Построение и совершенствование системы ИБ (ИТ) по COBIT5

Построение и совершенствование системы ИБ (ИТ) по COBIT5
В методологии COBIT5  есть одна интересная модель постоянного совершенствования, которая заменила собой уже привычный нам цикл PDCA. Да, именно так, PDCA (Plan-Do-Check-Act) устарел и его упоминание убрано из 5й версии COBIT. Встречайте новую модель:
Впервые этот цикл появился в основном документе COBIT5 (Framework; ура, есть и на русском языке ), а затем подробно разбирается в книге "COBIT5 Implementation".

Итак, вместо 4-шагового цикла PDCA мы получили 7 этапов, каждый из которых является ответом на следующие вопросы:
  1. What are the drivers? / Что нами движет?
  2. Where are we now? / Где мы находимся сейчас?
  3. Where do we want to be? / Где мы хотим оказаться?
  4. What needs to be done? / Что нужно сделать?
  5. How do we get there? / Как мы туда попадем?
  6. Did we get there? / Удалось ли выполнить задуманное?
  7. How do we keep the momentum going? / Как сохранить импульс/развитие?
На этапе 1 определяются потребности внедрения или инициативы по совершенствованию, выявляются "болевые точки" и события-триггеры, которые запускают процесс.
На этапе 2 определяется контекст и охват внедрения (scope), сопоставлются цели ИТ/ИБ с целями бизнеса, оцениваются риски ИБ и уровень зрелости процессов .
На этапе 3 определяются цели совершенствования.
На этапе 4 производится планирование практических решений и инициация проектов.
На этапе 5 происходит внедрение выбранных решений в повседневную практику.
На этапе 6 отслеживаются полученные выгоды и обеспечивается устойчивая работа новых или измененных факторов влияния ( enablers ).
На этапе 7 оценивается успех инициативы в целом, выявляются дальнейшие требования к руководству ( governance ) и управлению (management) ИБ, а постоянному совершенствованию дается дополнительный импульс.

Жизненный цикл выполняется, как мы понимаем, итеративно и позволяет создать устойчивый подход к руководству и управлению ИБ на предприятии.

В уже упомянутой книге "COBIT5 Implementation" приводятся описание контекста, примеры "болевых точек" и событий-триггеров, ожидания внутренних и внешних заинтересованных сторон (stakeholders), каждый этап рассматривается подробно:
  • Таблицы связи "вызовов" (challenges) с причинами и факторами успеха (root causes, success factors)
  • Таблицы основные ролей
  • Таблица описания:
    • Phase objective / Цель этапа
    • Phase description / Описание этапа
    • Continual improvement (CI) tasks / Задачи постоянного улучшения
    • Change enablement (CE) tasks / Задачи по изменению
    • Programme management (PM) tasks / Заачи по управлению программой
    • Input / Вход
    • ISACA materials and other frameworks / Дополнительные материалы
    • Output / Выход
  • RACI-chart 
Помимо этого приведены примеры матрицы решений и маппинг рисковых сценариев с процессами COBIT5, примеры бизнес-кейсов.  Очень много полезной информации и таблиц... Рекомендую к прочтению, документ  для членов ISACA предоставлется бесплатно.

А еще доступен небольшой комплект дополнительных материалов " COBIT5 Toolkit ".


P.S. Дополнительную информация по COBIT5 можно найти в моем блоге под ярылком "COBIT ".
27001 COBIT
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире