COBIT 階段2實現CSF

COBIT Implementation Phase 2 — Where Are We Now?

CSF Step 2: 定位(Orient)

一旦為業務線或流程確定了網路安全計劃的範圍，企業就能確定

1. 相關的系統和資產
2. 監管要求
3. 總體風險方法

然後，企業可以諮詢內外部的單位以識別適用於這些系統和資產的威脅和漏洞。

CSF Step 3: 建立現行概況(Create a Current Profile)

企業選擇那些框架核心的類別和子類別結果來製作現行概況。 如果結果是Partially，記錄這一事實將有助於在後續步驟中提供基準資訊，以支援後續的工作。

在辨識了支持利害關係人目標的企業使命和驅動因素之後，企業確定了能夠實現這些利害關係人需求的相關系統和資產。 重要的是要注意 CSF 並不將這些系統和資產限制為純粹的 IT 或 OT，它們要考慮的是整體資產清單的子集。 CSF 步驟 2(Orient) 中要考慮的資產範例包括技術所在的設施、確保設備安全運行的運營商以及向客戶交付產品的基礎設施。 在了解串聯目標(尤其是業務和 IT 職能需要如何從 I&T 中交付價值以支持企業目標)之後，企業可以識別這些系統和資產面臨的威脅和漏洞。 這種識別必須在了解企業當前和未來對風險和 IT 風險狀況的態度的情況下進行。

在建立現行概況之前，我們應檢視Framework Implementation Tiers。 選擇以最佳方式滿足利害關係人需求的適當Tier決定了回答“Where are we now?”這個問題的尺度。 這個流程的目標是建立適當的治理和管理等級，以實現 COBIT Implementation Phase 1中定義的風險目標。選擇不合適的 Tier 可能會導致缺乏足夠的流程來解決風險或與其他實體協調。 然而，選擇最高Tier的也不見得是好的，因為它會產生成本高昂的計劃和流程，其效益與定義的CSF Phase 1( Prioritize and scope)目標不相符。

考慮到每間企業的環境不同，與利害關係人進行對話以決定適當的目標，而Tier和相關活動是應用 CSF 的主要效益之一。

CSF 1.1 版的核心包含 108 個子類別結果，其中許多由一個或多個 COBIT 實踐支持。 根據 CSF，我們應為所有子類別建立現行概況。 從企業層面的角度來看(這有助於形朔應如何實現結果)，我們遍覽每個子類別並確定該結果已達到的等級有滿足利害關係人的目標。 對於模板中的每一行，按照 COBIT 2019 中的原則確定並記錄當前的完成程度。

COBIT 績效管理 (CPM) 提供了詳細的標準，用於確定適當的活動如何達到所需的標準。 考慮到該指南，根據下圖中的比例為每個 CSF 子類別選擇適當的完成標準。關於什麼是CPM可參閱本部落格雲端運算的績效管理一文。

以下將詳細說明COBIT COBIT Implementation Phase 2 與NIST CSF Steps 2 跟3的實施注意事項。

描述

此階段將與 I&T 相關的目標與企業戰略和風險保持一致，並優先考慮最重要的企業目標以及治理和管理目標。

目標

• 確保方案團隊知悉並理解企業目標。
• 辨識改進計劃中涉及的關鍵流程或其他組件。
• 為每個選定的流程確定適當的管理實踐。
• 了解企業現行和未來對風險的態度。
• 確定所選流程的當前能力。
• 了解企業的變革能力。

主要作業與活動

評估現行狀態((Implementation ring — Continual improvement)):

• 辨識主要的企業目標和支持的對齊目標。
• 辨識與現行和未來所需的解決方案和服務相關的關鍵治理議題和弱點。
• 評估benefit/value enablement risk、方案/專案交付和服務交付/IT 維運風險。
• 評估績效。

成立一個給力的實施團隊(Implementation ring — Change enablement):

• 從業務和 IT 中組建一支具有適當知識、專長、形象、經驗、信譽和權威的核心團隊。
• 識別和管理團隊中存在的任何潛在既得利益，以建立所需的信任水準。
• 辨識核心團隊可以與之合作的變革推動者。

定義問題與機會(Implementation ring — Program management):

• 檢視和評估大綱業務案例、計劃可行性和潛在投資回報率。
• 分配角色、職責和流程所有權。
• 確保受影響的利害關係人在方案定義和執行中的承諾和支持。
• 確定挑戰和成功因素。

輸入

• 大綱業務案例
• 角色和職責
• 確定的利害關係人地圖
• 方案的wake-up call
• 業務和 IT 計劃和戰略
• IT流程描述、政策、標準、程序、技術規範
• 理解業務和 IT 貢獻

輸出

• 商定的對齊目標和影響
• 選定的治理和管理目標
• 選定治理和管理目標的當前績效程度
• 風險接受程度和概況(Profile)
• 建立的優勢
• 評估大綱業務案例
• 對問題和挑戰的一致理解

