BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN - - QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TỒN THƠNG TIN TÌM HIỂU VỀ KHUNG CHÍNH SÁCH COBIT Nhóm: Sinh viên thực hiện: Trần Thế Long – AT150335 Phùng Văn Thành – AT150451 Hoàng Thị Thảo – AT150453 Nguyễn Thị Quỳnh – AT150148 Phạm Hữu Thông – AT150652 Giảng viên: Cô Nguyễn Thị Thu Thủy Hà Nội, 2021 MỤC LỤC MỤC LỤC II BẢNG PHÂN CÔNG CÔNG VIỆC IV DANH MỤC CÁC TỪ VIẾT TẮT V DANH MỤC HÌNH ẢNH VI DANH MỤC BẢNG BIỂU .VII LỜI MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH COBIT 1.1 Giới thiệu COBIT .2 1.1.1 Lịch sử đời phát triển 1.1.2 Khái niệm 1.2 1.3 Lợi ích việc thực COBIT Các sản phẩm COBIT CHƯƠNG CẤU TRÚC COBIT .7 2.1 Thành phần COBIT 2.1.1 Tài nguyên CNTT 2.1.2 Yêu cầu nghiệp vụ .8 2.2 Quy trình CNTT 2.2.1 2.2.2 2.2.3 2.2.4 Hoạch định tổ chức .9 Xây dựng thực 10 Triển khai hỗ trợ 11 Kiểm soát theo dõi 12 2.3 Ví dụ: Thiết lập số an tồn thơng tin dựa SLA cho Điện tốn đám mây từ Khung sách COBIT 4.1 13 2.3.1 Giới thiệu chung điện toán đám mây, SLA điện toán đám mây 13 2.3.2 Thỏa thuận cấp độ dịch vụ .14 2.3.3 Tiêu chí để lựa chọn số an tồn thơng tin dựa SLA 14 CHƯƠNG QUY TRÌNH LÀM VIỆC CỦA COBIT 22 3.1 3.2 Cách thức xây dựng quy trình 23 Ví dụ xây dựng quy trình .23 CHƯƠNG COBIT VÀ QUẢN TRỊ CNTT DOANH NGHIỆP 25 4.1 4.2 Tổng quan COBIT quản trị CNTT doanh nghiệp .25 Năm nguyên tắc COBIT .26 II 4.2.1 Đáp ứng nhu cầu bên liên quan (Meeting Stakeholder Needs) 26 4.2.2 Bao phủ toàn hoạt động doanh nghiệp (Covering the Enterprise End-to-end) .32 4.2.3 Áp dụng khn khổ tích hợp (Applying a Single, Integrated Framework) .34 4.2.4 Tạo lập phương pháp tiếp cận toàn diện (Enabling a Holistic Approach) 34 4.2.5 Tách rời quản trị từ quản lý (Separating Governance From Management) .36 4.3 Thành phần cấu thành nên COBIT (COBIT framework) 41 4.3.1 4.3.2 4.3.3 4.3.4 4.3.5 Khung .41 Mơ tả q trình 41 Kiểm soát mục tiêu 41 Quản lý hướng dẫn 41 Mơ hình hoàn thiện 41 KẾT LUẬN 42 TÀI LIỆU THAM KHẢO 43 III BẢNG PHÂN CÔNG CÔNG VIỆC Thành viên Trần Thế Long Phùng Văn Thành Hoàng Thị Thảo Nguyễn Thị Quỳnh Phạm Hữu Thơng Nhiệm vụ Tìm hiểu chương 2; làm powerpoint; thuyết trình Tìm hiểu chương 1,2; làm word Tìm hiểu chương 1,3; làm word Tìm hiểu chương 4,làm powerpoint Tìm hiểu chương IV DANH MỤC CÁC TỪ VIẾT TẮT Ý nghĩa Từ viết tắt CNTT IT ICT HTTT ISACA ITGI CMI GEIT Công nghệ thông tin Information Technology Information & Communication Technology Hệ thống thông tin Information Systems Audit and Control Association Information Technology Governance Institute Consumer Market Intelligence Governance of Enterprise IT V DANH MỤC HÌNH ẢNH Hình 1.1 Các giai đoạn phát triển COBIT Hình 1.2 COBIT tiêu chuẩn quản lý chung cho cơng nghệ thơng tin Hình 2.1 Mối quan hệ quy trình COBIT Hình 2.2 Phân phối số bốn lĩnh vực khung COBIT 20 Hình 2.3 Hiệu quy trình khung COBIT cho điện tốn đám mây 20 Hình 3.1 Quy trình làm việc COBIT 22 Hình 3.2 Cách thức xây dựng quy trình 23 Hình 3.3 Các bước xây dựng quy trình .24 Hình 4.1 Năm nguyên tắc cách hoạt động COBIT .26 Hình 4.2 Các tầng mục tiêu 27 Hình 4.3 Các bước tầng mục tiêu 27 Hình 4.4 Mục tiêu doanh nghiệp 28 Hình 4.5 Mục tiêu liên quan CNTT 29 Hình 4.6 Sơ đồ liên kết mục tiêu doanh nghiệp mục tiêu liên quan CNTT 30 Hình 4.7 Sơ đồ thực mục tiêu liên quan đến CNTT .31 Hình 4.8 Những câu hỏi khảo sát cho việc quản trị quản lý IT .32 Hình 4.9 Điều kiện quản lý cần thiết 33 Hình 4.10 Nguyên tắc, hoạt động mối quan hệ 34 Hình 4.11 Tích hợp khung mẫu Cơng ty đa quốc gia 35 Hình 4.12 Quản lý quản trị cuối 37 Hình 4.13 Quy trình quản trị quy trình quản lý 38 Hình 4.14 Mơ hình quy trình quản lý 39 VI DANH MỤC BẢNG BIỂU Bảng 2.1 Quy trình Hoạch định tổ chức 10 Bảng 2.2 Quy trình Xây dựng thực 11 Bảng 2.3 Quy trình Triển khai hỗ trợ .12 Bảng 2.4 Quy trình Kiểm sốt theo dõi 13 Bảng 2.5 Tiêu chí lựa chọn số bảo mật thông tin dựa SLA từ COBIT .15 Bảng 2.6 Danh sách quy trình COBIT 4.1 16 Bảng 2.7 Lựa chọn quy trình bảo mật cho Cloud SLA từ khung COBIT 4.1 17 Bảng 2.8 Các quy trình COBIT 4.1 đáp ứng tiêu chí 18 Bảng 2.9 Các quy trình số tương ứng COBIT 4.1 19 Bảng 2.10 Số liệu số xác định 20 VII LỜI MỞ ĐẦU Trong bối cảnh kinh tế tri thức tương lai, việc xây dựng hệ thống thông tin hỗ trợ tạo lợi cạnh tranh cho tổ chức doanh nghiệp nhu cầu tất yếu Tuy nhiên, hệ thống thông tin tốt? Hệ thống thơng tin phù hợp với tổ chức có phù hợp với tổ chức khác không? Và hệ thống thông tin dùng doanh nghiệp “chuẩn” mức nào? Cần tiến tới mục tiêu để tạo lợi cạnh tranh so với tổ chức, doanh nghiệp khác? Để trả lời câu hỏi nhà quản lý phải trang bị phương pháp quản trị đánh giá hệ thống thông tin doanh nghiệp Một phương pháp tốt quản trị đánh giá hệ thống thông tin doanh nghiệp tốt, xác định vị trí mục tiêu cần tiến đến doanh nghiệp đảm bảo thành công Trải qua kinh nghiệm nhiều năm tổng hợp thành phương pháp quản trị hữu ích, đến giới có số phương pháp quản trị phổ biến như: ITIL, COBIT, ISO17799/ ISO27001, CMMi, COSO, PMBOX Đề tài chúng em lựa chọn tìm hiểu COBIT, phương pháp đó, phương pháp có nhiều tính ưu việt, tính ứng dụng rộng, phù hợp với nhiều tổ chức, kinh doanh Và phương pháp COBIT phương pháp hàng đầu lựa chọn đa số tổ chức, doanh nghiệp giới Bố cục báo cáo bao gồm bốn chương: Chương 1: Tổng quan sách COBIT Chương 2: Cấu trúc COBIT Chương 3: Quy trình làm việc COBIT Chương 4: COBIT quản trị CNTT doanh