COBIT 階段1實現CSF

本文描述如何使用 COBIT方法來實行 CSF 第 3.0 節“如何使用框架”中的說明。CSF與COBIT的實行都有七個高階步驟(它們通常是一致的)，但COBIT 提供了事後評估(Phase 6–Did We Get There?)和持續的生命週期維護作業(Phase 7— — How Do We Keep the Momentum Going?)，在 CSF 中沒有完整描述，不過這是內含在CSF中的。 重要的是要注意實行CSF不是一個全部有或全無的選擇。 我們應選擇的是有助於實現企業目標的流程； 流程可供選擇 — — 但並非所有流程都是強制性的。

後面我們會說明如何應用 COBIT 2019 的七個實行階段，以及這樣做如何有助於實行 CSF。 這些說明會有以下要點：

• COBIT 2019階段名稱
• 關於CSF的活動
• COBIT階段的描述與其目標
• 與 COBIT 和(或) CSF 相關的關鍵任務和活動 
• 該階段的特定輸入和輸出
• 與 COBIT 設計工作流程相關的因素 
• COBIT 2019 Framework: Governance and Management Objectives的支持實踐

上面提及的活動和流程可以幫助實行團隊確定每個階段要做什麼。 但這些階段不是規定性的，也不是強制性的，應該根據企業自己的目標進行調整。

COBIT 2019 目標串聯與 CSF 的關係

CSF 認知到每個企業都面臨著不同的機遇和挑戰 ，包括擁有眾多的內部和外部利害關係人。因此，承認每個利害關係人對治理和管理活動都有獨特的要求。 利害關係人是推動企業的需求，因此也推動了網路安路風險。 設置這些需求後，企業可以使用 COBIT 2019 目標串聯(Goal Cascade)來規範和細緻化需求。關於目標串聯的概念可參考本部落格雲端運算的治理與管理一文。

目標串聯能辨識利害關係人的需求和驅動因素，從而加強對眾多企業目標(EG)的理解，例如 EG03(Compliance with external laws)和 EG06 (Business service continuity and availability)。企業目標的實現得到技術成果和使用I&T作業 相關的對齊目標 (AG)，這反過來又需要成功應用和使用許多組件。 組件概念在雲端運算的治理與管理一文中一樣有詳細說明。 組成部分包括"流程、組織結構和資訊"； 對於每個組件，COBIT 定義了一組特定的、相關的企業目標和一致性目標以支持 I&T 目標。 而COBIT 2019 組件則支援CSF的核心類別和子類別中的活動和成果。

COBIT Implementation Phase 1 — What are the Drives?

本文的目的是 COBIT 2019 在實行 CSF 中的建模。 CSF 的第一步如下：

CSF Step 1 : Prioritize and Scope.
企業辨識其業務/任務目標和高階組織優先等級。 有了這些資訊，企業就網路安全實施做出戰略決策，並決定選定的業務線或流程的系統和資產的範圍。 CSF可以進行調整以支持企業內的不同業務線或流程，這些業務線或流程可能具有不同的業務需求和相關的風險承受能力。 風險承受能力可以反映在target Implementation Tier中。

ISACA在給企業的董事會和C-Level管理層的文件指出，資訊安全治理是董事會和C-Level管理人員的責任。 資訊安全治理必須是企業治理不可或缺的透明部分，並應與 IT 治理框架保持一致。 為了實施有效的企業和資訊安全治理，董事會和C-Level管理層必須清楚地了解對企業資訊安全計劃的期望。 CSF指出，業務驅動與 EGIT 的有效結合讓企業的安全性的提高和對安全需求的理解。 EGIT 的原則是使用董事會和C-Level管理層熟悉的語言和術語，而不是使用與通用業務術語不一致的技術術語。 對治理問題和效益的理解 — — 以業務術語表達 — — 來獲得C-Level管理層的認同和承諾。

這種方法有助於通過選定的企業目標和流程確保核心成果，直接支持利害關係人的目標和驅動因素，並將 EGIT 從單純的合規活動轉變為企業的價值引擎。 下面詳細說明了 COBIT Implementation Phase 1 與NIST CSF Step 1的實施注意事項。

COBIT Implementation Phase 1 — What Are the Drivers?與
NIST CSF Step 1: Prioritize and Scope

描述

此階段辨識企業目標和對齊目標，並說明 I&T 如何通過解決方案和服務為企業目標做出貢獻。

目標(Objective)

