COBIT
COBIT که اختصار عبارت Control OBjectives for Information and related Technology است، عبارت است از روالها و روشهای اداره نمودن فرآیندهای مرتبط با فناوری اطلاعات. به عبارت سادهتر، COBIT ساختاری برای مدیریت فناوری اطلاعات است.
COBIT توسط سازمان ISACA که از معتبرترین سازمانهای تخصصی بینالمللی مدیریت فناوری اطلاعات میباشد، معرفی شده است.
این سازمان، به صورت رسمی در سال 1969 تاسیس و شروع به کار کرد، اما مقدمات تاسیس آن از سال 1967، توسط عدهای از افراد متخصص در زمینه ممیزی و کنترل سیستمهای کامپیوتری، شروع شده بود.
در حال حاضر، بیشتر از 86 هزار نفر در بیش از 160 کشور جهان، عضو این سازمان یا دارنده گواهینامههای بینالمللی آن هستند. ISACA اختصار Information Systems Audit and Control Association است.
ویرایشهای COBIT
ویرایش نخست، در سال 1996 منتشر شد و در سال 1998، دومین ویرایش آن به انتشار رسید. ویرایش سوم، در سال 2000 و ویرایش چهارم، در سال 2005 منتشر شد. در سال 2007 نیز با کمی تغییر در ویرایش چهارم، COBIT version 4.1 به انتشار رسید.
ISACA اعلام کرده است که در سال 2011، ویرایش پنجم COBIT را منتشر خواهد ساخت. در حال حاضر تنها پیشنویس این ویرایش آماده شده است، اما همانگونه که ذکر شد، ISACA اعلام نموده است که نسخه نهایی این ویرایش را تا سال آینده، آماده و منتشر خواهد ساخت.
COBIT Version 4.0 شناختهشدهترین ویرایش COBIT است و تفاوتهای عمدهای با ویرایشهای قبلی دارد، اما در COBIT Version 4.1، تفاوت عمدهای نسبت به COBIT Version 4.0 به چشم نمیخورد و تغییرات را میتوان در دو مورد زیر خلاصه نمود:
الفـ تعاریف سادهتر برای آرمانها، اهداف و مقاصد سازمان (Goals)
بـ تفکیک بیشتر بین فرآیندها (Processes) و مقاصد (Goals) و ارتباطات آنها (Relations)
با توجه به آنکه تفاوتهای عمدهای بین ویرایشهای4.0 و 4.1 وجود ندارد و با توجه به آنکه ویرایش4.0 شناختهشدهتر است، در ذیل به معرفی COBIT Version 4.0 و ساختار آن خواهیم پرداخت.
همانگونه که ذکر شد، ویرایشهای قدیمیتر COBIT، دارای تفاوتهای عمده با ویرایشهای جدید آن هستند و طبیعتا، برخی ساختارهای معرفی شده در زیر، در COBIT 3.0 یا قبل از آن وجود ندارد یا دستخوش تغییر شده است.
(COBIT Product Family (Version 4.0
بسته کامل COBIT شامل موارد زیر است:
1ـ خلاصه و چکیده اجرایی (Executive Summary)
تصمیمات مدیریتی و اجرایی صحیح و همچنین تصمیمات مربوط به اصلاح و بهینهسازی ساختارها در سازمانهای فعال و موفق در جهان امروز، نیازمند اطلاعات دقیق، مناسب، قابل اتکاو مستندی است که به موقع و بدون تاخیر در اختیار مدیران سازمان قرار بگیرد.
طبیعی است که اطلاعاتی که در اختیار مدیران سازمان قرار میگیرد باید به صورت جامع باشد، اما لازم است که خلاصه و چکیدهای از آن نیز ارائه شود تا مدیریت بتواند با تمرکز بر رئوس مطالب و نکات کلیدی، تصمیمات مقتضی را اتخاذ نماید.
خلاصه و چکیده اجرایی COBIT شامل رئوس و نمای کلی مدیریتی و اجرائی است که بیانگر مفاهیم، اصول، مبانی و قواعد آن است. همچنین شامل خلاصه ساختار مدنظر است تا مفاهیم و مبانی موردنظر، با سهولت بیشتری قابل درک باشد و بتواند با سرعت بیشتری جنبه اجرایی پیدا کند.
2ـ ساختار اداره نمودن، نظارت و کنترل (Governance and Control Framework)
سازمانهای موفق بر اساس ساختاری منسجم، کارآمد و بهروز از داده (Data) و اطلاعات (Information) استوار هستند. در این ساختار، چگونگی جمعآوری و دستهبندی دادهها و اطلاعات توسط فرآیندهای فناوری اطلاعات و ارائه آنها به سازمان، جهت نیل به اهداف سازمانی، تعریف میشود.
در ساختار COBIT، موارد ذیل، مورد توجه ویژه قرار میگیرند:
اثربخشی (Effectiveness)
کارایی (Efficiency)
قابلیت اطمینان (Reliability)
رعایت خط مشی سازمان (Policy-Compliance)
قابلیت استفاده و در دسترس بودن (Availability)
رعایت سطوح دسترسی و امنیت اطلاعات (Confidentiality)
انسجام و یکپارچگی اطلاعات (Integrity)
3ـ نظارت و کنترل بر اهداف (Control Objectives)
در جهان کنونی که فناوری اطلاعات شاهد سرعت روزافزونی در پیشرفت و رشد و گسترش است و شرایط بسیار متغییری دارد، نظارت و کنترل بر اهداف، حائز اهمیت بسیاری است.
تعریف دقیق اهداف، تعیین خط مشی صحیح برای نیل به اهداف، نظارت بر میزان تحقق اهداف در بازههای زمانی پیشبینی شده، تعریف روشهای اصلاحی (در صورت نیاز) برای نیل به اهداف ، برآورد میزان پیشرفت و همچنین گزارشگیری دقیق و مستمر، از اهمیت فراوانی برخوردار است.
4ـ رهنمودهای مدیریت (Management Guidelines)
برای اطمینان از موفقیت سازمان در نیل به اهداف سازمانی، لازم است تا فرآیندهای تجاری (Business Processes) و سیستمهای اطلاعات (Information Systems) به صورت موثری با یکدیگر همکاری و هماهنگی داشته باشند.
رهنمودهای مدیریتی COBIT شامل مدلهای متعددی است که به مدیران سازمان امکان مقایسه و برآورد بهتر نتایج به دست آمده از یک سو و سطوح انتظارات را از سوی دیگر میدهد.
به عبارت دیگر، با استفاده از رهنمودهای مدیریت، میتوان به شکل موثرتری بر فرآیندهای تجاری و فرآیندهای فناوری اطلاعات نظارت و کنترل داشت، به گونهای که به صورت کارآمدتری از همسو بودن فرآیندهای فناوری اطلاعات در نیل به اهداف سازمانی، اطمینان حاصل نمود.
5ـ راهنمای تضمین فناوری اطلاعات (IT Assurance Guide)
برای کسب اطمینان از تحقق نظارت و کنترل به صورت کامل و جامع بر اهداف، ضروری است که سیستمهای کنترل و نظارت، مورد ارزیابی قرار بگیرند. به عبارت دیگر، خود سیستمهای کنترل و نظارت نیز باید به صورت مستمر تحت ارزشیابی و سنجش باشند تا از عملکرد بهینه آنها، اطمینان حاصل شود.
راهنمای تضمین، کلیه ابزارهای لازم برای ارزیابی سیستمهای کنترل و نظارت، از زمان طراحی تا زمانی که عملیاتی میشوند را در اختیار قرار میده
6ـ راهنمای استقرار (Implementation Guide)
استقرار COBIT در یک سازمان، نیازمند تمهیدات و بسترسازی مناسب است. راهنمای استقرار میتواند در این زمینه بسیار سودمند باشد. با استفاده از این راهنما میتوان استقرار موفقی را تجربه نمود و فرآیندهای مدنظر را به صورت هماهنگ و منسجم، عملیاتی نمود.
توجه به این نکته نیز ضروری است که هر سازمان دارای ویژگیهای خاص خود است و توجه صرف به راهنمای استقرار بدون در نظر گرفتن سایر موارد بسته کامل COBIT، نمیتواند کارایی مناسبی داشته باشد. به عبارت دیگر، نگاه جامع و فراگیر به COBIT، نیازمند توجه به کلیه موارد بسته کامل آن (6 مورد ذکر شده) است.
ساختار COBIT
COBIT ، چهار حوزه زیر را تحت پوشش قرار میدهد.
الفـ طراحی و سازماندهی (Plan and Organize)
این حوزه، شامل 10 فرآیند ذیل است:
PO1 ـ تعریف طرح جامع و راهبردی فناوری اطلاعات و جهتگیری آن (Define a Strategic IT Plan and Direction)
PO2 ـ تعریف معماری اطلاعات (Define the Information Architecture)
PO3 ـ تعیین جهتگیری تکنولوژیکی (Determine Technological Direction)
PO4 ـ تعریف فرآیندهای فناوری اطلاعات، سازمان و ارتباطات (Define IT Processes, Organization and Relationships)
PO5 ـ مدیریت سرمایهگذاری (Manage Investment)
PO6 ـ ابلاغ اهداف و جهتگیری تعیین شده توسط مدیریت (Communicate Management Aims and Direction)
PO7 ـ مدیریت منابع انسانی (Manage Human Resources)
PO8 ـ مدیریت کیفیت (Manage Quality)
PO9 ـ ارزیابی و مدیریت ریسک (Assess and Manage Risks)
PO10 ـ مدیریت پروژهها (Manage Projects)
لازم به ذکر است که در جهتگیری تکنولوژیکی، تعیین نوع تکنولوژیهای مورد استفاده، مد نظر است.