nghiệp Trong q trình tìm hiểu đề tài khơng tránh khỏi thiếu sót, sơ suất, nên chúng em mong nhận nhận xét đánh giá cô đóng góp ý kiến bạn để rút kinh nghiệm cho việc học tập, làm việc nghiên cứu sau Nhóm xin chân thành cảm ơn cô Nguyễn Thị Thu Thủy giảng dạy, giúp đỡ tận tình để nhóm thực tốt đề tài mơn Quản lý xây dựng sách an tồn thơng tin SINH VIÊN THỰC HIỆN Trần Thế Long Phùng Văn Thành Hoàng Thị Thảo Nguyễn Thị Quỳnh Phạm Hữu Thơng CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH COBIT 1.1 Giới thiệu COBIT 1.1.1 Lịch sử đời phát triển ISACA ban hành COBIT vào năm 1996, ban đầu tập hợp mục tiêu kiểm soát để giúp cộng đồng kiểm tốn tài tốt mơi trường liên quan đến CNTT Nhìn thấy giá trị việc mở rộng khn khổ khơng lĩnh vực kiểm tốn, ISACA ban hành phiên rộng vào năm 1998 mở rộng cách thêm hướng dẫn quản lý năm 2000 phiên 3, thể quản lý thông tin nâng tầm COBIT đưa COBIT vào ứng dụng rộng rãi Trong năm 2005 2007 ISACA cho đời phiên 4.1 “giải trình liên quan đến CNTT kinh doanh trách nhiệm việc tạo giá trị (Val IT) quản lý rủi ro (Risk IT)” mang hẳn tầm chế quản trị, bao quát tất chức phương pháp phiên trước trở thành phương pháp có chế quản trị mạnh rộng lớn Vào tháng năm 2012, COBIT công bố COBIT mở rộng phát triển COBIT 4.1 với tích hợp tính ưu việt nguồn tiêu chuẩn khác, bao gồm ISACA tiêu chuẩn liên quan Tổ chức tiêu chuẩn quốc tế (ISO) Hoạt động theo khuôn khổ COBIT 5, doanh nghiệp quy mô thu lại lợi ích lớn Đó là: • Duy trì thơng tin chất lượng cao để hỗ trợ định kinh doanh • Đạt mục tiêu chiến lược lợi nhuận kinh doanh thông qua việc sử dụng hiệu sáng tạo hệ thống CNTT doanh nghiệp • Tối ưu hóa chi phí cho dịch vụ CNTT nói riêng cơng nghệ kinh doanh nói chung • Điều quan trọng doanh nghiệp kiểm sốt rủi ro liên quan đến CNTT Phiên chuyên gia đánh giá kết hợp tư quản trị doanh nghiệp kỹ thuật quản lý đại Vào năm 2019, ISACA công bố phiên COBIT tại: COBIT 2019 Phiên cơng cụ chung, tồn diện linh hoạt sử dụng tất doanh nghiệp quy mô mục tiêu trước mắt họ Nó giải tốt cơng nghệ thay đổi nhanh chóng thiết kế để phát triển với cập nhật thường xuyên Hình 1.1 Các giai đoạn phát triển COBIT 1.1.2 Khái niệm COBIT (viết tắt cụm từ tiếng Anh: The Control Objectives for Information and related Technologies) chuẩn mực quốc tế quản lý CNTT gồm khuôn mẫu cách thức triển khai, thực hành tốt quản lý CNTT ISACA ITGI xây dựng năm 1996 COBIT cung cấp cho nhà quản lý, người kiểm tra người sử dụng CNTT loạt cách đo lường, dụng cụ đo, quy trình hướng dẫn thực hành tốt để giúp tăng tối đa lợi nhuận thông qua việc sử dụng cơng nghệ thơng tin, giúp quản lý kiểm sốt CNTT tổ chức, doanh nghiệp kết mục tiêu liên quan đến IT COBIT định nghĩa 17 mục tiêu