Upload
aqel-aqel
View
761
Download
27
Tags:
Embed Size (px)
Citation preview
Introduction to IT Governance
Using COBIT Framework
By Aqel M. Aqel, CISA, MBA
CISA Coordinator & Research Director,
ISACA Riyadh Chapter,
Saudi Arabia
مقدمة في حوكمة تقنيات
المعلومات واالتصاالت نموذج كوبت باستخدام
عقل محمد عقلمدقق نظم معلومات معتمد
فرع الرياض–المعلومات جمعية ضبط وتدقيق نظم
Egyptian Association for ITSM
Fifth Annual ConferenceSaturday, October 5th, 2013
+966-502-104-007
بسم هللا الرحمن الرحيمخلق اإلنسان من علقأقرأ باسم ربك الذي خلق
ربك األكرم الذي علم بالق لم واقرأ
علم اإلنسان ما لم يعلم
صدق هللا العظيم
1
5
2
34
Seminar Outlineخطة العرض
Information Technology Roles
Ttechnical staff
Users departments in organization.
► IT Risks
IT Threats
Governance is a must for Org.
► COBIT 5 Framework
Principles
Processes
Implementation Road Map
► Closure
تقنيات المعلومات واالتصاالتتطور ادوار►
جهاز إدارات المستفيدة من الخدمة
فريق تقنيات المعلومات واالتصاالت
مخاطر تقنيات المعلومات واالتصاالت
نماذج لبعض التهديدات
الحوكمة ضرورة حتمية في المنشأة
5االصدار –نموذج حوكمة كوبت ►
المبادئ►
اإلجراءات►
التطبيق►
خاتمة►
1. Introduction about IT Governance
مقدمة إلى موضوع الحوكمة
Governanceمفهوم الحوكمة
Concept
What is the IT Role in organization?
Back
Office
• Data Storage
• Data Processing
• Offline
• Limited app.
Internet Age
• e-Business / eCommerce
• e-Government
• e-Learning
Remote
User
• Time/place independent
• Networks within one business
• Remote Data Access
Front
User
• Acceptable Availability
• User friendly
• Customer oriented
• Business dependency
Historically it passed few stages
Wireless Age
Experts
Only
• No business usage
• Military/scientific usage
ما هو دور تقنية المعلومات في المنشأة؟
يةمرت بمراحل متتابعة خالل العقود الماض
طللخبراء فق نظم محفوظات جزء من اإلجراء دالتكامل، عن بع ياالقتصاد الرقم
Governanceمفهوم الحوكمة
Concept
IT Impact on business:
• Increasing / Total dependency on IT
• Value of IT investments tangible & intangible
• Higher cost of downtime
• Customer trust / firm reputation
• E-Commerce B2B, B2C …etc. opportunities
• Information creditability
• ICT can control business process
• Data capturing / performance Measurement
االعتماد التام والمتزايد على نظم المعلومات•واالتصاالت
غير قيمة االستثمارات في التقنيات ملموسة و•.ملموسة
قمعلومات المنشأة وقيمتها في السوموثوقية•
ومات الخسائر المتسببة من توقف منظومة المعل•
ذات أثر على سمعة الشركة وثقة العمالء •
فرص التجارة االلكترونية بأنواعها•
م الضبط والرقابة المتحققة من استخدام النظ•والتطبيقات
ة رصد البيانات التي تساعد في قياس وإدار•األداء
What is the Role of IT in organization ?
آثار تقنيات المعلومات على المنشآت
ما هو دور تقنية المعلومات في المنشأة؟
IT Risksمخاطر تقنية المعلومات
Examples • Power / communication / AC
failure
• High demand (may interrupt
normal operations
• Scarcity of resources (material,
transportation, HR)
• Electronic attacks.
• Floods, earth quacks,
volcanoes.
