Tạo lập một phương pháp tiếp cận toàn diện (Enablin ga Holistic

Một phần của tài liệu QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN TÌM HIỂU VỀ KHUNG CHÍNH SÁCH COBIT (Trang 41 - 48)

4.2 Năm nguyên tắc cơ bản của COBIT 5

4.2.4 Tạo lập một phương pháp tiếp cận toàn diện (Enablin ga Holistic

COBIT 5 định nghĩa một tập các điều kiện cần thiết (enabler) để hỗ trợ thực hiện một hệ thống quản trị và quản lý toàn diện IT của doanh nghiệp. Các điều kiện cần thiết (enabler) được định nghĩa là tất cả mọi điều kiện mà giúp hoàn thành mục tiêu của doanh nghiệp.

COBIT 5 định nghĩa 7 loại điều kiện cần thiết (enabler) là:

1. Quy tắc, chính sách và khn khổ (Principles, policies and frameworks).

2. Quy trình (Processes).

3. Cấu trúc tổ chức (Organization Structures).

4. Văn hóa, Đạo đức và Hành vi (Culture, Ethics, and Behavior).

5. Thông tin (Information).

6. Dịch vụ, hạ tầng và ứng dụng (Services, Infrastructures, and Applications).

35

Hình 4.11 Tích hợp khung mẫu các Cơng ty đa quốc gia

Các điều kiện cần thiết (enabler) có một tập hợp các chiều phân tích (dimension) để cung cấp cách thức đơn giản, phổ biến và có cấu trúc cho việc liên kết các điều kiện cần thiết với nhau, đồng thời cho phép quản lý các tương tác phức tạp giữa các điều kiện cần thiết.

Các điều kiện cần thiết có 4 chiều phân tích (dimension) gồm:

- Các bên liên quan (Stakeholders): Mỗi điều kiện cần thiết đều có các bên liên quan.

- Các mục tiêu (Goals): Mỗi điều kiện cần thiết đều có một sơ lượng mục tiêu

nhất định và các điều kiện cần thiết cung cấp các giá trị để thực hiện các mục tiêu này. Mục tiêu có thể là kết quả mong đợi của các điều kiện cần thiết hoặc/và các ứng dụng, các hoạt động. Các mục tiêu có thể chia làm các mục nhỏ gồm:

(i) Chất lượng thực chất (Intrinsic quality) nhằm mục đích gia tăng khả

năng làm việc chính xác, đáp ứng mục tiêu của điều kiện cần thiết và cung cấp các kết quả chính xác, đúng mục tiêu và đáng tin cậy.

(ii) Chất lượng theo bối cảnh (Contextual quality) nhằm mục đích gia tăng

khả năng của các điều kiện cần thiết và các kết quả của các điều kiện cần thiết để phù hợp với bối cảnh mà điều kiện cần thiết đang hoạt động. Ví dụ như kết quả phải có liên quan, hồn thiện, đúng với thời điểm hiện tại, chính xác, thống nhất, có thể hiểu được và dễ dàng sử dụng.

(iii) Có thể truy cập và an toàn bảo mật nhằm gia tăng khả năng của các điều

kiện cần thiết và các kết quả của các điều kiện cần thiết để có thể truy cập dễ dàng và an tồn.

36

- Vòng đời (Life Cycle): Mỗi điều kiện cần thiết có một vịng đời từ lúc khởi động

đến lúc kết thúc. Vòng đời được áp dụng cho thông tin, cấu trúc, quy trình, chính sách...Các giai đoạn của một vịng đời gồm:

+ Lập kế hoạch + Thiết kế

+ Xây dựng/Thu được/Tạo ra/Thực hiện + Sử dụng/Vận hành + Đánh giá/Giám sát + Cập nhật/Vứt bỏ

- Thực hành tốt (Good Practices): Mỗi điều kiện cần thiết đều có những thực

hành tốt để hỗ trợ việc hoàn thành mục tiêu của các điều kiện cần thiết. Thực hành tốt cung cấp các ví dụ, các lời khuyên cho việc thực hiện tốt nhất các điều kiện cần thiết như thế nào và các kết quả, các yếu tố đầu vào, các yếu tố đầu ra cần thiết là gì.