liên quan đến IT Hình 4.5 Mục tiêu liên quan CNTT 29 Hình 4.6 Sơ đồ liên kết mục tiêu doanh nghiệp mục tiêu liên quan CNTT Bước 4: Mục tiêu liên quan đến IT tác động vào muc tiêu điều kiện cần thiết (Enabler Goals) Để đạt mục tiêu liên quan đến IT cần có ứng dụng thành công sử dụng điều kiện cần thiết Các điều kiện cần thiết bao gồm quy trình, cấu trúc tổ chức thông tin Mỗi điều kiện cần thiết hỗ trợ cho mục tiêu liên quan đến IT Quy trình điều kiện cần thiết COBIT thực việc ánh xạ mục tiêu liên quan đến IT quy trình cần thiết 30 Hình 4.7 Sơ đồ thực mục tiêu liên quan đến CNTT 31 Hình 4.8 Những câu hỏi khảo sát cho việc quản trị quản lý IT 4.2.2 Bao phủ toàn hoạt động doanh nghiệp (Covering the Enterprise End-toend) COBIT bao phủ toàn chức quy trình doanh nghiệp COBIT khơng tập trung vào chức IT mà xử lý thông tin công nghệ liên quan tài sản doanh nghiệp COBIT xem xét toàn hoạt động 32 quản trị liên quan đến IT điều kiện quản lý cần thiết phạm vi tồn doanh nghiệp ví dụ xem xét tất moi nhân viên, tất thứ bên bên doanh nghiệp mà có liên quan đển quản trị quản lý thông tin IT liên quan doanh nghiệp Hình 4.9 Điều kiện quản lý cần thiết Các điều kiện cần thiết quản trị (Governance Enabler): Các điều kiện cần thiết quản trị nguồn lực tổ chức dành cho việc quản trị (chẳng hạn khuôn khổ, nguyên tắc, cấu trúc, tổ chức, thực hành ) để định hướng thực mục tiêu đề Các điều kiện cần thiết quản trị bao gồm nguồn lực doanh nghiệp (chẳng hạn hạ tầng IT, ứng dụng, người, thông tin ) Việc thiếu thốn nguồn lực hay điều kiện cần thiết ảnh hưởng đến khả tạo giá trị doanh nghiệp Phạm vi quản trị (Governance Scope): Quản trị áp dụng cho toàn doanh nghiệp, thực thể, tài sản hữu hình tài sản vơ hình Quản trị doanh nghiệp định nghĩa theo quan điểm khác tùy theo cách thức mà quản trị doanh nghiệp áp dụng Do đó, quản trị doanh nghiệp cần phải có phạm vi mà hệ thống quản trị doanh nghiệp áp dụng 33 Vai trò, hoạt động mối liên quan (Roles, Activities, and Relationships): Vai trò, hoạt động mối liên quan định nghĩa tham gia vào quản trị, họ tham gia nào, họ làm gì, họ tương tác phạm vi hệ thống quản trị COBIT phân biệt rõ ràng việc quản trị việc quản lý giúp phân biệt rõ ràng giao tiếp vai trò nhà quản trị nhà quản lý hệ thống quản trị Hình 4.10 Nguyên tắc, hoạt động mối quan hệ 4.2.3 Áp dụng khn khổ tích hợp (Applying a Single, Integrated Framework) Có nhiều tiêu chuẩn thực hành khác liên quan đến IT, tiêu chuẩn/thực hành cung cấp hướng dẫn cho tập hợp hoạt động IT COBIT xếp mức tổng quát tiêu chuẩn, khuôn khổ khác trở thành khuôn khổ tổng thể để quản trị quản lý IT doanh nghiệp 4.2.4 Tạo lập phương pháp tiếp cận toàn diện (Enabling a Holistic Approach) COBIT định