COBIT 階段7實現CSF

COBIT Implementation Phase 7 — How Do We Keep the Momentum Going?

一個有效的 EGIT 框架解決了 IT 投資的整個生命週期，確保它創造的價值與企業目標保持一致。 結合 CSF 原則和 COBIT 2019 實踐有助於根據董事會和C-Level的指導和支持確保價值、管理風險和支持任務驅動因素。

COBIT implementation Phase 7提供了關閉工作流程循環的機會。 當向業務流程負責人報告技術評估（例如，通過績效指標，如通過流程 MEA01 建立的指標）時，他們會使用對C-Level聽得懂的語言、方法和溝通報告實現企業目標和任務優先等級的進展情況 。通過進程和有效溝通獲得的動能推動生命週期的後續迭代。 update後的挑戰和機遇導致update的風險評估和優先事項，培育企業承諾和全部責任與義務的所有權。 通過這種方式，成功的治理和管理流程在文化中變得制度化。

下面詳細說明了 COBIT Implementation Phase 7和 NIST CSF Lifecycle Management的實施注意事項。

描述

此階段使團隊能夠確定方案交付是否符合預期。

目標

• 評估從方案中獲得的結果和經驗。
• 記錄並分享任何經驗教訓。
• 確保新的、必需的行動驅動生命週期的進一步迭代。
• 持續監控績效並確保定期報告結果。
• 驅動所有責任和義務的承諾和所有權。

主要作業與活動

監控與評估(Implementation ring — Continual improvement):

• 辨識新的治理目標和要求。
• 收集反饋。
• 根據最初制定的專案措施來衡量和報告實際結果。
• 執行便利的專案審查流程。
• 尋找其他高影響力、低成本的機會來進一步改進 EGIT。
• 辨識經驗教訓。
• 傳達進一步改進的要求。

持續(Implementation ring — Change enablement):

• 提供有意識的強化和持續的溝通。
• 確認符合目標和要求。
• 持續監控變革的有效性。
• 必要時實施糾正措施計劃。
• 提供有關績效的反饋並宣導成功。
• 吸取經驗教訓。
• 將舉措中的知識分享給到企業整體。

檢視方案有效性(Implementation ring — Program management):

• 在方案結束時，確保進行方案審查並批准結論。
• 檢視方案的有效性。

輸入

• 更新的專案與方案記分卡
• 變革有效性的量測
• 解釋記分卡結果的報告
• 實施後的審查報告
• 績效報告
• 業務和 IT 戰略
• 新的觸發因素，例如新的監管要求

輸出

• 正規化一段時間後進一步開展 EGIT 活動的建議
• 利害關係人滿意度調查
• 記錄成功案例和經驗教訓
• 持續溝通計劃
• 績效獎勵計劃

COBIT 2019的實踐指南

EDM01.03 — Monitor the governance system
監控企業 I&T 治理的有效性和績效。 評估治理體系和實施機制（包括結構、原則和流程）是否有效運作，並對 I&T 進行適當監督以實現價值創造。

EDM02.02 — Evaluate value optimization
持續評估使用I&T運作的投資、服務和資產組合，以確定實現企業目標和交付價值的可能性。 識別和評估任何將優化價值創造的管理方向變化。

EDM02.04 — Monitor value optimization
監控關鍵目標和指標以確定企業是否從使用I&T運作的投資和服務中獲得預期價值和收益。 識別重要問題並考慮糾正措施。

EDM03.03 — Monitor risk management
監控風險管理流程的關鍵目標和指標。 決定如何識別、追蹤和報告偏差或問題以進行補救。

EDM04.03 — Monitor resource management
監控資源管理流程的關鍵目標和指標。 決定如何識別、追蹤和報告偏差或問題以進行補救。

EDM05.03 — Monitor stakeholder engagement
監控利害關係人的參與程度和利害關係人溝通的有效性。 評估確保準確性、可靠性和有效性的機制，並確定是否滿足不同利害相關方在報告和溝通方面的要求。

APO04.03 — Monitor and scan the technology environment
建立技術觀察流程，對企業的外部環境進行系統性的監控和掃描，以識別具有創造價值潛力的新興技術（例如，通過實現企業戰略、優化成本、避免過時，以及更好地賦能企業和 I&T 流程 )。監控市場、競爭格局、產業以及法律和監管趨勢，以便能夠分析企業環境中的新興技術或創新理念。

APO04.04 — Assess the potential of emerging technologies and innovative ideas
分析已確定的新興技術和(或)其他 I&T 創新建議，以了解其商業潛力。 與利害關係人合作，驗證對新技術和創新潛力的假設。

APO04.05 — Recommend appropriate further initiatives
評估和監測概念驗證(PoC)計劃的結果，如果有利，則為進一步計劃提出建議。 獲得利害關係人的支持。

APO04.06 — Monitor the implementation and use of innovation
在採用、整合和整個經濟生命週期中監控新興技術和創新的實施和使用，以確保實現承諾的效益並確定吸取的教訓。

APO05.03 — Monitor, optimize and report on investment portfolio performance
在整個投資生命週期中，定期監控和優化投資組合和單一方案的績效。 確保持續跟進投資組合與 I&T 戰略的一致性。

APO05.04 — Maintain portfolios
維護投資專案和方案、I&T 產品和服務以及 I&T 資產的組合。

APO05.05 — Manage benefits achievement
根據商定的現行業務案例，監控所提供和維護適當的 I&T 產品、服務和能力的效益。

APO07.05 — Plan and track the usage of IT and business human resources
理解並追蹤現行和未來對負責企業 I&T 的業務和 IT 人力資源的需求。 確定不足的人員並製作聘雇計劃。

APO07.06 — Manage contract staff
確保以 I&T 技能為企業提供支持的外部人員(顧問和contractor)了解並遵守企業的政策，並滿足商定的合約要求。

APO08.05 — Provide input to the continual improvement of services
不斷改進和發展運用到I&T的服務和向企業提供的服務，以適應不斷變化的企業目標和技術要求。

APO09.04 — Monitor and report service levels
監控服務水平、回報成就並確定趨勢。 提供適當的管理資訊以幫助績效管理。

APO09.05 — Review service agreements and contracts
定期審查服務協議並在需要時進行修改。

APO10.03 — Manage vendor relationships and contracts
規範和管理每個供應商的關係。 管理、維護和監控合約和服務交付。 確保新的或變更的合約符合企業標準和法律法規要求。 處理合約糾紛。

APO10.04 — Manage vendor risk
識別和管理與供應商以持續提供安全、高效和有效服務交付的能力相關的風險。 這還包括與直接供應商的服務交付相關的分包商或上游供應商。

APO10.05 —Monitor vendor performance and compliance
定期審查供應商的整體表現、合約要求的合規性和物有所值。 解決確定的問題。

APO11.04 —Perform quality monitoring, control and reviews
根據質量管理標準，持續監控流程和服務的質量。 定義、計劃和實施量測以監控客戶對質量的滿意度以及質量管理體系 (QMS) 提供的價值。 流程負責人應使用收集到的資訊來提高質量。

APO11.05 — Maintain continuous improvement
維護並定期傳達促進持續改進的總體質量計劃。 該計劃應定義持續改進的必要性和效益。 收集和分析有關質量管理體系 (QMS) 的資料並提高其有效性。 糾正不合格以防止再次發生。

APO13.01 — Establish and maintain an information security management system (ISMS)
建立和維護資訊安全管理系統 (ISMS)，該系統提供標準、正式和持續的資訊安全管理方法，支持符合業務要求的安全技術和業務流程。

APO13.02— Define and manage an information security and privacy risk treatment plan
維護一個資訊安全計劃，該計劃描述如何管理資訊安全風險並使其與企業戰略和架構保持一致。 確保實施安全改進的建議基於批准的業務案例，作為服務和解決方案開發的一個組成部分實施，並作為業務運營的一個組成部分運行。

APO13.03 —Monitor and review the information security management system (ISMS)
維護並定期傳達持續改進資訊安全的需求和效益。 收集和分析有關資訊安全管理系統（ISMS）的資料，並提高其有效性。 糾正不合格以防止再次發生。

BAI01.06 — Monitor, control and report on the program outcomes
在投資的整個經濟生命週期中根據計劃監控績效，涵蓋方案層面的解決方案交付和企業層面的價值/成果。 向方案指導委員會和贊助人報告績效。

