CobiT for Risk - инверсированный Cobit 5
svguzik
Автор: Публикация >>
Недавно вышедший документ является не просто еще одним руководством для узко профессиональной области (как Cobit for Information Security), и даже не высокоуровневым руководством (как Risk IT\ISO 31000)... теперь это +1 (т.е. уже второй) способ "продавать" внедрения процессов, ведь в руководстве показано как подводить фактически все процессы Cobit под риски - как контрмеры;)
 На самом деле идея давно витала в воздухе, возьмем, например, информационную безопасность. Мы можем внедрять ISO 27001 для получения доступа на "вкусный" тендер по ИТ-аутсорсингу, или для снижения риска неэффективных инвестиций в безопасность. Или возьмем более бытовой пример - мы можем купить кредитную карту для получения бонусов в партнерской сети, или для снижения риска кражи наличности из дома.
 Т.е. практически любая активность может быть обоснована как за эффективность (например), так и против риска неэффективности.
 Так что хотя к самому руководству Cobit for Risk у меня есть много вопросов (ИБ туда можно было бы интегрировать лучше, раздел про людей и компетенции не очень, существование руководства по ИБ непонятным образом стыкуется с контентом руководства по рискам и т.п.), сам стандарт представляет собой удобный методический инструмент для обоснования внедрения процессов уже "против" рисков а не для удовлетворения бизнес-потребности. Что, кстати, приводит к мысли, что управление рисками - банально часть маркетинга в широком смысле.

COBIT 5 доступен на русском языке
lamykin
Стал доступен русский перевод первой книги COBIT 5. PDF можно скачать с сайта ISACA по ссылке. Обращаем ваше внимание на то, что русский вариант могут получить бесплатно не только члены ISACA, но и все желающие.

Наши поздравления всем, кто приложил руку к работе над переводом!

cobit-team
Tags:

Классная модель по Управлению взаимодействием с поставщиками (ISACA)
lamykin
Из блога "Жизнь 80 на 20"

ISACA не перестает нас радовать новыми и полезными материалами. Сейчас членам ISACA доступен документ "Vendor Management Using COBIT5" и набор полезных приложений к нему (toolkit). Документ большой, в нем 196 страниц, примерно половину занимают приложения с маппингом и шаблонами документов. В нем собраны "лучшие практики" и модель взаимодействия с поставщиками услуг и решений. И, как вы уже догадались, все это изложено с точки зрения методологии COBIT5.
Read more...Collapse )
Tags:

Руководство и управление ИТ: мотивы и возможности
svguzik

Руководство и управление ИТ: мотивы и возможности

Роман Журавлев (r.jouravlev@cleverics.ru)

Год назад, в апреле 2012-го, вышли в свет первые три публикации обновленного свода знаний в области руководства, управления и контроля ИТ. Новая версия называется COBIT 5, и это не просто обновление популярного подхода, это качественно другой продукт: с иным охватом, иной целевой аудиторией, иной структурой и претензией на новую, более важную роль в системе знаний об управлении корпоративными ИТ.

Read more...Collapse )

Опубликована COBIT 5 Assessment Programme
lamykin
30 января ISACA опубликовала долгожданную программу оценки процессов, основанную на COBIT 5 и стандарте ISO/IEC 15504-2:2003 Information technology—Process assessment—Part 2 Performing an assessment. Результаты оценки позволяют определить возможности процессов и могут быть использованы для:
• усовершенствования процессов
• измерения степени достижения текущих или прогнозируемых целей бизнеса
• бенчмаркинга
• обеспечения соответствия политикам и процедурам организации

Программа оценки процессов включает в себя три публикации:
- модель оценки процессов - COBIT Process Assessment Model (PAM): Using COBIT 5
- руководство эксперта по оценке - COBIT Assessor Guide: Using COBIT 5
- руководство по самооценке - COBIT Self-Assessment Guide: Using COBIT 5
К руководству по самооценке прилагается toolkit - набор Excel'овских шаблонов.

Все материалы доступны для заказа на сайте ISACA в бумажном и электронном виде. Члены ISACA могут загрузить электронные версии всех документов (кроме руководства эксперта по оценке) бесплатно.

