Principios de aplicación de los estándares COBIT
La planificación del sistema es el primer paso en la construcción de sistemas de información, incluyendo las metas estratégicas, políticas y limitaciones, planes y análisis de indicadores del sistema de información; estructura funcional y organización del sistema de información y gestión de personal; análisis de beneficios e implementación de sistemas de información. La calidad de la planificación tiene un impacto crucial en el éxito o fracaso de la construcción de sistemas de información. ¿Qué contenidos específicos e indicadores de medición incluye el sistema de información? ¿Cómo avanzar? ¿Cuántas etapas de desarrollo pasa la implementación de un sistema de información? Estas son preguntas que debemos responder al formular objetivos de gobierno de TI empresarial, lo que refleja la importancia de definir la planificación estratégica del sistema.
El objetivo general de toda la construcción del sistema de información es optimizar los procesos comerciales centrales de la gestión empresarial, mejorar la eficiencia del trabajo y aprovechar al máximo la macrogestión, la coordinación integral y las funciones de servicio de la empresa. Por lo tanto, en el proceso de construcción de sistemas de información, la construcción de sistemas de soporte clave debe ser el núcleo y la construcción de varios sistemas funcionales de aplicaciones debe ser el objetivo del escenario. En el proceso de construcción a largo plazo, debe integrarse gradualmente con otros sistemas de gestión de información discretos y varios sistemas de soporte de información para eventualmente formar un sistema de información relativamente completo.
Un buen plan de sistema de información debe tener varias características:
En primer lugar, el plan en sí debe ser claro y fácil de entender, y debe convertirse en un concepto que pueda entenderse y reconocido por la mayoría de la gente. El plan debe ser aprobado por el grupo de liderazgo;
En segundo lugar, el plan debe ser relativamente específico. No sólo debe establecer un objetivo sino también explicar cómo alcanzarlo. En otras palabras, es necesario no sólo aclarar el objetivo final del desarrollo de la empresa, sino también explicar cómo construir rápida y económicamente el sistema de información bajo el nivel actual de desarrollo de la empresa;
En tercer lugar, los objetivos de planificación deben ser mensurables. De lo contrario, no podremos juzgar si avanzamos hacia nuestros objetivos y en qué etapa de desarrollo nos encontramos actualmente.
Por último, la planificación debe basarse en un relevamiento de información interna y externa.
Cuanto más tiempo y energía se invierta en la etapa de planificación del sistema, mejor será el diseño y la implementación futuros, menos tiempo se dedicará y menos dificultades y giros se encontrarán en el futuro. La planificación eficaz del sistema conduce a la realización de una interfaz amigable del sistema, la asignación y el uso racional de los recursos del sistema de información, ahorrando así la inversión en el sistema de información y también se puede utilizar como estándar para evaluar el trabajo del personal del sistema de información, aclarar su dirección, y movilizar su entusiasmo.
2. Definir la arquitectura de la información.
El establecimiento de la arquitectura de la información completa principalmente las siguientes tareas:
A.
Establecer diccionario de datos y reglas gramaticales para el procesamiento de datos. La estructura de la información y los estándares de datos e información que se mencionarán aquí. La estructura de la información se refiere a la forma organizativa y la estructura de la información, incluida la longitud y la estructura de la información y la relación entre la información. La definición de estructura de información debería facilitar la organización de los sistemas de información. Al establecer y mantener un modelo de información, se puede establecer un sistema de información adecuado para que la información empresarial se pueda utilizar de manera óptima. La estructura de información incluye lo siguiente: documentos, diccionarios de datos, reglas de sintaxis de datos y todas las relaciones y clasificaciones de datos. Los estándares de datos e información definen y estipulan claramente claramente los estándares para la información empresarial y las especificaciones para su recopilación y aplicación. Además, deben especificar el ciclo de vida de la información gubernamental y las cuestiones de gestión en cada etapa del ciclo de vida.
B. Establecer un plan de clasificación de datos.
C. Dividir los niveles de seguridad. Desde una perspectiva de aplicación, el flujo de información y los datos transportados por los sistemas de información empresarial son muy importantes y tienen ciertos requisitos de seguridad y confiabilidad. Por lo tanto, al construir un sistema de gobierno electrónico, podemos abordar este problema desde tres niveles:
(1) Garantizar la independencia técnica de los sistemas de aplicaciones centrales y los enlaces clave en cada plan de implementación. En este nivel de sistemas de aplicación, la tecnología avanzada no es la primera prioridad. Lo que hay que señalar aquí es que el significado de autonomía tecnológica es relativamente amplio. Tomando como ejemplo la tecnología de software, el software con tecnología independiente no se refiere al software escrito por técnicos nacionales en una plataforma de sistema desarrollada por mi país.
Puede incluir software escrito por personal técnico nacional que depende de plataformas y desarrollo de sistemas extranjeros, e incluso puede incluir software escrito directamente por empresas de software extranjeras, pero nuestro personal debe dominar los algoritmos clave y las interfaces de reutilización.
(2) Para la capa que está fuera de la capa central pero que tiene una capa de aislamiento monitoreable de otros sistemas de información externos (como Internet), se pueden utilizar tecnologías avanzadas tanto como sea posible para mejorar la eficiencia. y confiabilidad del sistema.
(3) Las partes directamente conectadas a sistemas de información externos deben considerarse según diferentes situaciones. Para los sistemas de monitoreo de seguridad, es necesario garantizar la independencia técnica de sus partes centrales (como los algoritmos de cifrado centrales para el resto, dado que la información transportada es básicamente información no crítica, la interfaz con otros sistemas de información debe estar disponible); Se debe mantener la coherencia sistemática de los protocolos de comunicación, los formatos de datos e incluso el software y, por lo tanto, no se deben imponer requisitos de autonomía técnica.
3. Determinar la dirección técnica.
El desarrollo de las empresas modernas es inseparable de la tecnología de la información moderna. Debido a que las empresas pertenecen a diferentes industrias y utilizan diferentes tecnologías, cada empresa debe determinar la dirección general de la tecnología empresarial al implementar el gobierno de TI. Establecer un marco técnico para desarrollar sistemas de información y aprovechar al máximo las ventajas técnicas que se han dominado y están disponibles. Por lo general, el sistema de información de una empresa incluye cinco tecnologías: plataforma de red de comunicaciones, hardware del sistema informático y plataforma de software del sistema operativo, integración de bases de datos, plataforma de software de aplicaciones, sistema de seguridad y estándares de seguridad. La elección de la dirección técnica debe coincidir con las necesidades de desarrollo de los sistemas de información empresarial. No sólo debe garantizar el avance de la tecnología y satisfacer las necesidades del desarrollo de la información empresarial, sino también considerar plenamente los recursos, la mano de obra y los gastos de equipo necesarios dentro del presupuesto. La elección de la dirección técnica debe cumplir los siguientes requisitos:
a Dejar espacio para una futura expansión del sistema de gobierno electrónico, y la tecnología utilizada debe actualizarse sin problemas;
B. Tiene alta confiabilidad, escalabilidad, interoperabilidad y múltiples capacidades de gestión de recursos necesarias para la coexistencia de múltiples sistemas;
C. Planificación de la infraestructura técnica;
D. Siempre preste atención a las tendencias de desarrollo tecnológico y sus consecuencias. Normas pertinentes;
E. En el contexto de un rápido desarrollo tecnológico, tratar de garantizar la coherencia de la infraestructura técnica;
F. Prestar atención al equilibrio de la adquisición de hardware y software;
G. Preste atención a diversas normas técnicas y trate de cumplirlas.
4. Definir organizaciones y relaciones.
A. Implementar la planificación de TI o establecer varios comités de liderazgo;
B. Establecer la dirección organizacional del departamento funcional de TI
C. la empresa;
D. Aclarar las funciones y responsabilidades respectivas;
E. Aclarar las responsabilidades de garantía de calidad, seguridad lógica y física;
F. Puesto de gerente;
G. Establecer relaciones de propiedad entre los datos y varios sistemas;
H. Implementar monitoreo y división de responsabilidades;
1. y puestos del personal científico y tecnológico;
J. Aclarar la relación entre el diversos personal y departamentos;
5. Inversión en tecnología de la información.
Con el desarrollo de la informatización empresarial, la inversión en TI se ha vuelto cada vez más importante. La gestión eficaz de la inversión en TI es beneficiosa para el gobierno de TI empresarial. Específicamente, es necesario:
A. Desarrollar un presupuesto de operación de TI cada año;
B. Monitorear los costos y beneficios de la inversión en TI; . Verificar la exactitud de los costos y beneficios de la inversión en TI;