Quản lý việc thực hiện các điều kiện cần thiết để đảm bảo có kết quả tốt trong áp dụng và sử dụng các điều kiện cần thiết. Các câu hỏi để giám sát, đánh giá việc thực hiện các điều kiện cần thiết là (i) Các nhu cầu nào của các bên liên quan được quan tâm? (ii) Các mục tiêu nào của điều kiện cần thiết được hoàn thành?, (iii) Các quy trình nào của điều kiện cần thiết được quản lý?, (iv) Các thực hành tốt nào của điều kiện cần thiết được áp dụng? Để quản lý việc thực hiện các điều kiện cần thiết (enabler performance) có hai tiêu chí để đánh giá là:

+ Đầu ra thực tế (actual outcome) của điều kiện cần thiết. Tiêu chí này được đo lường thơng qua các mục tiêu đã được thực hiện. Tiêu chi này còn được gọi là chỉ số trễ (lag indicator).

+ Chức năng thực tế (actual functioning) của các điều kiện cần thiết. Tiêu chí này cịn được gọi là chỉ số sớm (lead indicator).

4.2.5 Tách rời quản trị từ quản lý (Separating Governance From Management)

COBIT 5 phân biệt rõ ràng giữa quản trị và quản lý, đó là hai nhánh khác nhau với các hoạt động khác nhau, cấu trúc tổ chức khác nhau và phục vụ cho mục đích khác nhau. COBIT 5 có quan điểm về sự khác biệt chính giữa quản trị và quản lý là:

- Quản trị (governance): Quản trị đảm bảo rằng các nhu cầu, các điều kiện

và các quyền lựa chọn của các bên liên quan được đánh giá để xác định các mục tiêu phải đạt được của doanh nghiệp, đặt ra định hướng cho sự ưu tiên và ra quyết định, giám sát thực hiện và tuân thủ các định hướng và các mục tiêu đã đề ra. Trong phần lớn doanh nghiệp, việc quản trị là trách nhiệm của Ban Giám Đốc dưới sự lãnh đạo của Chủ tịch HĐQT.

37

- Quản lý (management): Quản lý lập kế hoạch, xây dựng, thực hiện và giám

sát các hoạt động theo định hướng được hướng dẫn bởi quản trị để hoàn thành các mục tiêu của doanh nghiệp. Trong phần lớn doanh nghiệp, quản lý là trach nhiệm của các quản lý dưới sự lãnh đạo của CEO.

Mối quan hệ giữa quản trị và quản lý được mơ tả chi tiết như sau:

Hình 4.12 Quản lý và quản trị cuối cùng

Một doanh nghiệp thường có các quy trình quản trị và các quy trình quản lý khác nhau. COBIT 5 mơ tả các quy trình quản trị và các quy trình quản lý như sau:

38

Hình 4.13 Quy trình quản trị và các quy trình quản lý

- Quản trị: Quản trị gồm có 5 quy trình quản trị gồm Đánh giá (Evaluate), Định

hướng (Direct) và Giám sát (Monitor). 5 quy trình này được gọi là EDM.

- Quản lý: Quản lý gồm 4 lĩnh vực (domain) gồm Lập kế hoạch (Plan), Xây dựng

(Build), Vận hành (Run) và Giám sát (Monitor). 4 lĩnh vực (domain) này được gọi là PBRM. Mỗi lĩnh vực (domain) có những tầm (area) khác nhau gồm:

Lĩnh vực lập kế hoạch (Plan): có 3 tầm gồm Liên kết (Align), Lập kế hoạch

(Plan), Tổ chức (Organization). Gọi tắt là APO.

Lĩnh vực xây dựng (Build): có 3 tầm gồm Xây dựng (Build), Thu được (Acquire),

Thực hiện (Implement). Gọi tắt là BAI.

Lĩnh vực vận hành (Run): có 3 tầm gồm Bàn giao (Deliver), Dịch vụ (Service),

Hỗ trợ (Support). Gọi tắt là DSS.

Lĩnh vực giám sát (Monitor): có 3 tầm gồm Giám sát (Monitor), Đánh giá

(Evaluate), Truy cập (Access). Gọi tắt là MEA.

39

Hình 4.14 Mơ hình các quy trình trong quản lý

Đáp ứng nhu cầu các bên liên quan (Meeting stakeholder needs): Doanh nghiệp tạo ra giá trị cho các bên liên quan bằng việc duy trì cân bằng giữa lợi ích, rủi ro và nguồn lực. COBIT 5 cung cấp các quy trình cần thiết và các điều kiện cần thiết (enabler) nhằm hỗ trợ việc tạo ra các giá trị kinh doanh thông qua việc sử dụng công nghệ thông tin. Mỗi doanh nghiệp khác nhau sẽ có các mục tiêu khác nhau nên một doanh nghiệp có thể tùy biến COBIT 5 để phù hợp với bối cảnh của doanh nghiệp thông qua mục tiêu kinh doanh, biến đổi từ mục tiêu kinh doanh chung thành các mục tiêu chi tiết mà có thể quản lý được, có các đặc tả chi tiết và ánh xạ các mục tiêu đó vào các quy trình, các thực hành của mục tiêu IT.

Bao phủ toàn bộ hoạt động của doanh nghiệp (Covering the enterprise endto- end). COBIT 5 bao phủ tồn bộ các chức năng và quy trình của doanh nghiệp. COBIT

5 không chỉ tập trung vào các chức năng IT mà cịn xử lý các thơng tin và các công nghệ liên quan như là một tài sản của doanh nghiệp. COBIT 5 xem xét toàn bộ

các hoạt động quản trị liên quan đến IT và các điều kiện quản lý cần thiết trên phạm vi tồn bộ doanh nghiệp ví dụ như xem xét tất cả moi nhân viên, tất cả mọi thứ ở

40

bên trong và ở bên ngồi doanh nghiệp mà có liên quan đển quản trị và quản lý thông tin và các IT liên quan của doanh nghiệp.

Áp dụng duy nhât một khn khổ tích hợp (Applying a single integrated framework). Có rất nhiều tiêu chuẩn và thực hành khác nhau liên quan đến IT, mỗi tiêu

chuẩn/thực hành cung cấp các hướng dẫn cho một tập hợp các hoạt động IT. COBIT 5 sắp xếp ở mức tổng quát các tiêu chuẩn, các khuôn khổ khác nhau trở thành một khuôn khổ tổng thể để quản trị và quản lý IT của doanh nghiệp.

Tạo một giải pháp tiếp cận toàn diện (Enabling a holistic approach). COBIT

5 định nghĩa một tập các điều kiện cần thiết (enabler) để hỗ trợ thực hiện một hệ thống quản trị và quản lý toàn diện IT của doanh nghiệp. Các điều kiện cần thiết (enabler) được định nghĩa là tất cả mọi điều kiện mà giúp hoàn thành mục tiêu của doanh nghiệp. COBIT 5 định nghĩa 7 loại điều kiện cần thiết (enabler) là:

- Quy tắc, chính sách và khn khổ (Principles, policies and frameworks).

- Quy trình (Processes).

- Cấu trúc tổ chức (Organization Structures).

- Văn hóa, Đạo đức và Hành vi (Culture, Ethics, and Behavior).

- Thông tin (Information).

- Dịch vụ, hạ tầng và ứng dụng (Services, Infrastructures, and Applications).

- Con người, Kỹ năng và Năng lực (People, Skills, and Competencies).

Tách rời quản trị từ quản lý (Separating governance from management):

COBIT 5 phân biệt rõ ràng giữa quản trị và quản lý, đó là hai nhánh khác nhau với các hoạt động khác nhau, cấu trúc tổ chức khác nhau và phục vụ cho mục đích khác nhau. COBIT 5 có quan điểm về sự khác biệt chính giữa quản trị và quản lý là:

Quản trị (governance): Quản trị đảm bảo rằng các nhu cầu, các điều kiện và các

quyền lựa chọn của các bên liên quan được đánh giá để xác định các mục tiêu phải đạt được của doanh nghiệp, đặt ra định hướng cho sự ưu tiên và ra quyết định, giám sát thực hiện và tuân thủ các định hướng và các mục tiêu đã đề ra. Trong phần lớn doanh nghiệp, việc quản trị là trách nhiệm của Ban Giám Đốc dưới sự lãnh đạo của Chủ tịch Hội đồng quản trị.

Quản lý (management): Quản lý lập kế hoạch, xây dựng, thực hiện và giám sát

các hoạt động theo định hướng được hướng dẫn bởi quản trị để hoàn thành các mục tiêu của doanh nghiệp. Trong phần lớn doanh nghiệp, quản lý là trach nhiệm của các quản lý dưới sự lãnh đạo của CEO.

41

Một phần của tài liệu QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN TÌM HIỂU VỀ KHUNG CHÍNH SÁCH COBIT (Trang 41 - 48)

Tải bản đầy đủ (PDF)

(50 trang)