BAI01.08 — Manage program risk
通過規劃、識別、分析、回應、監控和控制可能導致不必要變化的區域或事件的系統過程，消除或最小化與方案相關的特定風險。 定義並記錄方案管理面臨的任何風險。

BAI03.09 — Manage changes to requirements
在整個專案生命週期中追蹤單一需求（包括所有被拒絕的需求）的狀態。 管理對需求變更的批准。

BAI03.10 — Maintain solutions
制定並執行解決方案和基礎架構組件的維護計劃。 包括針對業務需求和運營要求的定期審查。

BAI04.04 —Monitor and review availability and capacity
監視、測量、分析、報告和檢視可用性、績效和量能。 確定與既定基線的偏差。 查看趨勢分析報告，辨識任何重大議題和差異。 在必要時採取行動並確保解決所有懸而未決的問題。

BAI05.07 —Sustain changes
通過對新進員工的有效培訓、持續的溝通活動、C-Level的持續承諾、監控採用情況以及在整個企業中分享經驗教訓來維持變革。

BAI06(all) — Managed IT Changes
以受控方式管理所有變革，包括與業務流程、應用程式和基礎設施相關的標準變更和緊急維護。 這包括變革標準和程序、影響評估、優先等級排序和授權、緊急變更、跟踪、報告、結束和紀錄。

BAI07(all) — Managed IT Change Acceptance and Transitioning
正式接受並制定可運作的新解決方案。 包括實施規劃、系統和資料轉換、驗收測試、溝通、發布準備、新的或更改的業務流程和 I&T 服務的正式上線推廣、早期正式上線的支持以及進行事後審查。

BAI08(all) — Managed Knowledge
保持相關、最新、經過驗證和可靠的知識和管理資訊的可用性，以支持所有流程活動並促進與企業 I&T 治理和管理相關的決策制定。 計劃去識別、收集、組織、維護、使用和淘汰知識。

BAI10.03 — Maintain and control configuration items
使用Configuration change來維護CI)的最新存儲庫。

BAI10.04 — Produce status and configuration reports
定義和產生有關configuration item變更的報告。

BAI10.05 — Verify and review integrity of the configuration repository
定期檢視configuration repo並根據所需目標驗證完整性和正確性。

BAI11.06 — Manage project risk
通過計劃、識別、分析、回應、監視和控制可能導致不必要變化的區域或事件的系統性流程，消除或最小化與專案相關的特定風險。 定義並記錄專案管理面臨的任何風險。

BAI11.07— Monitor and control projects
根據進度、質量、成本和風險等關鍵專案績效標準衡量績效。 識別與預期目標的任何偏差。 評估偏差對專案和總體方案的影響，並將結果報告給主要利害關係人。

BAI11.08 — Manage project resources and work packages
通過對授權和接受工作包提出正式要求以及分配和協調適當的業務和 IT 資源來管理專案工作包。

DSS01(all) — Managed Operations(To SRE)
協調和執行提供內部和外包 I&T 服務所需的活動和維運程序。 包括執行預定義的標準維運程序和所需的監控活動。

DSS02(all) —Managed Service Requests and Incidents(To SRE)
及時有效地回應使用者的請求並解決各類事件。 恢復正常服務； 記錄並滿足使用者的請求； 記錄、調查、診斷、升級和解決事故。

DSS03(all) —Managed Problems(To SRE)
識別和分類問題及其根本原因。 提供及時的解決方案，以防止事故再次發生。 提供改進建議。

DSS04(all) — Managed Continuity(To SRE)
建立並維護一個計劃，使業務和 IT 單位能夠回應事故並快速適應服務中斷。 這將使關鍵業務流程和所需的 I&T 服務能夠持續運行，並將資源、資產和資訊的可用性保持在企業可接受的水準。

MEA01.04 — Analyze and report performance
定期審查和報告目標績效。 使用一種能夠提供簡明的 I&T 績效全方位視圖並適合企業監控系統的方法。

MEA01.05 — Ensure the implementation of corrective actions
協助利害關係人進行”識別、啟動和追蹤”糾正措施以解決異常情況。

MEA02(all) — Managed System of Internal Control
持續監控和評估控制環境，包括自我評估和自我認知。 使C-Level能夠識別控制缺陷和低效能，並啟動改進行動。 計劃、組織和維護內部控制評估和過程流程有效性的標準。