4.2.3 Áp dụng duy nhất một khn khổ tích hợp (Applying a Single, Integrated Framework) Framework)
Có rất nhiều tiêu chuẩn và thực hành khác nhau liên quan đến IT, mỗi tiêu chuẩn/thực hành cung cấp các hướng dẫn cho một tập hợp các hoạt động IT. COBIT 5 sắp xếp ở mức tổng quát các tiêu chuẩn, các khuôn khổ khác nhau trở thành một khuôn khổ tổng thể để quản trị và quản lý IT của doanh nghiệp
4.2.4 Tạo lập một phương pháp tiếp cận toàn diện (Enabling a Holistic Approach)
COBIT 5 định nghĩa một tập các điều kiện cần thiết (enabler) để hỗ trợ thực hiện một hệ thống quản trị và quản lý toàn diện IT của doanh nghiệp. Các điều kiện cần thiết (enabler) được định nghĩa là tất cả mọi điều kiện mà giúp hoàn thành mục tiêu của doanh nghiệp.
COBIT 5 định nghĩa 7 loại điều kiện cần thiết (enabler) là:
1. Quy tắc, chính sách và khn khổ (Principles, policies and frameworks).
2. Quy trình (Processes).
3. Cấu trúc tổ chức (Organization Structures).
4. Văn hóa, Đạo đức và Hành vi (Culture, Ethics, and Behavior).
5. Thông tin (Information).
6. Dịch vụ, hạ tầng và ứng dụng (Services, Infrastructures, and Applications).
35
Hình 4.11 Tích hợp khung mẫu các Cơng ty đa quốc gia
Các điều kiện cần thiết (enabler) có một tập hợp các chiều phân tích (dimension) để cung cấp cách thức đơn giản, phổ biến và có cấu trúc cho việc liên kết các điều kiện cần thiết với nhau, đồng thời cho phép quản lý các tương tác phức tạp giữa các điều kiện cần thiết.
Các điều kiện cần thiết có 4 chiều phân tích (dimension) gồm:
- Các bên liên quan (Stakeholders): Mỗi điều kiện cần thiết đều có các bên liên quan.
- Các mục tiêu (Goals): Mỗi điều kiện cần thiết đều có một sơ lượng mục tiêu
nhất định và các điều kiện cần thiết cung cấp các giá trị để thực hiện các mục tiêu này. Mục tiêu có thể là kết quả mong đợi của các điều kiện cần thiết hoặc/và các ứng dụng, các hoạt động. Các mục tiêu có thể chia làm các mục nhỏ gồm:
(i) Chất lượng thực chất (Intrinsic quality) nhằm mục đích gia tăng khả
năng làm việc chính xác, đáp ứng mục tiêu của điều kiện cần thiết và cung cấp các kết quả chính xác, đúng mục tiêu và đáng tin cậy.
(ii) Chất lượng theo bối cảnh (Contextual quality) nhằm mục đích gia tăng
khả năng của các điều kiện cần thiết và các kết quả của các điều kiện cần thiết để phù hợp với bối cảnh mà điều kiện cần thiết đang hoạt động. Ví dụ như kết quả phải có liên quan, hồn thiện, đúng với thời điểm hiện tại, chính xác, thống nhất, có thể hiểu được và dễ dàng sử dụng.
(iii) Có thể truy cập và an tồn bảo mật nhằm gia tăng khả năng của các điều
kiện cần thiết và các kết quả của các điều kiện cần thiết để có thể truy cập dễ dàng và an tồn.
36
- Vịng đời (Life Cycle): Mỗi điều kiện cần thiết có một vịng đời từ lúc khởi động
đến lúc kết thúc. Vòng đời được áp dụng cho thông tin, cấu trúc, quy trình, chính sách...Các giai đoạn của một vòng đời gồm:
+ Lập kế hoạch + Thiết kế
+ Xây dựng/Thu được/Tạo ra/Thực hiện + Sử dụng/Vận hành + Đánh giá/Giám sát + Cập nhật/Vứt bỏ
- Thực hành tốt (Good Practices): Mỗi điều kiện cần thiết đều có những thực
hành tốt để hỗ trợ việc hoàn thành mục tiêu của các điều kiện cần thiết. Thực hành tốt cung cấp các ví dụ, các lời khuyên cho việc thực hiện tốt nhất các điều kiện cần thiết như thế nào và các kết quả, các yếu tố đầu vào, các yếu tố đầu ra cần thiết là gì.
Quản lý việc thực hiện các điều kiện cần thiết để đảm bảo có kết quả tốt trong áp dụng và sử dụng các điều kiện cần thiết. Các câu hỏi để giám sát, đánh giá việc thực hiện các điều kiện cần thiết là (i) Các nhu cầu nào của các bên liên quan được quan tâm? (ii) Các mục tiêu nào của điều kiện cần thiết được hồn thành?, (iii) Các quy trình nào của điều kiện cần thiết được quản lý?, (iv) Các thực hành tốt nào của điều kiện cần thiết được áp dụng? Để quản lý việc thực hiện các điều kiện cần thiết (enabler performance) có hai tiêu chí để đánh giá là:
+ Đầu ra thực tế (actual outcome) của điều kiện cần thiết. Tiêu chí này được đo lường thông qua các mục tiêu đã được thực hiện. Tiêu chi này còn được gọi là chỉ số trễ (lag indicator).
+ Chức năng thực tế (actual functioning) của các điều kiện cần thiết. Tiêu chí này cịn được gọi là chỉ số sớm (lead indicator).
4.2.5 Tách rời quản trị từ quản lý (Separating Governance From Management)
COBIT 5 phân biệt rõ ràng giữa quản trị và quản lý, đó là hai nhánh khác nhau với các hoạt động khác nhau, cấu trúc tổ chức khác nhau và phục vụ cho mục đích khác nhau. COBIT 5 có quan điểm về sự khác biệt chính giữa quản trị và quản lý là:
- Quản trị (governance): Quản trị đảm bảo rằng các nhu cầu, các điều kiện
và các quyền lựa chọn của các bên liên quan được đánh giá để xác định các mục tiêu phải đạt được của doanh nghiệp, đặt ra định hướng cho sự ưu tiên và ra quyết định, giám sát thực hiện và tuân thủ các định hướng và các mục tiêu đã đề ra. Trong phần lớn doanh nghiệp, việc quản trị là trách nhiệm của Ban Giám Đốc dưới sự lãnh đạo của Chủ tịch HĐQT.
37
- Quản lý (management): Quản lý lập kế hoạch, xây dựng, thực hiện và giám
sát các hoạt động theo định hướng được hướng dẫn bởi quản trị để hoàn thành các mục tiêu của doanh nghiệp. Trong phần lớn doanh nghiệp, quản lý là trach nhiệm của các quản lý dưới sự lãnh đạo của CEO.
Mối quan hệ giữa quản trị và quản lý được mô tả chi tiết như sau:
Hình 4.12 Quản lý và quản trị cuối cùng
Một doanh nghiệp thường có các quy trình quản trị và các quy trình quản lý khác nhau. COBIT 5 mơ tả các quy trình quản trị và các quy trình quản lý như sau:
38
Hình 4.13 Quy trình quản trị và các quy trình quản lý
- Quản trị: Quản trị gồm có 5 quy trình quản trị gồm Đánh giá (Evaluate), Định
hướng (Direct) và Giám sát (Monitor). 5 quy trình này được gọi là EDM.
- Quản lý: Quản lý gồm 4 lĩnh vực (domain) gồm Lập kế hoạch (Plan), Xây dựng
(Build), Vận hành (Run) và Giám sát (Monitor). 4 lĩnh vực (domain) này được gọi là PBRM. Mỗi lĩnh vực (domain) có những tầm (area) khác nhau gồm:
Lĩnh vực lập kế hoạch (Plan): có 3 tầm gồm Liên kết (Align), Lập kế hoạch
(Plan), Tổ chức (Organization). Gọi tắt là APO.
Lĩnh vực xây dựng (Build): có 3 tầm gồm Xây dựng (Build), Thu được (Acquire),
Thực hiện (Implement). Gọi tắt là BAI.
Lĩnh vực vận hành (Run): có 3 tầm gồm Bàn giao (Deliver), Dịch vụ (Service),
Hỗ trợ (Support). Gọi tắt là DSS.
Lĩnh vực giám sát (Monitor): có 3 tầm gồm Giám sát (Monitor), Đánh giá
(Evaluate), Truy cập (Access). Gọi tắt là MEA.