nghĩa tập điều kiện cần thiết (enabler) để hỗ trợ thực hệ thống quản trị quản lý toàn diện IT doanh nghiệp Các điều kiện cần thiết (enabler) định nghĩa tất điều kiện mà giúp hoàn thành mục tiêu doanh nghiệp COBIT định nghĩa loại điều kiện cần thiết (enabler) là: Quy tắc, sách khuôn khổ (Principles, policies and frameworks) Quy trình (Processes) Cấu trúc tổ chức (Organization Structures) Văn hóa, Đạo đức Hành vi (Culture, Ethics, and Behavior) Thông tin (Information) Dịch vụ, hạ tầng ứng dụng (Services, Infrastructures, and Applications) Con người, Kỹ Năng lực (People, Skills, and Competencies) 34 Hình 4.11 Tích hợp khung mẫu Cơng ty đa quốc gia Các điều kiện cần thiết (enabler) có tập hợp chiều phân tích (dimension) để cung cấp cách thức đơn giản, phổ biến có cấu trúc cho việc liên kết điều kiện cần thiết với nhau, đồng thời cho phép quản lý tương tác phức tạp điều kiện cần thiết Các điều kiện cần thiết có chiều phân tích (dimension) gồm: - Các bên liên quan (Stakeholders): Mỗi điều kiện cần thiết có bên liên quan - Các mục tiêu (Goals): Mỗi điều kiện cần thiết có sô lượng mục tiêu định điều kiện cần thiết cung cấp giá trị để thực mục tiêu Mục tiêu kết mong đợi điều kiện cần thiết hoặc/và ứng dụng, hoạt động Các mục tiêu chia làm mục nhỏ gồm: (i) Chất lượng thực chất (Intrinsic quality) nhằm mục đích gia tăng khả làm việc xác, đáp ứng mục tiêu điều kiện cần thiết cung cấp kết xác, mục tiêu đáng tin cậy (ii) Chất lượng theo bối cảnh (Contextual quality) nhằm mục đích gia tăng khả điều kiện cần thiết kết điều kiện cần thiết để phù hợp với bối cảnh mà điều kiện cần thiết hoạt động Ví dụ kết phải có liên quan, hồn thiện, với thời điểm tại, xác, thống nhất, hiểu dễ dàng sử dụng (iii) Có thể truy cập an toàn bảo mật nhằm gia tăng khả điều kiện cần thiết kết điều kiện cần thiết để truy cập dễ dàng an tồn 35 - Vịng đời (Life Cycle): Mỗi điều kiện cần thiết có vịng đời từ lúc khởi động đến lúc kết thúc Vòng đời áp dụng cho thơng tin, cấu trúc, quy trình, sách Các giai đoạn vịng đời gồm: + Lập kế hoạch + Thiết kế + Xây dựng/Thu được/Tạo ra/Thực + Sử dụng/Vận hành + Đánh giá/Giám sát + Cập nhật/Vứt bỏ - Thực hành tốt (Good Practices): Mỗi điều kiện cần thiết có thực hành tốt để hỗ trợ việc hoàn thành mục tiêu điều kiện cần thiết Thực hành tốt cung cấp ví dụ, lời khuyên cho việc thực tốt điều kiện cần thiết kết quả, yếu tố đầu vào, yếu tố đầu cần thiết Quản lý việc thực điều kiện cần thiết để đảm bảo có kết tốt áp dụng sử dụng điều kiện cần thiết Các câu hỏi để giám sát, đánh giá việc thực điều kiện cần thiết (i) Các nhu cầu bên liên quan quan tâm? (ii) Các mục tiêu điều kiện cần thiết hoàn thành?, (iii) Các quy trình điều kiện cần thiết quản