• Wars and terrorism
وى انقطاع التيار الكهربائي، أو مست•
.التبريد، االتصال الشبكي
ول الطلب المتفاقم على الخدمة قد تح•
دون تقديمها
ت ندرة الخبرات في تقنية المعلوما•
في بعض األحيان
الهجوم االلكتروني •
الكوارث الطبيعية•
الحروب•
Business Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business Business
People Owners & workers
للحوكمةالمفهوم المبسط
Governanceمفهوم الحوكمة
Concept
Regulations Local & Global
Assets Tangible & Intangible
• إنتاج المنتجات ، تقديم
الخدمات
• شأةتحقيق إستراتيجية المن
• تنفيذ اإلجراءات وااللتزام
بالتعليمات
• تحقيق رضا أصحاب
العمالء، )المصلحة
(الخ...الشركاء
• التنمية االقتصادية
والمجتمعية
Business Process
WhyWhat
Governance Basic Concept
Stakeholders
المصحلةأصحاب
IT Governance
Framework
إطار عمل لتحقيق
السيطرة
Business Activities
واالعمالالنشاطات
ICT as Business Enabler
Governanceمفهوم الحوكمة
Concept
Information المعلومات
Business Logic & اإلجراءات
Controls الضوابط
IT Infrastructure البنية التحتية
Hardware Software Human Resources
Reportsالتالتقارير والتحلي
IT Process
تقنية المعلومات لتمكين األعمال
► Organization Structure
► Roles and responsibilities
► Policies & standards
► Controls
► Periodic Reporting
► Quality systems
► Internal / External Audit
Governanceمفهوم الحوكمة
Concept Conventional Governance Tools : أدوات ممارسة الحوكمة المؤسسية التقليدية
الهياكل التنظيمية►
المسميات واألوصاف الوظيفية►
السياسات والمنهجيات►
الضوابط بأنواعها►
التقارير الدورية►
منهجيات ونظم الجودة►
المراجعة الداخلية والخارجية►
Governanceمفهوم الحوكمة
Concept Levels Of Governance مستويات الحوكمة
حوكمة
التقنية
Controlled (Governed) IT will:
Governanceمفهوم الحوكمة
Concept
1. Supports business effectively
to Maximize Profits &
optimize costs
2. Business Competitive
advantage
3. New business opportunities
4. Protect IT investment
5. Successful IT Projects
6. Manage IT risks
7. Business continuity
Time
Pro
fit
s $
ف التقنية الخاضعة للسيطرة بالمنشأة سو
دعم أعمال المنشأة بما يزيد 1.
اإلرباح ويضبط النفقات
لمنشأةبناء ميزة تنافسية مستمرة ل2.
فتح آفاق جديدة للعمل3.
حماية استثمارات المنشأة4.
مشاريع تقنية معلومات ناجحة5.
مخاطر تقنية تحت السيطرة6.
استمرارية األعمال في جميع 7.
الظروف
2. Information Technologies Risks
المخاطر المتعلقة بتقنية المعلومات . 2
واالتصاالت
77 % of Web sites with maliciouscode are legitimate sites that have beencompromised.
70 % of the top 100 sites eitherhosted malicious content or contained amasked redirect to lure unsuspectingvictims from legitimate sites to malicioussites.
84.5 % of email messages werespam.
90.4 % of all unwanted emails incirculation during this period containedlinks to spam sites or malicious Websites.
39 % of malicious Web attacksincluded data-stealing code.
57 % of data-stealing attacks areconducted over the Web.
IT Risks مخاطر امن المعلومات
It is Serious. خطيرةانهانعم
Source: recent research by Websense Security Labs™ 2009
77 برامجتحتويالتياإللكترونيةالموقعمن%
.اختراقهاتمبموثوقيةذاتلجهاتمواقعهيخبيثة
70 بعضاحتوتانهاإماموقع100أهممن%
وثوقالمللموقعالمتصفحينتوجهبرامجأوالخبيثةالبرامج
.آمنةغيرلمواقع
84.5 غيررسائلكانتااللكترونيالبريدمن%
.بهامرغوب
90.4 روابطاحتوتالمرغوبغيرالبريدمن%
.تخريبيةصفةذاتأوآمنةغيرلمواقع
39 ةخبيثبرامجتضمنتالتخريبيةالهجماتمن%
.البياناتلسرقة
57 شبكةعبرمنتمتالبياناتسرقةعملياتمن%
.االنترنت
Key Incidents…
...بعض الحوادث
IT Risks..well-known Incidents
Source: Worst Cyber security Meltdowns, by Andy Greenberg, Oct 2007 Forbs.com
In, Maroochy Shire in Queensland,
Australia, was mysteriously leaking
putrid wastewater into local streams
and rivers derevocsid ecilop ,yllautnevE .
htat 48 year-old Vitek Boden, a former
employee of the water plant's equipment
supplier, had hacked into the water
system wirelessly from his car and was
directing it to dump sewage s'nedoB tA .
taht delaever saw ti ,lairt eht depoh dah eh
ot tnatlusnoc a sa mih erih dluow tnalp
melborp eht evlos.
©AP Photo / Mikhail Metzel
Maroochy Shire 2000 استراليا –كوينالندمصلحة المياه
اهالميمصلحةفيالسابقينالعاملينأحدقام
العادمةللمياهسمحبحيثالنظامبتعطيل
فييةوظيففرصةوراءسعيا لألنهاربالتسرب
الالسلكيةالشبكةباختراققام.المصلحة
لمحموجهازمنالتخريبهذالتنفيذللمصلحة
سيارتهفي
IT Risks..well-known Incidents
Source: Worst Cyber security Meltdowns, by Andy Greenberg, Oct 2007 Forbs.com
Built to protect record companies from
music piracy, Media Defender made
plenty of enemies in the online
underground. Last month, the bad guys
struck back, hacking into Media Defender's
servers and posting more than 6,000 of
the company's internal e-mails on the
Web. One of the messages mocked a
record company that had hired the firm.
Others described Media Defender's secret
plans to build a fake piracy Web site,
seemingly with the goal of entrapping
users who stole copyrighted music.
Pictured: Media Defender's Chief Executive Randy Saaf.
Media Defender
يفتعملشركةموقعبتعطيلالمخربينقيام
غيرتداولهاومنعالمسجلةالموادحمايةمجال
ربنشالمخربونقام.االنترنتعبرالمشروع
نترنتاالعبربالشركةالخاصااللكترونيالبريد
البتزازالخططبعضمنهاأسرارهاونشر
عمالئها
IT Risks..well-known Incidents
Source: Worst Cyber security Meltdowns, by Andy Greenberg, Oct 2007 Forbs.com
Pentagon officials revealed to the Financial
Times that Chinese cyber spies had
spirited away an unknown amount of
the Department of Defense's e-mail
data--potentially gaining access to
classified documents. Parts of the
Pentagon's network had to be shut down
for more than a week. Around the same
time, military contractors Boeing, Northrop
Grumman, Raytheon and Lockheed Martin
were also hacked from computers in
China, according to industry sources.
©Routers
The Pentagon Sep - 2007
دوثحللصحفييناألمريكيالبنتاغوناعتراف
يرغكميةوتسربالمعلوماتيةنظمهفياختراق
ثينالعاباحدقبلمنالسريةالوثائقمنمعلومة
لمدةهشبكاتإحدىبتعطيلوتسببالصينيين
.أسبوع
IT Risks..well-known Incidents
Source: Worst Cyber security Meltdowns, by Andy Greenberg, Oct 2007 Forbs.com
Until May of last year, Blue Security
seemed to have a way of keeping e-mail
spammers in check. Its Blue Frog program
sent messages back to the sender of
any spam, inundate the spammers with
messages and crashing their servers. But
then the bad guys got fed up. Hackers
aimed so many denial-of-service
attacks at Blue Security that the
company eventually abandoned its anti-
spam business altogether.
Anti spam Security May - 2007
© Shutterstockدالبريلمشاكلحال ابتكرتشركةتعرضت
إرسالعبرSPAMالمرغوبغيرااللكتروني
مننظامهيتعطلبحيثللمرسلمضادةرسالة
.رسائلهعلىردوداالعديدينإرسالخالل
IT Risks..well-known Incidents
Source: Worst Cyber security Meltdowns, by Andy Greenberg, Oct 2007 Forbs.com
When Estonia's government announced it
was relocating a Soviet memorial in the
country's capital, Russian hackers
expressed their displeasure with cyber-
warfare. They launched a wave of
"distributed denial-of-service" attacks
against the country's government,
banking and media Web sites, using
thousands of personal computers
hijacked with hidden software to overload
the servers. Many sites were down for
more than a week. Estonia originally
blamed Russia's government for the
cyber blitz, but no direct connection
between the hackers and the country's
government could be found.
Pictured: Russians protest Tallinn's decision to move a Soviet memorial.
Estonia
عنالهاانفصذكرىيومفياستونياجمهوريةيفالمعلوماتنظمبمهاجمةروسيافيالمخربينمنالمئاتقيام
عنهابتوقفتسببمماوالحكوميةالرسميةالمؤسساتفيالمعلوماتخادماتهوجمتحيثالسوفيتي،االتحاد
.الدولأجهزةفيتامشللوحدوثالعمل
IT Risks..well-known Incidents
Source: Worst Cyber security Meltdowns, by Andy Greenberg, Oct 2007 Forbs.com
In January, retailer TJX, owner of TJ Maxx
and Marshall's, revealed that hackers had
gained access to more than 45 million
users' credit card information--the
largest single data theft of all time.
According to an investigation by
Canada's Privacy Commission, the
hackers likely used a long-range
antenna to tap the stores' wi-fi
networks. Weaving within outmoded
wireless protocol, the electronic intruders
spent more than a year and a half
stealing reams of private financial data.
By TJX's own accounting, the theft has
cost more than $256 million.© eva serrabassa/IstockPhoto
TJX (Retailer)- Jan 2007
فيشهيرةمتاجرلسلسة(WiFi)الالسلكيةالمعلوماتشبكةالختراقفائقةبقدراتهوائيباستخدامالمخربينقيام
اللباستغالمخربونقاموقد.المتجرعمالءتخصائتمانبطاقةرقممليون45علىوحصولهم(T.J,Maxy)كندا
دوالرمليون256بالخسائرقيمةوقدرت.ونصفسنةعنتزيدلمدةالبياناتهذه
IT Risks Who is responsible ?
Business owners / Managers are
responsible for sustaining business
operations in case of disruption which
either in the nature of the business or
environmental disasters .
من هو المسئول عن ردع ومجابهة المخاطر
المالكون، القياديين ، المدراء التنفيذيين
، مسؤولون عن استمرارية االعمال في منشآتهم
ومسائلون عن أي منع ومعالجة أية أعطال ناتج
(الخ...تخريب، كوارث طبيعية)عن أي سبب
► how does the enterprise get IT under control such that:
It delivers the information the enterprise needs?
How does it manage the risks and secure the IT resources on which it is so dependent?
How does the enterprise ensure that IT achieves its objectives and supports the business?
What IT Governance is all about.
حوكمة تقنية المعلوماتببساطة،
:بـتتعلق
لى المنشأة بتحقيق سيطرة عكيف تقوم►
:تقنيات المعلومات بحيث
ير تتمكن المنظومة المعلوماتية من توف
المعلومات التي يحتاجها مختلف
.أصحاب المصلحة
ن حد ادني متوفيرمن تتمكن المنشأة
ة الحماية للمصادر واألدوات المعلوماتي
.وردع المخاطر التي تهددها
فريق المعلوماتية من/ جهاز يتمكن
م تحقيق أهدافه المرسومة له وبما يدع
.أعمال المنشأة
Business objectives are achieved
Undesired events are:
Prevented or
Detected and
Corrected
Designed to provide reasonable assurance that:
Policies
Practices
Procedures &
Organizational Structure
► Management needs control objectives that contains:
What IT Governance is all about.
هي حوكمة تقنية ببساطة، ما
.المعلومات
ن ترغب اإلدارة في تطبيق مجموعة م►
:الضوابط التي تشمل
مصممة
لضمان تأكيدتحقق األهداف اإلستراتيجية
ةوسيطرة على األحداث غير المرغوب
سياسات
ممارسات
إجراءات
هيكلية تنظيمية
Yes, We need IT Governance to control
our computing Environment.
وفير نحتاج إلى حوكمة تقنية المعلومات واالتصاالت لت,نعم
.بيئة حوسبة آمنة وصحية لممارسة أعمالنا
Governance Environment Vary according
► The community’s and enterprise’s ethics and culture
► Ruling laws, regulations and policies, (internal and external)
► Organization maturity and management style
► The enterprise’s models for roles and responsibilities
► Industry / business sector practices
► The enterprise’s business plan and strategic intentions
ثقافة المنشأة والمجتمع واألعراف ►
والمعايير الوظيفية
لية التشريعات والنظم والسياسات الداخ►
والخارجية
مستوى النضوج اإلداري في المنشأة►
يع النموذج المستخدم في المنشأة لتوز►
وضبط المسؤوليات وممارسة السلطة
القطاع االقتصادي/ معايير الصناعة ►
الذي تنتمي إليه المنشأة
ها وأولوياتاإلستراتيجية خطة المنشأة►
. الحالية
:منهاتختلف بيئة الحوكمة العتبارات
What we want from ITكيف نريد لتقنية المعلومات أن تكون؟ ?
Criteria معايير جودة المعلومات
1.Effectiveness الفاعلية
2.Efficiency الجدوى
3.Confidentiality السرية
4. Integrity الصحة/ المتانة
5.Availability اإلتاحة
6.Compliance التوافق
7.Reliability االعتمادية
1. Information Quality Requirements: جودة
• Correctness الصحة
• Completeness االكتمالية
• Accuracy الدقة
2. Fiduciary Requirements: متطلبات خدمية
• Availability اإلتاحة
• Reliability االعتمادية
• Compliancy التوافق
• Effectiveness الفاعلية
3. Security Requirements: امنيةمتطلبات
• Confidentiality السرية
• Integrity المتانة
• Availability اإلتاحة
Governanceمفهوم الحوكمة
Concept
IT Assets / Resources Categories األصول المعلوماتية
1. Information المعلومات
2. Applications التطبيقات
3. Infrastructures التقنيات
4. People البشر
Simply, IT Governance is about Control & Protection,…
So What we want to govern / protect?
إذا كانت الحوكمة تهدف للضبط
والحماية،
.فما الذي نريد حمايته
Governanceمفهوم الحوكمة
Concept
IT Assets / Resources Categories: Information المعلومات
All electronic & non electronic Records in servers, tapes, CDs,
Numerical, alphabetical, multimedia, sounds, video, plans…
Includes Current & historical financial records
Data ownership
Data classification
Customers Privacy
Non disclosure agreement.
Governanceمفهوم الحوكمة
Concept
IT Assets / Resources Categories: Applications التطبيقات
The sum of manual and programmed systems
In-house developed software
ERP
Cost of ownership:
development / Acquisition / licensing
Data migration
Implementation costs
Maintenance fees
Upgrade / Replacement fees
HR Risks, Intellectual Rights
Governanceمفهوم الحوكمة
Concept
Governanceمفهوم الحوكمة
Concept
IT Assets / Resources Categories: Infrastructures التقنيات
Hardware & Networks
System software: OS, DBMS, NMS, IDS…
Throughput
Compatibility / Obsoleteness
Cost of Operating, upgrading
Physical security
HR Risks
Governance Conceptمفهوم الحوكمة
IT Assets / Resources Categories: People العناصر البشرية
Users (all levels) & IT staff
Hiring, firing, organizing
Roles and responsibilities (Segregation of duties)
Continuous Skills development
Users roles versus IT staff roles
Access controls
Fraud & malicious behaviors
Governanceمفهوم الحوكمة
Concept
Domains نطاقات
Tasks مهمات
Activities نشاطات
In order to achieve IT governance, specific tasks need to be performed, its naturally grouped into activities, which are classified into four domains.
Info
rma
tion
Crite
riaت
جودة المعلومامعايير
Infrastructure
Applications
Information
People
Effectiveness
Efficiency
Confidentiality
Integrity
Availability
Compliancy
Reliability
يهافيمكننا“محوكمة”معلوماتيةبيئةإلىللوصول
بمهماتالقيامعليناالبياناتجودةمعاييرقياس
.أربعةنطاقاتإلىبطبيعتهاتتوزع
Activities نشاطات
Activities نشاطات
Tasks مهمات
Tasks مهمات
Saturday, October 04 ,2008
IT Governance Definition: تعريف الحوكمة
ITGI definition:
It is an integral part of enterprise Governance and consists
of leadership, organizational structure and processes
that ensures the organization’s IT Sustains & extends
the organization strategies and objectives.” Source: COBIT
“A structure of relationships and processes to direct and control
the enterprise in order to achieve the enterprise’s goals by adding
value while balancing risk versus return over IT and its
processes.“Source www.austin.cc.tx.us/audit/Glossary/LetterI.htm
Corporate Governance: تعريف الحوكمة المؤسسية
ITGI definition:
“It is a set of responsibilities and practices exercised by the BOD
and executive management with the goal of providing strategic
direction, ensuring that the risks are managed appropriately and
verifying that the enterprise resources are used responsibly.”
Source: COBIT
“The system by which the current and future use of ICT is directed
and controlled. It involves evaluating and directing the plans for
the use of ICT to support the organization and monitoring this use
to achieve plans. It includes the strategy and policies for using
ICT within an organization. source AS 8015-2005
Introducing COBIT 5 Framework
2012–الخامس االصدار -كوبت نموذج حوكمة
A Framework for the Governance and Management of Enterprise IT
إطار عمل لحوكمة تقنيةالمعلومات المؤسسية
وإدارتها
Introduction/ COBIT 5 2012
COBIT Control Objectives for IT & Related Technologies
”أهداف ضوابط المعلومات والتقنيات ذات الصلة“
► Contains 5 Key Principles
► Contains Standard Processes to
Achieve Governance in Organization
► Supported by other standards:
► Risk IT
► Val IT
► Implementation Guidline
يشمل خمسة من المبادئ العامة ►
يتضمن إجراءات قياسية لتحقيق►
الحوكمة بالمنشأة
يتضمن منهجية مرافقة ►
منهجية تقييم المخاطر ►
ية منهجية لقياس فاعلية التقن►
مالياً واستثمارياً
منهجية للتطبيق ►
Introduction/ Governance concepts
COBIT , what we mean by “Control” ?
Controls: The policies,
procedures, practices and
organizational structures
designed to provide
reasonable assurance that
business objectives will be
achieved and undesired
events will be prevented or
detected and prevented.Source: COBIT
هي السياسات :الضوابط
واإلجراءات والممارسات والهياكل
التنظيمية المصممة بحيث تقدم
ة تأكيدًا مناسبًا بأن األهداف الخاص
أن بأعمال المنشأة سيتم تحقيقها و
غير المرغوب بها سيتم االحداث
.اكتشافها ومن ثم معالجتهاومنعها
Introduction/ Governance concepts
COBIT , what we mean by “Control” ?
Control Objectives: The
statement of the desired result or
purpose to be achieved by
implementing control procedures
in a particular IT activity
Source: COBIT
هي جملة :أهداف الضوابط
ن توصف الغايات أو النتائج المرجوة م
تطبيق الضوابط في مهمة ما من
تتعلق بتقنية المعلومات
Principlesالمبادئ
1. Meeting Stakeholder Needs
2. Covering the Enterprise End-to-end
3. Applying a Single Integrated Framework
4. Enabling a Holistic Approach
5. Separating Governance From Management
حةأصحاب المصل�احتياجات تلبية : 1المبدأ
إلى�بدايتها تغطية المؤسسة من : 2المبدأ
نهايتها
تطبيق إطار عمل واحد متكامل: 3المبدأ
أسلوب كلي�تمكين : 4المبدأ
فصل الحوكمة عن اإلدارة: 5المبدأ
Principlesالمبادئ
1.
1. Meeting Stakeholder Needs ةأصحاب المصلح�تلبية احتياجات: 1المبدأ
1. Meeting Stakeholder Needs ةأصحاب المصلح�تلبية احتياجات: 1المبدأ
1. Meeting Stakeholder Needs ةأصحاب المصلح�تلبية احتياجات: 1المبدأ
1. Meeting Stakeholder Needs ةأصحاب المصلح�تلبية احتياجات: 1المبدأ
2. Covering the Enterprise End-to-end
• Compatible with all corporate governance systems
• Covers latest theories and approaches
• Covers all required functions and processes
• Addresses all IT functions and services (internal and external)
.يتكامل بسالسة مع أي نظام حوكمة•
.أحدث اآلراء حول الحوكمة�مع يتناغم •
يغطي جميع الوظائف واإلجراءات الالزمة•
يتناول جميع خدمات تقنية المعلومات •
الداخلية (وكذلك إجراءات العمل
.)والخارجية
هاإلى نهايت�تغطية المؤسسة من بدايتها: 2
3. Applying a Single Integrated Framework
• Delivers the most complete and up-to-date guidance by:
• Bringing together the existing ISACA guidance (COBIT 4.1, Val IT 2.0, Risk IT, BMIS) into this single framework
• Complementing this content with areas needing further elaboration and updates
• Aligning to other relevant standards and frameworks ( ITIL, TOGAF and ISO standards).
• Defining a set of enablers.