39
Hình 4.14 Mơ hình các quy trình trong quản lý
Đáp ứng nhu cầu các bên liên quan (Meeting stakeholder needs): Doanh nghiệp tạo ra giá trị cho các bên liên quan bằng việc duy trì cân bằng giữa lợi ích, rủi ro và nguồn lực. COBIT 5 cung cấp các quy trình cần thiết và các điều kiện cần thiết (enabler) nhằm hỗ trợ việc tạo ra các giá trị kinh doanh thông qua việc sử dụng công nghệ thông tin. Mỗi doanh nghiệp khác nhau sẽ có các mục tiêu khác nhau nên một doanh nghiệp có thể tùy biến COBIT 5 để phù hợp với bối cảnh của doanh nghiệp thông qua mục tiêu kinh doanh, biến đổi từ mục tiêu kinh doanh chung thành các mục tiêu chi tiết mà có thể quản lý được, có các đặc tả chi tiết và ánh xạ các mục tiêu đó vào các quy trình, các thực hành của mục tiêu IT.
Bao phủ toàn bộ hoạt động của doanh nghiệp (Covering the enterprise endto- end). COBIT 5 bao phủ toàn bộ các chức năng và quy trình của doanh nghiệp. COBIT
5 khơng chỉ tập trung vào các chức năng IT mà cịn xử lý các thơng tin và các công nghệ liên quan như là một tài sản của doanh nghiệp. COBIT 5 xem xét toàn bộ
các hoạt động quản trị liên quan đến IT và các điều kiện quản lý cần thiết trên phạm vi tồn bộ doanh nghiệp ví dụ như xem xét tất cả moi nhân viên, tất cả mọi thứ ở
40
bên trong và ở bên ngoài doanh nghiệp mà có liên quan đển quản trị và quản lý thông tin và các IT liên quan của doanh nghiệp.
Áp dụng duy nhât một khn khổ tích hợp (Applying a single integrated framework). Có rất nhiều tiêu chuẩn và thực hành khác nhau liên quan đến IT, mỗi tiêu
chuẩn/thực hành cung cấp các hướng dẫn cho một tập hợp các hoạt động IT. COBIT 5 sắp xếp ở mức tổng quát các tiêu chuẩn, các khuôn khổ khác nhau trở thành một khuôn khổ tổng thể để quản trị và quản lý IT của doanh nghiệp.
Tạo một giải pháp tiếp cận toàn diện (Enabling a holistic approach). COBIT
5 định nghĩa một tập các điều kiện cần thiết (enabler) để hỗ trợ thực hiện một hệ thống quản trị và quản lý toàn diện IT của doanh nghiệp. Các điều kiện cần thiết (enabler) được định nghĩa là tất cả mọi điều kiện mà giúp hoàn thành mục tiêu của doanh nghiệp. COBIT 5 định nghĩa 7 loại điều kiện cần thiết (enabler) là:
- Quy tắc, chính sách và khn khổ (Principles, policies and frameworks).
- Quy trình (Processes).
- Cấu trúc tổ chức (Organization Structures).
- Văn hóa, Đạo đức và Hành vi (Culture, Ethics, and Behavior).
- Thông tin (Information).
- Dịch vụ, hạ tầng và ứng dụng (Services, Infrastructures, and Applications).
- Con người, Kỹ năng và Năng lực (People, Skills, and Competencies).
Tách rời quản trị từ quản lý (Separating governance from management):
COBIT 5 phân biệt rõ ràng giữa quản trị và quản lý, đó là hai nhánh khác nhau với các hoạt động khác nhau, cấu trúc tổ chức khác nhau và phục vụ cho mục đích khác nhau. COBIT 5 có quan điểm về sự khác biệt chính giữa quản trị và quản lý là:
Quản trị (governance): Quản trị đảm bảo rằng các nhu cầu, các điều kiện và các
quyền lựa chọn của các bên liên quan được đánh giá để xác định các mục tiêu phải đạt được của doanh nghiệp, đặt ra định hướng cho sự ưu tiên và ra quyết định, giám sát thực hiện và tuân thủ các định hướng và các mục tiêu đã đề ra. Trong phần lớn doanh nghiệp, việc quản trị là trách nhiệm của Ban Giám Đốc dưới sự lãnh đạo của Chủ tịch Hội đồng quản trị.