• 確保方案團隊知悉並理解企業目標。
• 辨識改進計劃中涉及的關鍵流程或其他組件。
• 為每個選定的流程辨識適當的管理實踐。
• 了解企業現行和未來對風險的態度。
• 決定所選流程的現行能力(Capability)。
• 理解企業的變革能力。

主要作業與活動

認知需要採取的行動(Implementation ring — Continual improvement)：

• 辨識治理環境、業務和 I&T 痛點和事件。
• 辨識業務和治理驅動因素。
• 辨識合規要求。
• 辨識依賴於 I&T 的優先事項和業務策略。
• 定義 EGIT 政策、目標、指導原則和高階改進目標

設定變革的願望(Implementation ring — Change enablement)：

• 分析需要發起變革的環境。
• 確定正在進行的或計劃中的企業舉措。
• 了解變革的廣度和深度。
• 從企業的不同領域識別參與企業舉措的利害關係人。
• 決定實施變革的能力。

啟動方案(Implementation ring — Program management):

• 提供高層次的戰略方向，制定高層次的方案。
• 在方案中定義和分配高階角色。
• 制定成功因素的大綱業務案例。
• 獲得C-Level的站台

輸入

• 大綱業務案例
• 角色和職責
• 辨識完成的利害關係人地圖
• 方案的wake-up call
• 業務和 IT 的計劃和戰略
• IT流程描述、政策、標準、程序、技術規範
• 理解業務和 IT 貢獻

輸出

• 商定的對齊目標和影響
• 選定的治理和管理目標
• 依據當前績效水準所選定的治理和管理目標
• 風險接受程度和概況(Profile)
• 建立的優勢
• 評估大綱業務案例
• 對問題和挑戰的一致性理解

COBIT 2019設計流程 第一階段: 理解企業的背景與策略

• 理解企業策略
• 理解企業目標
• 理解風險概況
• 理解現行的I&T議題

COBIT 2019的實踐指南

EDM01.01 — Evaluate the governance system
持續識別企業的利害關係人並與之互動，記錄對需求的理解，並評估企業 I&T 治理的當前和未來設計。

APO01(全部活動) — Managed I&T Management Framework
根據企業目標和其他設計因素，設計企業 I&T 管理體系。 基於此設計，實施管理體系的所有必需組件。

APO02.01 — Understand enterprise context and direction
了解企業背景（產業驅動力、相關法規、競爭基礎）、現行的工作方式及其在數位化方面的野望程度。

APO03.01 — Develop the enterprise architecture vision
架構願景提供了基本和目標架構的初步的、高階描述，涵蓋業務、資訊、資料、應用程序和技術領域。 架構願景為發起人提供了一個關鍵工具，用於向企業內的利害關係人推銷所倡議能力(Capability)的效益。 架構願景描述了新能力（符合 I&T 戰略和目標）將如何滿足企業目的和戰略目標，並在實施時解決利害關係人的憂慮。

APO04.02 — Maintain an understanding of the enterprise environment
與相關利害關係人合作，了解他們面臨的挑戰。 保持對企業戰略、競爭環境和其他約束的充分理解，以便識別新技術帶來的機會。

APO05.01 — Determine the availability and sources of funds
決定潛在的資金來源、不同的資金選項以及資金來源對投資回報預期的影響。

APO05.02 — Evaluate and select programs to fund
根據對整體投資組合的要求以及 I&T 戰略計劃和路線圖，評估方案業務案例並確定其優先等級，決定投資建議。 分配資金並啟動計劃。

APO05.03 — Monitor, optimize and report on investment portfolio performance
在整個投資生命週期中，定期監控和優化投資組合和單一方案的績效。 確保持續跟進投資組合與 I&T 戰略的一致性。

APO06.01 — Manage finance and accounting
設立和維護一種方法來管理和核算所有與 I&T 相關的成本、投資和折舊，作為企業財務系統和會計的一個組成部分。 使用企業的財務衡量系統進行報告。

APO06.02 — Prioritize resource allocation
實施決策流程以優先分配資源，並為各個業務部門的自主投資制定規則。 包括外部服務提供商的潛在使用，並考慮購買、開發和租賃等選項。

APO06.03 — Create and maintain budgets
根據I&T所支援的方案和 I&T 服務組合，準備對應到投資重點的預算。

APO06.04 — Model and allocate costs(Cloud FinOps)
設立和使用 I&T 成本核算模型，例如，基於服務定義。 這種方法確保服務成本的分配是可識別的、可衡量的和可預測的，並鼓勵負責任地使用資源，包括服務提供商提供的資源。 定期審查cost/chargeback模型並對其進行基準測試，以保持其對不斷發展的業務和 IT 活動的相關性和適當性。

