COBIT 階段5實現CSF

COBIT Implementation Phase 5 — How Do We Get There?

COBIT階段5對應CSF第7步驟:

Step 7: Implement Action Plan
企業決定了採取哪些行動來解決在上一步中確定的差距(如果有)，然後調整其現行的網路安全實踐以實現目標概況(Profile)。 為了獲得進一步的指導，CSF辨識了有關類別和子類別的資訊參考範例，但企業應決定哪些標準、指南和實踐，包括那些特定於產業的標準、指南和實踐，最能滿足他們的需求。

行動計劃的執行為我們與利害關係人溝通提供了機會，應該使用適合每個聽眾的術語。 例如，IT 管理討論可能會考慮特定的設施和流程，而董事會和C-Level討論可能更多地與年化損失預期(annualized loss expectancy)或市場機會相關。

行動計劃的執行可以逐步實施，以專案成功的動能為基礎，進一步建立可信度並提高成功率。 行動計劃的執行為在整個企業內培養有效的風險管理文化提供了機會。 績效衡量和增量指標有助於記錄成功並支持所需的任何調整。 COBIT 2019 流程中描述了許多此類措施，尤其是BAI(Build, Acquire and Implement)以及DSS(Deliver, Service and Support)領域中的措施。 下面詳細說明了 COBIT Implementation Phase 5 與NIST CSF Step 7的實施注意事項。

描述

經批准的改進專案現已準備好實施。 現在可以獲取或發展並在企業中實施由該方案定義的解決方案。

目標

• 實行詳細的改進專案。
• 利用企業方案和專案管理能力、標準和實踐。
• 監控、測量和報告專案進度。

主要作業與活動

實行改進(Implementation ring — Continual improvement):

• 開發和(或)獲取包括所需活動的全部範圍的解決方案。
• 採用並調整可用的指南以適應企業的政策和程序方法。
• 在實際工作環境中測試方案的實用性和適用性。
• 考慮任何現有流程和遷移要求，推出解決方案。

啟用運營與使用(Implementation ring — Change enablement):

• 建立在動能和信譽之上。
• 傳達quick win的成功，並認可和獎勵相關人員。
• 實行變革回應計劃。
• 溝通角色和職責。
• 定義成功的衡量標準。
• 結束循環並確保所有變革要求都已得到解決。
• 監控變革促進的有效性，並在必要時採取糾正措施。

實行計畫(Implementation ring — Program management):

• 確保計劃的執行是基於方案內最新和整合的專案(業務和 IT)計劃。
• 指導和監督計劃中所有專案的貢獻。
• 向利害關係人提供定期更新報告。
• 記錄和監控重大方案風險和問題，並就補救措施達成一致。
• 批准對方案和專案計劃的任何重大更改。

輸入

• 改進專案的定義
• 已定義的變革回應計劃
• 已辨識的quick win
• 未獲準的專案紀錄
• 具有分配資源、優先事項和可交付成果的方案計劃
• 專案計劃和報告程序 
• 成功指標
• 專案的定義、計劃、變革策略和回應計劃
• 綜合方案和專案計劃

輸出

• 已實行的改進
• 已實施的變革回應計劃
• 實現quick win和變革成功的可見性
• 成功的溝通
• 在一切如常環境中定義和傳達的角色和職責
• 專案變更日誌和議題/風險日誌
• 明確的業務成功衡量標準
• 追蹤效益以監控實現

COBIT 2019的實踐指南

EDM01.02 — Direct the governance system
向領導者通報 I&T 治理原則，並獲得他們的支持、認同和承諾。 根據商定的治理原則、決策模型和權力等級，指導 I&T 治理的結構、流程和實踐。 定義做出決策所需的資訊。

EDM02.03 — Direct value optimization
指導價值管理原則和實踐，以在運用I&T投資的整個經濟生命週期中實現最佳價值。

EDM03.02 — Direct risk management
指導風險管理實踐的建立，以合理保證 I&T 風險管理實踐是適當的，並且實際 I&T 風險不超過企業的風險承受能力。

EDM04.02 — Direct resource management
確保採用資源管理原則，以便在整個經濟生命週期中優化使用業務和 I&T 資源。

EDM05.02 — Direct stakeholder engagement, communication and reporting
確保建立有效的利害關係人參與、溝通和報告機制，包括確保資訊的質量和完整性，監督強制性報告以及為利害關係人制定溝通策略的機制。

APO02.06 — Communicate the I&T strategy and direction
通過與整個企業的相關利害關係人和使用者溝通，提高對業務和 I&T 目標和方向的認知和理解，如 I&T 戰略中所獲取的那樣。

APO08.04 — Coordinate and communicate
與所有相關利害關係人合作，協調整體的 I&T 服務和解決方案交付給企業。

APO11.05 — Maintain continuous improvement
維護並定期傳達促進持續改進的總體質量計劃。 該計劃應定義持續改進的必要性和效益。 收集和分析有關質量管理體系 (QMS) 的資料並提高其有效性。 修正不合規以防止再次發生。

BAI02.04 — Obtain approval of requirements and solutions
協調受影響的利害關係人的反饋。 在預定的關鍵階段，就功能和技術要求、可行性研究、風險分析和推薦的解決方案獲得業務發起人或產品負責人的批准和簽署。

BAI03.01 — Design high-level solutions
在技術、業務流程和工作流程方面為解決方案開發和記錄高階設計。 使用商定且適當的分階段或快速敏捷開發技術。 確保與 I&T 戰略和企業架構保持一致。 當在詳細設計或構建階段或隨著解決方案的發展出現重大問題時，重新評估和更新設計。 採用以使用者為中心的方法； 確保利害關係人積極參與設計並批准每個版本。

BAI03.02 — Design detailed solution components
逐步進行發展、記錄和完善詳細的設計。 使用商定和適當的分階段或敏捷開發技術，解決所有組件（業務流程和相關的自動和手動控制，支持 I&T 應用程式、基礎設施服務和技術產品，以及合作夥伴/供應商）。 確保詳細設計的內部和外部 SLA 和 OLA(operational level agreements)。

BAI03.03 — Develop solution components
根據詳細設計，遵循開發和文件、質量保證 (QA) 和批准的標準和要求，在單獨的環境中逐步開發解決方案組件。 確保滿足業務流程、支持 I&T 應用程式和基礎設施服務、服務和技術產品以及合作夥伴/供應商服務中的所有控制要求。

BAI03.04 — Procure solution components
根據採購計劃、需求、詳細設計、架構原則和標準，以及企業的整體採購和合約流程、QA 要求和批准標準，採購解決方案組件。 確保供應商確認並解決所有法律和合約要求。

BAI03.05 — Build solutions
安裝和配置解決方案並與業務流程活動整合。 在硬體和基礎設施軟體的配置和整合期間，實施控制、安全、隱私和可稽核性措施以保護資源並確保可用性和資料完整性。 更新產品或服務目錄以反映新的解決方案。

BAI03.06 — Perform quality assurance (QA)
制定、分配資源和執行與 QMS 一致的 QA 計劃，以獲得需求定義和企業質量政策和程序中指定的質量。

BAI03.07 — Prepare for solution testing
設立測試計劃和所需的環境來測試單一和整合的解決方案組件。 包括業務流程和支援服務、應用程式和基礎設施。

BAI03.08 — Execute solution testing
在發展過程中，根據適當環境中定義的測試計劃和開發實踐，持續執行測試（包括控制測試）。 讓業務流程負責人和終端使用者參與測試團隊。 識別、記錄測試期間發現的錯誤和問題並確定其優先等級。

BAI05.01 — Establish the desire to change
了解所需變革的範圍和影響。 評估利害關係人對變革的準備和意願。 確定將激勵利害關係人接受和參與以使變革成功。

BAI05.02 — Form an effective implementation team
通過召集適當的成員、建立信任並設立共同的目標和有效性措施來組成一個有效的實施團隊。

BAI05.03 — Communicate desired vision
將變革的期望願景以會受影響人員的語言進行溝通。這種溝通應由C-Level進行，包括變革的理由和效益，不進行變革的影響，以及各方利害關係人所需的願景、路線圖和參與方式。

BAI05.04 — Empower role players and identify short-term wins
通過分配問責制來授權那些具有實行角色的人。 提供培訓並調整組織結構和人力資源流程。 從變革促進的角度辨識和傳達重要的quick win。

BAI05.05 — Enable operation and use
計劃和實施所有”技術、操作和使用”面向，以便所有參與未來狀態環境的人都能履行他們的責任。

BAI05.06 — Embed new approaches
通過追蹤已實施的變革、評估運營和使用計劃的有效性以及通過定期溝通保持持續意識來嵌入新方法。 採取適當的糾正措施（可能包括強制合規）。