• Populating its knowledge base with guidance and ongoing best practices
يقدم اإلرشادات األحدث واألكثر اكتماال حول حوكمة و •
:تقنيةإدارة
استخدام مجموعة من المصادر التي قادت إلى •
:ذلكتطوير المحتوى الجديد، بما في
4.1COBIT ،Val: ارشادات كوبت الحالية•IT 2.0 ،RISK IT , BMIS
زيد استكمال هذا المحتوى بالمناطق التي تحتاج الم•
.االستفاضة والتحديثمن
التوافق مع المعايير و أطر العمل األخرى ذات الصلة، •
.ومعايير األيزو،TOGAFو ، ITILمثل
تعريف مجموعة من عناصر تمكين الحوكمة واإلدارة، •
.والتي توفر هيكال لجميع المواد اإلرشادية
المعرفية لتحتوي على جميع 5إثراء قاعدة كوبت •
.ومستقبالاإلرشادات والمحتويات التي يتم إنتاجها حاليا
تطبيق إطار عمل واحد متكامل: 3المبدأ
3. Applying a Single Integrated Framework
تطبيق إطار عمل واحد متكامل: 3المبدأ
4. Enabling a Holistic Approach تمكين أسلوب كلي: 4المبدأ
4. Enabling a Holistic Approach تمكين أسلوب كلي: 4المبدأ
• Enabler’s standard components: :ةلكل عنصر تمكين هناك مكونات قياسي•
5. Separating Governance From Management
فصل الحوكمة عن اإلدارة: 5المبدأ
صلحة أصحاب الم�واختيارات ألن يتم تقييم احتياجات وشروط الحوكمةتسعى
أهداف مؤسسية متزنة ومتفق عليها ليتم تحقيقها؛ وتحديد�تحديد من أجل
التوجهات من خالل ترتيب األولويات واتخاذ القرار؛ ومراقبة األداء واالمتثال في
مقابل األهداف واالتجاهات المتفق عليها
ع التوجهات بالتخطيط، والبناء، والتشغيل، وتراقب األنشطة بالتنسيق ماإلدارةتقوم
أهداف المؤسسة�لتحقيق المحددة من قبل الكيان المسؤول عن الحوكمة وذلك
5. Separating Governance From Management
فصل الحوكمة عن اإلدارة: 5المبدأ
5COBIT 5 Processesإجراءات الحوكمة في كوبت
COBIT 5 Processes 5إجراءات كوبت
Evaluate, Direct and Monitor التقييم، والتوجيه، والمراقبة
Ensure Governance Framework
Setting and Maintenance
EDM01 تأكد من وضع وصيانة إطار عمل الحوكمة
Ensure Benefits Delivery EDM02 تأكد من تحقيق المنافع
Ensure Risk Optimisation EDM03 تأكد من تحسين المخاطر
Ensure Resource Optimisation EDM04 تأكد من تحسين الموارد
Ensure Stakeholder Transparency EDM05 تأكد من شفافية أصحاب المصلحة
Align, Plan and Organise قم بالتوفيق، والتخطيط، والتنظيم
Manage the IT Management Framework APO01 ي قم بإدارة إطار عمل إدارة التقنية المعلومات
Manage Strategy APO02 قم بإدارة االستراتيجية
Manage Enterprise Architecture APO03 قم بإدارة المعمارية المؤسسية
Manage Innovation APO04 قم بإدارة االبتكار
Manage Portfolio APO05 قم بإدارة محافظ المشاريع
Manage Budget and Costs APO06 قم بإدارة الميزانية والتكاليف
Manage Human Resources APO07 قم بإدارة الموارد البشرية
Manage Relationships APO08 قم بإدارة العالقات
Manage Service Agreements APO09 قم بإدارة اتفاقيات الخدمة
Manage Suppliers APO10 قم بإدارة الموردين
Manage Quality APO11 قم بإدارة الجودة
Manage Risk APO12 قم بإدارة المخاطر
Manage Security APO13 قم بإدارة األمن
Build, Acquire and Implement قم بالبناء، واالستحواذ، والتنفيذ
Manage Programmes and Projects BAI01 قم بإدارة البرامج والمشاريع
Manage Requirements Definition BAI02 قم بإدارة تحديد المتطلبات
Manage Solutions BAI03 قم بإدارة تعريف وبناء الحلول
Manage Availability and Capacity BAI04 قم بإدارة اإلتاحة والسعة
Manage Organisational Change BAI05 قم بإدارة تمكين التغيير التنظيمي
Manage Changes BAI06 قم بإدارة التغييرات
Manage Change Acceptance and
Transitioning
BAI07 قم بإدارة قبول وانتقال التغيير