Презентация про CobiT от Ernst&Young
svguzik
Презентация про CobiT от Ernst&Young
http://www.slideshare.net/malvvv/ernst-young-cobit

Cертификация по COBIT 5
lamykin
APMG вчера опубликовал очередной пресс-релиз по поводу курсов и сертификации уровня Foundation по COBIT 5. Но новости опять какие-то невнятные. На сайте ISACA до сих пор висит информация о том, что программа курса/теста доступна, а экзамен APMG запустит с 19 ноября. На дворе уже декабрь, а у APMG на сайте вся программа сводится к четырем пунктам и по тесту есть только описание формата (multiple choice, 50 вопросов на 40 минут, проходной балл - 50%). Где/как его сдавать (ATO? Pearson VUE?) - неясно. В общем что-то у них с ISACA пока не складывается...

Нас часто спрашивают ....
svguzik
Нас часто спрашивают:
- Как будет переведено название книги CobiT 5.0 "Implementation"?
Отвечаем: 
- Перевод планируется необычный - "Внедрение". 

Результаты обсуждения перевода
jour_civil
На встрече 02 августа обсудили несколько вопросов перевода, в том числе все ранее упомянутые в этом журнале. Вот что решили:

-

Оригинальный термин

Перевод

Комментарии

P/S, GEIT, RACI…

P/S, GEIT, RACI…

Не русифицируем аббревиатуры; дополняем словарь списком аббревиатур

Enabler dimensions

Атрибуты факторов влияния

Наиболее точно отражает суть. Перевод «измерение» создает путаницу с measurements.

Reference model

Эталонная модель

Принятый в ГОСТах перевод

Framework

Часть COBIT и др BOKs – методология.

Принятая практика предприятия – возможно слово «подход»

Monitor / monitoring

Мониторинг

Не отслеживание: (1) устоявшийся термин, (2) удобнее работать с сокращениями типа MEA

efficiency

Эффективность

Преемственность по отношению к переводу 4.1.

effectiveness

Результативность

Преемственность по отношению к переводу 4.1.; верно передает суть.

chargeback

Внутренний хозрасчет

По сути соответствует определению в глоссарии; решающего значения не имеет, т.к. нигде кроме глоссария не встречается.

APO05

Управление портфелем инвестиций

Верно отражает суть процесса, помогает отделить от Project portfolio, service portfolio etc.

APO10

Управление поставщиками

В отличие от ITIL и DS2, в COBIT 5 это не только поставщики услуг (подрядчики), но и поставщики инфраструктуры и ПО. Поэтому используем более универсальный термин.

Plan – Build – Run - Monitor

Планирование – создание – использование – мониторинг

Требует обсуждения в части Build (создание или построение) и Run (применение или использование).

MEA

Мониторинг, измерение, оценка

Monitor – мониторинг (см. выше), Evaluate – измерение (математическая оценка), Assess – оценка (аналитическая, экспертная – с учетом информации, полученной при измерении). Поддерживает модел типа DIKW (мониторинг – сбор данных, измерение – преобразование в информацию, оценка – формирование знаний)

APO

Координация, планирование, организация

Align – координация: передает суть и гораздо благозвучнее «выравнивания»

BAI

Построение, приобретение и внедрение

Если Build – построение здесь, то и в PBRM – тоже построение (см. выше)

DSS

Обслуживание, эксплуатация, сопровождение

Преемственность в отношении перевода 4.1.

Вариант – «Предоставление, эксплуатация и поддержка»: во-первых, ближе к оригиналу, во-вторых, ближе к терминологии ITSM, в-третьих, хорошо ложится на содержание домена: DSS01 – эксплуатация, 002-003 – поддержка, 004-006 – предоставление (как и в ISO 20000)

MEA01 Conformance?

Мониторинг, измерение и оценка производительности и согласованности

Не «соответствие», потому что возникнет путаница с compliance.

DSS01

Управление эксплуатацией

Соответствует терминологии ITIL, верно передает суть процесса

BAI03

Управление выбором и построением решений

Если Build – построение. См. выше PBRM и BAI.

Incomplete process

Неполный процесс

Терминология соответствует ГОСТ-Р 15504-2:2009 

Performed process

Осуществлённый процесс

Managed process

Управляемый процесс

Established process

Установленный процесс

Predictable process

Предсказуемый процесс

Optimising process

Оптимизирующий процесс





Варианты перевода
svguzik
Service desk and incident management 
1. Сервис-деск и управление инцидентами
или
2. Поддержка пользователей и управление инцидентами (рекомендую)

Performance monitoring
1. Отслеживание производительности
2. Мониторинг производительности (рекомендую)

?

Log in