MEA01.01 — Establish a monitoring approach
與利害關係人合作，建立並保持監控方法，以界定測量業務解決方案和服務交付對企業目標的貢獻的”目標、範圍和方法”。將這種方法與企業績效管理系統相整合。

MEA01.02 — Set performance and conformance targets
與利害關係人一起定義、定期檢視、更新和批准績效測量系統內的績效和一致性目標。

MEA01.03 — Collect and process performance and conformance data
收集和處理對齊企業方法的及時與準確的資料。

DSS01.01 — Perform operational procedures
可靠、一致地維護和執行運營程序和運營任務。

DSS01.02 —Manage outsourced I&T services
管理外包的I&T服務的維運，以維持企業資訊的保護和服務交付的可靠性。

DSS01.04 —Manage the environment
維持針對環境因素的保護措施。 安裝專門的設備和裝置來監視和控制環境。

DSS01.05 — Manage facilities
根據法律法規、技術和業務要求、供應商規範以及健康和安全指南管理設施，包括電力和通信設備。

DSS02.02 — Record, classify and prioritize requests and incidents(To SRE)
識別、記錄和分類服務請求和事故，並根據業務重要性和服務協議分配優先等級。

DSS02.03— Verify, approve and fulfill service requests(To SRE)
選擇適當的請求程序並驗證服務請求是否滿足定義的請求標準。 如果需要，獲得批准並滿足請求。

DSS02.04— Investigate, diagnose and allocate incidents(To SRE)
識別並記錄事故症狀，確定可能的原因，並分配解決方案。

DSS02.05 —Resolve and recover from incidents(To SRE)
記錄、應用和測試已識別的解決方案或臨時變通方法。 執行恢復行動以恢復 I&T 相關服務。

DSS02.06 —Close service requests and incidents(To SRE)
驗證得到滿足的事故解決和(或)請求，然後關閉此案件。

DSS02.07 — Track status and produce reports
定期追蹤、分析和報告事故以及請求的執行情況。 驗證趨勢，為持續改進提供資訊。

DSS03.01 — Identify and classify problems(To SRE)
定義和實施”標準和程序”以識別和報告問題。 包括問題分類和優先等級排序。

DSS03.02 —Investigate and diagnose problems(To SRE)
運用相關SME(主題專家)調查和診斷問題，以評估和分析根本原因。

DSS03.03 —Raise known errors(To SRE)
一旦確定了問題的根本原因，就建立已知錯誤記錄，記錄適當的解決方法並確定潛在的解決方案。

DSS03.04 —Resolve and close problems(To SRE)
辨識並啟動解決根本原因的可持續解決方案。 如果需要，通過已建立的變更管理流程提出變更請求以解決錯誤。 確保受影響的人員認知到為防止未來事故發生而採取的行動和製定的計劃。

DSS03.05 —Perform proactive problem management(To SRE)
收集和分析維運資料（尤其是事故紀錄和變更記錄）以辨識可能呈現問題的新興趨勢。 記錄問題記錄以進行評估。

DSS04.02 — Maintain business resilience
評估業務韌性選項並選擇具有成本效益且可行的策略，以確保在發生災難或其他重大事故或服務中斷時的企業連續性、災難恢復和事故回應。

DSS04.03 —Develop and implement a business continuity response
根據策略制定業務連續性計劃 (BCP) 和災難恢復計劃 (DRP)。 記錄企業在發生事故時繼續關鍵業務作業所需的所有程序。

DSS04.04 —Exercise, test and review the business continuity plan (BCP) and disaster response plan (DRP)
定期業務測試連續性以根據預定結果執行計劃，維護業務韌性並允許開發創新的解決方案。

DSS04.05 —Review, maintain and improve the continuity plans
定期對業務連續性能力進行管理檢視，以確保其持續的適宜性、充分性和有效性。 根據變更控制流程管理計劃變更，以確保連續性計劃保持最新並持續反映實際業務需求。

DSS04.06 —Conduct continuity plan training
為所有相關的內部和外部各方提供有關程序及其在中斷情況下的角色和責任的定期培訓課程。

DSS04.07 —Manage backup arrangements
維護關鍵業務資訊的可用性

DSS04.08 —Conduct post-resumption review
在中斷後成功恢復業務流程和服務後，評估業務連續性計劃 (BCP) 和災難回應計劃 (DRP) 的充分性。

