Professional Documents
Culture Documents
COBIT
Rezime:
Dat je kratak opis najbolje prakse i standarda za upravljanje IT
uslugama i sigurnou informacija u obezhedenju podrke poslovnim
ciljevima organizacije. Naglasak je dal na CobiT, koji jo, bez realnog
razloga, nije u fokusu naih IT strunjaka i poslovnih menadera.
best
practices
repository for
IT Processes IT Management
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34. No. 1-2. 2006.
odgovor na narastajui znaaj najbolje prakse u IT industriji i potrebe da
najvie rukovodstvo organizacije, ukljuujui i IT menadere, razume
vrednost najbolje prakse u IT i ukae kako implementirati najbolju IT
praksu u organizaciji. Bez obzira to jc pregled uraen korienjem
referenci koje su u meuvremenu zamenjene novim izdanjima (CobiT 3 rd
Edition:2002 sa CobiT 4.0:2005; ISO 17799:2000 sa ISO 1799:2005, i
ITIL:2000 e biti zamenjen sa ITIL:2006) ovaj izvetaj predstavlja
neprocenjivu pomo u razumevanju mesta i uloge svake od pojedinih
referenci u poslovnom sistemu organizacije.
(benehmarking)
Iskaza poslovnih analizatora koji preporuuju usvajanje najbolje
prakse, naprimer:
Jaki alati kostura su presudni za osiguranje da su IT resursi
usuglaeni sa poslovnim ciljevima organizacije, i da usluge i
informacije zadovoljavaju potrebe za kvalitetom, poverenjem i
sigurnou...COBIT i ITIL nisu meusobno iskljuivi i mogu biti
kombinovani da obezbede kostur IT servis menadmenta.
Organizacije koje hoe da svoj program upravljanja IT uslugama
stave u kontekst ireg kostura kontrola i upravljanja treba da koriste
COBIT.
OGC
OGC je organizacija UK vlade odgovrna za nabavke i poboljavanje
efikasnosti u javnom sektoru. OGC je proizveo uputstva najbolje prakse,
ukljuujui PRINCE2 (upravljanje projektom), MSP (Upravljanje uspenim
programi-ma) i ITIL (Upravljanje IT uslugama).
ITIL je ve dvadesetak godina prihvaen kao standard najbolje prakse i
osnova je za BS 15000, nedavno zamenjen sa ISO/IEC 20000:2005
standardom za upravljanje uslugama. www.oqc.qov.uk
ITGI
ITGI is a neprofitna istraivaka organizacija, partner sa ISACA
-Information Svstems Audit and Control Association, globalnom
neprofitnom profesionalnom organizacijom fokusiranom na upravljanje IT,
osiguranje i sigurnost, sa vie od 47,000 lanova u vie od 140 zemalja,
Srbija nije lan.
ITGI je preuzeo razvoj i objavlji-vanje COBIT, otvorenog standarda i kostura
kontrola i najbolje prakse za upravljanje sa IT, www.itqi.org, www.isaca.org
itSMF
IT Service Management Forum
(itSMF) je jedina internacionalno prepoznata nezavisna organizacija
posveena upravljanju IT usluga. To je neprofitna organizacija,
potpuno u vlasnitvu i upravljana od strane lanstva.
itSMF ima veliki uticaj na i doprinos industriju 'najbolje prakse' i na
IT standarde delujui kao partner vladinim organizacijama i telima
za standardizaciju irom sveta.
www.itsmf.com
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence". Vol.34. No. 1-2. 2006.
3.2
ISO/IEC 17799&27001
Smernicc
Ciljevi
kontrola
(IT strategiju i Politika)
Strateki Ciljevi
Poslovanje
Narastajue, upotreba standarda i najbolje prakse, kao stoje ITIL,
CobiT i ISO 17799, je pokretana poslovnim
Odgovornosti
zahtevima za poboljane performanse,
transparentnost vrednosti i poveanu kontrolu IT
aktivnosti.
Gcvernance
3.1ITIL
Vlada UK je jo krajem 1980-tih prepoznala znaaj najbolje IT
prakse za podrku svojim procesima i poslovanju i sponzorisala preko
svojih agencija razvoj najbolje prakse da bi vodila upotrebu IT u
vladina odeljenja. Ova praksa je danas postala de facto svetski
standard i za privatni i za javni sektor. U razvoju ITIL uestvovali su
eksperti IT industrije, konsultanti i praktiari. ITIL dokumentuje
najbolju praksi upravljanja IT uslugama. Prvo izdanje ITIL sadralo je
1
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence". Vol.34. No. 1-2. 2006.
T
Informacijo poslovnim
potrebama o postizanju
njihovih ciljeva
Informacije (IT
kontrole, rizik i
osiguranje)
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence". Vol.34. No. 1-2. 2006.
IT Governance
Slika I, Model toka informacija u COBIT
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
(autor ga nije jo nabavio). Tabela l - Interesne strane u pitanjima oko IT
standarda i najbolje prakse
Ko ima primarni interes?
O
o
o
Pitanja
za
najvie
rukovodstvo u vezi IT
standarda i najbolje IT
prakse
(za
sn
ov
an
a
na
C
O
BI
T
ko
stu
ra)
W
.2
2
c
Upra
vljanje
rizicima je
odavno
identifoko
vano kao
obavezna
menadm
ent
disciplina,
o
emu
svedoi
drugo
izdanje
standarda
AS/NZS
4360:2004
Risk
Managem
ent
i
pripadaju
a
HB436:20
04
uputsva smernice
za
menadm
ent
rizikom.
Opti
pristup
bilo kom
riziku
specificira
n
ovim
standardo
m moe
6
biti
od
interesa
bilo
kojem
rukovodio
cu,
ukljuuju
i i IT
projektant
e
i
menader
e, za koje
verujem
da e se
radije
opredeliti
za
BS
77992:2006.
Osnovna
poruka
ovog
pasusa bi
trebala da
bude da je
centralna
disciplina
u zatiti
informacij
a
upravljanj
e rizicima,
poev od
stratekog
,
preko
taktikog
do
operativni
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
Planiranje i organizacija
s
s
Da lije verovatno da e novi projekti isporuiti reenja koja zadovoljavaju poslovne potrebe?
Da li je verovatno da e novi projekti biti zavreni na vreme i u okviru budeta?
Nadzor
Da li se mogu meriti performanse IT. i mogu li se problemi detektovati pre nego je prekasno?
</
3.3 COBIT
ISACA je ranih 1990-tih
prepoznala da auditori15, koji su imali
svoje sopstvene ek liste za ocenu IT
kontrola i efektivnost, koriste razliit
renik u odnosu na poslovne
menadere i IT praktiare. Kao
odgovor na ovaj komunikacijski
raskorak, kreiran je CobiT kao kostur
IT kontrola za poslovne menadere, IT
menadere i auditore zasnovan na
generikom setu IT procesa znaajnih
IT osoblju i, narastajue, poslovnim
menaderima. Cilj ISACA u razvoju
CobiT-a je bio da istrai, razvije,
publikuje
i
promovie
jedan
autoritativni,
savremen,
internacionalni set opte prihvaenih
ciljeva IT kontrola za svakodnevnu
upotrebu
od
strane
poslovnih
posl
ovan
ja,
kr
ae,
k
azne
,
s
udsk
i
post
upci,
itd.
Inte
rne
P
r
e
v
e
n
ti
v
e
k
o
vie
takvih
negativnih
ishoda.
Postoje tri
tipa
internih
kontrola:
kontrole
su
mehanizm
i kojima
se
poslovanj
e
postavlja
tako da se
reducira smanji
rizik
jednog ili
n
tr
ol
e
s
u
n
a
m
e
nj
e
n
e
s
p
e
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
e ili smanje verovatnou
sigurnou, i druge procese
najbolje
CobiT je
pojave pojedinih negativnih
koji se odnose na izvravanje
prakse su
da
ovaj
ishoda.
IT.
dokument
model
Kontrole detekcije su
Nadzor
(Monitoring)
ovane
i
najbolje
namenjene za detekciju i
ukljuuje procese za regularnu
representu
prakse ve
izvetavanje o pojedinom
proveru IT procesa i njihove
ju
usaglaen
negativnom ishodu koji je
efektivnosti u postizanju
nastao.
akumulira
sa
relativnih ciljeva IT kontrola.
no
standardi
Korektivne kontrole su
CobiT identifikuje i specificira
iskustvo
ma i sa
namenjene da minimiziraju,
ukupno 34 IT procesa Za svaki proces
otklone, i koriguju
stotina IT
Sarbanes(high-level
process),
CobiT
pojedinane negativne ishode
profesiona
Oxley
obezbeuje set ciljeva kontrole sa
koji su se pojavili.
laca,
Act-om.
pridruenom praksom da bi ublaio
Efektivnost primenjenih kontrola
auditora, i
Ovo
rizik koji se odnosi na efektivnost,
zavisi od kontro-lisanja
rizika
business
podrazum
efikasnost, poverljivost, integritet,
sadranog u upotrebi IT korienih za
menader
eva daje
raspoloivost,
usaglaenost
i
implementaciju poslovnih aplikacija.
a. (Free
ne samo
pouzdanost IT sistema.
download,
vredan
Danas se bilo koja organizacija
available
alat
za
susree sa nizom kompleksnih
Sumarno, IT resursima se
to you at
vae
problema u upravljanju poslovnim
upravlja preko IT procesa radi
no cost.)
interno
procesima i upravljanju sigurnosti
postizanja ciljeva koji odgovaraju
Umesto
upravljanj
informacija potrebnih organizaciji.
Poslovnim zahtevima. Ovaj bazni
da
e sa IT,
Efektivna upotreba odgovarajuih
princip COBIT okvira je ilustrovan
otponete
nego
alata i metodologija jeste nuna i
o nule na
moe,
zahteva odgovarajue znanje, vetine i
takoe,
disciplinu u primeni, no utvreno je
biti
da, naalost, veina problema u vezi sa
korien
sigurnou informacija dolazi iznutra,
od strane
tj. od zaposlenih u organizaciji koji
auditora i
ve imaju odgovarajua prava pristupa
drugih
tim informacijama. Optimizovana
treih
upotreba IT resursa i redukcija rizika
strana u
nisu tehniko-tehnoloko pitanje ve
proceni
menadment pitanje. Glavni rizici IT
vaeg
na taktikom nivou mogu biti:
uspeha u
Promaeni projekti - pogrene
implement
investicije
aciji
Neuspeli projekti
kontrolnih
Procesi
struktura.
Naruavanje sigurnosti
Sutra i nas
Padovi sistema
ovo eka,
Pogreke od strane servis
budite
Posl
provajdera u razumevanju i
Aktivnosti
spremni.
adhoc
zadovoljavanju zahteva kupca
ovni
zaht
evi
Planiranje i Organizacija
(Planning and Organization)
ukljuuje
procese
za
planiranje
i
dizajn
organizacije
namenjene
postizanju poslovnih ciljeva
organizacije. Ovaj domen
obuhvata i procenu rizika.
Akvizicija i Implementacija
(Acquisition
and
Implementation) ukLjuuje
procese koji se odnose na
akviziciju i razvoj IT reenja i
menadment promenama tih
reenja tokom vremena.
Isporuka
i
Podrka
(Deliverv and Support)
ukljuuje procese koji se
odnose na aktuelne isporuke
IT usluga organizaciji. Ovaj
domen ukljuuje procese za
mendment problemima i
incidentima,
menadment
ouo
o.
r-
S
lika
3,
Cobi
T
kock
a
COBI
T
kock
om,
slika
4.
4. COBIT - VANE DOBITI
Koje su dobiti od upotrebe
COBIT-a? Prve dve, dostupne i nama,
su novac i vreme. Procedure i uputstva
8
osnovi,
CobiT
vam
donosi
znanje i
kompletan
okvir sa
informacij
ama
o
ciljevima i
koracima
koje treba
slediti to
minimizir
a moguu
konfuziju
oko
ciljeva.