APO06.05 — Manage Costs(Cloud FinOps)
實施成本管理流程，將實際成本與預算進行比較。 成本應該被監控和報告。 應及時識別預算偏差，並評估其對企業流程和服務的影響。

APO07.01 — Acquire and maintain adequate and appropriate staffing
同APO06.01

APO07.02 — Identify key IT personnel
確定關鍵 IT 人員。 運用知識獲取、知識共享、繼任計劃和員工備援，以最大限度地減少對執行關鍵工作職能的個人的依賴。

APO07.03 — Maintain the skill and competencies of personnel
定義和管理員工所需的技能和能力。 定期驗證員工是否有能力根據他們的教育、培訓和(或)經驗履行其職責。 在適當的情況下使用資格和認證計劃來驗證這些能力是否得到維護。 為員工提供持續學習和機會，使他們的知識、技能和能力保持在實現企業目標所需的水平。

APO08.01 — Understand business expectations
了解 I&T 的現行業務議題、目標和期望。 確保需求得到理解、管理和溝通，並且它們的狀態得到同意和批准。

APO08.03 — Manage the business relationship
管理 IT 服務單位與其業務合作夥伴之間的關係。 確保定義和分配關係角色和職責，並促進溝通。

APO10.01 — Identify and evaluate vendor relationships and contracts
不斷搜索和識別供應商，並將它們按類型、重要性和關鍵性進行分類。 建立評估供應商與合約的標準。 檢視現有和替代供應商與合約的整體組合。

APO10.02 — Select vendors
根據公平和正式的做法選擇供應商，以確保根據特定要求提供可行的最佳選擇。 應根據潛在供應商的意見優化需求。

APO11.01 — Establish a quality management system (QMS)
建立和維護質量管理系統 (QMS)，為資訊質量管理提供標準、正式和持續的方法。 QMS 應使技術和業務流程與業務需求和企業質量管理保持一致。

APO11.02 — Focus quality management on customers
通過確定客戶的需求並確保質量管理實踐的整合，將質量管理聚焦在客戶身上。

APO11.03 — Manage quality standards, practices and procedures and integrate quality management into key processes and solutions
辨識並維護關鍵流程的標準、程序和實踐，以指導企業滿足商定的質量管理標準 (QMS) 的意圖。 此活動應符合 I&T 控制框架要求。 考慮對關鍵流程、組織單位、產品或服務進行認證。

BAI01.01 — Maintain a standard approach for program management
維護方案管理的標準方法，以支持治理和管理審查、決策制定和交付管理活動。 這些活動應始終關注業務價值和目標（即需求、風險、成本、進度和質量目標）。

BAI01.02 — Initiate a program
啟動方案來確認預期效益並獲得繼續進行的授權。 這包括商定方案贊助、通過概念性業務案例的批准確認項方案授權、任命方案委員會成員、製作方案簡介、檢視和更新業務案例、制定效益實現計劃以及獲得發起人的批准繼續進行。

BAI01.03 — Manage stakeholder engagement
管理利害關係人的參與，以確保為所有相關利害關係人能積極交換準確、一致和及時的資訊。 這包括規劃、識別和吸引利害關係人，以及管理他們的期望。

BAI01.04 — Develop and maintain the program plan
制定一個方案來打下初步的基礎。 通過正式確認工作範圍並確定能夠滿足目標和交付價值的可交付成果，將其定位為成功執行。 在項目的整個經濟生命週期中維護和更新項目計劃和業務案例，確保與戰略目標保持一致並反映當前狀態和迄今為止獲得的見解。

BAI01.05 — Launch and execute the program
啟動和執行方案以獲取和指導實現方案計劃中定義的方案目標和效益所需的資源。 根據階段關卡或發布審查標準，準備階段關卡、迭代或發布審查以報告進度並為下一個階段關卡或發布審查提供資金支持。

BAI01.07 — Manage program quality
準備並執行符合質量管理標準 (QMS) 的質量管理計劃、流程和實踐。 描述計劃質量和實施的方法。 該計劃應由有關各方正式審查和同意，並納入綜合方案計劃。

BAI01.08 — Manage program risk
通過規劃、識別、分析、回應、監控和控制可能導致不必要變化的區域或事件的系統性流程，消除或最小化與方案相關的特定風險。 定義並記錄方案管理面臨的任何風險。