Open in app

Sign in

Write

Sign in

COBIT 階段3實現CSF

COBIT Implementation Phase 3 — Where Do We Want to Be?

COBIT階段3對應CSF以下兩個步驟:

Step 4: Conduct a Risk Assessment.
這種評估可以由企業的整體風險管理流程或先前的風險評估活動來導引。 企業進行:

  1. 分析運營環境
  2. 辨別網路安全事件的可能性
  3. 該事件可能對組織產生的衝擊
  4. 企業要識別新出現的風險並使用來自內部和外部來源的網路威脅訊息,以更好地了解網路安全事件的可能性和衝擊(最重要的)。

Step 5: Create a Target Profile.
企業建立了一個目標概況(Profile),這個概況著重於評估描述企業所需網路安全結果的框架類別和子類別。 企業也可以發展自己的額外類別和子類別來說明獨特的企業風險。 在建立目標概況時,企業也許還可以考量外部利害關係人(例如公部門、客戶和業務合作夥伴)的影響和要求。 目標概況應適當反映target Implementation Tier內的標準。

基於評估過的現行概況流程能力水準(process capability levels)和之前執行的目標分析/流程識別的結果,我們應該為每個流程確定一個適當的目標能力水準。 選擇的等級應考慮任何相關的外部和內部基準(例如,政府法規或指南)。了解資產的漏洞和威脅(這在 COBIT Implementation Phase2 中已確定),我們應執行全面的風險評估,以確定如何最好地保護資產、偵測和回應針對它們的攻擊,以及從任何服務降級或中斷中恢復

從企業層的角度來看(這有助於形塑應如何實現結果),遍歷每個子類別並確定為實現企業目標而應達到的結果級別。 對於模板中的每一行,按照CPM的原則,確定並記錄目標績效水準(如下圖)。

下面詳細說明了 COBIT Implementation Phase 3 — Where Do We Want to Be?與NIST CSF Steps 4 Conduct a Risk Assessment— 還有Steps 5 —Create a Target Profile 的實施注意事項。

描述

基於評估的現行狀態流程能力水準,應該為每個流程確定適當的目標能力水準。

目標

  • 確定治理和管理目標中流程的目標能力。
  • 確定差距。
  • 將差距轉化為改進機會。
  • 根據收集的資訊建立詳細的業務案例和高階方案計劃

主要作業與活動

定義目標狀態(Implementation ring — Continual improvement):

  • 識別和定義改進目標。
  • 根據績效和一致性,為每個流程確定初始、理想的短期和長期目標能力水準。
  • 分析差距。
  • 將差距轉換成潛在的改進。
  • 識別未緩解的剩餘風險並確保其被正式接受。

描述與傳達成果(Implementation ring — Change enablement):

  • 描述實現願景的高階路線圖以及各利害關係人的參與要求。
  • 通過C-Level傳達關鍵訊息,由C-Level定下基調。
  • 運用變革推動者進行非正式和正式的溝通。
  • 獲取傳達反饋並相應地調整策略。

定義路線圖(Implementation ring —Program management):

  • 在高層次上設定方案的方向、範圍、效益和目標。
  • 確保目標與業務和 IT 戰略保持一致。
  • 考量風險並相應地調整範圍。
  • 考量變革促進的影響。
  • 獲得必要的預算。
  • 定義方案的責任與義務。

輸入

  • 商定的企業目標和對齊目標的影響
  • 所選流程的現行能力評分
  • 風險接受程度和風險概況
  • 企業不同部門、不同層級的變革推動者
  • 經過評估的大綱業務案例
  • 內部和外部能力基準

輸出

  • 選定流程的目標能力評分
  • 改進機會的描述
  • 風險回應文件,包括剩餘風險
  • 變革促進計劃和目標
  • 詳細的商業案例
  • 高階方案的計畫

COBIT 設計流程第4階段

  • 解決既有的優先順序衝突。
  • 完成治理體系設計。

COBIT 2019實踐指南

APO02.03 — Define target digital capabilities
基於對企業背景和方向的理解,定義目標 I&T 產品和服務以及所需的能力。 考量參考標準、最佳實踐和經過驗證的新興技術。

APO03.02 — Define reference architecture
參考架構描述了業務、資訊、資料、應用程序和技術領域的現行和目標架構。

APO04.01 — Create an environment conducive to innovation
建立有利於創新的環境,考量如文化、獎勵、協作、技術論壇等方法,以及促進和取得員工創意的機制。

APO07.02 — Identify key IT personnel
確定關鍵 IT 人員。 運用知識獲取、知識共享、繼任計劃和員工備援,以最大限度地減少對執行關鍵工作職能的個人的依賴。

APO07.03 — Maintain the skill and competencies of personnel
定義和管理員工所需的技能和能力。 定期驗證員工是否有能力根據他們的教育、培訓和(或)經驗履行其職責。 在適當的情況下使用資格和認證計劃來驗證這些能力是否得到維護。 為員工提供持續學習和機會,使他們的知識、技能和能力保持在實現企業目標所需的水準。

APO07.05 — Plan and track the usage of IT and business human resources
理解並追蹤現行和未來對負責企業 I&T 的業務和 IT 人力資源的需求。 確定不足的人員並製作聘雇計劃。

APO09.01 — Identify I&T services
分析業務需求以及運用I&T 的服務和SLA對業務流程的支持程度。 與企業就潛在服務和SAL進行討論並達成一致。 將潛在服務水平與當前服務組合進行比較; 確定新的或更改的服務或服務等級選項。

APO09.02 — Catalog I&T-enabled services
為相關目標群體定義和維護一個或多個服務目錄。 在服務目錄中發布和維護使用到 I&T 的運行中的服務。

APO09.03 — Define and prepare service agreements
根據服務目錄中的選項來定義和準備service agreements。 包括內部維運協議。

APO11.03 — Manage quality standards, practices and procedures and integrate quality management into key processes and solutions
辨識並維護關鍵流程的標準、程序和實踐,以指導企業滿足商定的質量管理標準 (QMS) 的意圖。 此活動應符合 I&T 控制框架要求。 考慮對關鍵流程、組織單位、產品或服務進行認證。

BAI03.11 — Define IT products and services and maintain the service portfolio
定義並同意新的或更改的 IT 產品或服務以及服務等級選項。 記錄要在產品和服務組合中更新的new/changed的產品和服務定義以及服務等級選項。

BAI04.01 — Assess current availability, performance and capacity and create a baseline( To SRE)
評估服務和資源的可用性、效能和容量,以確保成本合理的容量和效能可用於支持業務需求並根據SLA交付。 建立可用性、效能和容量基線以供未來比較。

BAI04.03 — Plan for new or changed service requirements( To SRE)
計劃並優先考慮不斷變化的業務需求和服務要求對可用性、效能和容量的影響。

BAI09.01 — Identify and record current assets
對提供服務所需的所有 I&T 資產保持最新、準確的記錄,以及由組織擁有或控制的預期未來效益(包括具有經濟價值的資源,如軟硬體)。 確保與CM(Configuration Management)和財務管理保持一致。

BAI09.02 — Manage critical assets(To SRE)
確定對提供服務能力至關重要的資產。 最大限度地提高其可靠性和可用性,以支持業務需求。

BAI10.01 — Establish and maintain a configuration model(To SRE)
建立和維護服務、資產、基礎設施和Configuration Item(CI) record的邏輯模型,包括它們之間的關係。 包含被認為有效管理服務和提供服務中資產的單一、可靠描述所必需的 CI。

BAI10.02 — Establish and maintain a configuration repository and baseline
設立和維護Configuration management Repo並建立受控的configuration baseline。

BAI10.03 — Maintain and control configuration items
使用Configuration change來維護CI)的最新存儲庫。

DSS06(全部活動) — Managed business process controls
定義和維護適當的業務流程控制,以確保與內部或外包業務流程相關並由其處理的資訊滿足所有相關資訊控制要求。 確定相關的資訊控制要求。 管理和操作適當的輸入、吞吐量和輸出控制(應用程式所控制)以確保資訊和資訊處理滿足這些要求。

MEA03.01 — Identify external compliance requirements
持續關住當地和國際法律、法規和其他外部要求的變化,並從 I&T 的角度確定合規要求。

MEA03.02 — Optimize response to external requirements
檢視和調整政策、原則、標準、程序和方法,以確保法律、法規和合約要求得到處理和傳達。 考慮採用和調整產業標準、良好實踐守則和良好實踐指南。

Cobit
Cybersecurity
資安

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams