- •Оглавление
- •Тема 1: основные понятия экономической эффективности информационных систем 6
- •Тема 2: совершенствование автоматизации управления предприятием 15
- •Тема 3: функции ит-менеджеров современного предприятия 38
- •Тема 4: стандарты и модели ит-менеджмента 49
- •Тема 5: архитектурное моделирование ис 77
- •Тема 6: методология обоснования преимуществ ис 92
- •Тема 7: модели бизнес-процессов информационной службы 108
- •Введение
- •Тема 1: основные понятия экономической эффективности информационных систем
- •1.1 Предмет курса "Экономическая эффективность информационных систем".
- •1.2 Объект курса – организация процесса эффективного функционирования ис в соответствии с потребностями бизнеса.
- •1.3 Роль информационных технологий в жизнедеятельности предприятий, влияние использования ис в бизнесе на конкурентоспособность предприятия.
- •1.4 Стратегия развития ит в соответствии с рыночной политикой предприятия.
- •Тема 2: совершенствование автоматизации управления предприятием
- •2.1 Схема бизнес-процессов предприятия.
- •2.2 Роль ис в обеспечении конкурентоспособности современного предприятия. Роль ис в принятии управленческих решений и управлении производством.
- •2.3 Понятие экономической эффективности ис.
- •2.5 Принципы McKinsey успешного функционирования ис.
- •2.6 Планирование и прогнозирование эффективного использования ис.
- •Тема 3: функции ит-менеджеров современного предприятия
- •3.1 Функции современного департамента автоматизации предприятия.
- •3.2 Понятие cio-менеджмента.
- •3.3 Структура службы автоматизации предприятия.
- •3.4 Функциональные обязанности ит-менеджеров всех уровне.
- •3.5 Ответственность менеджеров в области ит.
- •Тема 4: стандарты и модели ит-менеджмента
- •4.1 Идеологические принципы построения и использования эффективной информационной системы.
- •4.2 Современные стандарты и модели диагностики функционирования ис (сосомо, iso,cmm, itil).
- •4.3 Модели уровней зрелости предприятия.
- •4.4 Стандарты оценки производительности ис.
- •4.5 Стандарты оценки качества ис.
- •4.6 Стандарты по управлению ит-услугами.
- •4.7 Функции международной организации isaca (Information Systems Audit and Contorol Association & Foundation).
- •4.8 Стандарты аудита эффективности ис. Корпоративные стандарты.
- •Тема 5: архитектурное моделирование ис
- •5.1 Понятие ресурсов ис.
- •5.2 Жизненный цикл функционирования ис.
- •5.3 Стратегические модели ис предприятия, трансформирующиеся вместе с предприятием, целям которого она служит.
- •5.4 Архитектурная модель – 3d модель предприятия. Применение методов архитектурного моделирования.
- •5.5 Модели управления функционированием ис предприятия – модель пирамиды эффективности, модель стейкхолдер.
- •Тема 6: методология обоснования преимуществ ис
- •6.1 Показатели результативности деятельности предприятия.
- •6.2 Методика отслеживания и диагностики результатов деятельности фирмы и последующего принятия на их основе управленческих решений.
- •6.3 Дерево целей.
- •6.4 Метрики и измерители показателей результативности.
- •6.5 Модель оценки и сопоставления показателей деятельности ис (csf, kpi, kgi).
- •6.6 Модель совокупного экономического эффекта ис.
- •Тема 7: модели бизнес-процессов информационной службы
- •7.1 Понятие бизнес-процесса информационной службы.
- •7.2 Модели бизнес-процессов информационной службы.
- •7.3 Базовая методология управления ит-инфраструктурой Information Technology Infrastructure Library (itil).
- •7.4 Модель it Service management (itsm) фирмы Hewlett Packard, реализованная в программном продукте hp Open View Service Desk.
- •7.5 Программные продукты Tivoli, где собран опыт ibm по ит-управлению.
- •7.6 It Service Capability Maturity Model – Модель Зрелости предоставления ит-услуг.
- •Тема 8: модели учета и анализа затрат
- •8.1 Совокупная стоимость владения, ссв (TotalCostOwnership, tco), предложенные крупнейшей консалтинговой фирмой Gartner Group.
- •8.2 Основы модели ссв.
- •8.3 Бюджетные и небюджетные затраты на ис.
- •8.4 Методика расчета ссв инфраструктуры ис.
- •8.5 Понятие ссв сервисов информационной службы.
- •8.6 Использование модели ссв в управлении.
- •Тема 9: модели управленческого учета
- •9.1 Основные принципы и понятия функционально-стоимостного анализа (фса).
- •9.2 Использование фса в экономической оценке ит-проекта, как метода оценки воздействия бизнес-процессов и услуг ис на бизнес предприятия.
- •9.3 Понятие функционально-стоимостного управления (фсу).
- •9.4 Модель фса/фсу и требования к системе управленческого учета.
- •Тема 10: методология обоснования экономических преимуществ ис
- •10.1 Обзор методологий обоснования экономических преимуществ ис.
- •10.2 Модель добавленной экономической стоимости (Economic Value Aided, eva).
- •10.3 Модель совокупного экономического эффекта, сээ (Total Economic Impact, tei).
- •10.4 Модель быстрого экономического обоснования (Rapid Economic Justification, rej), предложенная корпорацией Microsoft.
- •Тема 11: сбалансированная система показателей оценки эффективности
- •11.1 Балансовые модели оценки экономических преимуществ.
- •11.2 Модель bsc Нортона и Каплана.
- •11.3 Основные принципы и понятия модели обоснования преимуществ ис itbsc.
- •11.4 Принципы формирования стратегия развития ит в виде взаимосвязанного набора целей и показателей.
- •Литература
4.6 Стандарты по управлению ит-услугами.
Всеобщее внимание к эффективному управлению информационными системами и технологиями привело к быстрому развитию множества отраслевых, национальных и международных стандартов управления ими вообще и их безопасностью в частности.
В недавней публикации Американского Института Дипломированных Бухгалтеров (AICPA) было показано, что за последние три года информационная безопасность, определенная как “аппаратные средства, программное обеспечение, процессы и процедуры, объединенные для защиты информационных систем организации от внутренних и внешних угроз” – стала в США темой номер один в области технологий. Из-за высокой динамики современных бизнес процессов просто нет времени для того, чтобы повторно изобретать колесо, и по этой причине, должно преобладать активное использование лучших мировых практик, к которым относятся и стандарты.
Стандарты управления и безопасности ИТ были созданы на основе анализа и обобщения лучших методов, опробованных, как большими группами профессионалов, так и множеством различных организаций. В большинстве стран, стандарты – defacto рассматриваются в качестве рекомендательных и наилучших способов действия вместо обязательных стандартов dejure. Лучшие стандарты управления и безопасности ИТ, также, не являются результатами научных изысканий. Лучше всего их описывает термин “народное творчество”.
В начале 20-ого столетия, когда были изобретены и стали широко использоваться различные электроприборы, для обеспечения безопасности и улучшения условий международной торговли, были разработаны и получили всеобщее признание международные стандарты для электрических приборов. Это привело к основанию Международной Электротехнической Комиссии (IEC). Намного позже, с появлением потребности в международных стандартах в других областях, в том числе и в области качества, была создана Международная Организация по Стандартизации (ISO). Поскольку компьютер и телекоммуникационные системы требуют внимания, как к электротехническим вопросам, так и к вопросам качества, IEC и ISO объединили свои усилия по разработке соответствующих стандартов в JointTechnicalCommittee 1.
Кроме признанных международных стандартов, существует много национальных стандартов управления и безопасности ИТ. Например, в то время как ControlObjectivesforInformationandrelatedTechnology (CobiT) наиболее часто используются для управления ИТ в США и ряде других стран, ITInfrastructureLibrary (ITIL) более часто используется в Великобритании, Нидерландах и Австралии.
Большинство стран имеет собственные организации, издающие стандарты для разных случаев. Это может быть по той причине, что описываемая лучшая практика доступна или применима лишь в местном масштабе. Например, голландский стандарт для голландского национального флага не будет представлять большого интереса для мексиканской фабрики (если только она не решит начать производство флагов). Однако, есть и другая ситуация. Потребность в управлении проектами в соответствии с лучшими практиками привела к появлению PRINCE2 в Европе и PMBOK в США. И это, несмотря на то, что управление проектами не очень сильно различается на разных континентах.
Поскольку стандарты являются результатом обсуждения индивидуумов, различия идей, культурных, политических и национальных особенностей, вели и будут всегда вести к быстрому росту числа локальных стандартов. Синдром “придумано не здесь” распространен очень сильно.
Понятно, что народное творчество и идеи индивидуумов ведут к изобилию хороших методов. Но, как было сказано в начале, преимущество стандартов как раз в том, что их много. Это действительно хорошо, поскольку, когда есть много стандартов, высока вероятность того, что один из многих специфических стандартов подойдет в конкретной ситуации наилучшим образом. Это особенно полезно, если всемирно-признанного фактического стандарта еще нет. Поскольку стандарты часто расцениваются как ограничивающие свободу смирительные рубашки, хорошо иметь выбор. Если CobiT не подходит, можно применять ITIL; если NIST Руководство по безопасности является слишком жестким, можно попробовать ISO 17799. Профессионалы должны использовать лучшие части этих стандартов в качестве кирпичиков и быть готовыми к декомпозиции стандартов. Пабло Пикассо сказал ‘Каждый акт творения начинается с акта разрушения’.
Ценность использования стандартов заключается в экономии значительных ресурсов за счет отсутствия необходимости повторно изобретать колесо, но самая большая ценность в возможности использования чужого опыта и лучших практик для собственной выгоды. Для отдельной организации было бы чрезвычайно трудно придумать лучшую структуру управления ИТ чем COBIT или ITIL. Кроме того, большинство законодательных актов (типа Акта Sarbanes-Oxley в США и Tabaksblat в Нидерландах) обязывают организации, к которым эти акты относятся, применять лучшие практики. В этом случае, вполне нормально, если организация выбирает стандарт defacto (то есть, риски использования внутренних стандартов с возможными упущениями или ошибками минимизируются применением стандартов defacto). Крупнейшие организации уже поняли, что создание собственных политик безопасности часто намного более дорого и менее успешно чем опора на ISO 17799.
Другие выгоды от использования стандартов управления и безопасности ИТ становятся очевидными тогда, когда организация решает отдать часть своих функций на аутсорсинг. Применение открытых стандартов в качестве основы при заключении соглашений об уровне обслуживания между партнерами ведет к уменьшению разногласий и снижению сопутствующих затрат и рисков.
Для целей аудита ИС (то есть, управления ИТ, безопасности, планирования непрерывности бизнеса и самого процесса аудита), наиболее интересны следующие тактические стандарты defacto:
- Управление ИС – CobiT, BS 15000, Microsoft Operations Framework и ITIL
- Управление проектами – PRINCE2 иthePMBOK
- Управление безопасностью – ISO 13335, ISO 13569 (банковские и финансовые услуги), ISO 17799/ BS 7799-2 (оба локализованы для многих стран), ITBaselineProtectionManual (Германия), ACSI-33 (Австралия), множеств остандартов NationalInstituteofStandardsandTechnology- NISTHandbook (SP800-12, USA), CobiT® SecurityBaseline™, ENV12924 (Медицинская информатика) и the Information Security Forum Standard of Good Practice
- Управление качеством—ISO 9001, EFQM и Baldrige National Quality Plan
- Программирование — TickIT, Capability Maturity Model Integration (Software Engineering Institute)
- IT Governance – COBIT, IT Governance Implementation Guide, COSO Internal Control – Integrated Framework и COSO Enterprise Risk Management – Integrated Framework, и недавно разработанный Австралийский стандарт AS 8015-2005 (корпоративное управление информационными и коммуникационными технологиями)