بـ دستیابی و استقرار (Acquire and Implement)
این حوزه شامل 7 فرآیند ذیل است:
AI1 ـ تشخیص روشها و راهحلهای خودکار (Identify Automated Solutions)
AI2 ـ تهیه نرمافزار برنامههای کاربردی و نگهداری و حفاظت از آن (Acquire and Maintain Application Software)
AI3 ـ فراهم نمودن زیرساخت تکنولوژی و نگهداری و حفاظت از آن (Acquire and Maintain Technology Infrastructure)
AI4 ـ فعالسازی عملیات و استفاده (Enable Operation and Use)
AI5 ـ فراهم نمودن منابع (Procure Resources)
AI6 ـ مدیریت تغییرات (Manage Change)
AI7 ـ مستقر شدن و تایید روشها و راهحلها (Install and Accredit Solutions)
لازم به ذکر است که در تشخیص روشها و راهحلهای خودکار، عمدتا شناسایی روشهای مکانیزه که به صورت کامپیوتری و الکترونیکی قابل انجام هستند، مد نظر است.
جـ تحویل و پشتیبانی (Deliver and Support)
این حوزه، شامل 13 فرآیند ذیل است:
DS1 ـ تعریف و مدیریت سطوح خدمات (Define and Manage Service Levels)
DS2 ـ مدیریت خدمات شخص ثالث (Manage Third-Party Services)
DS3 ـ مدیریت ظرفیت و عملکرد (Manage Capacity and Performance)
DS4 ـ تضمین تداوم خدمات (Ensure Continuous Service)
DS5 ـ تضمین امنیت سیستمها (Ensure Systems Security)
DS6 ـ تشخیص و تخصیص هزینهها (Identify and Allocate Costs)
DS7 ـ تعلیم و آموزش کاربران (Educate and Train Users)
DS8 ـ مدیریت بخش خدمات و مدیریت بر حوادث (Manage Service Desk and Manage Incidents)
DS9 ـ مدیریت پیکربندی خدمات (Manage Service Configuration)
DS10ـ مدیریت مسائل (Manage Problems)
DS11ـ مدیریت داده (Manage Data)
DS12 ـ مدیریت محیط فیزیکی (Manage Physical Environment)
DS13 ـ مدیریت عملیات (Manage Operations)
مدیریت حوادث، مدیریت بر عملیاتی است که ناشی از خطای سیستم است (مانند مدیریت بر تراکنشهایی که به علت خطای سختافزاری یا خطای نرمافزاری سیستم، به صورت نادرست، عمل یا ثبت شدهاند). به همین علت، مدیریت حوادث دارای ظرایف و ویژگیهای خاص خود است.
مدیریت مسائل، عمدتا ناظر بر کمبودهایی است که ممکن است در سیستم وجود داشته باشد و باید برطرف شود.
دـ نظارت و ارزیابی (Monitor and Evaluate)
این حوزه شامل 4 فرآیند ذیل است:
ME1 ـ نظارت و ارزیابی فرآیندهای فناوری اطلاعات (Monitor and Evaluate IT Processes)
ME2 ـ نظارت و ارزیابی کنترلهای داخلی (Monitor and Evaluate Internal Control)
ME3 ـ تضمین اقدامات تنظیمکننده برای رعایت خط مشی سازمان (Ensure Regulatory Policy-Compliance)
ME4 ـ تهیه روش اداره نمودن فناوری اطلاعات (Provide IT Governance)
منظور از نظارت و ارزیابی کنترلهای داخلی آن است که روشهای ارزیابی درون سیستمی، خود نیز نیازمند نظارت و پایش دائمی هستند و با تغییر شرایط، نیازمند بازنگری و بهبود مستمر هستند.
همانگونه که ملاحظه میشود، ITIL، MOF و COBIT که راهبردهای گوناگون مدیریت خدمات فناوری اطلاعات هستند، دارای وجوه اشتراک فراوانی هستند که استاندارد ISO/IEC 20000، به عنوان اولین استاندارد بینالمللی مدیریت خدمات فناوری اطلاعات، از آنها پشتیبانی مینماید.