سازمانها تقریبا در تمام بخشهای کسب و کار خود از IT استفاده می نمایند و همواره سرمایه گذاری های زیادی در خصوص IT در جهت ایجاد مزیت رقابتی و نیز برآوردن انتظارهای ذینفعان،انجام می گردد و این مسئله برای بانک ها و یا شرکت هایی که خدمات IT ارائه می دهند نیز به مراتب بیشتر می باشد.
از این رو دغدغه اصلی مدیران سازمان:
ایجاد مزیت های رقابتی از به کارگیری IT
اطمینان از همسویی IT در کسب و کارشان
اطمینان از سرمایه گذاری انجام شده در خصوص IT می باشد.
و متعاقب آن مسئله اصلی مدیران، مشاوران و کارشناسان فناوری اطلاعات:
نشان دادن فرصت ها و جذابیت سرمایه گذاری IT
استفاده مطلوب و مناسب از IT در ابعاد مختلف کسب و کار
نشان دادن اطمینان از اثر بخشی IT در کسب و کار سازمان
سنجش اثر بخشی و یا آسیب پذیری ها و تهدیدهای مربوط به IT
مدیریت و ارزیابی و سنجش فرآیندها و خدمات ارائه شده IT
ارائه خدمات مطلوب در کمترین زمان و پائین ترن هزینه
تاکنون استاندارد ها و چارچوب های بسیاری در خصوص IT ارائه شده است. سیستم مدیریت یکپارچه مدیریت و راهبری فناوری اطلاعات شامل:
سیستم مدیریت خدمات فناوری اطلاعات
سیستم مدیریت امنیت فناوری اطلاعات
سیستم راهبری فناوری اطلاعات
راه حل دغدغه های اشاره شده می باشد.
برای این منظور می توان از بهترین تجارب هر یک از این سیستم ها (ITIL ،ISMS و COBIT) استفاده نمود.
ارتباط بین این سه استاندارد
برنامه ریزی، اجرا و پیاده سازی فرآیندها، خدمات و ارائه راه کارهای بهبود خدمات IT با ITIL) ISO/IEC20000) امکان پذیر می باشد.
برنامه ریزی، اجرا و پیاده سازی اهداف کنترلی و ارائه شاخص هایی مبنی بر اندازه گیری این فرآیندها و خدمات با COBIT امکان پذیر می باشد.
برنامه ریزی، اجرا و پیاده سازی فرآیندها، خدمات و اهداف کنترلی و ارائه شاخص هایی در جهت امنیت اطلاعات با ISMS امکان پذیر می باشد.
که در این خصوص:
در استاندارد ITIL) ISO/IEC20000) ، به برخی فرآیندهای حوزه ISMS اشاره شده (ولی نه در حد کنترل ها و شاخص های کنترلی)
در استاندارد COBIT، به بسیاری از فرآیندهای ITIL اشاره شده (تنها در حد کنترل ها و شاخص های کنترلی)
در استاندارد COBIT، به بسیاری از فرآیندهای ISMS اشاره شده (تنها در حد کنترل ها و شاخص های کنترلی)
پیاده سازی سیستم پیشنهادی
گام اول: ارزیابی وضع موجود و تعیین دامنه
شناخت وضع موجود، پیش بینی وضع مطلوب و تحلیل فاصله بر اساس مدل بلوغ و شاخص های کنترلی استاندارد COBIT، انجام خواهد شد.
گام دوم: تحلیل فاصله با وضع مطلوب
پس از تحلیل و بررسیهای صورت گرفته میزان فاصله بین وضع موجود و استانداردهای پیشنهادی مورد انتظار مشخص می گردد. شناخت وضع موجود، پیش بینی وضع مطلوب و تحلیل فاصله بر اساس مدل بلوغ و شاخص های کنترلی استاندارد COBIT، انجام خواهد شد.
گام سوم: برنامه ریزی تحقق سطح بلوغ
سیاست ها، روال ها و دستورالعمل های موجود در سازمان در جهت همسو شدن با اهداف چارچوب پیشنهادی بررسی گردیده. این خروجیها به صورت مستندات و جلسات آموزشی متعددی تهیه گردیده که مقدمه تحلیل و طراحی سیستم ITIL قرار می گیرد. (در این گام از فعالیت ها میتوان به اصلاحات در ساختار تیم های اجرایی، تدوین نقشهای سازمانی مطابق و یا نزدیک به نقشهای سازمانی موجود در COBIT و ITIL همانند مدیر درخواست ها و یا مدیر تغییرات اشاره نمود.)
در این مرحله مطابق با چرخه خدمات ITIL، بسته های خدمات تهیه خواهد شد که این بسته ها شامل:
بسته راهبرد خدمات: این بسته شامل فرایندهایی است که به شناسایی نیازها و محدودیتها و طراحی راهبرد فناوری اطلاعات بر اساس راهبرد کسب و کار میپردازند. به طور کلی این که چه خدماتی به مشتریان می بایست ارائه نمائیم، چگونه از رقیبان متمایز شویم، چگونه برای مشتریان ارزش ایجاد شود و … مشخص می گردد.
برخی از مواردی که تهیه خواهد شد عبارت است از:
استراتژی ها و اهداف خدمات (IT Strategy)
توصیف رقابت و فضای بازار (Competition and Market Space)
انواع فراهم کنندگان خدمات (IT Service Provider Types)
طراحی و توسعه سازمان (IT Organization Design and Development)
شاخص های کلیدی فناوری اطلاعات برای استراتژی ها
مدیریت مالی (IT Financial Management)
مدیریت پرتفولیو خدمات (IT Service Portfolio Management)
نقش های کلیدی و مسئولیت های کارکنان درگیر در استراتژی خدمات (IT Key Roles and Responsibilities of Staff engaging in Service Strategy)
بسته طراحی خدمات: این بسته شامل فرایندهایی است که خدمات مورد نیاز را از جوانب مختلف طراحی کرده و کارایی آنها را تنظیم مینماید.
برخی از مواردی که تهیه خواهد شد عبارت است از:
قوانین و الزامات (IT Policies Design of Architecture)
بسته طراحی خدمات (IT SDP – Service Design Package)
مدیریت کاتالوگ خدمات (IT Service Catalog Management)
مدیریت سطح خدمات (IT Service Level Management)
طراحی برای مدیریت ظرفیت (IT Designing for Capacity Management)
تداوم خدمات (IT IT Service Continuity)
امنیت اطلاعات (Information Security)
مدیریت تامین کنندگان (IT Supplier management )
نقش های کلیدی و مسئولیت کارکنان درگیر در طراحی خدمات (IT key roles and responsibilities for staff engaging in service design)
بسته انتقال خدمات: این بسته شامل فرایندهایی است برای مدیریت تغییرات و پیادهسازی خدمات جدید بر اساس طرح خدمات، سازگار با خدمات موجود و با هدف حفظ کارآمدی خدمات.
برخی از مواردی که تهیه خواهد شد عبارت است از:
دارایی خدمات (IT Service Asset)
مدیریت پیکربندی IT برای کلیه منابع (IT Configuration Management)
برنامه ریزی و پشتیبانی انتقال (IT Transition Planning and Support)
مدیریت توسعه و نسخه (Release and Deployment Management)
مدیریت تغییرات (IT Change Management)
مدیریت دانش (IT Knowledge Management)
نقش های کلیدی کارکنان درگیر در انتقال خدمات (IT Key Roles of Staff engaging in Service Transition)
بسته عملیات خدمات: فرایندهای این فاز به مدیریت و نگهداری خدمات جاری با هدف حفظ کارایی خدمات در سطح مورد نیاز کسب و کار میپردازد.
برخی از مواردی که تهیه خواهد شد عبارت است از:
روش مدیریت رخدادها (Event Management)
روش مدیریت وقایع (Incident Management)
روش مدیریت مشکلات (Problem Management)
روش مدیریت دارایی ها (Asset Management)
روش میز کمک و خدمات (Service Desk – Help Desk)
نقش های کلیدی و مسئولیت کارکنان درگیر در عملیات خدمات (key roles and responsibilities for staff engaging in Service Operation)
بسته ارتقاء مداوم خدمات: شامل فعالیتهایی با هدف شناخت نواقص و کسب تجربه در طراحی، پیاده سازی و عملکرد خدمات برای تنظیم خدمات موجود و یا طراحی خدمات جدید متناسب با نیازها و نیز اصلاح راهبردها و فعالیتها میباشد.
برخی از مواردی که تهیه خواهد شد عبارت است از:
شناسایی شاخص ها و اهداف کنترلی سطح بالا و جزئی شده IT
روش ممیزی منابع IT
روش بازنگری مدیریت و گزارش بهبود مستمر IT
نقش های کلیدی و مسئولیت کارکنان درگیر در ارتقا خدمات (key roles and responsibilities for staff engaging in Service Optimization)
گام چهارم : طراحی و استقرار فرایندهای ITIL و COBIT
اینگام شامل طراحی تک تک فرایندها، پیادهسازی گام به گام آنها و همچنین سنجش روند پیشرفت فرآیندها است. (در خصوص روند سنجش از کنترل ها و شیوه های کنترلی، اهداف کنترلی، رهنمون های کنترل و … در COBIT5 استفاده خواهد شد.) چارچوب ITIL فرایندها و فعالیتهای متنوعی را برای مدیریت خدمات فناوری اطلاعات معرفی مینماید. در این گام اولین فرآیند پیادهسازی شده، فرآیند مدیریت درخواستها و تغییرات خواهد بود. جهت پیادهسازی این فرآیند با دو گروه مهم از کاربران سازمانی شامل تیم پشتیبانی و سرویسگیرندگان در ارتباط هستیم. رو به رو شدن با مقاومتهایی از جانب افراد سازمان در حین پیادهسازی روال های جدید قابل پیشبینی بوده. به همین دلیل جهت پرهیز از چالشهایی که در تغییر روشهای موجود در سازمان به وجود خواهد آمد، چالشهایی که هم تیمهای پشتیبانی و هم سرویسگیرندگان را متأثر می نماید، آموزش چگونگی گردش کارها، شیوه های جدید ثبت درخواستها، روشهای جدید تعامل با بخش فناوری اطلاعات سازمان و سرویس گیری مناسب از آنها،در دستور کار قرار می گیرد. درنتیجه سازماندهی مجدد تیم فعلی بر اساس طرح آماده شده و اطلاع رسانی سازمانی از جمله کارهایی بوده که در این مرحله صورت می پذیرد.
به مرور سایر فرآیندها (با توجه به دامنه مشخص شده) تدوین و طراحی خواهد شد. از جمله فرآیند های:
مدیریت مالی خدمات و منابع IT
پایش و ارزیابی کنترل داخلی
مدیریت امنیت اطلاعات
مدیریت کاتالوگ خدمات
پایش و ارزیابی کارائی فرآیندها
مدیریت تداوم و پایایی خدمات
مدیریت ریسک IT
مدیریت محیط فیزیکی
مدیریت نوآوری
مدیریت منابع
برنامه ریزی استراتژیک IT
مدیریت منابع انسانی IT
مدیریت پروژه های IT
مدیریت دارائی ها
تهیه و نگهداری نرمافزارهای کاربردی
تهیه و نگهداری زیرساخت فناوری
مدیریت داده ها
مدیریت سطوح خدمات
مدیریت تامین کنندکان
مدیریت کارآیی و ظرفیت منابع
مدیریت امنیت سرویس ها و برنامه ها
مدیریت میز سرویسها و رویدادها
مدیریت پیکربندی
مدیریت مشکلات
گام پنجم: نمودار حوزه ها و نقشه فرآیند های فناوری اطلاعات سازمان
مطابق با چرخه خدمات بهبود ITIL و حوزه های فرآیندی COBIT5 استفاده خواهیم کرد. فرآیندهای خدمات مرحله قبل مطابق با ۵ حوزه فرآیندی مطابق با چارچوب COBIT5 تدوین می گردد و دو مولفه زیر نیز با توجه به راهنمای COBIT5 و ITIL برای سازمان اجرایی می گردد.
نمودار فرآیندی و نقشه فرآیندها
ماتریس نقشها و وظایف (مطابق با RACI)
شرح خدمات پیاده سازی سیستم
در خصوص شرح خدمات با توجه به این که هر سه استاندارد ISMS ،ITIL و CIOBIT شباهت های بسیاری با یکدیگر دارند و از طرفی پیاده سازی کل سیستم به صورت موازی حالت مطلوب آن می باشد، اما می توان هر سه سیستم را به صورت جداگانه نیز پیاده سازی نمود.
ارزیابی و شناخت اولیه Gap Analysis و تهیه دامنه Scope
ارزیابی امنیتی و آزمون نفوذ
آموزش
تهیه بسته های خدمات
تدوین گام به گام فرآیندها
گام اول : ارزیابی وضع موجود
گام دوم : تحلیل فاصله
گام سوم : برنامه ریزی تحقق سطح بلوغ آتی فرآیندها
گام چهارم: طراحی و استقرار فرایندهای ITIL و Cobit
گام پنجم: دسته بندی فرآیندها در چرخه خدمات و حوزه های فرآیندی
نمودار حوزه ها و نقشه فرآیند های فناوری اطلاعات
فهرست برداری از فعالیت های حساس تجاری
شناسایی و طبقه بندی سرمایه های(دارایی های) اطلاعاتی سازمان
شناسایی تهدیدها و آسیب پذیری ها (threats & vulnerability identification)
تهیه متدلوژی مدیریت ریسک فناوری اطلاعات
تهیه، نگهداری و پایش طرح های تداوم جریان کار (BCP)
طرح مدیریت بحران
ارائه راه حل های مناسب امنیت
تهیه و ارائه لیست تجهیزات مورد نیاز (LOM)
تهیه سیاست ها و دستورالعمل های امنیت
تدوین SOA)tatement Of Applicability)
بررسی و بازنگری و بهبود
دیگر استانداردها و چارچوب های مورد استفاده در پیاده سازی سیستم
برای پیاده سازی مطلوب چارچوب پیشنهادی فوق از استانداردهای دیگری نیز در هر یک از گام ها و فرآیندها استفاده خواهد شد:
چارچوبها و استانداردهای متناظر موضوع کاربرد
ISO/IEC 27000 , ISO/IEC 17799 مدیریت امنیت اطلاعات
ISO/IEC 20000 , ITIL مدیریت خدمات فناوری اطلاعات
M_O_R , ISO/IEC27005 مدیریت ریسک فناوری اطلاعات
PRINCEII , OPM3 , PMBOK مدیریت پروژه فناوری اطلاعات
COBIT , ISO/IEC 38500 , COSO , TOGAF راهبری فناوری اطلاعات