همسویی چارچوب‏هاو به‏روشهای حاکمیت و مدیریت فناوری اطلاعات علی سوزنگر رییس هیئت مدیره شرکت ایده فروزان امن (اینفوامن)

فهرست مطالب مزایا و چالش های استفاده از چارچوب‏ها وبه‏روش‏ها تعاریف و آشنایی با چارچوب‏های وبه‏روش‏ها مطرح بررسی ارتباط چارچوب‏ها وبه‏روش‏های حاکمیت و مدیریت فناوری اطلاعات روند تکامل چارچوب‏ها وبه‏روش‏های

مزایای استفاده از به‏روش ها کاهش سعی و خطا و مخاطرات پیاده سازی 1 بهبود کیفیت 2 افزایش سرعت در رسیدن به اهداف سازمانی 3 کاهش هزینه ها 4 ا نطباق با قوانین و استانداردهای پذیرفته شده جهانی 5

چالش ها کدام بهروش بیشترین مزیت را برای سازمان ایجاد می کند؟ 1 ترتیب تقدم و تاخر استفاده از به‏روش های مختلف چیست؟ 2 3 چگونه چارچوب ها و استانداردهای مختلف در کنار هم قرار خواهند گرفت؟

تعاریف و آشنایی با بهروش های مطرح

مدیریت فناوری اطلاعات مدیریت فناوری اطلاعات به مجموعه ای از توانمندی ها گفته می شود که به موجب آن منابع فناوری اطلاعات یک سازمان مطابق با نیازها و اولویت های خود و بر اساس یک نظم مشخص اداره می شود. این منابع ممکن است شامل سرمایه گذاری های ملموس مانند سخت افزار، نرم افزار، اطلاعات، امکانات مرکز داده ها و همچنین پرسنل شاغل در واحد فناوری اطلاعات باشد. مدیریت چنین مسولیتی خود شامل بکارگیری مجموعه ای از کارکردهای مدیریتی پایه نظیر بودجه بندی، مدیریت منابع انسانی ، کنترل و پایش می باشد.

حاکمیت فناوری اطلاعات حاکمیت فناوری اطلاعات به آن دسته از مسئولیت های هیئت مدیره و مدیران ارشد اجرایی سازمان گفته می شود که دربرگیرنده نظام رهبری، ساختار سازمانی و فرایندی لازم جهت حصول اطمینان از نقش فناوری اطلاعات در ثبات و توسعه اهداف و راهبردهای سازمان می باشد. The main objective of IT governance is, as is the case with corporate governance, to facilitate the discharge of director’s duties.

Enterprise governance drives IT governance حاکمیت سازمانی انطباق تبعیت از الزامات قانونی، قراردادی ، استانداردی و سیاست های داخلی سازمان عملکرد بهبود سود دهی، اثربخشی ، کارایی و رشد سازمانی Performance Conformance Governance is about meeting strategic objectives (performance) while meeting legal and regulatory, contractual and other obligatory requirements often supported by policies (conformance). The goal is to achieve both in a balanced way.

پیشران های حاکمیت فناوری اطلاعات همراستایی IT با کسب و کار انطباق نظارت بر اجرای پروژه ها امنیت Return on Investment (ROI)

نقاط تمرکز در حاکمیت فناوری اطلاعات PERFORMANCE MEASUREMENT RESOURCE MANAGEMENT RISK VALUE DELIVERY STRATEGIC ALIGNMENT www.itgi.org 1. Strategic alignment Focuses on ensuring the linkage of business and IT plans; on defining, maintaining and validating the IT value proposition; and on aligning IT operations with enterprise operations 2. Value delivery Creating new value for the enterprise, maintaining and extending existing value, and eliminating initiatives and assets that are not creating sufficient value. 3. Risk management Embedding risk management responsibilities in the organisation to address IT-related risks and using IT to assist in managing business risks. 4. Resource management Having the right capability to execute the strategic plan, and providing sufficient, appropriate and effective resources. 5. Performance measurement Tracking the achievement of the objectives of the enterprise to achieve goals measurable beyond conventional accounting; and compliance with specific external requirements.

ITIL V3

COBIT 5

ISO 27001

ISO 27001 Domains

ISO 38500

ISO 38500 اصول استاندارد مسولیت راهبرد اکتساب عملکرد انطباق عوامل انسانی

ارتباط به‏روش های حاکمیت و مدیریت IT

COBIT is designed to be complementary to, and used together with, other standards and good practices. Detailed practices and standards such as ITIL, ISO 27001 and 27002, and PMBOK (the Project Management Body of Knowledge) cover specific areas and can be mapped to the COBIT framework, providing a hierarchy of guidance. Standards should be implemented to benefit the specific needs of businesses and COBIT can help ensure that various standards are aligned. 27001/2 20

King COSO COBIT ITIL 27001 CMM TickIT Governance Layer Management Layer IT 27001 CMM TickIT

COBIT COSO ISO 27002 ISO 9000 ITIL WHAT HOW SCOPE OF COVERAGE It is normal for COBIT to be used in conjunction with other good practices, standards and in-house developed guidance. COBIT can act like an umbrella providing the framework for everything else. COBIT is focused on what is required to achieve adequate management and control of IT, and is positioned at a high level. COBIT has been aligned and harmonised with other, more detailed, IT standards and good practices COBIT acts as an integrator of these different guidance materials, summarising key objectives under one umbrella framework that also links to governance and business requirements. COSO (and similar compliant frameworks) is generally accepted as the internal control framework for enterprises. COBIT is the generally accepted internal control framework for IT. SCOPE OF COVERAGE

چارچوب Calder-MoiCalder Moir

ISO 38500 COBIT COBIT COBIT COBIT ITIL, ISO 20000, ISO 27001, Prince2 SO 385001 looks down from the top, much like a roof on a house. COBIT (the what) is the walls, and process frameworks such as ITIL and Projects in Controlled Environments 2 (PRINCE2) (the how) are the foundation. Using the house analogy, if the board tried to implement the roof, ISO 38500, without the foundation or walls, it would collapse. Furthermore, without the roof, enterprises would be exposed to the elements. ISO 38500 is not one size fits all. It does not replace COBIT, ITIL, or other standards or frameworks, but, rather, it complements them by providing a demand-side-of-IT-use focus. ITIL, ISO 20000, ISO 27001, Prince2

استانداردها و چارچوب های استفاده شده به عنوان مبنای پیاده سازی حاکمیت IT

روند تکامل بهروش ها

Governance of Enterprise IT بلوغ چارچوب COBIT 2005/7 2000 1998 Evolution of scope 1996 2012 Governance of Enterprise IT COBIT 5 IT Governance COBIT4.0/4.1 Management COBIT3 Val IT 2.0 (2008) Control COBIT2 Risk IT (2009) Audit COBIT1

COBIT 5

با تشکر پرسش و پاسخ