Описание
Анализ и формулирование требований к руководству ИТ на предприятии, внедрение и поддержание эффективных структур, принципов, процессов и практик, обеспечивающих их выполнение, с четким указанием ответственности и полномочий по реализации миссии, достижению целей и выполнению задач предприятия.
Примеры метрик для целей предприятия
ЦП03
- Стоимость несоблюдения нормативных требований, включая взаиморасчеты и штрафы
- Количество проблем несоблюдения требований, вызывающих общественное мнение или негативную рекламу
- Количество случаев несоответствия, отмеченных регулирующими или надзорными органами
- Количество случаев несоблюдения нормативных требований, касающихся договорных соглашений с деловыми партнерами
Компонент "Процесс"
(набор практик и действий для достижения определенных целей и результатов, поддерживающих достижение общих целей, связанных с ИТ)
| Практика руководства | Примеры метрик |
|---|---|
| ЦР1.1 Оценка системы руководства Постоянное выявление заинтересованных сторон предприятия и взаимодействие с ними, документирование понимания их требований, а также вынесение суждения по вопросу текущего и будущего построения системы руководства ИТ на предприятии. |
а. Количество руководящих принципов, определенных для руководства и принятия решений в сфере ИТ. б. Количество членов высшего руководства, участвующих в определении направления развития ИТ. |
| Действия | Уровень возможностей |
| 1. Анализ и выявление факторов внутренней и внешней среды (законодательство, регулирование, договорные обязательства) и тенденций развития бизнес-среды, которые могут оказать влияние на построение системы руководства. 2. Определение значимости ИТ и их роли для бизнеса. 3. Рассмотрение внешних нормативных требований, законов и договорных обязательств и определение того, каким образом они должны применяться в системе руководства ИТ предприятия. 4. Определение влияния общей системы контроля предприятия на ИТ. |
2 |
| 5. Согласование этичного использования и обработки информации, а также ее воздействия на общество, природную среду, интересы внутренних и внешних заинтересованных сторон с направлением развития, целями и задачами предприятия. 6. Формулирование руководящих принципов для построения системы руководства ИТ и процесса принятия решений в ИТ. 7. Определение оптимальной модели принятия решений для ИТ. 8. Определение надлежащих уровней делегирования полномочий для принятия решений в области ИТ, включая пороговые значения. |
3 |
| Источник | Раздел |
| CMMI Cybermaturity Platform, 2018 | GE.AG Apply Governance System; GE.MG Monitor Governance System |
| ISO/IEC 38500:2015(E) | 5.2 Principle 1: Responsibility (Evaluate) |
| ITIL V3, 2011 | Service Strategy, 2.3 Governance and management systems |
| National Institute of Standards and Technology Special Publication 800-37, Revision 2 (Draft), май 2018 | 3.1 Preparation (Tasks 2, 3, 4, 5) |
| Практика руководства | Примеры метрик |
| ЦР1.2 Задание направления развития для системы руководства Информирование руководителей, получение их поддержки и заинтересованности. Задание направления развития структур, процессов и практик руководства ИТ в соответствии с согласованными принципами построения системы руководства предприятия, моделями принятия решений и уровнями полномочий. Определение информации, требуемой для информированного принятия решений. |
а. Степень, в которой согласованные принципы управления ИТ очевидны в процессах и практиках (процент процессов и практик, прослеживаемых до принципов). б. Частота отчетности по вопросам руководства ИТ ИК и Правлению. в. Количество ролей, обязанностей и полномочий для руководства ИТ, которые определены, назначены и приняты соответствующим бизнесом и руководством ИТ. |
| Действия | Уровень возможностей |
| 1. Информирование о принципах руководства ИТ и согласование с высшим руководством предприятия способа формирования атмосферы информированного и заинтересованного лидерства. 2. Создание или делегирование полномочий по созданию структур, процессов и практик руководства в соответствии с согласованными принципами построения системы руководства. 3. Создание управляющего совета по ИТ (или его эквивалент) на уровне Совета Директоров. Этот совет должен обеспечить адекватное решение вопросов руководства ИТ, как части руководства предприятием, консультировать по стратегическим направлениям и определять приоритеты инвестиционных программ, с поддержкой ИТ, в соответствии с бизнес-стратегией и приоритетами предприятия. |
