有效应对COVID-19危机带来的挑战不仅需要一个管理系统,还需要一个治理系统,该系统的设计主要关注利益攸关方的需求,并持续为客户服务. 这一管理制度要求高级管理人员参与建立责任结构和决策机制,以便对不断变化的挑战作出动态反应. 风险评估是一个很好的工具,可以减少决策时的不确定性, 但当它们与整体决策过程没有直接联系时,往往会被误用. COBIT® 2019 不仅提供了治理系统的框架,还提供了知识库,以便在所有类型的澳门赌场官方下载(无论规模大小)中实现治理系统. The benefits of implementing a governance system using COBIT 2019 are holistic and can be used for various types of challenges faced by the enterprises; however, COVID-19被专门用作案例研究,因为它是所有类型的澳门赌场官方下载面临的最大挑战之一. 尽管面临持续的挑战,但保持弹性是每个澳门赌场官方下载最重要的目标. 从访问问题到网络威胁, 风险优化和满足利益相关者的需求, 新的挑战不断出现.
成功的澳门赌场官方下载已经展示了如何通过确保建立在适当流程和控制的治理系统基础上的弹性运营来减轻COVID-19的风险因素.
那篇文章,"利用COBIT 2019积极减轻COVID-19的影响,强调挑战, 例如,由于无法获得所需流程而无法向客户提供常规服务, COVID-19造成的人员和技术,以及努力展示韧性.1 应对这些挑战的最有效方法是超越控制并实现治理系统. 治理系统的关键属性是动态决策机制, 风险管理策略和适当的过程和系统. 这一治理体系可以帮助澳门赌场官方下载应对2019冠状病毒病的挑战,并通过构建有助于实现澳门赌场官方下载目标的稳健流程,增强澳门赌场官方下载的抵御能力. 成功的澳门赌场官方下载已经证明,通过确保建立在适当流程和控制的治理体系基础上的弹性运营,这是减轻COVID-19各种风险因素的关键区别.
COBIT® 可以用作实现澳门赌场官方下载IT治理(EGIT)的业务框架,以部署新的和现有的数字平台和技术,从而在充满挑战的时代生存和发展. 澳门赌场官方下载可以实现使用COBIT 2019组件作为基准的系统方法, 根据需要定制它们,以从业务连续性的角度构建具有特定关注点的有效治理系统. 对于澳门赌场官方下载来说,了解如何有效地使用COBIT的特定组件和知识库来使用定制开发业务连续性的关键策略和步骤是很有价值的. 以下步骤可以根据需要从任何角度/标准调整为COBIT实现.
定制COBIT 2019的七个步骤
在选择或定制任何COBIT指南时使用的两个关键原则是适用性和附加值. 这可以根据对以下问题的回答得出:
- 该指南是否适用于该澳门赌场官方下载? 如果答案是否定的,那么就不予考虑. 如果答案是肯定的,那么就问第二个问题.
- 该指南对澳门赌场官方下载有价值吗?它会在风险缓解或过程改进方面带来价值吗? 如果答案是肯定的, 然后,指南可以用作基准,以映射当前的政策/程序,并定义或细化过程或确定改进的领域.
澳门赌场官方下载在选择和定制COBIT 2019时应该使用7个步骤.
步骤1:确定涉众的需求
任何澳门赌场官方下载在应对COVID-19等危机时,首要关注的是通过确保澳门赌场官方下载运营的最大弹性,确保将业务中断降到最低. 这是通过在相关政策和程序的支持下实施适当的业务连续性战略来实现的.
步骤2:确定澳门赌场官方下载目标并调整目标
基于利益相关者的需求, 必须选择澳门赌场官方下载目标(EG)和相关的校准目标(AG). 图1 说明了如何映射COBIT 2019以导航澳门赌场官方下载目标并选择相关的校准目标. 在COVID-19等情况下, 重点是确保业务服务的连续性和可用性, 因此, 在这个例子中, 相关澳门赌场官方下载目标为EG06 业务服务的连续性和可用性.
图1 -澳门赌场官方下载目标到一致性目标的映射
查看大图
来源:ISACA®, COBIT® 2019框架:治理和管理目标,美国,2018.
根据选定的澳门赌场官方下载目标, 图1 是否可以作为确定相关校准目标的参考. 以下是相关的对齐目标,如图所示 图1:
- 主要(最相关的,用P表示)
- AG07 信息、处理基础设施和应用程序的安全以及隐私
- 二级(如有需要可使用,用S表示)
- AG02 管理我&T-related风险
- AG05 I的交付&T服务符合业务需求
对于本例,重点只放在主要对齐目标AG07的选择上.
步骤3:确定治理和管理目标
基于AG07,选择了相关的治理和管理目标,如下所示 图2.
图2 -校准目标到相关治理和管理目标的映射
查看大图
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
以下是适用于AG07的主要管治及管理目标(以P表示):
- 评估、指导和监督(EDM 确保风险优化
- 协调、计划和组织(APO 管理风险
- APO13 管理安全
- 构建、获取和实施(BAI 管理配置
- 交付、服务和支持(DSS 管理的连续性
- DSS05 托管安全服务
在这个例子中, 澳门赌场官方下载可以决定, 基于关键性和相关性, 实施或改善与DSS04有关的程序 管理的连续性.
步骤4:为澳门赌场官方下载和校准目标选择并自定义目标和度量
图3 具体说明了DSS04的目标 管理的连续性. 列出了目标和度量的示例列表,澳门赌场官方下载可以从中选择最相关的. 例如,某澳门赌场官方下载可能选择AG05和EG06.
图3-DSS04 管理的连续性
查看大图
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
目标和度量可以按原样定制和集成,或者它们可以用作关键目标指示器(kgi)。, 关键绩效指标(kpi)或关键风险指标(KRIs)/领域,由澳门赌场官方下载的报告和监控系统规定.
步骤5:选择并定制治理和管理的组件
COBIT为治理和管理的7个组成部分中的每一个提供指导和最佳实践(图4),可由澳门赌场官方下载根据需要进行选择和定制.
图4-COBIT治理和管理组件
资料来源:ISACA, COBIT® 2019框架:介绍和方法,美国,2018.
组件:流程
过程描述了一组有组织的实践和活动,以实现某些目标,并产生一组支持整体信息和技术成功的输出&T)有关的目标. COVID-19大流行可能需要对现有流程进行更改,并实施新流程,以确保业务连续性.
图5 显示了治理和管理目标DSS04的过程组件的COBIT 2019指南的摘录. 每个目标都有一个治理和管理实践, 哪一个。, 反过来, 有相关活动的清单吗. 示例度量标准和相关指导在实践级别上也是可用的,并且为活动提供了所需的能力级别.
图5 DSS04组件进程 管理的连续性
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
必须确定业务连续性方针、目标和范围. DSS04的管治及管理目标有8项管理措施(图6),并为他们提供指导.
图6 -与DSS04相关的实践 管理的连续性
| 实践ID | 实践的名字 |
|---|---|
| DSS04.01 | 定义业务连续性政策、目标和范围. |
| DSS04.02 | 保持业务弹性 |
| DSS04.03 | 开发和实施业务连续性响应. |
| DSS04.04 | 演练、测试及检讨业务连续性计划(BCP)及灾难应变计划(DRP). |
| DSS04.05 | 审核、维护和改进连续性计划. |
| DSS04.06 | 进行连续性计划培训. |
| DSS04.07 | 管理备份安排. |
| DSS04.08 | 进行复工后检讨. |
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
澳门赌场官方下载可以选择与其环境相关的任何或所有治理和管理实践,并根据需要进一步定制每个实践. 澳门赌场官方下载也可以决定是在实践层面还是在活动层面使用指导. 图5 assumes the enterprise has decided to implement at the activities level; has determined that all 4 activities of DSS 4.01 are applicable; and, 基于现有实践的基准测试, 是否确定了需要改进的地方.
组成部分:组织结构
组织结构是澳门赌场官方下载的关键决策实体. 现有的组织结构可能需要根据COVID-19的影响进行审查和修订,以使员工能够履行职责并做出有效的决策.
图7 说明了COBIT 2019的责任和问责矩阵, 哪些与确定的治理和管理目标相关. 这可以被澳门赌场官方下载用来映射其当前的角色和职责,并确定在分配关键管理实践领域的责任/责任方面是否存在任何差距.
图7 DSS04的组织结构组件 管理的连续性
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
图7 assumes the enterprise 在这个例子中 has identified the highlighted management practices as areas where responsibility has not been clearly established; hence, 它决定在具体的组织级别分配责任/责任. 职责/责任分配也包含在所确定职位的工作定义/描述中. 在没有相关名称的情况下, 澳门赌场官方下载可能不得不考虑根据需要组合某些角色,只要它可以在不损害安全原则的情况下完成.
组件:信息
信息在任何组织中都是普遍存在的,包括澳门赌场官方下载生产和使用的所有信息. COBIT侧重于澳门赌场官方下载治理系统有效运作所需的信息. 由于COVID-19,需要通过确保可用性和实施适当的安全措施来管理在家或其他远程地点工作的员工的信息需求.
图8 展示了COBIT 2019指南,用于根据输入和输出的要求改进文件. 除了, 策略和过程的内容用于映射和更新适用的策略和过程. 这有助于澳门赌场官方下载对其现有文档进行基准测试,并确定需要改进的领域. 它还有助于与其他相关政策和程序进行交叉参考.
图8 DSS04的信息流和项目组件 管理的连续性
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
本例中的澳门赌场官方下载已经确定需要改进DSS04中的文档流程.02和DSS04.2003年,并决定为每个输入和输出领域制定详细的文件. 应注意确保对其他治理和管理目标的交叉引用及其与其他治理和管理目标的关系得到理解,并根据需要清晰地映射出来.
组成部分:人员、技能和胜任能力
人, 良好的决策需要技能和能力, 执行纠正措施并成功完成所有工作. 员工入职和定期培训是必要的,以便在新环境和新情况下工作.
图9 以COBIT 2019相关人员信息为例, 技能和能力以及相关指导.
图9 - DSS04的人员、技能和胜任力组件 管理的连续性
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
示例澳门赌场官方下载已经确定需要定义连续性管理的工作技能要求,并决定使用信息时代技能框架V6中的相关指导2 (图9). 该指南帮助澳门赌场官方下载开发所需的技能要求, 将其纳入澳门赌场官方下载的工作定义矩阵,并培训员工发展相关技能.
组成部分:原则、政策和程序
原则, 政策和程序将期望的行为转化为日常管理的实际指导. 必须根据COVID-19造成的不断变化的形势的需求,对这些计划进行审查和更新,以确保持续提供产品和服务.
图10 概述了COBIT 2019关于相关政策和程序的指南的摘录,以及适用于已确定的治理和管理目标的描述. 这有助于根据需要对关键政策和程序进行基准测试和改进.
图10 DSS04的原则、策略和程序组件 管理的连续性
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
示例澳门赌场官方下载确定在危机管理方面缺乏足够的政策和程序,并决定制定适当的文件来涵盖诸如I等特定领域&T安全,网络管理,数据安全和隐私.
组成部分:文化,道德和行为
文化, 个人和澳门赌场官方下载的道德和行为往往被低估为治理和管理活动成功的因素. 由于员工被授权在家或在其他地方工作,监控可能不那么严格. 因此,加强这一组成部分对有效的风险管理至关重要.
图11 反映了2019年COBIT文化指南的摘录, 道德与行为, 这有助于高层管理人员定下基调,并建立一个定期沟通的系统.
图11 - DSS04的文化、道德和行为组件 管理的连续性
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
图11 反映了范例澳门赌场官方下载已经发现了从高级管理层到各级管理层缺乏定期沟通的问题, 清晰地勾勒出澳门赌场官方下载文化, 在澳门赌场官方下载的使命和愿景中定义的道德和行为. 该澳门赌场官方下载已确定在实施业务连续性和灾难恢复程序的方法中存在一个漏洞,并决定定期与员工沟通并确保遵守.
组件:服务、基础设施和应用程序
服务、基础设施和应用程序为澳门赌场官方下载提供I的治理系统&T处理.
图12 展示了COBIT 2019关于服务、基础设施和应用的指南示例. 重点是了解基本服务, 用于满足相关治理和管理目标的基础设施和应用程序.
图12 DSS04的服务、基础设施和应用组件 管理的连续性
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018.
基于对COBIT 2019的基准测试, 示例澳门赌场官方下载已经确定,它在托管服务和远程桌面服务方面严重依赖外部供应商. 然而, 它的合同协议没有为每一个关键领域规定一个标准的服务水平. 澳门赌场官方下载已决定审查和更新协议条款,以确保供应商维持澳门赌场官方下载所需的最低水平的服务,并在服务不足的情况下有适当的惩罚性条款.
澳门赌场官方下载没有必要选择要实现的所有组件. 根据需要,澳门赌场官方下载可以决定仅从特定组件中选择指导. 进一步, 在每个分量中, 相关指导的选择和实施取决于该指导给澳门赌场官方下载带来的价值. COBIT 2019组件提供了关于关键因素的通用和现成的指导,这些关键因素有助于实现具有适当定制的集成控制和治理系统.
步骤6:准备定制的COBIT内容并将它们集成到澳门赌场官方下载实践中
澳门赌场官方下载可以使用从COBIT中提取的相关内容,并通过添加相关法规(如适用)和其他相关指南的指导来进一步对其进行定制. 然后应在具体政策和程序中加以翻译和更新, 标准, 以及集成到澳门赌场官方下载文档特定领域的指导方针. 进一步, 应根据需要为每个kgi和kpi添加相关的kgi和kpi,以便可以按照既定标准衡量和监测绩效. 然后更新工作职责,并对选定的工作人员进行培训,使其按照更新的标准和程序执行工作, 从而将COBIT 2019的内容融入到澳门赌场官方下载运营的日常工作中.
步骤7:实施绩效和监控措施,以确认结果并采取补救措施
理事机构应该了解所需的变更和这些变更的好处. 必须获得批准,以实施项目计划中概述的新方法,并基于临界性, 可交付成果和里程碑. 还必须获得必要的预算和在澳门赌场官方下载中实施变更的批准, 使用相关的性能测量指标对所有的KGAs操作, 具备相关的关键绩效指标和关键绩效指标. 定期报告和监视这些内容,以确保遵从性和价值交付.
结论
ISACA开发了 COBIT® 2019设计指南和工具包:设计信息技术治理解决方案 哪一个在Excel工作表中提供了与COBIT过程组件相关的完整内容. 这对于根据需要选择和定制COBIT内容非常有帮助,可以添加额外的列,如“适用的”和“有价值的”,并根据需要过滤和提取内容. 进一步, 可以将适用的内容复制到标题为“自定义”的另一列中,并根据澳门赌场官方下载的需要进行编辑,并根据需要在其他行中添加内容.
COBIT 2019拥有丰富的指南库,不仅可用于实现控制,还可用于实现治理系统. 治理系统的关键区别在于高层管理人员是否参与指导和控制澳门赌场官方下载IT的使用,以便使用适当的决策机制实现目标, 责任和问责表和监测系统. 可以根据需要使用澳门赌场官方下载目标映射表识别和选择COBIT 2019内容, 对准目标, 以及治理和管理目标, 以及如何识别治理和管理系统的7个组件中的每一个组件的内容, 选择和定制以满足澳门赌场官方下载需求.
在任何COBIT实现中,要记住的关键方面是浏览庞大的存储库并选择相关的内容. 重要的是要记住,COBIT内容本质上是通用的,需要定制. 这就是理解澳门赌场官方下载需求的地方, 组织结构, 业务流程, 技术部署, 政策和程序变得很重要, 因此,定制是适当的和相关的. 没有自动化工具可以做到这一点. 具有主题知识和COBIT知识的专业人员和业务领域专家在任何COBIT实现中都扮演着重要的角色.
尾注
1 Rafeq,.; “利用COBIT 2019积极减轻COVID-19的影响”, ISACA®杂志2021年2月16日
2 SFIA基金会, SFIA6:完整参考指南 2015
Abdul Rafeq, CISA, FCA
是Wincer资讯科技有限公司的董事总经理吗. 自COBIT第一版以来,他一直是COBIT的传道者、用户和培训师.
Narasimhan Elangovan, CISA, CDPSE, FCA
是肯的合伙人吗 & Co. 他是一名信息系统审计员、治理专家和隐私实践者.