lý?, (iv) Các thực hành tốt điều kiện cần thiết áp dụng? Để quản lý việc thực điều kiện cần thiết (enabler performance) có hai tiêu chí để đánh giá là: + Đầu thực tế (actual outcome) điều kiện cần thiết Tiêu chí đo lường thơng qua mục tiêu thực Tiêu chi gọi số trễ (lag indicator) + Chức thực tế (actual functioning) điều kiện cần thiết Tiêu chí cịn gọi số sớm (lead indicator) 4.2.5 Tách rời quản trị từ quản lý (Separating Governance From Management) COBIT phân biệt rõ ràng quản trị quản lý, hai nhánh khác với hoạt động khác nhau, cấu trúc tổ chức khác phục vụ cho mục đích khác COBIT có quan điểm khác biệt quản trị quản lý là: - Quản trị (governance): Quản trị đảm bảo nhu cầu, điều kiện quyền lựa chọn bên liên quan đánh giá để xác định mục tiêu phải đạt doanh nghiệp, đặt định hướng cho ưu tiên định, giám sát thực tuân thủ định hướng mục tiêu đề Trong phần lớn doanh nghiệp, việc quản trị trách nhiệm Ban Giám Đốc lãnh đạo Chủ tịch HĐQT 36 - Quản lý (management): Quản lý lập kế hoạch, xây dựng, thực giám sát hoạt động theo định hướng hướng dẫn quản trị để hoàn thành mục tiêu doanh nghiệp Trong phần lớn doanh nghiệp, quản lý trach nhiệm quản lý lãnh đạo CEO Mối quan hệ quản trị quản lý mô tả chi tiết sau: Hình 4.12 Quản lý quản trị cuối Một doanh nghiệp thường có quy trình quản trị quy trình quản lý khác COBIT mơ tả quy trình quản trị quy trình quản lý sau: 37 Hình 4.13 Quy trình quản trị quy trình quản lý - Quản trị: Quản trị gồm có quy trình quản trị gồm Đánh giá (Evaluate), Định hướng (Direct) Giám sát (Monitor) quy trình gọi EDM - Quản lý: Quản lý gồm lĩnh vực (domain) gồm Lập kế hoạch (Plan), Xây dựng (Build), Vận hành (Run) Giám sát (Monitor) lĩnh vực (domain) gọi PBRM Mỗi lĩnh vực (domain) có tầm (area) khác gồm: Lĩnh vực lập kế hoạch (Plan): có tầm gồm Liên kết (Align), Lập kế hoạch (Plan), Tổ chức (Organization) Gọi tắt APO Lĩnh vực xây dựng (Build): có tầm gồm Xây dựng (Build), Thu (Acquire), Thực (Implement) Gọi tắt BAI Lĩnh vực vận hành (Run): có tầm gồm Bàn giao (Deliver), Dịch vụ (Service), Hỗ trợ (Support) Gọi tắt DSS Lĩnh vực giám sát (Monitor): có tầm gồm Giám sát (Monitor), Đánh giá (Evaluate), Truy cập (Access) Gọi tắt MEA Mơ hình quy trình quản lý COBIT : 38 Hình 4.14 Mơ hình quy trình quản lý Đáp ứng nhu cầu bên liên quan (Meeting stakeholder needs): Doanh nghiệp tạo giá trị cho bên liên quan việc trì cân lợi ích, rủi ro nguồn lực COBIT cung cấp quy trình cần thiết điều kiện cần thiết (enabler) nhằm hỗ trợ việc tạo giá trị kinh doanh thông qua việc sử dụng công nghệ thông tin Mỗi doanh nghiệp khác có mục tiêu khác nên doanh nghiệp tùy biến COBIT để phù hợp với bối cảnh doanh nghiệp thông qua mục tiêu kinh doanh, biến đổi từ mục tiêu kinh doanh chung thành mục tiêu chi tiết mà quản lý được, có đặc tả chi tiết ánh xạ mục tiêu vào quy trình, thực hành mục tiêu IT Bao phủ toàn hoạt động doanh nghiệp (Covering the enterprise endtoend) COBIT bao phủ tồn chức quy trình doanh nghiệp COBIT không tập trung vào chức IT mà cịn xử lý thơng tin công nghệ liên quan tài sản doanh nghiệp COBIT xem xét toàn hoạt động quản trị liên quan đến IT điều kiện quản lý cần thiết phạm vi tồn doanh nghiệp ví dụ xem xét tất moi nhân viên, tất thứ 39 bên bên doanh nghiệp mà có liên quan đển quản trị quản lý thơng tin IT liên quan doanh nghiệp Áp dụng nhât khn khổ tích hợp (Applying a single integrated framework) Có nhiều tiêu chuẩn thực hành khác liên quan đến IT, tiêu chuẩn/thực hành cung cấp hướng dẫn cho tập hợp hoạt động IT COBIT xếp mức tổng quát tiêu chuẩn, khuôn khổ khác trở thành khuôn khổ tổng thể để quản trị quản lý IT doanh nghiệp Tạo giải pháp tiếp cận toàn diện (Enabling a holistic approach) COBIT định nghĩa tập điều kiện cần thiết (enabler) để hỗ trợ thực hệ thống quản trị quản lý toàn diện IT doanh nghiệp Các điều kiện cần thiết (enabler) định nghĩa tất điều kiện mà giúp hoàn thành mục tiêu doanh nghiệp COBIT định nghĩa loại điều kiện cần thiết (enabler) là: - Quy tắc, sách khuôn khổ (Principles, policies and frameworks) - Quy trình (Processes) - Cấu trúc tổ chức (Organization Structures) - Văn hóa, Đạo đức Hành vi (Culture, Ethics, and Behavior) - Thông tin (Information) - Dịch vụ, hạ tầng ứng dụng (Services, Infrastructures, and Applications) - Con người, Kỹ Năng lực (People, Skills, and Competencies) Tách rời quản trị từ quản lý (Separating governance from management): COBIT phân biệt rõ ràng quản trị quản lý, hai nhánh khác với hoạt động khác nhau, cấu trúc tổ chức khác phục vụ cho mục đích khác COBIT có quan điểm khác biệt quản trị quản lý là: Quản trị (governance): Quản trị đảm bảo nhu cầu, điều kiện quyền lựa chọn bên liên quan đánh giá để xác định mục tiêu phải đạt doanh nghiệp, đặt định hướng cho ưu tiên định, giám sát thực tuân thủ định hướng mục tiêu đề Trong phần lớn doanh nghiệp, việc quản trị trách nhiệm Ban Giám Đốc lãnh đạo Chủ tịch Hội đồng quản trị Quản lý (management): Quản lý lập kế hoạch, xây dựng, thực giám sát hoạt động theo định hướng hướng dẫn quản trị để hoàn thành mục tiêu doanh nghiệp Trong phần lớn doanh nghiệp, quản lý trach nhiệm quản lý lãnh đạo CEO 40 4.3 Thành phần cấu thành nên COBIT (COBIT framework) 4.3.1 Khung Framework giúp tạo hướng dẫn bản, tảng thực tiễn tốt liên quan đến khía cạnh quản trị cơng nghệ thơng tin Sau đó, hướng dẫn điều chỉnh tích hợp tùy theo nhu cầu yêu cầu thực tế tổ chức, doanh nghiệp Mục đích chủ yếu framework cho phép doanh nghiệp xếp, cấu mục tiêu với khả cơng nghệ thơng tin 4.3.2 Mơ tả q trình Điều cho phép doanh nghiệp có mơ hình quy trình tham chiếu mẫu, với ngơn ngữ chung sử dụng thành viên doanh nghiệp Các yếu tố mơ tả bao gồm lập kế hoạch, tạo, thực giám sát quy trình liên quan đến cơng nghệ thơng tin Điều giúp cá nhân tổ chức hiểu nắm rõ quy trình thuật ngữ liên quan 4.3.3 Kiểm sốt mục tiêu Doanh nghiệp tìm thấy danh sách đầy đủ yêu cầu cần có để kiểm sốt hiệu quy trình liên quan đến cơng nghệ thơng tin Điều chắn giúp cải thiện hiệu quản lý vận hành tất quy trình cơng nghệ thông tin doanh nghiệp 4.3.4 Quản lý hướng dẫn Các hướng dẫn COBIT nêu chi tiết trách nhiệm người nhiệm vụ cụ thể họ giai đoạn Ngoài ra, chúng cách thức đo lường hiệu suất tổ chức việc triển khai COBIT 4.3.5 Mơ hình hồn thiện Những mơ hình đánh giá “trưởng thành” doanh nghiệp mặt triển khai quy trình đối phó với thách thức 41 KẾT LUẬN Quy trình ứng dụng COBIT vào doanh nghiệp phụ thuộc nhiều vào yếu tố đặc thù nhu cầu thông tin doanh nghiệp Tuy nhiên áp dụng COBIT gồm có số bước sau - Đánh giá hệ thống - Tiếp cận mục tiêu nhu cầu thông tin - Xây dựng theo tiêu chuẩn COBIT Tóm lại thơng qua việc tìm hiểu đề tài này, chúng em rút số nội dung sau khung sách COBIT: Chương 1, Tổng quan khung sách bao gồm lịch sử đời, khái niệm lợi ích Chương 2, Cấu trúc bao gồm tài nguyên, yêu cầu nghiệp vụ đặc biệt pha quy trình CNTT, đưa ví dụ việc áp dụng pha COBIT Chương 3, Cách thức xây dựng quy trình làm việc ví dụ xây dựng quy trình COBIT Chương 4, COBIT vai trị việc quản trị CNTT doanh nghiệp Hạn chế: Tài liệu chúng em tìm hiểu đề tài mức tổng quan, chưa chi tiết hết vào nội dung 42 TÀI LIỆU THAM KHẢO [1] https://www.isaca.org/resources/isaca-journal/past-issues/2013/it-policy- framework-based-on-cobit-5 [2] https://pcguide.vn/cobit-la-gi-co-vai-tro-nhu-the-nao-doi-voi-doanhnghiep/ [3] [4] https://www.techtarget.com/searchsecurity/definition/COBIT https://www.researchgate.net/publication/256296604_SLA_Based_Infor mation_Security_Metric_for_Cloud_Computing_from_COBIT_41_Framew ork 43 ... môn Quản lý xây dựng sách an tồn thơng tin SINH VIÊN THỰC HIỆN Trần Thế Long Phùng Văn Thành Hoàng Thị Thảo Nguyễn Thị Quỳnh Phạm Hữu Thông CHƯƠNG TỔNG QUAN VỀ CHÍNH SÁCH COBIT 1.1 Giới thiệu COBIT. .. mục tiêu doanh nghiệp Trong phần lớn doanh nghiệp, quản lý trach nhiệm quản lý lãnh đạo CEO Mối quan hệ quản trị quản lý mô tả chi tiết sau: Hình 4.12 Quản lý quản trị cuối Một doanh nghiệp thường... liên quan đển quản trị quản lý thông tin IT liên quan doanh nghiệp Hình 4.9 Điều kiện quản lý cần thiết Các điều kiện cần thiết quản trị (Governance Enabler): Các điều kiện cần thiết quản trị