- Управление рисками – Австралийский стандарт AS/NZS 4360[xiv]
- BCP (планирование непрерывности бизнеса) – BritishStandardsInstitutionPAS-56 и Австралийский стандарт HB 221-2004
- Аудит ИС – COBIT и ISO 19011
|
Международные стандарты |
Национальные стандарты |
Отраслевые стандарты или руководства |
Управление ИС |
|
-BS 15000 |
-COBIT -MOF -ITIL |
Управление проектами |
|
|
-PMBOK -PRINCE2 -APMs |
Управление безопасностью |
-ISO 13335 -ISO 13569 -ISO 17799 |
-BS 7799-2 -NIST standards |
-Baseline Protection Manual -ACSI-33 -COBIT Security Baseline -ENV12924 -ISF Standard of Good Practice |
Совершенствование процессов программирования/приобретения |
-ISO 12207 -ISO 15504 |
-TickIT |
-CMMI -Bootstrap |
Управление качеством |
-ISO 9001 |
-EFQM –Baldrige National Quality Plan |
|
IT Governance |
|
-COSO Internal Control— Integrated Framework -Australian standard AS 8015 |
-COBIT -IT Governance Implementation Guide |
Управление рисками |
|
-AS/NZS 4360 -COSO Enterprise Risk Management |
|
Планирование непрерывности бизнеса |
|
-PAS-56 -AS/NZS 4360 and HB 221-2004 |
|
Аудит |
-ISO 19011 |
|
-COBIT |
Таблица 4.4 Структура стандартов
Наравне со значительным числом тактических стандартов (то есть, стандартов, описывающих процессы и процедуры), имеется еще большее число эксплуатационных, технических стандартов. Международная Организация по Стандартизации (ISO), Европейский Институт Стандартов Телекоммуникаций и Национальный Институт Стандартов и Технологии (NIST) издали стандарты по таким вопросам, как шифрование (FIPS 197), критерии (технические) оценки безопасности ИТ (ISO 15408), планирование непрерывности бизнеса (FIPS 87) и использование паролей (FIPS 112).
Не случайно, что Таблица 1 содержит два новых стандарта управления непрерывностью бизнеса: PubliclyAvailableSpecification 56 от Британского Института Стандартов и Handbook 221, BusinessContinuityManagement от StandardsAustralia. Оба стандарта описывают стратегические и эксплуатационные подходы, призванные противостоять нарушениям, перерывам или потерям в процессе производства изделий и услуг. Процессы, описанные в этих стандартах выходят за рамки планирования действий в чрезвычайных ситуациях. Недавний обзор Deloitte показал, что “... приблизительно только треть респондентов чувствовала, что они имеют всеобъемлющую структуру управления непрерывностью бизнеса, и только половина из них отметила вовлеченность топ-менеджеров в инициирование и управление этими вопросами”. Две трети исследованных компаний указали на то, что они, все еще, не имеют процессов, обеспечивающих необходимую поддержку управления непрерывностью бизнеса. Очевидно, что у них есть насущная потребность в применении лучших практик. Это как раз та область, где соответствующие стандарты могут быть чрезвычайно полезны.
Применение стандартов неадекватных ситуации, может стать причиной инициации дорогостоящих проектов, не обеспечивающих достижения поставленных целей. Успешные стандарты всегда оставляют простор для их интерпретации, но, время от времени, эта интерпретация может привести к проблемам. Стандарт типа ISO 17799 описывает ЧТО такое безопасность, но не КАК ее достичь. В процессе сертификации, вопрос «КАК» может и должен стать предметом серьезных обсуждений с внешним аудитором для достижения взаимоприемлемого варианта.
Некоторые из вышеупомянутых стандартов являются частью семейства стандартов. Например, BS 15000, Британский Стандарт для Управления ИТ Услугами, состоит из двух частей. Первая часть является спецификацией для управления услугами, а вторая часть, Свод правил для Управления Услугами, является нижестоящей ступенью в иерархии. Еще ниже в этой иерархии находится ITIL, содержащий лучшие практики для процессов, описанных в BS 15000, и, более того, внутренние процедуры организации этих процессов.
Подобную иерархию можно увидеть в BS 7799-2 (спецификация управления безопасностью), ISO 17799 (набор лучших практик); и ITIL SecurityManagement (описание процессов безопасности ИС).