COBIT 設計流程第2階段

• 考量企業策略
• 考量企業目標與應用COBIT的目標串聯
• 考量企業的風險概況
• 考量現行的I&T相關議題

COBIT 設計流程第3階段

• 考量威脅態勢
• 考量合規要求
• 考量IT的作用
• 考量採購模式
• 考量IT實行方法
• 考量技術採用策略
• 考量企業的大小

COBIT 設計流程第4階段

• 解決既有的優先順序衝突。
• 完成治理體系設計。

COBIT 2019實踐指南

APO02.01 — Understand enterprise context and direction
了解企業背景（產業驅動力、相關法規、競爭基礎）、現行的工作方式及其在數位化方面的野望程度。

APO02.02 — Assess current capabilities, performance and digital maturity of the enterprise
評估當前 I&T 服務的績效，加深對當前業務和 I&T 能力(內部和外部)的理解。 評估企業當前的數位化成熟度及其變革意願。

APO03.02 — Define reference architecture
參考架構描述了業務、資訊、資料、應用程序和技術領域的現行和目標架構。

APO04.01 — Create an environment conducive to innovation
建立有利於創新的環境，考量如文化、獎勵、協作、技術論壇等方法，以及促進和取得員工創意的機制。

APO07.02 — Identify key IT personnel
確定關鍵 IT 人員。 運用知識獲取、知識共享、繼任計劃和員工備援，以最大限度地減少對執行關鍵工作職能的個人的依賴。

APO07.03 — Maintain the skill and competencies of personnel
定義和管理員工所需的技能和能力。 定期驗證員工是否有能力根據他們的教育、培訓和(或)經驗履行其職責。 在適當的情況下使用資格和認證計劃來驗證這些能力是否得到維護。 為員工提供持續學習和機會，使他們的知識、技能和能力保持在實現企業目標所需的水準。

APO07.05 — Plan and track the usage of IT and business human resources
理解並追蹤現行和未來對負責企業 I&T 的業務和 IT 人力資源的需求。 確定不足的人員並製作聘雇計劃。

APO09.01 — Identify I&T services
分析業務需求以及運用I&T 的服務和SLA對業務流程的支持程度。 與企業就潛在服務和SAL進行討論並達成一致。 將潛在服務水平與當前服務組合進行比較； 確定新的或更改的服務或服務等級選項。

APO09.02 — Catalog I&T-enabled services
為相關目標群體定義和維護一個或多個服務目錄。 在服務目錄中發布和維護使用到 I&T 的運行中的服務。

APO09.03 — Define and prepare service agreements
根據服務目錄中的選項來定義和準備service agreements。 包括內部維運協議。

APO11.02 — Focus quality management on customers
通過確定客戶的需求並確保質量管理實踐的整合，將質量管理聚焦在客戶身上

APO12.01 — Collect data
識別和收集相關資料，以實現有效的 I&T 相關風險識別、分析和報告。

BAI03.11 — Define IT products and services and maintain the service portfolio
定義並同意新的或更改的 IT 產品或服務以及服務等級選項。 記錄要在產品和服務組合中更新的new/changed的產品和服務定義以及服務等級選項。

BAI04.01 — Assess current availability, performance and capacity and create a baseline( To SRE)
評估服務和資源的可用性、效能和容量，以確保成本合理的容量和效能可用於支持業務需求並根據SLA交付。 建立可用性、效能和容量基線以供未來比較。

BAI04.03 — Plan for new or changed service requirements( To SRE)
計劃並優先考慮不斷變化的業務需求和服務要求對可用性、效能和容量的影響。

BAI09.01 — Identify and record current assets
對提供服務所需的所有 I&T 資產保持最新、準確的記錄，以及由組織擁有或控制的預期未來效益（包括具有經濟價值的資源，如軟硬體）。 確保與CM(Configuration Management)和財務管理保持一致。

BAI09.02 — Manage critical assets(To SRE)
確定對提供服務能力至關重要的資產。 最大限度地提高其可靠性和可用性，以支持業務需求。

BAI10.01 — Establish and maintain a configuration model(To SRE)
建立和維護服務、資產、基礎設施和Configuration Item(CI) record的邏輯模型，包括它們之間的關係。 包含被認為有效管理服務和提供服務中資產的單一、可靠描述所必需的 CI。

BAI10.02 — Establish and maintain a configuration repository and baseline
設立和維護Configuration management Repo並建立受控的configuration baseline。

BAI10.03 — Maintain and control configuration items
使用Configuration change來維護CI)的最新存儲庫。

MEA03.01 — Identify external compliance requirements
持續關住當地和國際法律、法規和其他外部要求的變化，並從 I&T 的角度確定合規要求。

MEA03.02 — Optimize response to external requirements
檢視和調整政策、原則、標準、程序和方法，以確保法律、法規和合約要求得到處理和傳達。 考慮採用和調整產業標準、良好實踐守則和良好實踐指南。