Про оценку процессов по COBIT5

Про оценку процессов по COBIT5
Много месяцев назад я уже писал, что в COBIT5 используется принципиально иной подход к оценке процессов, нежели в COBIT4.1 . Напомню, что новая модель оценки называется "Модель возможностей процессов" вместо "Модели зрелости процессов" из 4.1 (Capability вместо Maturity) и базируется на подходе ISO 15504. Также я уже упоминал , что ISACA выпустила комплект документов COBIT Assessment Programme, состоящий из следующих книг:
  • COBIT Process Assessment Model (PAM): Using COBIT 5 – 144 стр.
  • COBIT Assessor Guide: Using COBIT 5 – 52 стр.
  • COBIT Self-Assessment Guide: Using COBIT 5 - 24 стр.
Помимо этого при покуке 2й или 3й книг становится доступным для скачивания PAM Toolkit, содержащий 2 exel-файла: "COBIT5-Assessment-Scoping-Tool" и "COBIT5-Self-assessment-Templates".

Именно эти документы + немного текста из основной книги COBIT5 (Framework) и раскрывают подходы и модель оценки процессов. Напомню. что их 37 в COBIT5:

.COBIT 5 определяет следующие уровни ВОЗМОЖНОСТЕЙ процессов:
  • Level 0: Incomplete process (Неполный). Такой процесс еще не внедрен или не способен соответствовать своему назначению.На этом уровне отсутствуют свидетельства систематического достижения процессом своих целей, или таких свидетельств мало.
  • Level 1: Performed process (Осуществленный). Процесс внедрен и соответствует своему назначению.
  • Level 2: Managed process (Управляемый). Осуществлённый процесс предыдущего уровня теперь управляем (то есть планируется, отслеживается и корректируется). Создаются, контролируются и поддерживаются рабочие продукты процесса.
  • Level 3: Established process (Установленный). Управляемый процесс предыдущего уровня теперь способен получать ожидаемые результаты.
  • Level 4: Predictable process (Предсказуемый). Установленный процесс предыдущего уровня теперь получает результаты в условиях заданных ограничений.
  • Level 5: Optimising process (Оптимизированный). Предсказуемый процесс предыдущего уровня теперь постоянно совершенствуется, чтобы обеспечивать достижение текущих и будущих целей предприятия.

Для определения уровня используются атрибутывсего их 9:


Каждый атрибут может иметь одно из следующих значений (рейтинг): N, P, L, F 

Чтобы процесс соответствовал уровню, все атрибуты на нижних уровнях должны быть "F" (Fully achieved / Достигается полностью):


Книга COBIT Self-Assessment Guide: Using COBIT 5 предполагает следующую процедуру самооценки:

Обратите внимание на шаг 2. На нем определяется достиг ли процесс уровня 1 "Осуществленный процесс", при этом атрибутом (PA 1.1) является формальное достижение процессом своих целей. Например, для процесса "APO13 Manage Security" они определены так:

Если хотя бы 1 цель не достигается, то уровень процесса 0 "Неполный процесс"? и дальнейшая оценка не производится. Если все цели достигаются, то начинается оценка прочих атрибутов процесса, результат заполняется по следующей форме:

Вот такой вот подход к оценке процессов в COBIT5...

Еще можно довольно много рассказать про атрибуты и меры их достижения (N, P, L, F), но для сегодняшнего поста, думаю, достаточно.


P.S. Еще можете посмотреть:


Обзор стандартов ИБ COBIT
Alt text
Комментарии для сайта Cackle

Andrey Prozorov

Информационная безопасность в России и мире