6. Establecer objetivos y direcciones de gestión de la comunicación.
Dado que las empresas siempre se encuentran en un entorno de red moderno, la calidad de la comunicación es crucial para el desarrollo de las empresas. Por tanto, a la hora de organizar y planificar un negocio se deben establecer los objetivos y dirección de la gestión de la comunicación. Específicamente, es necesario hacer lo siguiente:
A. Establecer un ambiente de control de la información positivo para la empresa;
B. Definir las responsabilidades de gestión en las políticas corporativas;
C. Las políticas empresariales incluyen políticas de comunicación, políticas de mantenimiento de la comunicación y políticas para coordinar diversos procesos y estándares de comunicación;
D. Establecer comités de gestión de la calidad de la comunicación relevantes;
D. >
E. Especificar políticas relativas a la seguridad y el marco de control de Internet;
F. Aclarar los derechos de propiedad intelectual;
G. Desarrollar políticas relevantes para el manejo de algunas cuestiones especiales. p>
H. Establecer un mecanismo de alerta temprana de seguridad informática en las comunicaciones;
7.
La gestión de recursos humanos empresariales es un aspecto importante de la gestión empresarial, que incluye principalmente: contratación, formación, promoción, reserva y racionalización de empleados; cómo mejorar la división de responsabilidades de los empleados en diferentes departamentos; del desempeño laboral de los empleados Evaluación, despidos y cambios de trabajo, etc.
8. Velar por el cumplimiento de los requisitos externos.
Primero, examinar las necesidades externas; luego, implementar prácticas y procesos que satisfagan las necesidades externas, tratar de coordinar la seguridad corporativa y el entorno humanista, y prestar atención a proteger los derechos e intereses legítimos del flujo de datos y la propiedad intelectual; celebrar reuniones electrónicas periódicas. Realizar una lluvia de ideas; por último, tratar de garantizar la coordinación entre la planificación y organización empresarial y los contratos de seguros.
9. Evaluar riesgos
Utilizar ciertos métodos y reglas de evaluación para evaluar los riesgos comerciales; luego formular un plan de acción de riesgos, establecer un comité para abordar los riesgos corporativos y formular planes alternativos para abordarlos. lidiar con los riesgos, estimar los diversos riesgos que la empresa puede tolerar.
10. Gestionar proyectos
Desarrollar un marco de gestión de proyectos, involucrar a los departamentos usuarios en las primeras etapas del proyecto, planificar el plan principal del proyecto, el plan y los métodos de garantía de calidad del sistema, y aclarar. las responsabilidades de los miembros del equipo del proyecto, desarrollar planes de capacitación, planes de prueba y planes de revisión después de que se complete el proyecto, y finalmente aclarar el proyecto y obtener su aprobación.
11. Calidad de la gestión.
A. Desarrollar un plan general de gestión de calidad
B. Elegir un método de garantía de calidad razonable
Aseguramiento de calidad basado en el cumplimiento de los estándares de TI y los procedimientos de procesamiento.
D. Desarrollo de sistemas con ciclo de vida
E. Para cambios importantes en la tecnología existente, el desarrollo de sistemas también se implementa utilizando el método del ciclo de vida.
f.Incluso si se actualiza el método del ciclo de vida del desarrollo del sistema.
G. Centrarse en la colaboración y la comunicación
H. Mantener el marco técnico básico
J. Aclarar la relación con los terceros ejecutores
p>
K. Desarrollar estándares de prueba de programas, estándares de prueba de sistemas y estándares de generación de documentos.
I. Realizar pruebas paralelas/guiadas
Documentación de prueba del sistema relacionado con la generación de longitud
Medidor (abreviatura de medidor)) para la evaluación de la calidad según los estándares de desarrollo.
Realizar una evaluación de calidad para comprobar si cumple con sus objetivos.
O. Establecer reglas de calidad
Página (abreviatura de página) genera un informe de revisión de control de calidad1 y determina soluciones automatizadas.
A. Realizar un análisis adecuado de los requisitos del sistema
Un análisis completo del sistema debe cumplir los siguientes cuatro requisitos:
El primero es la coherencia, todos los requisitos deben ser coherentes. Ningún requisito puede entrar en conflicto con otros requisitos;
El segundo es la exhaustividad, los requisitos deben ser completos y las especificaciones deben incluir cada función o desempeño en el ejercicio de los deberes gubernamentales;
Tercero La realidad requiere que se utilicen tecnologías de hardware y software existentes para implementarla. Podemos predecir el progreso de la tecnología de hardware, pero es difícil predecir el progreso de la tecnología de software. Sólo podemos juzgar las necesidades reales desde el nivel técnico existente:
Finalmente, la eficacia, la demanda debe resolver verdaderamente los problemas que enfrenta la gestión empresarial actual.
B. Estudiar la viabilidad de diversas soluciones
Un estudio de viabilidad es esencialmente un proceso de análisis y diseño de un sistema a un nivel superior de forma abstracta, con el propósito de determinar si puede ¿Se resolverá el problema al menor coste y en el menor tiempo posible? Es necesario analizar los pros y los contras de varias soluciones para juzgar si los objetivos y la escala de la construcción del sistema son realistas y si los beneficios sociales y económicos que aporta a la empresa una vez completado el sistema son lo suficientemente grandes como para desarrollarlos. Para cada solución, se debe estudiar su viabilidad desde al menos los siguientes tres aspectos:
(1) Viabilidad técnica: ¿Se puede realizar este sistema con la tecnología existente?
(2) Viabilidad económica: ¿Pueden los beneficios socioeconómicos generados por la implementación del sistema superar sus costos de desarrollo?
(3) Viabilidad operativa: ¿Es actualmente factible el modelo operativo del sistema en todos los departamentos de la empresa?
C. Desarrollar estándares de tecnología de la información y establecer especificaciones de implementación del proyecto.
La información principal y los estándares técnicos son:
(1) Sistema de código estándar del sistema empresarial, estándar de nomenclatura de nombres de dominio LAN interno, estándar de nomenclatura de nombres de dominio WAN, estándar de nomenclatura de direcciones IP de LAN, Dirección IP WAN Estándares de nomenclatura.
(2) Especificaciones de diseño y desarrollo, incluidos todos los estándares y especificaciones involucrados en el proceso de diseño y desarrollo, que incluyen principalmente: especificaciones de diseño de procesos comerciales, especificaciones de diseño de software, especificaciones de diseño de bases de datos, especificaciones de diseño de interfaz de usuario, especificaciones de usuario. Especificaciones de diseño para mecanismos de autorización de clasificación y especificaciones de manejo unificado para salidas de excepción del programa.
(3) Especificaciones de desarrollo de software, incluidos procesos, pruebas, documentación y otras especificaciones.
D. Determinar modelos y métodos de desarrollo.
2. Recopilar y mantener el software de aplicación.
Primero, a partir de la determinación del método de desarrollo, generar documentos relevantes para la definición de requisitos. Luego, determine el plan de diseño. El plan de diseño debe incluir contenidos importantes del desarrollo del sistema, como especificaciones del programa, métodos de recopilación de datos de origen, definiciones de interfaz, definiciones de interfaz de usuario, definiciones de entrada y salida del sistema y luego evaluar la controlabilidad y la clave. diseño del plan de diseño. La practicidad de los elementos y si se puede proporcionar su integración. Finalmente, sujeto a aprobación, realizar ajustes y cambios importantes al sistema existente y reevaluar el plan de diseño.
3. Adquirir y mantener infraestructura técnica.
La arquitectura del sistema de información es crucial para la construcción de todo el sistema de información, por lo que todos los departamentos de la empresa deben prestar atención a la construcción de la arquitectura básica. Específicamente: evaluar correctamente el nuevo hardware y software; realizar el mantenimiento preventivo del hardware; realizar la instalación, el mantenimiento y la seguridad del software del sistema; controlar y gestionar los cambios de software;
4. Desarrollar y mantener procedimientos.
Comprender las necesidades operativas de los usuarios, producir diferentes manuales de operación según los diferentes niveles de servicio y proporcionar ciertos materiales de capacitación.