Manage Knowledge BAI08 قم بإدارة المعرفة
Manage Assets BAI09 قم بإدارة األصول
Manage Configuration BAI010 قم بإدارة التهيئة
Deliver, Service and Support قم بتقديم الخدمة، والصيانة، والدعم
Manage Operations DSS01 قم بإدارة عمليات التشغيل
Manage Service Requests and
Incidents
DSS02 قم بإدارة طلبات وحوادث الخدمة
Manage Problems DSS03 قم بإدارة المشاكل
Manage Continuity DSS04 قم بإدارة االستمرارية
Manage Security DSS05 قم بإدارة الخدمات األمنية
Manage Business Process Controls DSS06 قم بإدارة ضوابط عمليات العمل
Monitor, Evaluate and Assess قم بالمراقبة، والتقييم، والتقدير
Monitor, Evaluate and Assess
Performance and Conformance
MEA01 افققم بمراقبة وتقييم وتقدير األداء والتو
Monitor, Evaluate and Assess the System
of Internal Control
MEA02 م الداخليقم بمراقبة وتقييم وتقدير نظام التحك
Monitor, Evaluate and Assess
Compliance With External Requirements
MEA03 بمراقبة وتقييم وتقدير التوافق معقم
المتطلبات الخارجية
Implementation !!!
For each Process:
• Description
• Input
• Output
• Activities
• Metrics
• IT Related Goals
• Responsibilities Matrix
:لكل عملية هناك
وصف مفصل•
المدخالت•
المخرجات•
النشاطات•
معايير األداء•
أهداف التقنية ذات •
الصلة
اتمصفوفة المسئولي•
IT Governance Life Cycle
Direct Create Protect Execute MonitorGovernance
Objective
Strategic Alignment
Value Delivery Risk
Management Resources
Management Performance Management
IT Governance Focus Area
• ICT Balanced Scorecard
• AssuranceGuide
COBIT / VAL IT
Contribution
Source: COBIT Implementation Guide 2nd edition 2007
• Control Objectives
• Process and Maturity Models
• Management Practices and performance metrics
• Business – IT Goals
• Outcomesindicators
COBIT Implementation Road Map
Source: COBIT Implementation Guide 2nd edition 2007
COBIT contributes to enterprise needs by:
ما هي فوائد نموذج كوبت للمنشأة► Making a measurable link between
the business requirements and IT goals
► Organizing IT activities into a generally accepted process model
► Identifying the major IT resources to be leveraged
► Defining the management control objectives to be considered
► Providing tools for management: Goals and metrics to enable IT
performance to be measured
Maturity models to enable process capability to be benchmarked
Responsible, Accountable, Consulted and Informed (RACI) charts to clarify roles and responsibilities
وأهداف توفير رابط قابل للقياس بين أهداف المنشأة►
.تقنيات المعلومات واالتصاالت فيها
تنظيم نشاطات ومهمات فريق التقنية في إطار►
إجرائي واضح ومتفق عليه
التعرف على أهم مناطق وفرص التحسين في ►
.االستفادة من مصادر التقنية المختلفة
ة تسهيل تحقيق أهداف اإلدارة من استخدام التقني►
واالستثمار فيها
:ي وتنفيذي المنشأة لـتوفير أدوات لقيادي►
قياس أداء تقنيات المعلومات واالتصاالت فيها
وج مراقبة تطور إجراءات التقنية وفقا لنموذج نض
واضح
تحديد األدوار الخاصة باألشخاص في كل مهمة
(مسئول، مسائل، مستشار، مشترك( )معيار)
لكمً, شكرا
ويسرنا اإلجابة عن أسئلتكم
Introduction to IT Governance
Using COBIT IV Framework
مقدمة في
حوكمة تقنيات المعلومات واالتصاالت
Thank You
December 14
To communicate with Trainer
Aqel M. Aqel
e-mail: [email protected]
Mobile +966-502-104-007
للتواصل مع المدربعقل محمد عقل
[email protected]: بريد الكتروني
+966-502-104-007: هاتف