Опубликован: 12.11.2012 | Уровень: для всех | Доступ: платный
Лекция 5:

Домен "Планирование и организация": процессы, отвечающие за управление персоналом, инвестициями, качеством и рисками

< Лекция 4 || Лекция 5: 123 || Лекция 6 >

5.2. PO 6. Информирование о целях и направлениях ИТ

Руководство разрабатывает корпоративную методологию контроля в сфере ИТ и доносит ее до исполнителей. Программа информирования, принятая и поддержанная руководством, реализуется для объяснения миссии, целей услуг, политики и процедур и т.д. Информирование поддерживает достижение целей ИТ и обеспечивает лучшее понимание ИТ рисков, целей и направления развития. Процесс обеспечивает соответствие законодательству и нормативным требованиям.

Процесс "Информирование о целях и направлениях ИТ"

Рис. 5.2. Процесс "Информирование о целях и направлениях ИТ"

Информирование о целях и направлениях развития ИТ.

удовлетворяет следующим бизнес требованиям к ИТ

предоставление точной и своевременной информации о текущих и будущих ИТ услугах и связанных с ними рисках и ответственности.

сосредоточено на

создании четких, понятных и утвержденных политик, процедур, руководств и прочей документации, включенной в методологию контроля в сфере ИТ, для заинтересованных сторон.

достигается с помощью

  • Определении методологии контроля в сфере ИТ.
  • Разработки и внедрения ИТ политик.
  • Реализации ИТ политик на практике.

результаты оцениваются с помощью следующих показателей

  • Количество нарушений в работе бизнеса, вызванных перебоями в работе ИТ.
  • Доля заинтересованных сторон, понимающих методологию корпоративного контроля в сфере ИТ.
  • Доля заинтересованных сторон, не придерживающихся политик.

В таблице 5.8 представлены входы процесса, то есть входящая информация, и ее источники.

Таблица 5.8.
Источник Входящая информация
PO 1 Стратегический и тактические планы ИТ, портфель проектов и услуг
PO 9 Руководящие указания по управлению связанными с ИТ рисками
ME 2 Отчет по эффективности контроля ИТ

В таблице 5.9 отображены результаты процесса "Информирование о целях и направлениях ИТ " и процессы, на вход которых они должны поступить.

Таблица 5.9.
Результаты В процессы
Корпоративная методология контроля ИТ все
ИТ -политики все

Таблица 5.10 соответствует таблице ОУКИ для процесса "Информирование о целях и направлениях ИТ "

Таблица 5.10.
Действия\Функции Президент Финансовый директор Высшее руководство Директор по ИТ Владелец бизнес-процесса Руководитель эксплуатации системы Главный архитектор ИТ-системы Руководитель разработок Руководитель администрации ИТ Руководитель проектного офиса Аудит, риски, безопасность
Разработать и поддерживать методологию и среду контроля И К И У/О И К К К К
Разработать и поддерживать ИТ-политики И И И У/О К К К О К
Информировать о методологии ИТ –контроля, целях и направлениях развития И И И У/О О К

В таблице 5.11 приведена иерархия целей и показатели их достижения в отношении процесса.

Таблица 5.11.
Цели Показатели
ИТ:
  • обеспечить прозрачность и понимание затрат и преимуществ в ИТ, стратегии, политики и уровней услуг
  • убедиться, что авторизованные транзакции и обмен данными заслуживают доверия
  • убедиться, что критическая и конфиденциальная информация защищена от тех, кто не должен иметь к ней доступа
  • минимизировать негативное воздействие на бизнес в случае сбоев или изменений в ИТ-услугах
  • обеспечить правильное использование и эффективность работы приложений и технологических решений
  • убедиться, что ИТ-услуги и инфраструктура надежно защищены и восстанавливаются в случае сбоев, атак или аварийной ситуации
  • число случаев компрометации конфиденциальной информации
  • количество нарушений в работе бизнеса, вызванных перебоями в работе ИТ
  • уровень понимания затрат и преимуществ от ИТ, стратегии, политик и уровней услуг
Процесса:
  • разработать всеобъемлющую методологию контроля ИТ
  • разработать общий и детальный комплект ИТ-политик
  • донести стратегию ИТ, политики и методологию контроля до заинтересованных сторон
  • доля заинтересованных сторон, понимающих ИТ-политику
  • доля заинтересованных сторон, понимающих методологию корпоративного контроля в сфере ИТ
  • доля заинтересованных сторон, не придерживающихся политик
Действия:
  • определение методологии контроля ИТ
  • разработка ИТ-политик
  • реализация ИТ-политик
  • разработка и поддержка плана по информированию заинтересованных сторон
  • частота обновления политики
  • своевременность и частота информирования пользователей
  • частота пересмотра/обновления методологии корпоративного контроля в сфере ИТ

Цели контроля

  • РО 6.1. ИТ-политика и среда контроля

    Определить элементы среды контроля для ИТ в соответствии с философией корпоративного управления и стилем руководства. Эти элементы должны включать ожидания/требования в отношении пользы от ИТ инвестиций, рисков, целостности, этических ценностей, компетентности персонала, отчетности и ответственности. Среда контроля должна основываться на принципах создания ценностей при условии управления значимыми рисками, сотрудничества в рамках командной работы представителей различных бизнес подразделений, обеспечения совместимости, постоянного совершенствования, хорошей управляемости в условиях отклонений и сбоев.

  • РО 6.2. Корпоративные ИТ-риски и методология контроля

    Разработать и поддерживать методологию, которая определит общий подход организации к ИТ рискам и мерам контроля. Она должна соответствовать ИТ политикам и среде контроля, а также корпоративным рискам.

  • РО 6.3. Поддержка ИТ политик

    Разработать комплекс мер для поддержки стратегии ИТ. Данный комплекс политик должен включать описание целей; роли и обязанности; исключительные процессы; подход к вопросам совместимости; ссылки на конкретные процедуры, стандарты и руководства. Их адекватность должна регулярно подтверждаться и утверждаться.

  • РО 6.4. Внедрение политик, стандартов и процедур

    Распространить и внедрить ИТ политики, чтобы сделать их частью деятельности организации.

  • РО 6.5. Информирование о целях ИТ и направлении развития

    Донести понимание целей бизнеса, целей ИТ и направления развития до заинтересованных сторон и пользователей в масштабах организации.

Практическое задание

Постановка задачи: Сотрудник компании потерял все свои важные рабочие данные из-за сбоя жесткого диска. Он не сохранил их на сетевой диск. Процесс "Информирование о целях и направлениях ИТ" отвечает за предотвращение подобных инцидентов. Как можно было бы организовать процесс и избежать данной ситуации?

Решение задачи:

В данном случае помогло бы следующее:

  1. Пункт в ИТ-политике: все работники должны заботиться о своей информации с учетом возможных сбоев
  2. Стандарт ИТ: Обращение с файлами
    • Все файлы, созданные пользователями в процессе работы, должны сохраняться на сетевой диск, а не на локальный.
    • Если некоторые файлы (конфиденциальные и выше) должны быть помещены на съемный носитель, например, USB, они должны быть защищены паролем.
  3. Процедура "Получение USB".
    1. заполните форму X.
    2. получите утверждение у руководителя департамента.
    3. получите USB-носитель в сервис-деске.
    4. …..

В этом примере решения задачи видно, как политики, процедуры и стандарты, вовремя сформированные и, что немаловажно, донесенные до сотрудников помогли бы предотвратить инцидент с потерей файлов в результате сбоя жесткого диска. Помимо определения политик, процедур и стандартов, необходимо осуществлять регулярные проверки их соблюдения.

Задание для самостоятельной работы: Разработайте процедуры, пункт в политике ИТ и другие необходимые меры и мероприятия, которые помогут предотвратить утерю носителей с ключевой информацией в организации.

< Лекция 4 || Лекция 5: 123 || Лекция 6 >
Грета Березовская
Грета Березовская
Александр Медов
Александр Медов

Здравствуйте, прошел курс МБА Управление ИТ-проектами и направил документы на получение диплома почтой. Подскажите, сроки получения оного в бумажной форме?

: