مديريت فناوری اطلاعات

در طی چهار مقاله گذشته، در مورد ITSM بحث نموديم و به معرفی TQM، BPM، CMMI، Six Sigma، ERP و چرخه PDCA پرداختيم و در زمينه ITIL، MOF و استاندارد ISO/IEC 20000، به تفصيل و به صورت مبسوط، صحبت نموديم. همانگونه که وعده داده بوديم، در اين مقاله که بخش پايانی سلسله مقالات فناوری اطلاعات است، در مورد COBIT صحبت خواهيم نمود و آن را مورد بحث و بررسی قرار خواهيم داد.

COBIT

COBIT که اختصار عبارت Control OBjectives for Information and related Technology است، عبارت است از روال‌ها و روش‌های اداره نمودن فرآيندهای مرتبط با فناوری اطلاعات. به عبارت ساده‌تر، COBIT ساختاری برای مديريت فناوری اطلاعات است.

COBIT توسط سازمان ISACA که از معتبرترين سازمان‌های تخصصی بين‌المللی مديريت فناوری اطلاعات می‌باشد، معرفی شده است.

اين سازمان، به صورت رسمی در سال ۱۹۶۹ تاسيس و شروع به کار کرد، اما مقدمات تاسيس آن از سال ۱۹۶۷، توسط عده‌ای از افراد متخصص در زمينه مميزی و کنترل سيستم‌های کامپيوتری، شروع شده بود.

در حال حاضر، بيشتر از ۸۶ هزار نفر در بيش از ۱۶۰ کشور جهان، عضو اين سازمان يا دارنده گواهينامه‌های بين‌المللی آن هستند. ISACA اختصار Information Systems Audit and Control Association است.

ويرايش‌های COBIT

ويرايش نخست، در سال ۱۹۹۶ منتشر شد و در سال ۱۹۹۸، دومين ويرايش آن به انتشار رسيد. ويرايش سوم، در سال ۲۰۰۰ و ويرايش چهارم، در سال ۲۰۰۵ منتشر شد. در سال ۲۰۰۷ نيز با کمی تغيير در ويرايش چهارم، COBIT version 4.1 به انتشار رسيد.

ISACA اعلام کرده است که در سال ۲۰۱۱، ويرايش پنجم COBIT را منتشر خواهد ساخت. در حال حاضر تنها پيش‌نويس اين ويرايش آماده شده است، اما همانگونه که ذکر شد، ISACA اعلام نموده است که نسخه نهايی اين ويرايش را تا سال آينده، آماده و منتشر خواهد ساخت.

COBIT Version 4.0 شناخته‌شده‌ترين ويرايش COBIT است و تفاوت‌های عمده‌ای با ويرايش‌های قبلی دارد، اما در COBIT Version 4.1، تفاوت عمده‌ای نسبت به COBIT Version 4.0 به چشم نمی‌خورد و تغييرات را می‌توان در دو مورد زير خلاصه نمود:

الف‌ـ تعاريف ساده‌تر برای آرمان‌ها، اهداف و مقاصد سازمان (Goals)

ب‌ـ تفکيک بيشتر بين فرآيندها (Processes) و مقاصد (Goals) و ارتباطات آنها (Relations)

با توجه به آنکه تفاوت‌های عمده‌ای بين ويرايش‌های۴٫۰ و ۴٫۱ وجود ندارد و با توجه به آنکه ويرايش۴٫۰ شناخته‌شده‌تر است، در ذيل به معرفی COBIT Version 4.0 و ساختار آن خواهيم پرداخت.

همانگونه که ذکر شد، ويرايش‌های قديمی‌تر COBIT، دارای تفاوت‌های عمده با ويرايش‌های جديد آن هستند و طبيعتا، برخی ساختارهای معرفی شده در زير، در COBIT 3.0 يا قبل از آن وجود ندارد يا دستخوش تغيير شده است.

(COBIT Product Family (Version 4.0
بسته کامل COBIT شامل موارد زير است:

۱ـ خلاصه و چکيده اجرايی (Executive Summary)

تصميمات مديريتی و اجرايی صحيح و همچنين تصميمات مربوط به اصلاح و بهينه‌سازی ساختارها در سازمان‌های فعال و موفق در جهان امروز، نيازمند اطلاعات دقيق، مناسب، قابل اتکاو مستندی است که به موقع و بدون تاخير در اختيار مديران سازمان قرار بگيرد.

طبيعی است که اطلاعاتی که در اختيار مديران سازمان قرار می‌گيرد بايد به صورت جامع باشد، اما لازم است که خلاصه و چکيده‌ای از آن نيز ارائه شود تا مديريت بتواند با تمرکز بر رئوس مطالب و نکات کليدی، تصميمات مقتضی را اتخاذ نمايد.

خلاصه و چکيده اجرايی COBIT شامل رئوس و نمای کلی مديريتی و اجرائی است که بيانگر مفاهيم، اصول، مبانی و قواعد آن است. همچنين شامل خلاصه ساختار مدنظر است تا مفاهيم و مبانی موردنظر، با سهولت بيشتری قابل درک باشد و بتواند با سرعت بيشتری جنبه اجرايی پيدا کند.

۲ـ ساختار اداره نمودن، نظارت و کنترل (Governance and Control Framework)

سازمان‌های موفق بر اساس ساختاری منسجم، کارآمد و به‌روز از داده (Data) و اطلاعات (Information) استوار هستند. در اين ساختار، چگونگی جمع‌آوری و دسته‌بندی داده‌ها و اطلاعات توسط فرآيندهای فناوری اطلاعات و ارائه آنها به سازمان، جهت نيل به اهداف سازمانی، تعريف می‌شود.

در ساختار COBIT، موارد ذيل، مورد توجه ويژه قرار می‌گيرند:

اثربخشی (Effectiveness)
کارايی (Efficiency)
قابليت اطمينان (Reliability)
رعايت خط مشی سازمان (Policy-Compliance)
قابليت استفاده و در دسترس بودن (Availability)
رعايت سطوح دسترسی و امنيت اطلاعات (Confidentiality)
انسجام و يکپارچگی اطلاعات (Integrity)

۳ـ نظارت و کنترل بر اهداف (Control Objectives)

در جهان کنونی که فناوری اطلاعات شاهد سرعت روزافزونی در پيشرفت و رشد و گسترش است و شرايط بسيار متغييری دارد، نظارت و کنترل بر اهداف، حائز اهميت بسياری است.

تعريف دقيق اهداف، تعيين خط مشی صحيح برای نيل به اهداف، نظارت بر ميزان تحقق اهداف در بازه‌های زمانی پيش‌بينی شده، تعريف روش‌های اصلاحی (در صورت نياز) برای نيل به اهداف ، برآورد ميزان پيشرفت و همچنين گزارش‌گيری دقيق و مستمر، از اهميت فراوانی برخوردار است.

۴ـ رهنمودهای مديريت (Management Guidelines)

برای اطمينان از موفقيت سازمان در نيل به اهداف سازمانی، لازم است تا فرآيندهای تجاری (Business Processes) و سيستم‌های اطلاعات (Information Systems) به صورت موثری با يکديگر همکاری و هماهنگی داشته باشند.

رهنمودهای مديريتی COBIT شامل مدل‌های متعددی است که به مديران سازمان امکان مقايسه و برآورد بهتر نتايج به دست آمده از يک سو و سطوح انتظارات را از سوی ديگر می‌دهد.

به عبارت ديگر، با استفاده از رهنمودهای مديريت، می‌توان به شکل موثرتری بر فرآيندهای تجاری و فرآيندهای فناوری اطلاعات نظارت و کنترل داشت، به گونه‌ای که به صورت کارآمدتری از همسو بودن فرآيندهای فناوری اطلاعات در نيل به اهداف سازمانی، اطمينان حاصل نمود.

۵ـ راهنمای تضمين فناوری اطلاعات (IT Assurance Guide)

برای کسب اطمينان از تحقق نظارت و کنترل به صورت کامل و جامع بر اهداف، ضروری است که سيستم‌های کنترل و نظارت، مورد ارزيابی قرار بگيرند. به عبارت ديگر، خود سيستم‌های کنترل و نظارت نيز بايد به صورت مستمر تحت ارزشيابی و سنجش باشند تا از عملکرد بهينه آنها، اطمينان حاصل شود.

راهنمای تضمين، کليه ابزارهای لازم برای ارزيابی سيستم‌های کنترل و نظارت، از زمان طراحی تا زمانی که عملياتی می‌شوند را در اختيار قرار می‌دهد.

۶ـ راهنمای استقرار (Implementation Guide)

استقرار COBIT در يک سازمان، نيازمند تمهيدات و بستر‌سازی مناسب است. راهنمای استقرار می‌تواند در اين زمينه بسيار سودمند باشد. با استفاده از اين راهنما می‌توان استقرار موفقی را تجربه نمود و فرآيندهای مدنظر را به صورت هماهنگ و منسجم، عملياتی نمود.

توجه به اين نکته نيز ضروری است که هر سازمان دارای ويژگی‌های خاص خود است و توجه صرف به راهنمای استقرار بدون در نظر گرفتن ساير موارد بسته کامل COBIT، نمی‌تواند کارايی مناسبی داشته باشد. به عبارت ديگر، نگاه جامع و فراگير به COBIT، نيازمند توجه به کليه موارد بسته کامل آن (۶ مورد ذکر شده) است.

ساختار COBIT
COBIT ، چهار حوزه زير را تحت پوشش قرار می‌دهد.

الف‌ـ طراحی و سازماندهی (Plan and Organize)

اين حوزه، شامل ۱۰ فرآيند ذيل است:

  1. PO1 ـ تعريف طرح جامع و راهبردی فناوری اطلاعات و جهت‌گيری آن (Define a Strategic IT Plan and Direction)
  2. PO2 ـ تعريف معماری اطلاعات (Define the Information Architecture)
  3. PO3 ـ تعيين جهت‌گيری تکنولوژيکی (Determine Technological Direction)
  4. PO4 ـ تعريف فرآيندهای فناوری اطلاعات، سازمان و ارتباطات (Define IT Processes, Organization and Relationships)
  5. PO5 ـ مديريت سرمايه‌گذاری (Manage Investment)
  6. PO6 ـ ابلاغ اهداف و جهت‌گيری تعيين شده توسط مديريت (Communicate Management Aims and Direction)
  7. PO7 ـ مديريت منابع انسانی (Manage Human Resources)
  8. PO8 ـ مديريت کيفيت (Manage Quality)
  9. PO9 ـ ارزيابی و مديريت ريسک (Assess and Manage Risks)
  10. PO10 ـ مديريت پروژه‌ها (Manage Projects)

لازم به ذکر است که در جهت‌گيری تکنولوژيکی، تعيين نوع تکنولوژی‌های مورد استفاده، مد نظر است.

ب‌ـ دستيابی و استقرار (Acquire and Implement)

اين حوزه شامل ۷ فرآيند ذيل است:

AI1 ـ تشخيص روش‌ها و راه‌حل‌های خودکار (Identify Automated Solutions)

AI2 ـ تهيه نرم‌افزار برنامه‌های کاربردی و نگهداری و حفاظت از آن (Acquire and Maintain Application Software)

AI3 ـ فراهم نمودن زيرساخت تکنولوژی و نگهداری و حفاظت از آن (Acquire and Maintain Technology Infrastructure)

AI4 ـ فعال‌سازی عمليات و استفاده (Enable Operation and Use)

AI5 ـ فراهم نمودن منابع (Procure Resources)

AI6 ـ مديريت تغييرات (Manage Change)

AI7 ـ مستقر شدن و تاييد روش‌ها و راه‌حل‌ها (Install and Accredit Solutions)

لازم به ذکر است که در تشخيص روش‌ها و راه‌حل‌های خودکار، عمدتا شناسايی روش‌های مکانيزه که به صورت کامپيوتری و الکترونيکی قابل انجام هستند، مد نظر است.

ج‌ـ تحويل و پشتيبانی (Deliver and Support)

اين حوزه، شامل ۱۳ فرآيند ذيل است:

DS1 ـ تعريف و مديريت سطوح خدمات (Define and Manage Service Levels)

DS2 ـ مديريت خدمات شخص ثالث (Manage Third-Party Services)

DS3 ـ مديريت ظرفيت و عملکرد (Manage Capacity and Performance)

DS4 ـ تضمين تداوم خدمات (Ensure Continuous Service)

DS5 ـ تضمين امنيت سيستم‌ها (Ensure Systems Security)

DS6 ـ تشخيص و تخصيص هزينه‌ها (Identify and Allocate Costs)

DS7 ـ تعليم و آموزش کاربران (Educate and Train Users)

DS8 ـ مديريت بخش خدمات و مديريت بر حوادث (Manage Service Desk and Manage Incidents)

DS9 ـ مديريت پيکربندی خدمات (Manage Service Configuration)

DS10ـ مديريت مسائل (Manage Problems)

DS11ـ مديريت داده (Manage Data)

DS12 ـ مديريت محيط فيزيکی (Manage Physical Environment)

DS13 ـ مديريت عمليات (Manage Operations)

مديريت حوادث، مديريت بر عملياتی است که ناشی از خطای سيستم است (مانند مديريت بر تراکنش‌هايی که به علت خطای سخت‌افزاری يا خطای نرم‌افزاری سيستم، به صورت نادرست، عمل يا ثبت شده‌اند). به همين علت، مديريت حوادث دارای ظرايف و ويژگی‌های خاص خود است.

مديريت مسائل، عمدتا ناظر بر کمبودهايی است که ممکن است در سيستم وجود داشته باشد و بايد برطرف شود.

د‌ـ نظارت و ارزيابی (Monitor and Evaluate)

اين حوزه شامل ۴ فرآيند ذيل است:

ME1 ـ نظارت و ارزيابی فرآيندهای فناوری اطلاعات (Monitor and Evaluate IT Processes)

ME2 ـ نظارت و ارزيابی کنترل‌های داخلی (Monitor and Evaluate Internal Control)

ME3 ـ تضمين اقدامات تنظيم‌کننده برای رعايت خط مشی سازمان (Ensure Regulatory Policy-Compliance)

ME4 ـ تهيه روش اداره نمودن فناوری اطلاعات (Provide IT Governance)

منظور از نظارت و ارزيابی کنترل‌های داخلی آن است که روش‌های ارزيابی درون سيستمی، خود نيز نيازمند نظارت و پايش دائمی هستند و با تغيير شرايط، نيازمند بازنگری و بهبود مستمر هستند.

همانگونه که ملاحظه می‌شود، ITIL، MOF و COBIT که راهبردهای گوناگون مديريت خدمات فناوری اطلاعات هستند، دارای وجوه اشتراک فراوانی هستند که استاندارد ISO/IEC 20000، به عنوان اولين استاندارد بين‌المللی مديريت خدمات فناوری اطلاعات، از آنها پشتيبانی می‌نمايد.

منبع : http://computernews.ir/

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *