Yêu cầu doanh nghiệp (Business Requirements):
Là những yêu cầu về tính chất của thông tin và dùng để đánh giá. Mọi quy trình CNTT và tài nguyên CNTT đều phải dựa trên những tính chất này. 7 tính chất gồm: Tính hợp lý, tính hiệu quả, tính bảo mật, tính toàn vẹn, tính sẵn sàng, tính tuân thủ, tính tin cậy. Tương ứng như sau:
• Tính hợp lý (effectiveness): thể hiện mức độ phù hợp của thông tin đối với hoạt động nghiệp vụ, xét cả vấn đề thời gian, độ chính xác và thống nhất.
• Tính hiệu quả (efficency): thể hiện mức độ sử dụng tài nguyên CNTT một cách tối ưu.
• Tính bảo mật (confidentiality): thể hiện mức độ bí mật và tin cậy của thông tin, không bị tiết lộ.
• Tính toàn vẹn (integrity): thể hiện mức độ chính xác và hoàn thiện của thông tin cũng như tính hợp lệ (pháp lý) của nó với nghiệp vụ đặt ra.
• Tính sẵn sàng (availability): thể hiện mức độ sẵn sàng của thông tin khi có yêu cầu từ các hoạt động nghiệp vụ.
• Tính tuân thủ (compliance): thể hiện mức độ tuân thủ theo đúng luật lệ, quy định và các thỏa thuật ràng buộc.
• Tính tin cậy (reliability): thể hiện mức độ chính xác của thông tin.
Tài nguyên công nghệ (IT Resources):
Là những tài nguyên CNTT gồm: applications, information, infrastructure, people. Đây là 4 tài nguyên chính đối với hệ thống thông tin của doanh nghiệp, tổ chức và chúng được mổ tả cụ thể như sau:
• Những chương trình ứng dụng (application) : những chương trình ở đây hiểu là tập hợp các hướng dẫn sử dụng và thiết lập thủ tục quy trình.
• Thông tin (information): là tập hợp những dữ liệu vào ra về tình hình hoạt động của doanh nghiệp, tổ chức. Và cả những tiện ích hỗ trợ khai thác và tìm kiếm thông tin…
• Cơ sở hạ tầng (infrastructure): tập hợp những công cụ và vật chất CNTT như phần cứng, hệ thống chức năng, hệ thống quản lý cơ sở dữ liệu, mạng và đa ứng dụng khác …
• Tài nguyên con người (people): tập hợp những kỹ năng, khả năng nhận thức và năng suất công việc của công nhân viên để lên kế hoạch, tổ chức, đào tạo, phân bổ vị trí, hỗ trợ và giám sát các hệ thống thông tin, dịch vụ của doanh nghiệp, tổ chức.
Quy trình công nghệ (IT Processes):
Quy trình CNTT của COBIT được chia ra làm 3 phần là domains, processes, activities. Domains là những thành phần chính về hoạt động của COBIT sau đó được chia nhỏ thành những processes là những quy trình, những quy trình lại được chia nhỏ hơn thành những activities là những hoạt động cụ thể cần phải làm. Vừa định hướng được mục tiêu lại vừa định hướng được công việc phải làm đó chính là ưu điểm và mang ý nghĩa quan trọng của phương pháp COBIT.
Hiện nay COBIT gồm 4 Phần chính (domains), 34 quy trình (processes) và 214 đối tượng điều khiển (control objectives). 4 domains chính là:
• Lập hoạch định và tổ chức cơ cấu: Phần chứa những quy trình mang tính quản trị và đánh giá về hoạch định chiến lược, tổ chức cơ cấu nội bộ để tiến hành xây dựng HTTT.
• Tiến trình và ra quyết định: Phần quản trị về các quy trình, quyết định về yếu tố cơ sở hạ tầng, thiết bị và tiếp nhận công nghệ…
• Hỗ trợ và triển khai: Phần quản trị cách thức hỗ trợ hoạt động xây dựng HTTT.
• Kiểm soát và đánh giá: Phần cuối chủ trọng kiểm soát đánh giá về mức độ hiệu quả của HTTT và mức độ an ninh thông tin.
Khi xác định công việc cần thực hiện của tổ chức hay doanh nghiệp mình thì việc triển khai hệ thống thông tin sẽ dựa vào domain phù hợp, bên cạch đó phải kết hợp qua lại một số quy trình hỗ trợ của các domain khác nhằm xác định đối tượng cụ thể và thực hiện đối tượng đó. COBIT đi từ tổng quát đến cụ thể có sự hướng dẫn rõ ràng bên cạch đó lại có sự kiểm soát và đánh giá chặt chẽ dựa trên những kinh nghiệm lâu năm. Những thành phần này của COBIT còn phát triển theo triều hướng tối ưu nhất và cũng rất mềm dẻo tùy vào từng doanh nghiệp hay tổ chức ứng dụng COBIT.
Ví dụ về xây dựng một quy trinh như sau:
• Quy trình CNTT cần xây dựng là AI6 quản lý thay đổi.
• Thỏa mãn yêu cầu nghiệp vụ: quan trọng là phải phán đoán những thay đổi có thể xảy ra và giảm thiểu khả năng xảy ra sự thay đổi lớn, giảm lỗi hoặc sự sửa đổi trái phép. Chủ động thực hiện sự thay đổi một cách hợp lý tránh gây sự cố bất ngờ cần có tình huống dự phòng khi sự thay đổi xảy ra.
• Được thực hiện bởi: Hệ thống quản lý thay đổi cho phép phân tích, thực hiện thực hiện và theo dõi toàn bộ sự thay đổi đối với tài nguyên CNTT,
thay đổi tài nguyên nhân lực… chúng tương tác thế nào, ảnh hưởng lẫn nhau ra sao đều cần quản lý và chuẩn bị cho sự thay đổi đó.
• Các vấn đề cần quan tâm: nhận dạng sự thay đổi, phân loại sự thay đổi, ưu tiên và xây dựng các thủ tục quản lý thay đổi. Đánh giá mức độ ảnh hướng của thay đổi đến tổ chức và doanh nghiệp và giảm thiểu nó ngay. Phân công trách nhiệm thực hiện thay đổi tạo sự chủ động và quản lý chặt chẽ sự thay đổi. Quản lý cấu hình, cấu hình mắc sai phạm có thể xảy ra sự thay đổi lớn. Sự thay đổi ảnh hướng lớn thì nên có sự thiết kế lại quy trình hợp lý hơn hoặc tạo dự án phòng bị cho sự thay đổi…
Ở trên đã hướng dẫn những bước tổng quan nhất mà ta cần chú trọng khi xây dựng quy trình CNTT tuy nhiên quá trình xây dựng không hề đơn giản. COBIT là phương pháp hướng dẫn rất cụ thể với 34 quy trình thì có đến 214 đối tượng cần phân tích và điều khiển. Bên cạch đó COBIT luôn yêu cầu chặt chẽ về kiểm soát và đánh giá nên từng bước xây dựng đều yêu cầu sự kiểm tra đánh giá theo tiêu chuẩn của COBIT. Có những quy trình còn yếu kém phương pháp COBIT còn dễ dàng ánh xạ đến các phương pháp khác nhằm đạt được lợi ích cao nhất.
2.4.5 Ưu nhược điểm của phương pháp COBIT
Ưu điểm của COBIT là phạm vi hoạt động trong mọi lĩnh vực ngành nghề rộng hơn và bao quát hơn các phương pháp khác. COBIT có chỉ ra các hoạt động và hướng dẫn chi tiết cụ thể cho quá trình xây dựng hoạt động mong muốn. Khả năng đánh giá, kiểm soát rất tốt. Có nhiều bài học kinh nghiệm, quản lý được rủi ro và sự thay đổi. Khả năng mềm dèo thích ứng với từng doanh nghiệp, tổ chức cao. Tránh lãng phí vì vậy giảm thiểu chi phí. Luông được phát triển thay đổi phù hợp xu thế mới.
Nhược điểm đòi hỏi kiến thức vững, sự hiểu biết, kinh nghiệm nhiều. Chi phí xây dựng cũng không nhỏ. Không cụ thể về việc xây dựng quy trình bằng phương pháp ITIL. Chuẩn mực đánh giá đối tượng CNTT không cụ thể và uy tín như CMM . Về lĩnhvực an toàn an ninh thông tin thì không bằng ISO. COBIT tuy bao trùm và có đầy đủ công cụ để thực hiện triển khai xây dựng HTTT tuy nhiên khi xét về một đối tượng cụ thể thì còn nhiều yếu kém hơn các phương
pháp khác. Để khắc phục COBIT ánh xạ thực hiện kết hợp các chức năng cần thiết của phương pháp khác.
COBIT có sự quản lý rủi ro rõ ràng mỗi khi kiểm soát, đánh giá thì phải có công đoạn quản lý rủi ro. Không chỉ quản lý rủi ro từ quy trình xây dựng hoạt động cụ thể còn quản lý đến các nhân tố gây ảnh hưởng đặc biệt là nhân tố con người, COBIT luôn chú trọng để hệ thống thông tin thực sự đi vào hoạt động, đạt hiệu quả tốt nhất.
2.5 So sánh chung về các phương pháp quản trị và đánh giá trên giá trên Tiêu chuẩn so sánh Phương pháp COBIT Phương pháp ITIL Phương pháp CMM Phương pháp ISO 17799 Phạm vi ứng dụng Ứng dụng trên mọi lĩnh vực ngành nghề. Tổ chức và doanh nghiệp. Lợi thế trong việc thực hiện quy trình dịch vụ cho các doanh nghiệp. Doanh nghiệp về phát triển phần mềm, CNTT ứng dụng. Ứng dụng rộng rãi trên nhiều lĩnh vực. Khả năng quản trị và đánh giá -Đảm bảo đầy đủ chức năng quản trị HTTT quản lý. -Phát triển và kiểm soát chặt các hoạt động CNTT. -Quản trị tốt quy trình dịch vụ. -Kiểm soát các yếu tố liên quan đến quy trình dịch vụ. -Quản trị chất lượng sản phẩm CNTT. -Kiểm soát các yếu tố chất lượng. -Không quản trị cụ thể. -Kiểm soát tiêu chí chất lượng, an ninh mọi sản phẩm Tính mềm dẻo Quá trình ứng dụng luôn thay đổi theo hoàn cảnh cụ thể. Tương đối cứng nhắc, yêu cầu thực hiện đầy đủ và chính xác. Cứng nhắc vì ít có sự thay đổi Rất cứng nhắc yêu cần phải đạt tiêu chí đưa ra. Khả năng mở rộng Luôn phát triển theo quản trị hiện đại. Ánh xạ Là hệ thống mở, có thể bổ sung và mở rộng thêm. Ít có sự thay đổi. Nâng cấp mức độ đánh giá.
phương pháp. Một số nhận định thêm:
COBIT và ISO 17799 sử dụng để kiểm tra, xác định tình trạng hiện tại.
Xác định các điểm yếu trong quy trình và điều khiển hoạt động.
ITIL sử dụng để cải thiện các quy trình CNTT và kiểm soát, còn sử dụng ISO 17799 để cải thiện các quy trình và điều khiển an ninh thông tin .
ITIL sử dụng để xác định công nghệ, mặc dù không hoàn chỉnh.
COBIT sử dụng để xác định các số liệu.
ITIL truy vấn trên cơ cấu có thể.
Một lần nữa ta khẳng định tầm bao quát của phương pháp COBIT, thể hiện nhiều tính ưu việt hơn các phương pháp khác. Từ những sự so sánh trên, ta nhận thấy rằng cần ứng dụng phương pháp COBIT vào quản trị và đánh giá nhằm khắc phục tình trạng như đã đưa ở trên về tình hình triển khai CNTT xây dựng HTTT ở nước ta.
• Được phát triển trong nhiều năm đã tích lũy nhiều bài học kinh nghiệm, phát huy từ nền móng vững chắc là phương pháp COSO, COBIT là phương pháp đáng tin cậy.
• Không cứng nhắc như các phương pháp khác, do có phạm vi bao trùm các hoạt động CNTT nên tùy vào hoạt động ta có thể lựa chọn quy trình đánh giá, quản trị phù hợp.
• Giúp tích kiệm nhân lực, giảm thiểu chi phí so với việc dùng nhiều phương pháp và lại mang tính thống nhất cao.
• COBIT ánh xạ dễ dàng liên kết với các phương pháp khác đem lại hiệu quả cao hơn trong quản trị và đánh giá hoạt động CNTT.
• COBIT mang tính định hướng phát triển lâu dài.
COBIT là phương pháp mới nhưng có sự phát triển lâu năm, nền móng là COSO. Việc tìm hiểu và áp dụng COBIT vào sự phát triển CNTT ở nước ta là cần thiết. Bây giờ, chúng ta cùng đi sâu tìm hiểu và thực hiện triển khai phương pháp COBIT trong đề tài rất đáng quan tâm này.