COBIT 階段4實現CSF

COBIT Implementation Phase 4 — What Needs to Be Done?

COBIT階段4對應CSF第六步驟:

Step 6: Determine, Analyze, and Prioritize Gaps.
企業比較現行概況和目標概況來確定差距。 差距會產生一個具有優先順序的行動計劃來解決差距 (反映任務驅動因素、成本和收益以及風險)以實現目標概況中的結果。 然後，企業確定解決差距所需的資源，包括資金和人力。 以這種方式運用概況(Profiles)可以鼓勵企業做出有關網路安全活動的決策，支持風險管理，並使企業能夠執行具有成本效益的、有針對性的改進。

對於目標概況中的每個子類別，考慮目標水準與現行水準之間的差異。 這種差距評估的結果有助於確定企業的優勢和劣勢。 COBIT 2019 實施指南強調了 COBIT Implementation Phase 3的幾個重要考慮因素:

1. "此階段可能會確定一些相對容易實現的改進，例如改進培訓、分享良好實踐和標準化程序。 但是，差距分析可能需要大量的業務和 IT 管理技術經驗才能開發出切實可行的解決方案。 還需要進行"行為和組織變革"的經驗。
2. 可能需要了解流程技術、進階業務和技術專業知識以及業務和系統管理軟體和服務的知識。 為確保有效執行此階段，團隊必須與業務和 IT 流程負責人以及其他所需的利害關係人合作，並吸納內部專業知識。 如有必要，還應徵求外部意見。 縮小差距後無法緩解的風險應該是可識別的，並由管理層正式認可。"
3. 改進的機會應記錄在優先行動計劃中以解決差距。 該計劃應利用1.)任務驅動因素、2.)成本/效益分析以及3.)對風險的可能性與衝擊的理解，以實現目標概況中描述的結果。 該計劃還應包括考量解決差距所需的資源。 以這種方式使用運用概況(Profile)使企業能夠做出有關網路安全活動的明智決策，支持風險管理並使企業能夠執行具有成本效益的、有針對性的改進。

下面詳細說明了 COBIT Implementation Phase 4 與NIST CSF Step 6的實施注意事項。

描述

將潛在的舉措(行動)優先考量到正式和合理的專案中。

目標

• 將改進機會轉化為合理且有貢獻的專案。
• 優先排序並專注於高影響力的專案。
• 將改進專案整合到總體方案計劃中。
• 執行quick win。

主要作業與活動

設計與建設(Implementation ring — Continual improvement):

• 考量每項改進的潛在效益和實施難易程度。
• 將改進繪製到機會網格(opportunity grid)上。
• 專注於顯示出高效益/高度易於實施的替代方案。
• 考慮替代方案。
• 優先排序、選擇和分析改進。
• 將專案包含在業務案例中以供批准。
• 在登記冊中記錄未經批准的專案和舉措，以備將來再次拿出來考量。

賦予角色扮演者權力(Implementation ring — Change enablement):

• 取得同意。
• 設計變革回應計劃。
• 辨識quick win。
• 在可能的情況下，以Phase 2確定的任何現有優勢為基礎，實現quick win。
• 確定現有企業流程中可以利用的優勢。

發展方案計畫(Implementation ring —Program management):

• 將潛在專案整合到整體方案中。
• 確保該方案符合戰略目標，並且 I&T 有一套平衡的舉措。
• 制定變革計劃。
• 辨識並商定衡量結果的指標。
• 定義專案組合。
• 定義所需的可交付成果。
• 提名專案指導委員會。
• 制定專案計劃和報告。

輸入

• 選定流程的目標成熟度評分
• 改進機會的描述
• 風險回應文件
• 變革促進計劃和目標
• 溝通策略和變革願景的傳達
• 詳細的商業案例
• 在早期階段確立的優勢

輸出

• 改進專案的定義
• 已定義的變革回應計劃
• 已辨識的quick win
• 未獲批准的專案紀錄
• 用分配的資源、優先等級和可交付成果對連續的單一計劃進行排序的方案計劃
• 通過承諾的資源（如技能和投資）啟用專案計劃和報告程序
• 成功的指標

COBIT 2019的實踐指南

EDM01.02 — Direct the governance system
向領導者通報 I&T 治理原則，並獲得他們的支持、認同和承諾。 根據商定的治理原則、決策模型和權力等級，指導 I&T 治理的結構、流程和實踐。 定義做出決策所需的資訊。

EDM02.03 — Direct value optimization
指導價值管理原則和實踐，以在運用I&T投資的整個經濟生命週期中實現最佳價值。

EDM03.02 — Direct risk management
指導風險管理實踐的建立，以合理保證 I&T 風險管理實踐是適當的，並且實際 I&T 風險不超過企業的風險承受能力。

EDM04.02 — Direct resource management
確保採用資源管理原則，以便在整個經濟生命週期中優化使用業務和 I&T 資源。

EDM05.02 — Direct stakeholder engagement, communication and reporting
確保建立有效的利害關係人參與、溝通和報告機制，包括確保資訊的品質和完整性，監督強制性報告以及為利害關係人制定溝通策略的機制。

APO02.05 — Define the strategic plan and road map
與相關利害關係人合作制定整體數位戰略，並詳細制定路線圖，定義實現目標所需的漸進步驟。 通過任命一位幫助引領數位轉型並推動業務與 I&T 協調一致的人員(通常是數位長)，確保專注於轉型之旅。

APO02.06 — Communicate the I&T strategy and direction
通過與整個企業的相關利害關係人和使用者溝通，提高對業務和 I&T 目標和方向的認知和理解，如 I&T 戰略中所獲取的那樣。

APO08.04 — Coordinate and communicate
與所有相關利害關係人合作，協調整體的 I&T 服務和解決方案交付給企業。

APO11.05 — Maintain continuous improvement
維護並定期傳達促進持續改進的總體質量計劃。 該計劃應定義持續改進的必要性和效益。 收集和分析有關質量管理體系 (QMS) 的資料並提高其有效性。 修正不合規以防止再次發生。

BAI02.04 — Obtain approval of requirements and solutions
協調受影響的利害關係人的反饋。 在預定的關鍵階段，就功能和技術要求、可行性研究、風險分析和推薦的解決方案獲得業務發起人或產品負責人的批准和簽署。

BAI03.01 — Design high-level solutions
在技術、業務流程和工作流程方面為解決方案開發和記錄高階設計。 使用商定且適當的分階段或快速敏捷開發技術。 確保與 I&T 戰略和企業架構保持一致。 當在詳細設計或構建階段或隨著解決方案的發展出現重大問題時，重新評估和更新設計。 採用以使用者為中心的方法； 確保利害關係人積極參與設計並批准每個版本。

BAI03.02 — Design detailed solution components
逐步進行發展、記錄和完善詳細的設計。 使用商定和適當的分階段或敏捷開發技術，解決所有組件（業務流程和相關的自動和手動控制，支持 I&T 應用程式、基礎設施服務和技術產品，以及合作夥伴/供應商）。 確保詳細設計的內部和外部 SLA 和 OLA(operational level agreements)。

BAI03.03 — Develop solution components
根據詳細設計，遵循開發和文件、質量保證 (QA) 和批准的標準和要求，在單獨的環境中逐步開發解決方案組件。 確保滿足業務流程、支持 I&T 應用程式和基礎設施服務、服務和技術產品以及合作夥伴/供應商服務中的所有控制要求。

BAI03.04 — Procure solution components
根據採購計劃、需求、詳細設計、架構原則和標準，以及企業的整體採購和合約流程、QA 要求和批准標準，採購解決方案組件。 確保供應商確認並解決所有法律和合約要求。

BAI03.05 — Build solutions
安裝和配置解決方案並與業務流程活動整合。 在硬體和基礎設施軟體的配置和整合期間，實施控制、安全、隱私和可稽核性措施以保護資源並確保可用性和資料完整性。 更新產品或服務目錄以反映新的解決方案。

BAI03.06 — Perform quality assurance (QA)
制定、分配資源和執行與 QMS 一致的 QA 計劃，以獲得需求定義和企業質量政策和程序中指定的質量。

BAI03.07 — Prepare for solution testing
設立測試計劃和所需的環境來測試單一和整合的解決方案組件。 包括業務流程和支援服務、應用程式和基礎設施。

BAI03.08—Execute solution testing
在發展過程中，根據適當環境中定義的測試計劃和開發實踐，持續執行測試（包括控制測試）。 讓業務流程負責人和終端使用者參與測試團隊。 識別、記錄測試期間發現的錯誤和問題並確定其優先等級。

BAI05.01 —Establish the desire to change
了解所需變革的範圍和影響。 評估利害關係人對變革的準備和意願。 確定將激勵利害關係人接受和參與以使變革成功。

BAI05.02 — Form an effective implementation team
通過召集適當的成員、建立信任並設立共同的目標和有效性措施來組成一個有效的實施團隊。

BAI05.03 —Communicate desired vision
將變革的期望願景以會受影響人員的語言進行溝通。這種溝通應由C-Level進行，包括變革的理由和效益，不進行變革的影響，以及各方利害關係人所需的願景、路線圖和參與方式。

BAI05.04 —Empower role players and identify short-term wins
通過分配問責制來授權那些具有實行角色的人。 提供培訓並調整組織結構和人力資源流程。 從變革促進的角度辨識和傳達重要的quick win。

BAI05.05 —Enable operation and use
計劃和實施所有"技術、操作和使用"面向，以便所有參與未來狀態環境的人都能履行他們的責任。

BAI05.06 —Embed new approaches
通過追蹤已實施的變革、評估運營和使用計劃的有效性以及通過定期溝通保持持續意識來嵌入新方法。 採取適當的糾正措施（可能包括強制合規）。

MEA01.01 — Establish a monitoring approach
與利害關係人合作，建立並保持監控方法，以界定測量業務解決方案和服務交付對企業目標的貢獻的"目標、範圍和方法"。將這種方法與企業績效管理系統相整合。

MEA01.02 — Set performance and conformance targets
與利害關係人一起定義、定期檢視、更新和批准績效測量系統內的績效和一致性目標。