Quản lý (management): Quản lý lập kế hoạch, xây dựng, thực hiện và giám sát
các hoạt động theo định hướng được hướng dẫn bởi quản trị để hoàn thành các mục tiêu của doanh nghiệp. Trong phần lớn doanh nghiệp, quản lý là trach nhiệm của các quản lý dưới sự lãnh đạo của CEO.
41
4.3 Thành phần cấu thành nên COBIT 5 (COBIT 5 framework)
4.3.1 Khung chính
Framework chính giúp tạo ra các hướng dẫn cơ bản, nền tảng và thực tiễn tốt nhất liên quan đến khía cạnh quản trị cơng nghệ thơng tin. Sau đó, các hướng dẫn này có thể được điều chỉnh và tích hợp tùy theo nhu cầu cũng như yêu cầu thực tế của tổ chức, doanh nghiệp. Mục đích chủ yếu của framework chính là cho phép doanh nghiệp sắp xếp, cơ cấu các mục tiêu của mình với khả năng công nghệ thông tin.
4.3.2 Mơ tả q trình
Điều này cho phép doanh nghiệp có được một mơ hình quy trình tham chiếu mẫu, cùng với ngôn ngữ chung được sử dụng bởi mỗi thành viên của doanh nghiệp đó. Các yếu tố mơ tả bao gồm lập kế hoạch, tạo, thực hiện và giám sát các quy trình liên quan đến cơng nghệ thơng tin. Điều này giúp mỗi cá nhân trong tổ chức hiểu và nắm rõ các quy trình và thuật ngữ liên quan.
4.3.3 Kiểm sốt mục tiêu
Doanh nghiệp có thể tìm thấy danh sách đầy đủ những yêu cầu cần có để kiểm sốt hiệu quả các quy trình liên quan đến cơng nghệ thơng tin. Điều này chắc chắn có thể giúp cải thiện hiệu quả quản lý cũng như vận hành đối với tất cả các quy trình cơng nghệ thơng tin của doanh nghiệp.
4.3.4 Quản lý hướng dẫn
Các hướng dẫn của COBIT sẽ nêu chi tiết về trách nhiệm của mọi người và nhiệm vụ cụ thể của họ trong từng giai đoạn. Ngoài ra, chúng cũng chỉ ra cách thức đo lường hiệu suất của tổ chức trong việc triển khai COBIT 5.
4.3.5 Mơ hình hồn thiện
Những mơ hình này sẽ đánh giá sự “trưởng thành” của doanh nghiệp về mặt triển khai các quy trình và đối phó với thách thức.
42
KẾT LUẬN
Quy trình ứng dụng COBIT vào một doanh nghiệp phụ thuộc rất nhiều vào các yếu tố đặc thù về nhu cầu thông tin của doanh nghiệp. Tuy nhiên áp dụng COBIT gồm có một số bước cơ bản như sau
- Đánh giá hệ thống hiện tại.
- Tiếp cận mục tiêu nhu cầu thông tin.
- Xây dựng theo tiêu chuẩn COBIT.
Tóm lại thơng qua việc tìm hiểu đề tài này, chúng em rút ra được một số nội dung cơ bản sau về khung chính sách COBIT:
Chương 1, Tổng quan về khung chính sách bao gồm lịch sử ra đời, khái niệm và lợi ích của nó.
Chương 2, Cấu trúc bao gồm tài nguyên, yêu cầu nghiệp vụ và đặc biệt là các pha trong quy trình CNTT, đưa ra ví dụ về việc áp dụng các pha trong COBIT.
Chương 3, Cách thức xây dựng quy trình làm việc và ví dụ cơ bản về xây dựng quy trình của COBIT.
Chương 4, COBIT 5 và vai trị của nó trong việc quản trị CNTT doanh nghiệp.
Hạn chế:
Tài liệu này chúng em mới chỉ tìm hiểu đề tài ở mức tổng quan, chưa đi chi tiết hết vào các nội dung.
43
TÀI LIỆU THAM KHẢO
[1] https://www.isaca.org/resources/isaca-journal/past-issues/2013/it-policy- framework-based-on-cobit-5 [2] https://pcguide.vn/cobit-la-gi-co-vai-tro-nhu-the-nao-doi-voi-doanh- nghiep/ [3] https://www.techtarget.com/searchsecurity/definition/COBIT [4] https://www.researchgate.net/publication/256296604_SLA_Based_Infor mation_Security_Metric_for_Cloud_Computing_from_COBIT_41_Framew ork