2 |
| 4. Распределение обязанностей, полномочий и ответственности в соответствии с согласованными принципами построения системы руководства, моделями принятия решений и принципами делегирования полномочий. 5. Обеспечение того, чтобы механизмы коммуникаций и отчетности предоставляли надлежащую информацию лицам, ответственным за контроль и принятие решений. 6. Предъявление требований к персоналу в части следования установленным рекомендациям этичного и профессионального поведения, обеспечение информирования о случаях несоблюдения и последствиях. 7. Формирование системы поощрений, способствующей желаемым культурным изменениям. |
3 |
| Источник | Раздел |
| CMMI Cybermaturity Platform, 2018 | GE.DG Direct Governance System |
| ISF, The Standard of Good Practice for Information Security 2016 | SG1.1 Security Governance Framework |
| ISO/IEC 38500:2015(E) | 5.2 Principle 1: Responsibility (Direct) |
| ISO/IEC 38502:2017(E) | Governance of IT - Framework and model (all chapters) |
| King IV Report on Corporate Governance for South Africa, 2016 | Part 5.4: Governance functional areas - Principle 12 |
| National Institute of Standards and Technology Special Publication 800-53, Revision 5 (Draft), август 2017 | 3.14 Planning (PL-2, PL-10) |
| Практика руководства | Примеры метрик |
| ЦР1.3 Мониторинг системы руководства Мониторинг эффективности и результативности системы руководства ИТ на предприятии. Оценка эффективности функционирования системы и внедренных механизмов (включая структуры, принципы и процессы) и обеспечения ими надлежащего контроля за ИТ для получения пользы для предприятия. |
а. Фактическое/целевое время для принятия ключевых решений. б. Частота независимых проверок аспектов руководства ИТ. в. Уровень удовлетворенности заинтересованных сторон (измеряется с помощью опросов). г. Число зарегистрированных проблем с руководством в сфере ИТ. |
| Действия | Уровень возможностей |
| 1. Оценка эффективности и результативности работы заинтересованных сторон, которым делегирована ответственность и полномочия в отношении руководства ИТ предприятия. | 3 |
| 2. Периодическая оценка эффективности функционирования согласованных механизмов руководства ИТ (структуры, принципы, процессы и т.д.). 3. Оценка эффективности построения системы руководства и определение действий по устранению обнаруженных отклонений. 4. Контроль соответствия ИТ различным требованиям (регулятивным, законодательным, вытекающим из норм общего права, контрактным), внутренним политикам, стандартам и профессиональным нормативам. 5. Контроль эффективности системы внутреннего контроля в ИТ и ее соответствие действующей на предприятии системе внутреннего контроля. 6. Мониторинг стандартных регулярных механизмов, гарантирующих, что использование ИТ соответствует установленным требованиям (регулятивным, законодательным, вытекающим из обычного права, договорным), стандартам и нормативам. |
4 |
| Источник | Раздел |
| ISO/IEC 38500:2015(E) | 5.2 Principle 1: Responsibility (Monitor) |
| National Institute of Standards and Technology Special Publication 800-53, Revision 5 (Draft), август 2017 | 3.14 Planning (PL-11) |
Компонент "Организационные структуры"
| Практика руководства\Роль в организации | СД | ИК | ИД | ДИТ | СИТ |
|---|---|---|---|---|---|
| ЦР1.1 Оценка системы руководства | О | И | И | И | И |
| ЦР1.2 Задание направления развития для системы руководства | О | И | И | ||
| ЦР1.3 Мониторинг системы руководства | О | И | И | И | И |
| Источник | Раздел | ||||
| COSO Enterprise Risk Management, июнь 2017 | 6. Governance and Culture - Principle 2 | ||||
| ISO/IEC 38502:2017(E) | 5.1 Responsibilities of the governing body | ||||
| King IV Report on Corporate Governance for South Africa, 2016 | Part 2: Fundamental concepts - Definition of corporate governance; Part 5.3: Governing structures and delegation - Principle 6 & 7 |
||||
Компонент "Информация"
(включает всю информацию, производимую и используемую предприятием, необходимую для эффективного функционирования системы управления предприятием)
| Практика руководства | Входы | Результаты | ||
|---|---|---|---|---|
| ЦР1.1 Оценка системы руководства | Из | Описание | В | |
| МОА3.2 | Информирование об изменении внешних требований | Руководящие принципы управления предприятием | Все ЦР; КПО1.1; КПО1.3-4 | |
| Вне РиУ КИТ | - Устав/внутренние регламенты/локальные нормативные акты организации - Модель руководства/принятия решений - Нормативные акты - Тенденции развития бизнес-окружения |
Модель принятия решений | Все ЦР; КПО1.1; КПО1.4 | |
| Уровни полномочий | Все ЦР; КПО1.5 | |||
| ЦР1.2 Задание направления развития для системы руководства | Информирование по вопросам руководства предприятием | Все ЦР; КПО1.2 | ||
| Подход к системе поощрений | КПО7.3-4 | |||
| ЦР1.3 Мониторинг системы руководства | МОА1.4 | Отчеты по результативности | Обратная связь по вопросам эффективности и результативности руководства ИТ | Все ЦР; КПО1.11 |
| МОА1.5 | Статус и результаты действий | |||
| МОА2.1 | - Результаты мониторинга и проверок системы внутреннего контроля - Результаты сравнительной оценки |
|||
| МОА2.3 | Результаты анализа проводимых самооценок | |||
| МОА3.3 | Подтверждения соблюдения требований | |||
| МОА3.4 | - Отчеты о подтверждении соблюдения требований - Отчеты о вопросах несоблюдения требований и их причинах |
|||
| МОА4.2 | Планы проведения аудитов | |||
| Вне РиУ КИТ | - Аудиторские заключения - Обязательства |
|||
| Источник | Раздел | |||
| National Institute of Standards and Technology Special Publication 800-37, Revision 2, сентябрь 2017 | 3.1 Preparation (Task 2, 3, 4, 5): Inputs and Outputs | |||
Компонент "Люди, навыки и компетенции"
| Навык | Источник | Раздел |
|---|---|---|
| Руководство ИС | e-Competence Framework (e-CF) - A common European Framework for ICT Professionals in all industry sectors—Part 1: Framework, 2016 | E. Manage—E.9. IS Governance |
| Руководство ИТ |
Skills Framework for the Information Age V6, 2015
|
GOVN |
Компонент "Принципы, политики и подходы"
(преобразуют желаемое поведение в практическое руководство для повседневного управления)
| Политика | Описание политики | Источник | Раздел |
|---|---|---|---|
|
Политика делегирования полномочий
|
Определяет полномочия, которые Правление сохраняет за собой, а также общие принципы, график делегирования и организационные структуры, которым Правление делегирует полномочия.
|
1. ISO/IEC 38500:2015(E);
2. ISO/IEC 38502:2017(E);3. King IV Report on Corporate Governance for South Africa, 2016 |
1. 5.2 Principle 1: Responsibility;
2. 5.3 Delegation; (3) Part 5.3: Governing structures and delegation Principle - 8 and 10
|
| Политика управления |
Предоставляет руководящие принципы управления (например, руководство ИТ имеет решающее значение для успеха предприятия; ИТ и бизнес выстраиваются стратегически; бизнес-требования и преимущества определяют приоритеты; правоприменение должно быть справедливым, своевременным и последовательным; лучшие отраслевые практики, структуры и стандарты должны оцениваться и реализовываться соответствующим образом). Включает в себя императивы руководства, такие как укрепление доверия и партнерства. Подчеркивает, что руководство ИТ отражает процесс постоянного улучшения и должно быть адаптировано, поддерживаться и обновляться для обеспечения актуальности.
|
National Institute of Standards and Technology Special Publication 800- 53, Revision 5 (Draft), август 2017
|
3.14 Planning (PL-1) |
Компонент "Культура, этика и поведение"
| Ключевой элемент культуры | Источник | Раздел |
|---|---|---|
|
Определяет и коммуницирует культуру принятия решений, организационную этику и индивидуальное поведение, которые воплощают ценности предприятия. Демонстрирует этическое лидерство и задает тон руководства.
|
1. National Institute of Standards and Technology Special Publication 800-53, Revision 5, August 2017;
2. ISO/IEC 38500:2015(E);
3. King IV Report on Corporate Governance for South Africa, 2016
|
1. 3.14 Planning (PL-4);
2. 4.1 Principles;
3. Part 5.1: Leadership, ethics and corporate citizenship - Principle 2
|
Компонент "Услуги, инфраструктура и приложения"
(инфраструктура, технологии и приложения, которые обеспечивают предприятие системой управления эксплуатацией ИТ-решений)
- COBIT и связанные продукты и инструменты
- Схожие методологии и стандарты