COBIT 5 w kontekście ISO 22301 Zapewnienie ciągłości usług IT oraz odzyskiwanie sprawności po katastrofie Sylwia Wystub, CISA, ABCP Szczytno, wrzesień 2012 r. Przygotowanie do egzaminu CISA

Plan prezentacji COBIT – informacje wstępne Historia rozwoju standardu Zastosowanie w Polsce COBIT - Struktura Proces zarządzania ciągłością Zadania menadżera ds. ciągłości działania Podsumowanie Przygotowanie do egzaminu CISA

COBIT 5 Informacje wstępne Control OBjectices for IT and related solutions Początek prac nad standardem w roku 1992 Najnowsze wydanie standardu, czyli COBIT 5, to rok 2012 Obejmuje dodatkowo zarządzanie: ryzykiem, bezpieczeństwem, inwestycjami Przygotowanie do egzaminu CISA

Standard COBIT - zastosowanie w POLSCE Stosowany w audycie wewnętrznym i kontroli (banki, domy maklerskie, KNF, NIK,…) Liczne odwołania do standardu COBIT w dokumentach dotyczących cyfryzacji Przykłady: Centrum Projektów Informatycznych MSWiA, Zeszyt 1B/2011, str. 9, 36; (…) Standardy Przedmiotowe. Do tej grupy zaliczamy standardy zarządzania, audytowania i kontroli środowiska informatycznego. Najważniejsze z nich to: • COBIT (Control Objective for Information and Related Technology), • CONeCT (Control Objective for Net Centric Technology), • COEG (Control Objective for Enterprise Governance), • PRINCE2 (PRoject IN Controlled Environment), • ITIL (Information Technology Infrastructure Library), • Normy ISO. PTI, Izba Rzeczoznawców, Ekspertyza „Realizacja projektów informatycznych przez administrację publiczną na podstawie doświadczeń wynikających z wdrażania działania 1.5 SPO WKP”, 2008 r., str. 5, 7, 36, 38, 49, Przygotowanie do egzaminu CISA

Informacja zwrotna od kierownictwa COBIT 5 Struktura Podejście procesowe Potrzeby biznesowe Ład korporacyjny Ocenianie Kierowanie Monitorowanie Informacja zwrotna od kierownictwa Zarządzanie Planowanie (APO) Tworzenie (BAI) Uruchamianie (DSS) Monitorowanie (MEA) Przygotowanie do egzaminu CISA

COBIT 5 Struktura Domeny w obszarze zarządzania APO (ang. Align, Plan and Organise) – Dostosowanie, planowanie i organizowanie BAI (and. Build, Acquire and Implement) – Tworzenie, nabywanie i wdrażanie DSS (ang. Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie MEA (ang. Monitor, Evaluate and Assess) – Monitorowanie, szacowanie i ocenianie Przygotowanie do egzaminu CISA

COBIT 5 Struktura Elementy opisu procesów Tabela RACI - sugerowany podział odpowiedzialności za realizację poszczególnych działań w procesach, znacznie szerszy, niż tylko w obszarze IT R(esponsible) — Kto dostaje zadanie do wykonania? A(ccountable) — Kto zostanie rozliczony ze skutecznej realizacji zadania? Zasadą jest, że rozliczalność nie może być współdzielona. C(onsulted) — Kto dostarcza dane wejściowe? I(nformed) — Kto otrzymuje informacje wyjściowe? Przygotowanie do egzaminu CISA

COBIT 5 Struktura Elementy opisu procesów: role w organizacji Chief Operating Officer V-ce Prezes ds. Operacyjnych Business Executives Dyrektorzy wykonawczy ds. Biznesowych Business Process Owners Właściciele Procesów Biznesowych Strategy Executive Committee Komitet Strategiczny Steering (Programmes/Projects) Committee Komitety Sterujące (Programów/Projektów) Project Management Office Biuro Zarządzania Projektami Value Management Office Biuro Zarządzania Wartością Dodaną Chief Risk Officer Dyrektor ds. Ryzyka Chief Information Security Officer Dyrektor ds. Bezpieczeństwa Informacji Architecture Board Zespół ds. Architektury Enterprise Risk Committee Komitet ds. Ryzyka Head Human Resources Dyrektor ds. Kadrowych Compliance Komórka ds. Zgodności Audit Komórka Audytu Chief Information Officer V-ce Prezes ds. Przetwarzania Informacji Head Architect Główny Architekt Head Development Kierownik ds. Rozwoju Head IT Operations Kierownik Operacyjny Head IT Administration Kierownik ds. Administrowania IT Service Manager Kierownik ds. Zarządzania Usługami Information Security Manager Menadżer ds. Bezpieczeństwa Informacji Business Continuity Manager Menadżer ds. Ciągłości Biznesowej Privacy Komórka ds. Ochrony Danych Osobowych (ABI) Przygotowanie do egzaminu CISA

COBIT 5 Struktura Elementy opisu procesów Cykl życia procesów Każdy proces przechodzi przez etapy Definiowania Tworzenia Działania Monitorowania Dostosowywania/aktualizacji lub Wycofania Model oceny dojrzałości procesów bazuje na ISO/IEC 15504 (SPICE) Przygotowanie do egzaminu CISA

COBIT 5 Zarządzanie ciągłością Balance Score Card – zrównoważona karta wyników Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu Aspekt Cel organizacji Powiązanie z celami biznesowymi Realizacja benefitów Optymalizacja ryzyka Optymalizacja zasobów Klienta 7. Ciągłość i dostępność usług biznesowych   P Przygotowanie do egzaminu CISA

COBIT 5 Zarządzanie ciągłością IT Balance Score Card – zrównoważona karta wyników IT Cztery aspekty: finansowy, klienta, wewnętrzny, rozwoju i wzrostu Aspekt IT Cele związane z IT Klienta 07. Dostarczanie usług IT zgodnie z wymogami biznesowymi 08. Właściwe wykorzystanie aplikacji, informacji oraz technologii Przygotowanie do egzaminu CISA

COBIT 5 Zarządzanie ciągłością Mierniki Aspekt BSC Cel biznesowy Mierniki Klienta 7. Ciągłość i dostępność usług biznesowych * Liczba przerwanych usług biznesowych powodujących istotne incydenty * Koszty biznesowe incydentów * Liczba godzin działalności biznesowej utraconych w wyniku przerw w usługach * Procent skarg w relacji do zobowiązań dotyczących zapewnienia dostępności usług Przygotowanie do egzaminu CISA

COBIT 5 Zarządzanie ciągłością DSS (Deliver, Service and Support) – Dostarczanie, serwisowanie i wsparcie Procesy zarządzania: 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciągłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizmami kontrolnymi dla procesów biznesowych Przygotowanie do egzaminu CISA

COBIT 5 Zarządzanie ciągłością DSS04 Zarządzanie Ciągłością Odwołanie do innych standardów i dobrych praktyk ISO 22301 musi zostać zaimplementowane Standard Odwołanie szczegółowe BS 25999:2007 Business Continuity Standard ISO/IEC 20000 6.3 Service continuity and availability management ISO/IEC 27002:2011 14. Business Continuity Management ITIL v3 2011 9. IT Service Continuity Management Przygotowanie do egzaminu CISA

COBIT 5 Zarządzanie ciągłością DSS04 Zarządzanie Ciągłością – kluczowe działania zarządcze DSS04.01 - Definiowanie polityki, celów i zakresu ciągłości biznesowej DSS04.02 Utrzymywanie strategii ciągłości DSS04.03 Opracowanie i wdrożenie reakcji ciągłości biznesowej DSS04.04 Ćwiczenia, testy i przegląd BCP DSS04.05 Przegląd, utrzymanie i doskonalenie planów ciągłości DSS04.06 Szkolenie z planów ciągłości DSS04.07 Wypełnianie założeń dotyczących kopii zapasowych DSS04.08 Przeprowadzanie przeglądu po odzyskiwaniu sprawności Przygotowanie do egzaminu CISA

ZARZĄDZANIE CIĄGŁOŚCIĄ Kluczowe praktyki zarządcze Prezes Wiceprezes ds. Finansowych V-ce Prezes ds. Operacyjnych Dyrektorzy wykonawczy ds. Biznesowych Właściciele Procesów Biznesowych Komitet Strategiczny Komitety Sterujące (Programów/Projektów) Biuro Zarządzania Projektami Biuro Zarządzania Wartością Dodaną Dyrektor ds. Ryzyka Dyrektor ds. Bezpieczeństwa Informacji Zespół ds. Architektury Komitet ds. Ryzyka Dyrektor ds. Kadrowych Komórka ds. Zgodności Komórka Audytu V-ce Prezes ds. Przetwarzania Informacji Główny Architekt Kierownik ds. Rozwoju Kierownik Operacyjny Kierownik ds. Administrowania IT Kierownik ds. Zarządzania Usługami Menadżer ds. Bezpieczeństwa Informacji Menadżer ds. Ciągłości Biznesowej Komórka ds. Ochrony Danych Osobowych (ABI) DSS04.01 - Definiowanie polityki, celów i zakresu ciągłości biznesowej   A C R DSS04.02 Utrzymywanie strategii ciągłości I DSS04.03 Opracowanie i wdrożenie reakcji ciągłości biznesowej DSS04.04 Ćwiczenia, testy i przegląd BCP DSS04.05 Przegląd, utrzymanie i doskonalenie planów ciągłości DSS04.06 Szkolenie z planów ciągłości DSS04.07 Wypełnianie założeń dotyczących kopii zapasowych DSS04.08 Przeprowadzanie przeglądu po odzyskiwaniu sprawności Przygotowanie do egzaminu CISA

Przydział zadań w poszczególnych procesach dla Menadżera ds. Ciągłości Biznesowej Ład Korporacyjny (Governance) Ma swój udział w większości procesów z tego obszaru Jego udział, to tylko otrzymywanie informacji (I) Przygotowanie do egzaminu CISA

Udział Menadżera ds. Ciągłości Biznesowej Domena APO Otrzymuje informacje oraz jest konsultowany w procesach 01- 02, 06 - 13. Jest odpowiedzialny (R) w podprocesach: APO01.07 Zarządzanie ciągłym doskonaleniem procesów APO01.08 Utrzymanie zgodności z politykami i procedurami APO02.01 Znajomość kierunków działania organizacji APO07.01 Utrzymanie odpowiednich kadr APO07.02 Identyfikacja kluczowego personelu IT APO07.03 Utrzymanie umiejętności i kompetencji personelu APO07.04 Szacowanie realizacji zadań na stanowiskach pracy APO07.05 Planowanie i śledzenie wykorzystania zasobów kadrowych w biznesie i IT APO07.06 Zarządzenie personelem kontraktowym APO08.01 Zrozumienie oczekiwań biznesowych APO11.02 Definiowanie i zarządzanie standardami, praktykami i procedurami jakości APO11.06 Utrzymanie ciągłego doskonalenia APO12.01 Gromadzenie danych APO12.06 Odpowiedź na ryzyko APO13.03 Monitorowanie i przegląd ISMS Zarządzanie 01 Ramowymi zasadami zarządzania 02 Strategią 03 Architekturą przedsiębiorstwa/ organizacji 04 Innowacjami 05 Portfolio (inwestycyjne) 06 Budżetem i kosztami 07 Kadrami 08 Relacjami 09 Umowami serwisowymi 10 Dostawcami 11 Jakością 12 Ryzykiem 13 Bezpieczeństwem Przygotowanie do egzaminu CISA

Udział Menadżera ds. Ciągłości Biznesowej Domena BAI Otrzymuje informacje oraz jest konsultowany w procesach 01- 05, 07 - 09. Jest odpowiedzialny (R) w podprocesach: BAI03.07 Przygotowanie do testowania rozwiązań BAI05.05 Zapewnienie funkcjonowania i stosowania BAI05.06 Wbudowanie nowego podejścia BAI05.07 Utrzymanie zmian BAI07.01 Ustanowienie planu wdrożenia BAI07.02 Planowanie konwersji procesów biznesowych, systemów i danych BAI07.03 Planowanie testów akceptacyjnych BAI07.04 Ustanowienie środowiska testowego BAI07.05 Przeprowadzanie testów akceptacyjnych BAI08.01 Pogłębianie oraz wspieranie kultury dzielenia się wiedzą BAI08.05 Ocena oraz wycofywanie informacji Zarządzanie 01 Programami i projektami 02 Definiowaniem wymagań 03 Identyfikacją I tworzeniem rozwiązań 04 Dostępnością i wydajnością 05 Umożliwianiem zmian organizacyjnych 06 Zmianami 07 Akceptacją zmian oraz ich wprowadzaniem 08 Wiedzą 09 Aktywami 10 Konfiguracją Przygotowanie do egzaminu CISA

Udział Menadżera ds. Ciągłości Biznesowej Domena DSS Otrzymuje informacje oraz jest konsultowany w procesach 01- 02, 07 - 09. Jest odpowiedzialny (R) w podprocesach: DSS04.01 Definiowanie polityki, celów i zakresu ciągłości biznesowej, DSS04.02 Utrzymywanie strategii ciągłości DSS04.05 Przegląd, utrzymanie oraz doskonalenie planów ciągłości DSS04.07 Utrzymanie ustaleń dot. kopii zapasowych Jest rozliczany (A) za podprocesy: DSS04.03 Opracowanie i wdrożenie reakcji związanej z ciągłością działania DSS04.04 Ćwiczenie, testowanie i przegląd BCP DSS04.06 Przeprowadzanie szkoleń z planów ciągłości DSS04.08 Przeprowadzanie przeglądu po odzyskaniu sprawności Zarządzanie 01 Operacjami 02 Wnioskami o usługi oraz incydentami 03 Problemami 04 Ciagłością 05 Usługami zapewnienia bezpieczeństwa 06 Mechanizamami Kontrolnymi dla procesów biznesowych Przygotowanie do egzaminu CISA

Udział Menadżera ds. Ciągłości Biznesowej Domena MEA Monitorowanie, szacowanie i ocena 01 Wykonania oraz dostosowania 02 Systemu kontroli wewnętrznej (zarządczej) 03 Zgodności z wymogami zewnętrznymi Otrzymuje informacje oraz jest konsultowany w procesach 01- 03 Jest odpowiedzialny (R) w podprocesach: MEA02.01 Monitorowanie kontroli wewnętrznych MEA02.03 Przeprowadzanie samooceny kontroli MEA02.04 Identyfikacja i raportowanie słabości kontroli MEA03.02 Optymalizacja odpowiedzi na wymagania zewnętrzne Przygotowanie do egzaminu CISA

Podsumowanie Przez dobę policja w całym kraju była sparaliżowana w wyniku awarii strategicznego serwera - - dowiedział się "Dziennik Gazeta Prawna". (fakty.interia.pl)

Dziękuję za uwagę sylwia.wystub@isaca.katowice.pl Przygotowanie do egzaminu CISA