانی موردنظر، با سهولت بیشتری قابل درک باشد و بتواند با سرعت بیشتری جنبه اجرایی پیدا کند.

2ـ ساختار اداره نمودن، نظارت و کنترل (Governance and Control Framework)

سازمان‌های موفق بر اساس ساختاری منسجم، کارآمد و به‌روز از داده (Data) و اطلاعات (Information) استوار هستند. در این ساختار، چگونگی جمع‌آوری و دسته‌بندی داده‌ها و اطلاعات توسط فرآیندهای فناوری اطلاعات و ارائه آنها به سازمان، جهت نیل به اهداف سازمانی، تعریف می‌شود.

در ساختار COBIT، موارد ذیل، مورد توجه ویژه قرار می‌گیرند:

اثربخشی (Effectiveness)

کارایی (Efficiency)

قابلیت اطمینان (Reliability)

رعایت خط مشی سازمان (Policy-Compliance)

قابلیت استفاده و در دسترس بودن (Availability)

رعایت سطوح دسترسی و امنیت اطلاعات (Confidentiality)

انسجام و یکپارچگی اطلاعات (Integrity)

3ـ نظارت و کنترل بر اهداف (Control Objectives)

در جهان کنونی که فناوری اطلاعات شاهد سرعت روزافزونی در پیشرفت و رشد و گسترش است و شرایط بسیار متغییری دارد، نظارت و کنترل بر اهداف، حائز اهمیت بسیاری است.

تعریف دقیق اهداف، تعیین خط مشی صحیح برای نیل به اهداف، نظارت بر میزان تحقق اهداف در بازه‌های زمانی پیش‌بینی شده، تعریف روش‌های اصلاحی (در صورت نیاز) برای نیل به اهداف ، برآورد میزان پیشرفت و همچنین گزارش‌گیری دقیق و مستمر، از اهمیت فراوانی برخوردار است.

4ـ رهنمودهای مدیریت (Management Guidelines)

برای اطمینان از موفقیت سازمان در نیل به اهداف سازمانی، لازم است تا فرآیندهای تجاری (Business Processes) و سیستم‌های اطلاعات (Information Systems) به صورت موثری با یکدیگر همکاری و هماهنگی داشته باشند.

رهنمودهای مدیریتی COBIT شامل مدل‌های متعددی است که به مدیران سازمان امکان مقایسه و برآورد بهتر نتایج به دست آمده از یک سو و سطوح انتظارات را از سوی دیگر می‌دهد.

به عبارت دیگر، با استفاده از رهنمودهای مدیریت، می‌توان به شکل موثرتری بر فرآیندهای تجاری و فرآیندهای فناوری اطلاعات نظارت و کنترل داشت، به گونه‌ای که به صورت کارآمدتری از همسو بودن فرآیندهای فناوری اطلاعات در نیل به اهداف سازمانی، اطمینان حاصل نمود.

5ـ راهنمای تضمین فناوری اطلاعات (IT Assurance Guide)

برای کسب اطمینان از تحقق نظارت و کنترل به صورت کامل و جامع  بر اهداف، ضروری است که سیستم‌های کنترل و نظارت، مورد ارزیابی قرار بگیرند. به عبارت دیگر، خود سیستم‌های کنترل و نظارت نیز باید به صورت مستمر تحت ارزشیابی و سنجش باشند تا از عملکرد بهینه آنها، اطمینان حاصل شود.

راهنمای تضمین، کلیه ابزارهای لازم برای ارزیابی سیستم‌های کنترل و نظارت، از زمان طراحی تا زمانی که عملیاتی می‌شوند را در اختیار قرار می‌ده

6ـ راهنمای استقرار (Implementation Guide)

استقرار COBIT در یک سازمان، نیازمند تمهیدات و بستر‌سازی مناسب است. راهنمای استقرار می‌تواند در این زمینه بسیار سودمند باشد. با استفاده از این راهنما می‌توان استقرار موفقی را تجربه نمود و فرآیندهای مدنظر را به صورت هماهنگ و منسجم، عملیاتی نمود.

توجه به این نکته نیز ضروری است که هر سازمان دارای ویژگی‌های خاص خود است و توجه صرف به راهنمای استقرار بدون در نظر گرفتن سایر موارد بسته کامل COBIT، نمی‌تواند کارایی مناسبی داشته باشد. به عبارت دیگر، نگاه جامع و فراگیر به COBIT، نیازمند توجه به کلیه موارد بسته کامل آن (6 مورد ذکر شده) است.

ساختار COBIT

COBIT ، چهار حوزه زیر را تحت پوشش قرار می‌دهد.

الف‌ـ طراحی و سازماندهی (Plan and Organize)

این حوزه، شامل 10 فرآیند ذیل است:

PO1 ـ تعریف طرح جامع و راهبردی فناوری اطلاعات و جهت‌گیری آن (Define a Strategic IT Plan and Direction)

PO2 ـ تعریف معماری اطلاعات (Define the Information Architecture)

PO3 ـ تعیین جهت‌گیری تکنولوژیکی (Determine Technological Direction)

PO4 ـ تعریف فرآیندهای فناوری اطلاعات، سازمان و ارتباطات (Define IT Processes, Organization and Relationships)

PO5 ـ مدیریت سرمایه‌گذاری (Manage Investment)

PO6 ـ ابلاغ اهداف و جهت‌گیری تعیین شده توسط مدیریت (Communicate Management Aims and Direction)

PO7 ـ مدیریت منابع انسانی (Manage Human Resources)

PO8 ـ مدیریت کیفیت (Manage Quality)

PO9 ـ ارزیابی و مدیریت ریسک (Assess and Manage Risks)

PO10 ـ مدیریت پروژه‌ها (Manage Projects)

لازم به ذکر است که در جهت‌گیری تکنولوژیکی، تعیین نوع تکنولوژی‌های مورد استفاده، مد نظر است.

ب‌ـ دستیابی و استقرار (Acquire and Implement)

این حوزه شامل 7 فرآیند ذیل است:

AI1 ـ تشخیص روش‌ها و راه‌حل‌های خودکار (Identify Automated Solutions)

AI2 ـ تهیه نرم‌افزار برنامه‌های کاربردی و نگهداری و حفاظت از آن (Acquire and Maintain Application Software)

AI3 ـ فراهم نمودن زیرساخت تکنولوژی و نگهداری و حفاظت از آن (Acquire and Maintain Technology Infrastructure)

AI4 ـ فعال‌سازی عملیات و استفاده  (Enable Operation and Use)

AI5 ـ فراهم نمودن منابع (Procure Resources)

AI6 ـ مدیریت تغییرات (Manage Change)

AI7 ـ مستقر شدن و تایید روش‌ها و راه‌حل‌ها (Install and Accredit Solutions)

لازم به ذکر است که در تشخیص روش‌ها و راه‌حل‌های خودکار، عمدتا شناسایی روش‌های مکانیزه که به صورت کامپیوتری و الکترونیکی قابل انجام هستند، مد نظر است.

ج‌ـ تحویل و پشتیبانی (Deliver and Support)

این حوزه، شامل 13 فرآیند ذیل است:

DS1 ـ تعریف و مدیریت سطوح خدمات (Define and Manage Service Levels)

DS2 ـ مدیریت خدمات شخص ثالث (Manage Third-Party Services)

DS3 ـ مدیریت ظرفیت و عملکرد (Manage Capacity and Performance)

DS4 ـ تضمین تداوم خدمات (Ensure Continuous Service)

DS5 ـ تضمین امنیت سیستم‌ها (Ensure Systems Security)

DS6 ـ تشخیص و تخصیص هزینه‌ها (Identify and Allocate Costs)

DS7 ـ تعلیم و آموزش کاربران (Educate and Train Users)

DS8 ـ مدیریت بخش خدمات و مدیریت بر حوادث (Manage Service Desk and Manage Incidents)

DS9 ـ مدیریت پیکربندی خدمات (Manage Service Configuration)

DS10ـ مدیریت مسائل (Manage Problems)

DS11ـ مدیریت داده (Manage Data)

DS12 ـ مدیریت محیط فیزیکی (Manage Physical Environment)

DS13 ـ مدیریت عملیات (Manage Operations)

مدیریت حوادث، مدیریت بر عملیاتی است که ناشی از خطای سیستم است (مانند مدیریت بر تراکنش‌هایی که به علت خطای سخت‌افزاری یا خطای نرم‌افزاری سیستم، به صورت نادرست، عمل یا ثبت شده‌اند). به همین علت، مدیریت حوادث دارای ظرایف و ویژگی‌های خاص خود است.

مدیریت مسائل، عمدتا ناظر بر کمبودهایی است که ممکن است در سیستم وجود داشته باشد و باید برطرف شود.

د‌ـ نظارت و ارزیابی (Monitor and Evaluate)

این حوزه شامل 4 فرآیند ذیل است:

ME1 ـ نظارت و ارزیابی فرآیندهای فناوری اطلاعات (Monitor and Evaluate IT Processes)

ME2 ـ نظارت و ارزیابی کنترل‌های داخلی (Monitor and Evaluate Internal Control)

ME3 ـ تضمین اقدامات تنظیم‌کننده برای رعایت خط مشی سازمان (Ensure Regulatory Policy-Compliance)

ME4 ـ تهیه روش اداره نمودن فناوری اطلاعات (Provide IT Governance)

منظور از نظارت و ارزیابی کنترل‌های داخلی آن است که روش‌های ارزیابی درون سیستمی، خود نیز نیازمند نظارت و پایش دائمی هستند و با تغییر شرایط، نیازمند بازنگری و بهبود مستمر هستند.

همانگونه که ملاحظه می‌شود، ITIL، MOF و COBIT که راهبردهای گوناگون مدیریت خدمات فناوری اطلاعات هستند، دارای وجوه اشتراک فراوانی هستند که استاندارد ISO/IEC 20000، به عنوان اولین استاندارد بین‌المللی مدیریت خدمات فناوری اطلاعات، از آنها پشتیبانی می‌نماید.