DSS05.01 — Protect against malicious software
在整個企業”實施和維護”預防(Preventive)、偵測(Detective)和糾正(C)措施(尤其是最新的安全補丁和病毒控制)，以保護資訊系統和技術免受惡意軟體（例如勒索軟體、惡意軟體、病毒、蠕蟲、間諜軟件、垃圾郵件）的侵害。

DSS05.02 —Manage network and connectivity security
使用安全措施和相關管理程序來保護所有連接方法上的資訊。

DSS05.03 —Manage endpoint security
確保端點（例如筆電、桌機、賜服器和其他移動和網路設備或軟體）的安全等級等於或高於來為處理、存儲或傳輸的資訊定義的安全要求。

DSS05.04 — Manage user identity and logical access
確保所有使用者都擁有符合業務需求的資訊存取權限。 與在業務流程中管理自己的存取權限的業務部門協調。

DSS05.05 —Manage physical access to I&T assets
根據業務需要，定義和實施程序（包括緊急程序）以授予、限制和撤銷對場所、建築物和區域的訪問權限。 對處所、建築物和區域的訪問應經過證明、授權、記錄和監控。 此要求適用於所有進入場所的人員，包括員工、臨時員工、客戶、供應商、訪客或任何其他第三方。

DSS05.06 —Manage sensitive documents and output devices
針對敏感的 I&T 資產（例如特殊表格、可轉讓票據、專用印表機或security token）建立適當的物理保護措施。

DSS05.07 — Manage vulnerabilities and monitor the infrastructure for security-related events
使用一系列工具和技術（例如，入侵檢測工具），管理漏洞並監控基礎設施以防止未經授權的訪問。 確保安全工具、技術和檢測與一般事件監控和事件管理相結合。

DSS06.02 —Control the processing of information
根據企業風險，運營業務流程活動和相關控制的執行。 確保資訊處理是有效、完整、準確、及時和安全（即反映合法和授權的業務使用）。

DSS06.03 —Manage roles, responsibilities, access privileges and levels of authority
管理支持業務流程目標所需的業務角色、職責、權限級別和職責分離。 授權存取與業務資訊流程相關的所有資訊資產，包括業務、IT 和第三方保管的資訊資產。 這確保企業知道資料在哪里以及誰代表它處理資料。

DSS06.04 — Manage errors and exceptions
管理業務流程異常和錯誤並促進補救措施，執行定義的糾正措施並在必要時升級。 這種對異常和錯誤的處理為業務資訊流程的準確性和完整性提供了保證。

DSS06.05 — Ensure traceability and accountability for information events
確保業務資訊可以追溯到原始業務事件並與責任方相關聯。 這種可發現性可確保業務資訊是可靠的，並且已按照定義的目標進行處理。

DSS06.06— Secure information assets
企業通過批准的方法存取安全的資訊資產，包括電子形式的資訊（例如，攜帶式媒體設備、使用者應用程式和存儲設備，或以任何形式建立新資產的其他方法）、物理形式的資訊（例如，來源文件或輸出報告）和傳輸過程中的資訊。 這通過提供整體的資訊保護使企業受益。

MEA01.05 — Ensure the implementation of corrective actions
協助利害關係人進行"識別、啟動和追蹤"糾正措施以解決異常情況。

MEA02.02 — Review effectiveness of business process controls
檢視控制措施的運作，包括監控和測試證據，以確保業務流程中的控制措施有效運作。 包括通過定期測試、持續監控、獨立評估、C&C(command & control)中心以及網路維運中心等機制維護控制有效運行證據的活動。 該證據向企業保證控制措施滿足與業務、監管和社會責任相關的要求。

MEA02.03 —Perform control self-assessments
鼓勵管理層和流程負責人通過持續的自我評估計劃主動改進控制措施，該計劃評估管理層對流程、政策和合約的控制的完整性和有效性。

MEA02.04 —Identify and report control deficiencies
識別控制缺陷並分析和識別其根本原因。 上報控制缺陷並向利害關係人報告。

MEA03.03 —Confirm external compliance
確認政策、原則、標準、程序和方法符合法律、法規和合約要求。

MEA03.04 —Obtain assurance of external compliance
取得並報告遵守"政策、原則、標準、程序和方法"的保證。確認及時關閉解決合規性差距的糾正(Corrective)措施。