5. Instalar y autorizar el sistema.
Después de desarrollar y probar el nuevo sistema, entramos en la fase de instalación. En este momento, es necesario aclarar el plan de implementación de la instalación y prestar atención a la conversión entre el sistema y los datos. Una vez completada la instalación, se probará. El proceso de inicio es: primero desarrollar una estrategia y un plan de prueba, y luego probar el sistema recién instalado desde aspectos como cambios del sistema, seguridad del sistema y operación del sistema. Se pueden realizar pruebas específicas basadas en estándares paralelos/piloto. Finalmente, cuando el nuevo sistema pasa la prueba, se evalúa y resume desde la perspectiva de satisfacer las necesidades del usuario.
6. Gestión de cambios del sistema (Manage Changes)
Desde el principio, debemos prestar atención a las necesidades de los cambios del sistema, evaluar completamente el impacto de los cambios, implementar los controles necesarios. , y generar documentos relevantes. Realizar determinados mantenimientos y gestión. 1. Definir niveles de servicio y gestionarlos.
Desarrollar un marco de nivel de servicio, que debe definir y describir claramente todos los aspectos involucrados en el servicio, los procedimientos de procesamiento del servicio, los términos del servicio, el monitoreo del servicio, la generación de informes relacionados y los procedimientos de mejora del servicio.
2. Gestionar servicios de terceros.
Algunos servicios en las empresas modernas provienen de terceros, por lo que también debemos implementar una buena gestión de los servicios de terceros. Específicamente, debemos tomar en serio los contratos de servicios de terceros y los contratos de subcontratación proporcionados por los proveedores; y monitorear la propiedad del servicio, el aseguramiento de la calidad de las relaciones de seguridad y la consistencia del servicio.
3. Gestionar el desempeño del servicio
En primer lugar, es necesario aclarar los requisitos y la viabilidad del desempeño del servicio, especificar soluciones factibles y comprender la disponibilidad y planificación de los recursos; Luego, las herramientas de modelado se utilizan para implementar una gestión eficaz de los recursos y del desempeño, monitorear y generar informes relevantes y predecir el cumplimiento del trabajo.
4. Garantizar la continuidad de los servicios
Desarrollar un marco, una estrategia y principios para la coherencia de la tecnología de la información; aclarar el contenido específico para garantizar la coherencia de la TI; También es necesario capacitar al personal relevante en esta área. Además, el sistema debe tener alta confiabilidad y capacidades de recuperación de fallas de alto nivel, por lo que es necesario establecer un sistema de respaldo completo. La copia de seguridad del sistema incluye copia de seguridad de entidades físicas, copia de seguridad de redes de comunicación, copia de seguridad de datos y copia de seguridad del sistema de aplicaciones. Una copia de seguridad completa del sistema debe cumplir los siguientes ocho principios: estabilidad, amplitud, automatización, alto rendimiento, seguridad, operación simple, practicidad y tolerancia a fallas.
5. Garantizar la seguridad del sistema
La seguridad del sistema es un vínculo muy importante en la gestión del sistema de información empresarial. Para hacer un buen trabajo en esta área, primero debemos autorizar el acceso a los recursos, confirmar la identidad, clasificar los datos y tomar disposiciones pertinentes para los datos a los que se puede acceder en línea.
Administrar cuentas de usuario y limitar a los usuarios a controlar sus propias cuentas; formular reglas detalladas de evaluación de la gestión de seguridad, implementar monitoreo de seguridad y administración de contraseñas y generar informes de seguridad con regularidad; establecer un mecanismo para manejar emergencias; prevenir medidas de infracción maliciosas; establecer una arquitectura de firewall para redes públicas.
6. Divida claramente los costos
Tenga claro los costos controlables, maneje la asignación de costos de acuerdo con el proceso prescrito y preste atención a los comentarios de los usuarios.
7. Formar y educar a los usuarios.
Aclarar las necesidades de capacitación de los usuarios, formular planes de capacitación planificados, mantener la sensibilidad a la capacitación y realizar mejoras oportunas.
8. Realizar actividades de asistencia al cliente
Atender a los clientes puerta a puerta, analizar cuidadosamente diversas situaciones planteadas por los clientes y resolver diversos problemas solucionables.
9. Gestión de estructuras
Registrar información de configuración del sistema, definir requisitos básicos para la configuración del sistema y descripción del software, implementar control de configuración, almacenar software y tomar las medidas correspondientes contra software no autorizado.
