Идентификация it-сервисов
Целью шага является идентификация ИТ-процессов ФТС России, обеспечивающих достижение идентифицированных ранее ИТ-целей в части BCP.
Для удовлетворения ИТ-целей определяются соответствующие ИТ- процессы (согласно методологии CobiT v4.0).
-
ИТ-процессы в
соотвествии с Cobit
2
14
17
18
19
20
21
22
PO1
Разработка
стратегического плана развития ИТ
+
PO4
Определение ИТ процессов,
организационной структуры и
взаимосвязей
+
PO6
Информирование о целях и направлениях
развития ИТ
+
+
+
+
PO9
Оценка и управление ИТ рисками
+
+
+
PO10
Управление проектами
+
AI6
Управление
внесением изменений
+
AI7
Внедрение и приемка решений и
изменений
+
+
DS4
Обеспечение непрерывности ИТ
сервисов
+
+
DS5
Обеспечение
безопасности систем
+
+
+
+
DS9
Управление конфигурацией
+
DS10
Управление проблемами
+
DS11
Управление данными
+
DS12
Управление физической
безопасностью и защитой от воздействия
окружающей среды
+
+
+
+
DS13
Управление операциями по
+
эксплуатации систем
ME1
Мониторинг и оценка
эффективности ИТ
+
ME2
Мониторинг и оценка системы внутреннего
контроля
+
+
+
ME4
Обеспечение
корпоративного управления ИТ
+
Определение RTO и RPO ИТ-сервисов
Целью шага является определение RTO и RPO ИТ-сервисов.
Идентификация высокоуровневых целей ИТ-контроля. Для обеспечения корректного функционирования ИТ-процесса и достижения поставленных ИТ- целей необходимо определить высокоуровневые цели контролей (согласно CobIT v4.0)
Разработка BCP ИТ-сервисов
Целью шага является разработка BCP ИТ-сервисов.
Для каждого выбранного ИТ-процесса, опираясь на методологию CobIT v4.0 и ISO 25999 (PAS 56), определяются детальные цели контролей.
-
Номер
детальной цели ИТ-контроля
Название детальной цели контроля
Описание детальной цели контроля
DS5.1
Управление ИТ безопасность
Организовать управление ИТ безопасностью на максимально возможном организационном уровне,
чтобы действия по обеспечению безопасности соответствовали требованиям бизнеса.
DS5.2
План по ИТ безопасности
Преобразовать бизнес требования, а также требования в отношении рисков и соответствия требованиям в общий план по ИТ безопасности, учитывающий инфраструктуру и корпоративную культуру обеспечения безопасности.
ME1.3
Мониторинг и оценка эффективности ИТ
Эффективное управление эффективностью ИТ требует мониторинга. Данный процесс включает в себя определение индикаторов эффективности,
систематическую и своевременную отчетность об эффективности.
ME2.2
Надзор
Осуществлять мониторинг и оценку эффективности и результативности внутреннего управленческого контроля ИТ.
DS9.1
Управление конфигурацией
Обеспечение целостности аппаратного и программного обеспечения требует создания и поддержки полного хранилища конфигурационных данных.
DS10.2
Отслеживание и разрешение проблем
Управление проблемами предполагает ведение мониторинга постоянного воздействия проблем и
выявленных ошибок на сервисы для пользователей.
DS10.3
Закрытие проблем
Предусмотреть процедуру окончательного решения проблемы либо после подтверждения о ее
успешном устранении либо после соглашения с бизнес пользователями о методах ее
альтернативного (обходного) решения.