Tre
a
vana
dobit koju
nudi
etv
rta vana
dobit
je
vaa
sposobnos
t
da
razmenjuj
ete
sa
dmgim
organizaci
jama
uputstva
kontrola i
informacij
e
o
procesu
auditiranja
u CobiTovom
kosturu i
iskustva
YUSQ ICQ 2006 - International Journal "Total Oualitv Management & Excellence", Vol.34, No. 1-2, 2006.
vajcarskoj banci uz podcijeni prezir
upotrebe u vaem sopstvenom
javnosti. No vremena se menjaju, ne
poslovnom okruenju. Da bismo bili
samo sa stanovita pristupa drave
ravnopravni sa ostalima morali bi i u
ovoj problematici, mnoge organizacije
naoj sredini osnovati ISACA
su sposobne za integraciju sa
podrunicu.
inostranim kompanijama, koje e u
5. ZAKLJUAK
procenjivanju
naih
organizacija
koristiti, verovatno, iste principe
1 na kraju odgovor na pitanje: A
interne kontrole kao i u svojoj
zato bi se u naem okruenju neko
matinoj dravi. K.ako se uklopiti u
baktao sa svim ovim kontrolama i
sistem koji funkcionie na nepoznat
standardima? U USA je odgovor prost,
nain, kako stei uverenje da drite
SOX usaglaenost se ne moe postii
uzde u ruci i da ste osposobljeni da
bez primene napred navedenog. Samo
upravljate svojom kompanijom?
je teroristiki napad sa pretnjom
nacionalnoj bezbednosti stroi po
Nadam se daje ovaj rad pobudio
sankcijama od SOX, a odgovorni za
Vae intcrcsovanjc da postavite slina
naene neusaglaenosti su pre svega
pitanja i potraile odgovore, hitno.
izvrni direktori organizacija.
Ako vama ne treba, izvesno je da e
trebati dravi. Pritom imajte na umu i
praksu uvoenja novih propisa, dok je
Literatura:
u USA period za pridravanje HIPPA
[ 1 ]. Aligning COBIT, ITIL and
bio dve godine, kod nas je nedavni
ISO 17799 for
prelazak na novi nain izvetavanja o
Business Benefit, A
realizovanim zdravstvenim uslugama
Management Briefing
(obavezna upotreba IT i Web) bio
from
manje od ..........., ne usuujem se rei,
ITGI and OGC
poznavaoci oblasti
(www.isaca.org) [2]. CobiT 4.0.
zdravstvene zatite prepoznae o emu
Control Objectives, Management
je re.
Guidelines, Maturitv
Models (www.itgi.org) [3]. S.
Lisse: Menadment rizikom [5]. Securitv Management,
ta je to?",
ITIL Managing IT
asopis "Kvalitet" br. 1services, OGC, TSO ,
2/03. [4]. S. Lisse: Usluge u
1999-2005, ISBN 0 11
lnformacionim
330014 x,
tehnologijama [6]. ISO/IEC 20000-1:2005, IT
odravanje IT
service managemcnt
infrastrukture,
Part 1: Specification
JUSK2005
for information
Kod nas, dui niz godina ima niz
technologv service
slinih primera koji obuhvataju mnoge
management
organizacije u kojima je na
[7]. ISO/IEC 20000-2:2005, IT
neobjanjiv i nedokaziv nain (drava
service management
nije
obezbedila
funkcionisanje
Part 2: Code of
adekvatnih
kontrola)
poslovanje
practice for service
dovedeno do bankrota da bi bile
management
prodate/privatizovane za cenu desetine
[8]. ISO/IEC 17799:2005
vrednosti. Ono to je u dragim
Information
dravama kriminalni prekraj broj
technologv Securitv
jedan: utaja poreza", kod nas je
techniques Code of
uobiajen postupak koji se zavrava
practice for information
sticanjem podebelog rauna u nekoj
securitv