10. Gestión de problemas y emergencias
Establecer un sistema de gestión de problemas para rastrear y abordar los problemas, tomar medidas de autorización para emergencias y visitas temporales, y priorizar el procesamiento.
11. Gestión de datos
En primer lugar, debemos hacer un buen trabajo en la preparación de datos, establecer documentos de recopilación de recursos de datos fuente y manejar rápidamente los errores en los documentos y en los datos. proceso de acceso y tramitación. El tratamiento de estos ficheros y la introducción de datos deberán realizarse bajo la premisa de autorización, debiendo comprobarse la exactitud, exhaustividad y autorización de los datos. Al mismo tiempo, se realizan procesamiento de coordinación de saldos, manejo de errores y controles de seguridad en la salida de datos. Se debe tener cuidado de proteger la información confidencial en las transacciones y el procesamiento de transacciones, para garantizar la integridad de las transacciones electrónicas y la coherencia del almacenamiento de datos. Además, se debe gestionar el almacenamiento de datos, establecer una biblioteca multimedia para el sistema de gestión, aclarar las responsabilidades de la biblioteca multimedia y realizar diversas copias de seguridad.
12. Gestión de instalaciones
La gestión de instalaciones mencionada aquí incluye principalmente las instalaciones de gestión de seguridad física, el marco subyacente de los sitios de TI, la salud y seguridad de los empleados, la protección del medio ambiente, el suministro de energía y otras instalaciones. gestión.
13. Gestión de operaciones
La operación de los sistemas de información es inseparable de diversas operaciones, por lo que la gestión de operaciones es también uno de los eslabones más importantes en las publicaciones y los servicios. Específicamente, es necesario establecer procedimientos e instrucciones operativas, redactar diversos documentos operativos, generar registros de operación, organizar el trabajo de manera planificada de acuerdo con los estándares, tratar de garantizar la continuidad del trabajo, utilizar los formularios de seguridad correspondientes para registrar los dispositivos de salida y pagar. Atención a la gestión de operaciones remotas. Una vez publicado e implementado el sistema de información, se deben tomar medidas de monitoreo efectivas para monitorearlo y descubrir lagunas y defectos del sistema de manera oportuna para que pueda funcionar de manera saludable. En el estándar COBIT, se formulan las siguientes reglas para la implementación del trabajo de monitoreo:
1. Control del programa
El proceso de monitoreo es el eslabón más básico del monitoreo. Específicamente, primero debemos recopilar varios datos de monitoreo, evaluar varios desempeños, luego evaluar la satisfacción del usuario y finalmente generar los informes de gestión correspondientes.
2. Realizar una evaluación adecuada de los controles internos.
El control interno de la empresa también debe monitorearse de manera oportuna y necesaria para garantizar la seguridad y el buen funcionamiento del control interno y generar informes relevantes.
3. Garantizar la independencia.
La independencia de la gestión implica la independencia de seguridad de los servicios de TI, los proveedores de servicios externos y la evaluación de la calificación de los controles internos. Por lo tanto, debemos evaluar correctamente si los servicios de TI y los servicios de terceros han logrado una independencia efectiva y, al mismo tiempo, garantizar la independencia de los servicios de TI y los servicios de terceros y lograr diversas funciones de independencia mientras cumplimos con las leyes y regulaciones pertinentes. e incorporar elementos de auditoría.
4. Proporcionar las condiciones necesarias para una auditoría independiente.
El departamento de auditoría interna del sistema de información debe ser independiente de los departamentos funcionales de TI del gobierno y de los departamentos de usuarios finales en términos de estatus organizacional. La auditoría interna debe seguir los siguientes pasos:
Primero, determinar los límites y el alcance del sistema de información que se va a auditar y aclarar el propósito de la auditoría;
En segundo lugar, seleccionar la auditoría adecuada. métodos, como el método de observación de resultados, el método de comparación de analogías, el método de evaluación de expertos o el método de puntuación para determinar los indicadores de evaluación apropiados.
Luego, recopile datos e información relevantes para el análisis y cálculo, obtenga los resultados de la auditoría y prepare un informe de auditoría.
El informe final de auditoría no debe contener términos profesionales, para que la empresa; La gerencia puede entenderlo incluso si no lo es. Comprender los sistemas de información, comprender los informes de auditoría, conocer los problemas existentes y tomar decisiones correctas.