Управление ИТ рисками. Использование модели COBIT. 06 июня 2013 года Михаил Савчук, ООО «ЕвразХолдинг»

Презентация:



Advertisements
Похожие презентации
Управление информационными ресурсами 1. Лекция 3 Методология COBIT 3.1 Общая допустимость COBIT. 3.2 COBIT и разделы управления ИТ. 3.3 Основные компоненты.
Advertisements

Сравнительный анализ стандартов ISO/IEC и ISO/IEC Ильдар Гарипов.
Использование методологии COBIT для эффективного управления информационными технологиями Кирилл Домнич, CISA, CISM старший консультант, отдел услуг в области.
Управление информационными ресурсами 1. Лекция 2 Методология COBIT 2.1 Кто использует методологию. 2.2 Соответствие требованиям. 2.3 Информационные критерии.
Новое в ITIL v.3: От теории к практике Москва, 2008 Бартенева Мария руководитель отдела ITSM-консалтинга.
Учебный курс Разработка ИТ-стратегии Лекция 2 доктор технических наук, профессор Васильев Роман Борисович.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Предмет и задачи информационного менеджмента Тема 2.
Управление информационными ресурсами 1. Лекция 4 Методология ITIL 4.1 Введение. Библиотека ITIL. 4.2 Основные процессы библиотеки ITIL. 4.3 Выгоды внедрения.
Информационная безопасность. Процессный подход – миф или реальность? Базелев Вячеслав, руководитель направления информационной безопасности СП «Бевалекс»
Информационная безопасность как часть бизнеса. Комплексный подход к построению систем управления безопасностью Буйдов Александр Заместитель генерального.
©2008 IT Governance Institute. All rights reserved. 1 Обзор принципов Корпоративного управления ИТ на основе CobiT и других методологий ITGI Борис Львов.
Разработка автоматизированной системы регистрации и обработки обращений пользователей ИТ-инфраструктуры для компаний малого и среднего бизнеса. Степуро.
Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.
Новая ИТ-стратегия для государственных организаций. Особенности аудита и лицензирования программного обеспечения. ИТ-образование для государственных организаций.
1 Стандарты качества управления рисками для финансовых институтов Марина Шамонина Руководитель группы Управления рисками IY научно-практическая конференция.
© 2005 ОАО «Четвертая генерирующая компания оптового рынка электроэнергии» Управление ИТ деятельностью в условиях реформирования отрасли 26 ноября 2008.
Лекция 3 Архитектура информационных систем. Вопросы лекции 1. Архитектура информационной системы 2. Архитектурный подход к реализации информационных систем.
Управление надежностью как инструмент достижения долгосрочных целей ОАО «ОГК-1»
Создание бизнес ориентированной стратегии информационной безопасности Роман Чаплыгин 22 мая 2014.
Транксрипт:

Управление ИТ рисками. Использование модели COBIT. 06 июня 2013 года Михаил Савчук, ООО «ЕвразХолдинг»

2 Несколько слов о компании

3 ИТ без надлежащего управления

4 Хорошее ИТ Насколько важны те или иные информационные сервисы или ИТ в целом? Какая выгода от их использования? Что делать если ИТ система недоступна или работает некорректно? Стоит ли тратить дополнительные ресурсы на покупку, разработку, дополнительную поддержку?

5 Модель COBIT

6 Принципы COBIT ИТ технологии очень сложны. Управление ИТ не обязано быть таким.

7 Движущие силы COBIT Принципы, политики и системы Процессы Организационные структуры Культура, этика и поведение Информация Сервисы, инфраструктура и приложения Люди, умения и компетенции

8 Процессы COBIT EDM Оценка, выбор направления и наблюдение EDM01 Обеспечение создания и обновление подхода к руководству EDM02 Обеспечение создания выгоды EDM03 Обеспечение оптимизации рисков EDM04 Обеспечение оптимизации ресурсов EDM05 Обеспечение прозрачности для заинтересованных сторон APO01 Управление подходом к управлению ИТ APO02 Управление стратегией APO03 Управление архитектурой предприятия APO04 Управление инновациями APO05 Управление портфелем APO06 Управление бюджетом и затратами APO07 Управление персоналом APO08 Управление отношениями APO Обеспечение соответствия, планирование и организация APO09 Управление соглашениями об услугах APO10 Управление подрядчиками APO11 Управление качеством APO12 Управление рисками APO13 Управление безопасностью BAI01 Управление программами и проектами BAI02 Управление выявлением требований BAI03 Управление выбором и внедрением решений BAI04 Управление доступностью и мощностью BAI05 Управление поддержкой организационных изменений BAI06 Управление изменениями BAI07 Управление передачей и приемкой изменений BAI08 Управление знаниями BAI Создание, приобретение и внедрение BAI09 Управление активами BAI10 Управление конфигурациями DSS02 Управление запросами на обслуживание и инцидентами DSS03 Управление проблемами DSS04 Управление непрерывностью DSS05 Управление услугами безопасности DSS06 Управление контролями бизнес- процессов DSS Обслуживание, эксплуатация и сопровождение DSS01 Управление эксплуатацией MEA Отслеживание, измерение и оценка MEA01 Отслеживание, подсчет и оценка производительности и соответствия MEA02 Отслеживание, подсчет и оценка системы внутреннего контроля MEA03 Отслеживание, подсчет и оценка соответствия внешним требованиями

9 Основные контрольные задачи Формирование оптимальных показателей портфеля ИТ проектов Максимизация выгод при фиксированных затратах Эффективная реализация ИТ проектов в рамках ожидаемых бюджетов, сроков и полученных от реализации выгод Минимизация затрат при заданном уровне эффективности Развитие Использование существующих ИТ сервисов

10 Пять почему (пример декомпозиции рисков) минимизация затрат при заданном уровне эффективности при использовании существующих ИТ сервисов и услуг адаптации существующих ИТ услуг к изменяющимся бизнес требованиям эффективности масштабирования существующих ИТ услуг (например, в части изменения количества пользователей, географии и т.д.) эффективности обработки транзакций при увеличении количества пользователей и данных

11 Меры по компенсации рисков Невозможность обработки транзакций при увеличении количества пользователей и данных APO03. Управление архитектурой предприятия Создание архитектуры, основанной на принципах масштабируемости и гибкости (TOGAF); BAI03. Управление выбором и внедрением решений Управление инфраструктурой (COBIT: Enabling process); BAI04. Управление доступностью и мощностью Планирование и управление проблемами с мощностью и производительностью (ISO/IEC 20000, ITIL)

12 Уровни зрелости ИТ процессов 0 Отсутствующий. 1 Начальный. 2 Повторяемый, но интуитивный. 3 Определенный. 4 Управляемый и измеримый. 5 Оптимизируемый. Целевой уровень зрелости определяется задачами бизнеса и рисками

13 Саммари Контрольные задачи высшего, среднего и низшего уровней Связанные ИТ риски Необходимые к реализации ИТ процессы и уровень зрелости Стандарты, организационная структура, потоки информации Больше информации на COBIT 5 COBIT 5: Enabling Processes COBIT 5 Implementation COBIT 5 for Information Security

14 Спасибо за внимание Михаил Савчук, CIA, CISA Руководитель блока внутреннего аудита по ИТ ООО «ЕвразХолдинг»