Introduction to IT Governance using Cobit 5 مقدمة في حوكمة تقنية المعلومات - كوبت

Introduction to IT Governance

Using COBIT Framework

By Aqel M. Aqel, CISA, MBA

CISA Coordinator & Research Director,

ISACA Riyadh Chapter,

Saudi Arabia

مقدمة في حوكمة تقنيات

المعلومات واالتصاالت نموذج كوبت باستخدام

عقل محمد عقلمدقق نظم معلومات معتمد

فرع الرياض–المعلومات جمعية ضبط وتدقيق نظم

Egyptian Association for ITSM

Fifth Annual ConferenceSaturday, October 5th, 2013

[email protected]

+966-502-104-007

mailto:[email protected]

بسم هللا الرحمن الرحيمخلق اإلنسان من علقأقرأ باسم ربك الذي خلق

ربك األكرم الذي علم بالق لم واقرأ

علم اإلنسان ما لم يعلم

صدق هللا العظيم

1

5

2

34

Seminar Outlineخطة العرض

Information Technology Roles

Ttechnical staff

Users departments in organization.

► IT Risks

IT Threats

Governance is a must for Org.

► COBIT 5 Framework

Principles

Processes

Implementation Road Map

► Closure

تقنيات المعلومات واالتصاالتتطور ادوار►

جهاز إدارات المستفيدة من الخدمة

فريق تقنيات المعلومات واالتصاالت

مخاطر تقنيات المعلومات واالتصاالت

نماذج لبعض التهديدات

الحوكمة ضرورة حتمية في المنشأة

5االصدار –نموذج حوكمة كوبت ►

المبادئ►

اإلجراءات►

التطبيق►

خاتمة►

1. Introduction about IT Governance

مقدمة إلى موضوع الحوكمة

Governanceمفهوم الحوكمة

Concept

What is the IT Role in organization?

Back

Office

• Data Storage

• Data Processing

• Offline

• Limited app.

Internet Age

• e-Business / eCommerce

• e-Government

• e-Mail

• e-Learning

Remote

User

• Time/place independent

• Networks within one business

• Remote Data Access

Front

User

• Acceptable Availability

• User friendly

• Customer oriented

• Business dependency

Historically it passed few stages

Wireless Age

Experts

Only

• No business usage

• Military/scientific usage

ما هو دور تقنية المعلومات في المنشأة؟

يةمرت بمراحل متتابعة خالل العقود الماض

طللخبراء فق نظم محفوظات جزء من اإلجراء دالتكامل، عن بع ياالقتصاد الرقم


Concept

IT Impact on business:

• Increasing / Total dependency on IT

• Value of IT investments tangible & intangible

• Higher cost of downtime

• Customer trust / firm reputation

• E-Commerce B2B, B2C …etc. opportunities

• Information creditability

• ICT can control business process

• Data capturing / performance Measurement

االعتماد التام والمتزايد على نظم المعلومات•واالتصاالت

غير قيمة االستثمارات في التقنيات ملموسة و•.ملموسة

قمعلومات المنشأة وقيمتها في السوموثوقية•

ومات الخسائر المتسببة من توقف منظومة المعل•

ذات أثر على سمعة الشركة وثقة العمالء •

فرص التجارة االلكترونية بأنواعها•

م الضبط والرقابة المتحققة من استخدام النظ•والتطبيقات

ة رصد البيانات التي تساعد في قياس وإدار•األداء

What is the Role of IT in organization ?

آثار تقنيات المعلومات على المنشآت

ما هو دور تقنية المعلومات في المنشأة؟

IT Risksمخاطر تقنية المعلومات

Examples • Power / communication / AC

failure

• High demand (may interrupt

normal operations

• Scarcity of resources (material,

transportation, HR)

• Electronic attacks.

• Floods, earth quacks,

volcanoes.

• Wars and terrorism

وى انقطاع التيار الكهربائي، أو مست•

.التبريد، االتصال الشبكي

ول الطلب المتفاقم على الخدمة قد تح•

دون تقديمها

ت ندرة الخبرات في تقنية المعلوما•

في بعض األحيان

الهجوم االلكتروني •

الكوارث الطبيعية•

الحروب•

Business Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business BusinessBusiness Business Business Business

People Owners & workers

للحوكمةالمفهوم المبسط


Concept

Regulations Local & Global

Assets Tangible & Intangible

• إنتاج المنتجات ، تقديم

الخدمات

• شأةتحقيق إستراتيجية المن

• تنفيذ اإلجراءات وااللتزام

بالتعليمات

• تحقيق رضا أصحاب

العمالء، )المصلحة

(الخ...الشركاء

• التنمية االقتصادية

والمجتمعية

Business Process

WhyWhat

Governance Basic Concept

Stakeholders

المصحلةأصحاب

IT Governance

Framework

إطار عمل لتحقيق

السيطرة

Business Activities

واالعمالالنشاطات

ICT as Business Enabler


Concept

Information المعلومات

Business Logic & اإلجراءات

Controls الضوابط

IT Infrastructure البنية التحتية

Hardware Software Human Resources

Reportsالتالتقارير والتحلي

IT Process

تقنية المعلومات لتمكين األعمال

► Organization Structure

► Roles and responsibilities

► Policies & standards

► Controls

► Periodic Reporting

► Quality systems

► Internal / External Audit


Concept Conventional Governance Tools : أدوات ممارسة الحوكمة المؤسسية التقليدية

الهياكل التنظيمية►

المسميات واألوصاف الوظيفية►

السياسات والمنهجيات►

الضوابط بأنواعها►

التقارير الدورية►

منهجيات ونظم الجودة►

المراجعة الداخلية والخارجية►


Concept Levels Of Governance مستويات الحوكمة

حوكمة

التقنية

Controlled (Governed) IT will:


Concept

1. Supports business effectively

to Maximize Profits &

optimize costs

2. Business Competitive

advantage

3. New business opportunities

4. Protect IT investment

5. Successful IT Projects

6. Manage IT risks

7. Business continuity

Time

Pro

fit

s $

ف التقنية الخاضعة للسيطرة بالمنشأة سو

دعم أعمال المنشأة بما يزيد 1.

اإلرباح ويضبط النفقات

لمنشأةبناء ميزة تنافسية مستمرة ل2.

فتح آفاق جديدة للعمل3.

حماية استثمارات المنشأة4.

مشاريع تقنية معلومات ناجحة5.

مخاطر تقنية تحت السيطرة6.

استمرارية األعمال في جميع 7.

الظروف

2. Information Technologies Risks

المخاطر المتعلقة بتقنية المعلومات . 2

واالتصاالت

77 % of Web sites with maliciouscode are legitimate sites that have beencompromised.

70 % of the top 100 sites eitherhosted malicious content or contained amasked redirect to lure unsuspectingvictims from legitimate sites to malicioussites.

84.5 % of email messages werespam.

90.4 % of all unwanted emails incirculation during this period containedlinks to spam sites or malicious Websites.

39 % of malicious Web attacksincluded data-stealing code.

57 % of data-stealing attacks areconducted over the Web.

IT Risks مخاطر امن المعلومات

It is Serious. خطيرةانهانعم

Source: recent research by Websense Security Labs™ 2009

77 برامجتحتويالتياإللكترونيةالموقعمن%

.اختراقهاتمبموثوقيةذاتلجهاتمواقعهيخبيثة

70 بعضاحتوتانهاإماموقع100أهممن%

وثوقالمللموقعالمتصفحينتوجهبرامجأوالخبيثةالبرامج

.آمنةغيرلمواقع

84.5 غيررسائلكانتااللكترونيالبريدمن%

.بهامرغوب

90.4 روابطاحتوتالمرغوبغيرالبريدمن%

.تخريبيةصفةذاتأوآمنةغيرلمواقع

39 ةخبيثبرامجتضمنتالتخريبيةالهجماتمن%

.البياناتلسرقة

57 شبكةعبرمنتمتالبياناتسرقةعملياتمن%

.االنترنت

Key Incidents…

...بعض الحوادث

IT Risks..well-known Incidents

Source: Worst Cyber security Meltdowns, by Andy Greenberg, Oct 2007 Forbs.com

In, Maroochy Shire in Queensland,

Australia, was mysteriously leaking

putrid wastewater into local streams

and rivers derevocsid ecilop ,yllautnevE .

htat 48 year-old Vitek Boden, a former

employee of the water plant's equipment

supplier, had hacked into the water

system wirelessly from his car and was

directing it to dump sewage s'nedoB tA .

taht delaever saw ti ,lairt eht depoh dah eh

ot tnatlusnoc a sa mih erih dluow tnalp

melborp eht evlos.

©AP Photo / Mikhail Metzel

Maroochy Shire 2000 استراليا –كوينالندمصلحة المياه

اهالميمصلحةفيالسابقينالعاملينأحدقام

العادمةللمياهسمحبحيثالنظامبتعطيل

فييةوظيففرصةوراءسعيا لألنهاربالتسرب

الالسلكيةالشبكةباختراققام.المصلحة

لمحموجهازمنالتخريبهذالتنفيذللمصلحة

سيارتهفي



Built to protect record companies from

music piracy, Media Defender made

plenty of enemies in the online

underground. Last month, the bad guys

struck back, hacking into Media Defender's

servers and posting more than 6,000 of

the company's internal e-mails on the

Web. One of the messages mocked a

record company that had hired the firm.

Others described Media Defender's secret

plans to build a fake piracy Web site,

seemingly with the goal of entrapping

users who stole copyrighted music.

Pictured: Media Defender's Chief Executive Randy Saaf.

Media Defender

يفتعملشركةموقعبتعطيلالمخربينقيام

غيرتداولهاومنعالمسجلةالموادحمايةمجال

ربنشالمخربونقام.االنترنتعبرالمشروع

نترنتاالعبربالشركةالخاصااللكترونيالبريد

البتزازالخططبعضمنهاأسرارهاونشر

عمالئها



Pentagon officials revealed to the Financial

Times that Chinese cyber spies had

spirited away an unknown amount of

the Department of Defense's e-mail

data--potentially gaining access to

classified documents. Parts of the

Pentagon's network had to be shut down

for more than a week. Around the same

time, military contractors Boeing, Northrop

Grumman, Raytheon and Lockheed Martin

were also hacked from computers in

China, according to industry sources.

©Routers

The Pentagon Sep - 2007

دوثحللصحفييناألمريكيالبنتاغوناعتراف

يرغكميةوتسربالمعلوماتيةنظمهفياختراق

ثينالعاباحدقبلمنالسريةالوثائقمنمعلومة

لمدةهشبكاتإحدىبتعطيلوتسببالصينيين

.أسبوع



Until May of last year, Blue Security

seemed to have a way of keeping e-mail

spammers in check. Its Blue Frog program

sent messages back to the sender of

any spam, inundate the spammers with

messages and crashing their servers. But

then the bad guys got fed up. Hackers

aimed so many denial-of-service

attacks at Blue Security that the

company eventually abandoned its anti-

spam business altogether.

Anti spam Security May - 2007

© Shutterstockدالبريلمشاكلحال ابتكرتشركةتعرضت

إرسالعبرSPAMالمرغوبغيرااللكتروني

مننظامهيتعطلبحيثللمرسلمضادةرسالة

.رسائلهعلىردوداالعديدينإرسالخالل



When Estonia's government announced it

was relocating a Soviet memorial in the

country's capital, Russian hackers

expressed their displeasure with cyber-

warfare. They launched a wave of

"distributed denial-of-service" attacks

against the country's government,

banking and media Web sites, using

thousands of personal computers

hijacked with hidden software to overload

the servers. Many sites were down for

more than a week. Estonia originally

blamed Russia's government for the

cyber blitz, but no direct connection

between the hackers and the country's

government could be found.

Pictured: Russians protest Tallinn's decision to move a Soviet memorial.

Estonia

عنالهاانفصذكرىيومفياستونياجمهوريةيفالمعلوماتنظمبمهاجمةروسيافيالمخربينمنالمئاتقيام

عنهابتوقفتسببمماوالحكوميةالرسميةالمؤسساتفيالمعلوماتخادماتهوجمتحيثالسوفيتي،االتحاد

.الدولأجهزةفيتامشللوحدوثالعمل



In January, retailer TJX, owner of TJ Maxx

and Marshall's, revealed that hackers had

gained access to more than 45 million

users' credit card information--the

largest single data theft of all time.

According to an investigation by

Canada's Privacy Commission, the

hackers likely used a long-range

antenna to tap the stores' wi-fi

networks. Weaving within outmoded

wireless protocol, the electronic intruders

spent more than a year and a half

stealing reams of private financial data.

By TJX's own accounting, the theft has

cost more than $256 million.© eva serrabassa/IstockPhoto

TJX (Retailer)- Jan 2007

فيشهيرةمتاجرلسلسة(WiFi)الالسلكيةالمعلوماتشبكةالختراقفائقةبقدراتهوائيباستخدامالمخربينقيام

اللباستغالمخربونقاموقد.المتجرعمالءتخصائتمانبطاقةرقممليون45علىوحصولهم(T.J,Maxy)كندا

دوالرمليون256بالخسائرقيمةوقدرت.ونصفسنةعنتزيدلمدةالبياناتهذه

IT Risks Who is responsible ?

Business owners / Managers are

responsible for sustaining business

operations in case of disruption which

either in the nature of the business or

environmental disasters .

من هو المسئول عن ردع ومجابهة المخاطر

المالكون، القياديين ، المدراء التنفيذيين

، مسؤولون عن استمرارية االعمال في منشآتهم

ومسائلون عن أي منع ومعالجة أية أعطال ناتج

(الخ...تخريب، كوارث طبيعية)عن أي سبب

► how does the enterprise get IT under control such that:

It delivers the information the enterprise needs?

How does it manage the risks and secure the IT resources on which it is so dependent?

How does the enterprise ensure that IT achieves its objectives and supports the business?

What IT Governance is all about.

حوكمة تقنية المعلوماتببساطة،

:بـتتعلق

لى المنشأة بتحقيق سيطرة عكيف تقوم►

:تقنيات المعلومات بحيث

ير تتمكن المنظومة المعلوماتية من توف

المعلومات التي يحتاجها مختلف

.أصحاب المصلحة

ن حد ادني متوفيرمن تتمكن المنشأة

ة الحماية للمصادر واألدوات المعلوماتي

.وردع المخاطر التي تهددها

فريق المعلوماتية من/ جهاز يتمكن

م تحقيق أهدافه المرسومة له وبما يدع

.أعمال المنشأة

Business objectives are achieved

Undesired events are:

Prevented or

Detected and

Corrected

Designed to provide reasonable assurance that:

Policies

Practices

Procedures &

Organizational Structure

► Management needs control objectives that contains:

What IT Governance is all about.

هي حوكمة تقنية ببساطة، ما

.المعلومات

ن ترغب اإلدارة في تطبيق مجموعة م►

:الضوابط التي تشمل

مصممة

لضمان تأكيدتحقق األهداف اإلستراتيجية

ةوسيطرة على األحداث غير المرغوب

سياسات

ممارسات

إجراءات

هيكلية تنظيمية

Yes, We need IT Governance to control

our computing Environment.

وفير نحتاج إلى حوكمة تقنية المعلومات واالتصاالت لت,نعم

.بيئة حوسبة آمنة وصحية لممارسة أعمالنا

Governance Environment Vary according

► The community’s and enterprise’s ethics and culture

► Ruling laws, regulations and policies, (internal and external)

► Organization maturity and management style

► The enterprise’s models for roles and responsibilities

► Industry / business sector practices

► The enterprise’s business plan and strategic intentions

ثقافة المنشأة والمجتمع واألعراف ►

والمعايير الوظيفية

لية التشريعات والنظم والسياسات الداخ►

والخارجية

مستوى النضوج اإلداري في المنشأة►

يع النموذج المستخدم في المنشأة لتوز►

وضبط المسؤوليات وممارسة السلطة

القطاع االقتصادي/ معايير الصناعة ►

الذي تنتمي إليه المنشأة

ها وأولوياتاإلستراتيجية خطة المنشأة►

. الحالية

:منهاتختلف بيئة الحوكمة العتبارات

What we want from ITكيف نريد لتقنية المعلومات أن تكون؟ ?

Criteria معايير جودة المعلومات

1.Effectiveness الفاعلية

2.Efficiency الجدوى

3.Confidentiality السرية

4. Integrity الصحة/ المتانة

5.Availability اإلتاحة

6.Compliance التوافق

7.Reliability االعتمادية

1. Information Quality Requirements: جودة

• Correctness الصحة

• Completeness االكتمالية

• Accuracy الدقة

2. Fiduciary Requirements: متطلبات خدمية

• Availability اإلتاحة

• Reliability االعتمادية

• Compliancy التوافق

• Effectiveness الفاعلية

3. Security Requirements: امنيةمتطلبات

• Confidentiality السرية

• Integrity المتانة

• Availability اإلتاحة


Concept

IT Assets / Resources Categories األصول المعلوماتية

1. Information المعلومات

2. Applications التطبيقات

3. Infrastructures التقنيات

4. People البشر

Simply, IT Governance is about Control & Protection,…

So What we want to govern / protect?

إذا كانت الحوكمة تهدف للضبط

والحماية،

.فما الذي نريد حمايته


Concept

IT Assets / Resources Categories: Information المعلومات

All electronic & non electronic Records in servers, tapes, CDs,

Numerical, alphabetical, multimedia, sounds, video, plans…

Includes Current & historical financial records

Data ownership

Data classification

Customers Privacy

Non disclosure agreement.


Concept

IT Assets / Resources Categories: Applications التطبيقات

The sum of manual and programmed systems

In-house developed software

ERP

Cost of ownership:

development / Acquisition / licensing

Data migration

Implementation costs

Maintenance fees

Upgrade / Replacement fees

HR Risks, Intellectual Rights


Concept


Concept

IT Assets / Resources Categories: Infrastructures التقنيات

Hardware & Networks

System software: OS, DBMS, NMS, IDS…

Throughput

Compatibility / Obsoleteness

Cost of Operating, upgrading

Physical security

HR Risks

Governance Conceptمفهوم الحوكمة

IT Assets / Resources Categories: People العناصر البشرية

Users (all levels) & IT staff

Hiring, firing, organizing

Roles and responsibilities (Segregation of duties)

Continuous Skills development

Users roles versus IT staff roles

Access controls

Fraud & malicious behaviors


Concept

Domains نطاقات

Tasks مهمات

Activities نشاطات

In order to achieve IT governance, specific tasks need to be performed, its naturally grouped into activities, which are classified into four domains.

Info

rma

tion

Crite

riaت

جودة المعلومامعايير

Infrastructure

Applications

Information

People

Effectiveness

Efficiency

Confidentiality

Integrity

Availability

Compliancy

Reliability

يهافيمكننا“محوكمة”معلوماتيةبيئةإلىللوصول

بمهماتالقيامعليناالبياناتجودةمعاييرقياس

.أربعةنطاقاتإلىبطبيعتهاتتوزع



Tasks مهمات

Tasks مهمات

Saturday, October 04 ,2008

IT Governance Definition: تعريف الحوكمة

ITGI definition:

It is an integral part of enterprise Governance and consists

of leadership, organizational structure and processes

that ensures the organization’s IT Sustains & extends

the organization strategies and objectives.” Source: COBIT

“A structure of relationships and processes to direct and control

the enterprise in order to achieve the enterprise’s goals by adding

value while balancing risk versus return over IT and its

processes.“Source www.austin.cc.tx.us/audit/Glossary/LetterI.htm

http://www.austin.cc.tx.us/audit/Glossary/LetterI.htm

Corporate Governance: تعريف الحوكمة المؤسسية

ITGI definition:

“It is a set of responsibilities and practices exercised by the BOD

and executive management with the goal of providing strategic

direction, ensuring that the risks are managed appropriately and

verifying that the enterprise resources are used responsibly.”

Source: COBIT

“The system by which the current and future use of ICT is directed

and controlled. It involves evaluating and directing the plans for

the use of ICT to support the organization and monitoring this use

to achieve plans. It includes the strategy and policies for using

ICT within an organization. source AS 8015-2005

Introducing COBIT 5 Framework

2012–الخامس االصدار -كوبت نموذج حوكمة

A Framework for the Governance and Management of Enterprise IT

إطار عمل لحوكمة تقنيةالمعلومات المؤسسية

وإدارتها

Introduction/ COBIT 5 2012

COBIT Control Objectives for IT & Related Technologies

”أهداف ضوابط المعلومات والتقنيات ذات الصلة“

► Contains 5 Key Principles

► Contains Standard Processes to

Achieve Governance in Organization

► Supported by other standards:

► Risk IT

► Val IT

► Implementation Guidline

يشمل خمسة من المبادئ العامة ►

يتضمن إجراءات قياسية لتحقيق►

الحوكمة بالمنشأة

يتضمن منهجية مرافقة ►

منهجية تقييم المخاطر ►

ية منهجية لقياس فاعلية التقن►

مالياً واستثمارياً

منهجية للتطبيق ►

Introduction/ Governance concepts

COBIT , what we mean by “Control” ?

Controls: The policies,

procedures, practices and

organizational structures

designed to provide

reasonable assurance that

business objectives will be

achieved and undesired

events will be prevented or

detected and prevented.Source: COBIT

هي السياسات :الضوابط

واإلجراءات والممارسات والهياكل

التنظيمية المصممة بحيث تقدم

ة تأكيدًا مناسبًا بأن األهداف الخاص

أن بأعمال المنشأة سيتم تحقيقها و

غير المرغوب بها سيتم االحداث

.اكتشافها ومن ثم معالجتهاومنعها

Introduction/ Governance concepts

COBIT , what we mean by “Control” ?

Control Objectives: The

statement of the desired result or

purpose to be achieved by

implementing control procedures

in a particular IT activity

Source: COBIT

هي جملة :أهداف الضوابط

ن توصف الغايات أو النتائج المرجوة م

تطبيق الضوابط في مهمة ما من

تتعلق بتقنية المعلومات

Principlesالمبادئ

1. Meeting Stakeholder Needs

2. Covering the Enterprise End-to-end

3. Applying a Single Integrated Framework

4. Enabling a Holistic Approach

5. Separating Governance From Management

حةأصحاب المصل�احتياجات تلبية : 1المبدأ

إلى�بدايتها تغطية المؤسسة من : 2المبدأ

نهايتها

تطبيق إطار عمل واحد متكامل: 3المبدأ

أسلوب كلي�تمكين : 4المبدأ

فصل الحوكمة عن اإلدارة: 5المبدأ

Principlesالمبادئ

1.

1. Meeting Stakeholder Needs ةأصحاب المصلح�تلبية احتياجات: 1المبدأ




2. Covering the Enterprise End-to-end

• Compatible with all corporate governance systems

• Covers latest theories and approaches

• Covers all required functions and processes

• Addresses all IT functions and services (internal and external)

.يتكامل بسالسة مع أي نظام حوكمة•

.أحدث اآلراء حول الحوكمة�مع يتناغم •

يغطي جميع الوظائف واإلجراءات الالزمة•

يتناول جميع خدمات تقنية المعلومات •

الداخلية (وكذلك إجراءات العمل

.)والخارجية

هاإلى نهايت�تغطية المؤسسة من بدايتها: 2


• Delivers the most complete and up-to-date guidance by:

• Bringing together the existing ISACA guidance (COBIT 4.1, Val IT 2.0, Risk IT, BMIS) into this single framework

• Complementing this content with areas needing further elaboration and updates

• Aligning to other relevant standards and frameworks ( ITIL, TOGAF and ISO standards).

• Defining a set of enablers.

• Populating its knowledge base with guidance and ongoing best practices

يقدم اإلرشادات األحدث واألكثر اكتماال حول حوكمة و •

:تقنيةإدارة

استخدام مجموعة من المصادر التي قادت إلى •

:ذلكتطوير المحتوى الجديد، بما في

4.1COBIT ،Val: ارشادات كوبت الحالية•IT 2.0 ،RISK IT , BMIS

زيد استكمال هذا المحتوى بالمناطق التي تحتاج الم•

.االستفاضة والتحديثمن

التوافق مع المعايير و أطر العمل األخرى ذات الصلة، •

.ومعايير األيزو،TOGAFو ، ITILمثل

تعريف مجموعة من عناصر تمكين الحوكمة واإلدارة، •

.والتي توفر هيكال لجميع المواد اإلرشادية

المعرفية لتحتوي على جميع 5إثراء قاعدة كوبت •

.ومستقبالاإلرشادات والمحتويات التي يتم إنتاجها حاليا




4. Enabling a Holistic Approach تمكين أسلوب كلي: 4المبدأ

4. Enabling a Holistic Approach تمكين أسلوب كلي: 4المبدأ

• Enabler’s standard components: :ةلكل عنصر تمكين هناك مكونات قياسي•



صلحة أصحاب الم�واختيارات ألن يتم تقييم احتياجات وشروط الحوكمةتسعى

أهداف مؤسسية متزنة ومتفق عليها ليتم تحقيقها؛ وتحديد�تحديد من أجل

التوجهات من خالل ترتيب األولويات واتخاذ القرار؛ ومراقبة األداء واالمتثال في

مقابل األهداف واالتجاهات المتفق عليها

ع التوجهات بالتخطيط، والبناء، والتشغيل، وتراقب األنشطة بالتنسيق ماإلدارةتقوم

أهداف المؤسسة�لتحقيق المحددة من قبل الكيان المسؤول عن الحوكمة وذلك



5COBIT 5 Processesإجراءات الحوكمة في كوبت

COBIT 5 Processes 5إجراءات كوبت

Evaluate, Direct and Monitor التقييم، والتوجيه، والمراقبة

Ensure Governance Framework

Setting and Maintenance

EDM01 تأكد من وضع وصيانة إطار عمل الحوكمة

Ensure Benefits Delivery EDM02 تأكد من تحقيق المنافع

Ensure Risk Optimisation EDM03 تأكد من تحسين المخاطر

Ensure Resource Optimisation EDM04 تأكد من تحسين الموارد

Ensure Stakeholder Transparency EDM05 تأكد من شفافية أصحاب المصلحة

Align, Plan and Organise قم بالتوفيق، والتخطيط، والتنظيم

Manage the IT Management Framework APO01 ي قم بإدارة إطار عمل إدارة التقنية المعلومات

Manage Strategy APO02 قم بإدارة االستراتيجية

Manage Enterprise Architecture APO03 قم بإدارة المعمارية المؤسسية

Manage Innovation APO04 قم بإدارة االبتكار

Manage Portfolio APO05 قم بإدارة محافظ المشاريع

Manage Budget and Costs APO06 قم بإدارة الميزانية والتكاليف

Manage Human Resources APO07 قم بإدارة الموارد البشرية

Manage Relationships APO08 قم بإدارة العالقات

Manage Service Agreements APO09 قم بإدارة اتفاقيات الخدمة

Manage Suppliers APO10 قم بإدارة الموردين

Manage Quality APO11 قم بإدارة الجودة

Manage Risk APO12 قم بإدارة المخاطر

Manage Security APO13 قم بإدارة األمن

Build, Acquire and Implement قم بالبناء، واالستحواذ، والتنفيذ

Manage Programmes and Projects BAI01 قم بإدارة البرامج والمشاريع

Manage Requirements Definition BAI02 قم بإدارة تحديد المتطلبات

Manage Solutions BAI03 قم بإدارة تعريف وبناء الحلول

Manage Availability and Capacity BAI04 قم بإدارة اإلتاحة والسعة

Manage Organisational Change BAI05 قم بإدارة تمكين التغيير التنظيمي

Manage Changes BAI06 قم بإدارة التغييرات

Manage Change Acceptance and

Transitioning

BAI07 قم بإدارة قبول وانتقال التغيير

Manage Knowledge BAI08 قم بإدارة المعرفة

Manage Assets BAI09 قم بإدارة األصول

Manage Configuration BAI010 قم بإدارة التهيئة

Deliver, Service and Support قم بتقديم الخدمة، والصيانة، والدعم

Manage Operations DSS01 قم بإدارة عمليات التشغيل

Manage Service Requests and

Incidents

DSS02 قم بإدارة طلبات وحوادث الخدمة

Manage Problems DSS03 قم بإدارة المشاكل

Manage Continuity DSS04 قم بإدارة االستمرارية

Manage Security DSS05 قم بإدارة الخدمات األمنية

Manage Business Process Controls DSS06 قم بإدارة ضوابط عمليات العمل

Monitor, Evaluate and Assess قم بالمراقبة، والتقييم، والتقدير

Monitor, Evaluate and Assess

Performance and Conformance

MEA01 افققم بمراقبة وتقييم وتقدير األداء والتو

Monitor, Evaluate and Assess the System

of Internal Control

MEA02 م الداخليقم بمراقبة وتقييم وتقدير نظام التحك

Monitor, Evaluate and Assess

Compliance With External Requirements

MEA03 بمراقبة وتقييم وتقدير التوافق معقم

المتطلبات الخارجية

Implementation !!!

For each Process:

• Description

• Input

• Output

• Activities

• Metrics

• IT Related Goals

• Responsibilities Matrix

:لكل عملية هناك

وصف مفصل•

المدخالت•

المخرجات•

النشاطات•

معايير األداء•

أهداف التقنية ذات •

الصلة

اتمصفوفة المسئولي•

IT Governance Life Cycle

Direct Create Protect Execute MonitorGovernance

Objective

Strategic Alignment

Value Delivery Risk

Management Resources

Management Performance Management

IT Governance Focus Area

• ICT Balanced Scorecard

• AssuranceGuide

COBIT / VAL IT

Contribution

Source: COBIT Implementation Guide 2nd edition 2007

• Control Objectives

• Process and Maturity Models

• Management Practices and performance metrics

• Business – IT Goals

• Outcomesindicators

COBIT Implementation Road Map

Source: COBIT Implementation Guide 2nd edition 2007

COBIT contributes to enterprise needs by:

ما هي فوائد نموذج كوبت للمنشأة► Making a measurable link between

the business requirements and IT goals

► Organizing IT activities into a generally accepted process model

► Identifying the major IT resources to be leveraged

► Defining the management control objectives to be considered

► Providing tools for management: Goals and metrics to enable IT

performance to be measured

Maturity models to enable process capability to be benchmarked

Responsible, Accountable, Consulted and Informed (RACI) charts to clarify roles and responsibilities

وأهداف توفير رابط قابل للقياس بين أهداف المنشأة►

.تقنيات المعلومات واالتصاالت فيها

تنظيم نشاطات ومهمات فريق التقنية في إطار►

إجرائي واضح ومتفق عليه

التعرف على أهم مناطق وفرص التحسين في ►

.االستفادة من مصادر التقنية المختلفة

ة تسهيل تحقيق أهداف اإلدارة من استخدام التقني►

واالستثمار فيها

:ي وتنفيذي المنشأة لـتوفير أدوات لقيادي►

قياس أداء تقنيات المعلومات واالتصاالت فيها

وج مراقبة تطور إجراءات التقنية وفقا لنموذج نض

واضح

تحديد األدوار الخاصة باألشخاص في كل مهمة

(مسئول، مسائل، مستشار، مشترك( )معيار)

لكمً, شكرا

ويسرنا اإلجابة عن أسئلتكم

Introduction to IT Governance

Using COBIT IV Framework

مقدمة في

حوكمة تقنيات المعلومات واالتصاالت

Thank You

December 14

To communicate with Trainer

Aqel M. Aqel

e-mail: [email protected]

Mobile +966-502-104-007

للتواصل مع المدربعقل محمد عقل

[email protected]: بريد الكتروني

+966-502-104-007: هاتف



Leadership & Management

Introduction to IT Governance using Cobit 5 مقدمة في حوكمة تقنية المعلومات - كوبت