TỔNG QUAN VỀ CHÍNH SÁCH COBIT
Giới thiệu về COBIT
1.1.1 Lịch sử ra đời và phát triển
ISACA đã phát hành COBIT lần đầu tiên vào năm 1996 như một tập hợp các mục tiêu kiểm soát nhằm cải thiện quy trình kiểm toán tài chính trong môi trường CNTT Nhận thấy giá trị của việc mở rộng khuôn khổ, ISACA đã phát hành phiên bản 2 vào năm 1998 và tiếp tục phát triển với phiên bản 3 vào năm 2000, bổ sung hướng dẫn quản lý, qua đó nâng cao vai trò của COBIT và mở rộng ứng dụng của nó trong quản lý thông tin.
Năm 2005 và 2007, ISACA đã phát hành phiên bản 4 và 4.1, tập trung vào việc quản lý các quy trình CNTT trong doanh nghiệp, đồng thời nhấn mạnh trách nhiệm trong việc tạo ra giá trị (Val IT) và quản lý rủi ro (Risk IT) Những phiên bản này đã nâng cao cơ chế quản trị, bao quát tất cả các chức năng của phương pháp trước đó, trở thành một phương pháp quản trị mạnh mẽ và toàn diện nhất.
Vào tháng 4 năm 2012, COBIT 5 đã được công bố, mở rộng và phát triển từ COBIT 4.1, đồng thời tích hợp các tiêu chuẩn ưu việt khác từ ISACA và Tổ chức tiêu chuẩn quốc tế (ISO) Việc áp dụng khuôn khổ COBIT 5 mang lại nhiều lợi ích đáng kể cho các doanh nghiệp ở mọi quy mô.
• Duy trì thông tin chất lượng cao để hỗ trợ các quyết định kinh doanh
• Đạt được mục tiêu chiến lược và lợi nhuận kinh doanh thông qua việc sử dụng hiệu quả và sáng tạo hệ thống CNTT của doanh nghiệp
• Tối ưu hóa chi phí cho dịch vụ CNTT nói riêng và công nghệ kinh doanh nói chung
• Điều hết sức quan trọng là doanh nghiệp có thể kiểm soát được các rủi ro liên quan đến CNTT của mình
Phiên bản này được các chuyên gia đánh giá là sự kết hợp tư duy mới nhất trong quản trị doanh nghiệp và kỹ thuật quản lý hiện đại
Vào năm 2019, ISACA đã phát hành COBIT 2019, phiên bản mới nhất của bộ khung quản trị công nghệ thông tin COBIT 2019 là một công cụ toàn diện, linh hoạt, phù hợp cho mọi doanh nghiệp, bất kể quy mô hay mục tiêu kinh doanh của họ.
Nó cũng giải quyết tốt hơn công nghệ đang thay đổi nhanh chóng và được thiết kế để phát triển với các bản cập nhật thường xuyên hơn
Hình 1.1 Các giai đoạn phát triển chính của COBIT 1.1.2 Khái niệm
COBIT, viết tắt của "The Control Objectives for Information and related Technologies," là một tiêu chuẩn quốc tế về quản lý công nghệ thông tin được phát triển bởi ISACA và ITGI từ năm 1996 Tiêu chuẩn này cung cấp cho các nhà quản lý, kiểm toán viên và người sử dụng CNTT một loạt công cụ đo lường, quy trình và hướng dẫn thực hành tốt nhất nhằm tối ưu hóa lợi nhuận thông qua việc sử dụng công nghệ thông tin, đồng thời hỗ trợ quản lý và kiểm soát CNTT trong tổ chức và doanh nghiệp.
Hình 1.2 COBIT là một tiêu chuẩn quản lý chung cho công nghệ thông tin
COBIT là một khung quản trị công nghệ thông tin và bộ công cụ hỗ trợ, nhằm giúp các nhà quản lý doanh nghiệp thu hẹp khoảng cách giữa yêu cầu kiểm soát và các thách thức kỹ thuật cũng như rủi ro kinh doanh.
Lợi ích của việc thực hiện COBIT
Sự khác biệt rõ ràng giữa các doanh nghiệp quản lý tốt CNTT và những doanh nghiệp không quản lý hiệu quả là rất lớn Việc áp dụng COBIT cho thấy doanh nghiệp đang nỗ lực nâng cao hiệu quả hoạt động, nhờ vào bộ công cụ và kỹ thuật đã được chứng minh và công nhận quốc tế.
Những lợi ích của việc thực hiện COBIT bao gồm:
- COBIT được sử dụng trong nhiều công ty cung cấp một khuôn khổ cho quản trị và thực hiện kiểm soát nội bộ
- COBIT bao gồm kinh doanh và quy trình CNTT kiểm soát và cần thiết để đạt được mục tiêu của công ty
- COBIT được viết ở cấp độ quản lý và định hướng của yêu cầu nghiệp vụ
- COBIT liên kết với CNTT và các tiêu chuẩn, được hoàn chỉnh hơn so với những phương pháp khác
COBIT được công nhận rộng rãi như một khuôn khổ kiểm soát nội bộ trong lĩnh vực công nghệ thông tin, đóng vai trò là tài liệu tham khảo đáng tin cậy giúp xác định và quản lý tất cả các rủi ro liên quan.
- Cung cấp một hướng dẫn để đánh giá chính thức / nhận xét, cung cấp một nguồn đáng tin cậy cho các quyết định về quản lý điều khiển
- Giúp kết quả kiểm tra việc sử dụng như là một cơ hội để lên kế hoạch cải tiến
- Là một yếu tố mạnh mẽ trong việc đạt được các mục tiêu chính cho quản trị CNTT
- Chuẩn hóa phương pháp kiểm toán / chương trình.
Các sản phẩm của COBIT
COBIT là một bộ sản phẩm gồm 6 ấn phẩm, nhằm đảm bảo rằng công nghệ thông tin (IT) được định hướng đồng bộ với mục tiêu doanh nghiệp Mục tiêu chính của COBIT là hỗ trợ kinh doanh, tối đa hóa lợi ích, sử dụng nguồn lực IT một cách có trách nhiệm và kiểm soát các rủi ro liên quan đến IT một cách hiệu quả.
Tóm tắt điều hành COBIT được xây dựng đặc biệt nhằm phục vụ cho quản trị cấp cao, cung cấp cái nhìn tổng quan về việc thực thi các khái niệm và nguyên tắc cơ bản của COBIT.
Khung mẫu COBIT (Cobit khung mẫu lý thuyết) bao gồm 34 mục tiêu kiểm soát cao, giúp giải thích các quy trình CNTT cần thiết để doanh nghiệp đạt được mục tiêu Nó định nghĩa 7 yêu cầu thông tin và các nguồn lực CNTT quan trọng nhằm hỗ trợ toàn diện cho các mục tiêu kinh doanh.
COBIT cung cấp các mục tiêu kiểm soát quan trọng để xác định chính sách thực hành tốt trong quản lý kiểm soát CNTT Với 314 mục tiêu kiểm soát cụ thể, COBIT giúp tổ chức thiết lập các báo cáo về kết quả mong muốn nhằm đạt được hiệu quả khi thực hiện các mục tiêu này.
Bộ công cụ triển khai COBIT (Cobit bộ công cụ triển khai) được thiết kế để hỗ trợ các nhà quản lý dự án trong việc triển khai COBIT tại các tổ chức Bộ công cụ này bao gồm nhiều nghiên cứu điển hình, câu hỏi thường gặp (FAQs), và nhận thức về quản lý, cùng với các phương pháp chẩn đoán kiểm soát CNTT, nhằm giúp giới thiệu COBIT đến những đối tượng mới.
Hướng dẫn quản trị COBIT bao gồm các mô hình hoàn thành, các yếu tố thành công quan trọng, chỉ số mục tiêu và chỉ số thành quả Những hướng dẫn này nhằm hỗ trợ các nhà quản lý trong việc tối ưu hóa quy trình quản trị công nghệ thông tin.
Các quản lý có thể đánh giá hiệu quả của quy trình kiểm soát CNTT bằng cách đo lường sự phù hợp với các mục tiêu đã đề ra Họ cũng có thể so sánh các quy trình này với các chỉ tiêu tiêu chuẩn trong ngành để xác định mức độ thành công và tìm ra các cơ hội cải tiến.
Hướng dẫn Kiểm toán COBIT định nghĩa và đề xuất các hoạt động kiểm soát thực tế, nhằm đảm bảo thực hiện hiệu quả các quy trình quản lý công nghệ thông tin trong tổ chức Những hướng dẫn này giúp các tổ chức áp dụng các biện pháp kiểm soát phù hợp với từng lĩnh vực, từ đó nâng cao hiệu suất và giảm thiểu rủi ro Việc tuân thủ các hướng dẫn này không chỉ tối ưu hóa quy trình kiểm toán mà còn hỗ trợ việc đạt được các mục tiêu chiến lược của doanh nghiệp.
34 mục tiêu kiểm soát CNTT cung cấp cho các nhà kiểm toán CNTT một công cụ quý giá để đảm bảo quản trị hiệu quả và hướng dẫn cải tiến quy trình.
CẤU TRÚC COBIT
Thành phần COBIT
Nền tảng COBIT đuợc xây dựng với ba thành phần cơ bản:
- IT Resource: Nguồn tài nguyên CNTT
- Business Requirements: Yêu cầu nghiệp vụ
- IT Processes: Quy trình CNTT
Các thành phần cơ bản của COBIT bao gồm bốn nguồn tài nguyên CNTT chính: nguồn nhân lực, cơ sở hạ tầng, thông tin và phần mềm ứng dụng, đảm bảo hoạt động bền vững cho doanh nghiệp COBIT không chỉ dựa vào các nguồn tài nguyên này để xây dựng nền tảng triển khai CNTT mà còn hướng tới mục tiêu kinh doanh của tổ chức, giúp tối ưu hóa hiệu quả và giảm chi phí Quy trình của COBIT gồm bốn bước thiết yếu: Hoạch định và tổ chức, Xây dựng và thực hiện, Hỗ trợ và triển khai, và Kiểm soát và theo dõi, thể hiện sự liên kết chặt chẽ giữa phương pháp quản trị COBIT và hệ thống thông tin.
- Ứng dụng: Có thể hiểu là tổng của các thủ tục hướng dẫn sử dụng và lập trình
Dù là doanh nghiệp nào hay tổ chức nào cũng phải có những thủ tục hay những chương trình ứng dụng để hỗ trợ hoạt động
Dữ liệu, chuẩn hóa và bảo mật là những yếu tố quan trọng trong quản lý thông tin, vì thông tin là giá trị đầu vào cho mọi hoạt động và thường được chuyển đổi thành dữ liệu trong hệ thống thông tin Để đạt được lợi thế cạnh tranh, doanh nghiệp hoặc tổ chức cần đảm bảo thông tin luôn chính xác và được xử lý nhanh chóng Quản trị thông tin hiệu quả là yếu tố then chốt trong việc nâng cao hiệu suất và thành công của tổ chức.
Cơ sở hạ tầng công nghệ thông tin bao gồm phần cứng, hệ điều hành, hệ thống quản lý cơ sở dữ liệu, mạng và đa phương tiện Để phát triển CNTT hiệu quả, việc đầu tư vào cơ sở hạ tầng và nâng cấp các công cụ, hệ thống CNTT là rất cần thiết.
Nhân viên kỹ năng đóng vai trò quan trọng trong việc nâng cao nhận thức và năng suất làm việc Họ có trách nhiệm lên kế hoạch, tổ chức, tiếp thu, phân phối, hỗ trợ, giám sát và đánh giá các hệ thống thông tin và dịch vụ, từ đó góp phần tối ưu hóa quy trình làm việc và nâng cao hiệu quả hoạt động của tổ chức.
Hiệu quả - Hợp lý: Đánh giá mức độ phù hợp của thông tin trong các hoạt động nghiệp vụ, bao gồm các yếu tố như thời gian, độ chính xác và tính nhất quán.
- Efficiency - Tính hiệu quả: Thể hiện mức độ sử dụng tài nguyên CNTT một cách tối đa
- Confidentiality - Bí mật: Thể hiện mức độ bí mật và tin cậy của thông tin, không bị tiết lộ
- Integrity - Toàn vẹn: Thể hiện mức dộ chính xác và đầy đủ của thông tin cũng như tính hợp lệ (pháp lý) của nó với nghiệp vụ đặt ra
- Availability - Tính sẵn sàng: Thể hiện mức độ sẵn sàng của thông tin khi có yêu cầu từ các hoạt động nghiệp vụ
- Compliance - Tuân thủ: Thể hiện mức độ tuân thủ theo đúng luật lệ, quy định và các thỏa thuận ràng buộc
Độ tin cậy của thông tin là yếu tố quan trọng trong các hệ thống quản lý, liên quan đến việc cung cấp thông tin phù hợp cho việc sử dụng trong hệ thống Điều này bao gồm cả mức độ chính xác của thông tin, đảm bảo rằng người dùng có thể tin tưởng vào dữ liệu mà họ nhận được.
Quy trình CNTT
COBIT được chia ra thành bốn (lĩnh vực) miền phạm vi chính:
- Plan & Organize: Hoạch định và tổ chức
- Acquire & Implement: Xây dựng và thực hiện
- Deliver & Support: Triển khai và hỗ trợ
- Monitor & Evalute: Kiểm soát và theo dõi
Hình 2.1 Mối quan hệ giữa các quy trình của COBIT 2.2.1 Hoạch định và tổ chức
Bước đầu tiên trong mọi hoạt động của doanh nghiệp đóng vai trò quyết định đến sự thành công hay thất bại trong tương lai Vì vậy, việc xác định và thực hiện bước này là cực kỳ quan trọng.
Lĩnh vực này tập trung vào việc phát triển các chiến lược và chiến thuật nhằm xác định cách thức tối ưu mà công nghệ thông tin (CNTT) có thể hỗ trợ đạt được các mục tiêu kinh doanh Để thực hiện tầm nhìn chiến lược, doanh nghiệp cần quy hoạch, truyền đạt và quản lý một cách hiệu quả từ nhiều góc độ khác nhau Việc này không chỉ đòi hỏi tổ chức về cấu trúc hệ thống thông tin mà còn cần chú trọng đến tổ chức về mặt kỹ thuật hạ tầng.
Chiến lược và chiến thuật trong doanh nghiệp cần phải liên kết chặt chẽ với tầm nhìn quy hoạch, tổ chức và cơ sở hạ tầng Câu hỏi đặt ra là liệu doanh nghiệp đã tối ưu hóa các nguồn tài nguyên của mình chưa, và mọi thành viên trong tổ chức CNTT có hiểu rõ mục tiêu chung hay không Ngoài ra, việc quản lý rủi ro CNTT và đánh giá chất lượng hệ thống CNTT có đáp ứng được nhu cầu kinh doanh hiện tại hay không cũng là những vấn đề quan trọng cần được xem xét.
Trả lời cho những câu hỏi đó ta sẽ tìm hiểu những quy trình sau:
Bảng 2.1 Quy trình Hoạch định và tổ chức
PO1 Xác định kế hoạch và chiến lược CNTT: Đảm bảo các yếu tố ban đầu của kế hoạch được đáp ứng, kế hoạch rõ ràng cụ thể…
PO2 Xác định kiến trúc thông tin: Xác định rõ mô hình kiến trúc
CNTT cần xây dựng từ thiết bị nhập, xử lý, lưu trữ và hiển thị đều phải đồng bộ
PO3 Xác định đường lối CNTT: Xác đinh CNTT là phục vụ quy trình sản xuất của doanh nghiệp vì vậy đường lối xây dựng CNTT phải phù hợp
PO4 Xác định các quy trình CNTT: Tổ chức và liên kết các bộ phân
CNTT phải hợp lý, chuẩn xác
PO5 Quản lý đầu tư CNTT: Quản lý ngân sách, quản lý chức năng đáp ứng yêu cầu chiến lược của CNTT
PO6 Truyền đạt mục tiêu quản lý và định hướng: Luôn xác định rõ mục tiêu để đi đúng đường đã đề ra trong xây dựng HTTT
PO7 Quản lý nguồn nhân lực: Có kế hoạch đào tạo, kiểm tra nguồn nhân lực, đảm bảo nhân lực cho HTTT
PO8 Quản lý chất lượng: Đảm bảo sự phù hợp và hiệu quả của CNTT được đem vào áp dụng
PO9 Quản lý rủi ro: Thiết lập kế hoạch dự phòng, dự đoán rủi ro và đề xuất giải quyết
PO10 Quản lý dự án: Kiểm soát toàn bộ dự án, luôn kết hợp kế hoạch và tiến trình, đảm bảo dự án tiến hành đúng hướng đi
2.2.2 Xây dựng và thực hiện
Để thực hiện chiến lược hiệu quả, cần xác định và triển khai các giải pháp công nghệ thông tin (CNTT) vào quy trình kinh doanh Đồng thời, việc thay đổi và bảo trì các hệ thống hiện có cũng rất quan trọng để đảm bảo chu kỳ sống của các hệ thống này được duy trì liên tục.
Việc thay đổi cũng cần phải đuợc tính đến để đảm bảo các hệ thống luôn đuợc phát triển theo kế hoạch đặt ra
Xác định yêu cầu về công nghệ thông tin (CNTT) là bước đầu tiên quan trọng trong việc mua sắm công nghệ phù hợp và tích hợp chúng vào quy trình kinh doanh hiện tại của công ty Lĩnh vực này không chỉ giúp nâng cao hiệu quả hoạt động mà còn thúc đẩy sự phát triển bền vững trong tương lai.
Để kéo dài tuổi thọ của hệ thống CNTT và các thành phần của nó, công ty cần thực hiện 11 kế hoạch bảo dưỡng hiệu quả Những giải pháp CNTT này không chỉ bao gồm việc thay đổi mà còn cả bảo trì định kỳ nhằm đảm bảo hệ thống hoạt động ổn định và hiệu suất cao.
Dự án mới có khả năng cung cấp giải pháp đáp ứng nhu cầu kinh doanh và đảm bảo thời gian cũng như ngân sách hay không? Liệu các hệ thống mới có hoạt động hiệu quả khi được triển khai? Thay đổi có thể thực hiện mà không làm xáo trộn hoạt động kinh doanh hiện tại không?
Tóm tắt quy trình: Đầu vào = Yêu cầu và hoạt động hoạch đinh & tổ chức;
Kết quả đầu ra = DS và PO;
Hoạt động chính bao gồm việc xác định các giải pháp, bảo trì phần mềm và hạ tầng, quản lý thay đổi và cấu hình, cấp phép sử dụng, cũng như áp dụng các kết quả vào môi trường hoạt động.
Quản lý chất lượng, rủi ro và các dự án công nghệ thông tin (CNTT) là những hoạt động quan trọng, bao gồm nhiều kỹ thuật giám sát và đánh giá, cùng với việc mua sắm các nguồn lực CNTT cần thiết.
Bảng 2.2 Quy trình Xây dựng và thực hiện
AI1 Xác định các giải pháp tự động
AI2 Duy trì tiếp thu và ứng dụng phần mềm
AI3 Tiếp thu và duy trì cơ sở hạ tầng công nghệ
AI4 Kích hoạt và sử dụng
AI5 Mua nguồn lực CNTT
AI6 Quản lý thay đổi
AI7 Cài đặt và công nhận giải pháp và thay đổi
2.2.3 Triển khai và hỗ trợ
Bao gồm các dịch vụ cần thiết trong việc triển khai các giải pháp CNTT như đào tạo, đảm bảo an toàn an ninh…
Quá trình này bao gồm việc giám sát và báo cáo kịp thời cho các bên liên quan về việc hoàn thành các cấp độ dịch vụ, đồng thời cho phép điều chỉnh dịch vụ phù hợp với yêu cầu của doanh nghiệp.
Lĩnh vực này liên quan đến việc phân phối thực tế các dịch vụ thiết yếu, bao gồm các hoạt động truyền thống về an ninh và việc đào tạo liên tục.
Để cung cấp dịch vụ hiệu quả, cần thiết phải thiết lập các quá trình hỗ trợ Lĩnh vực này bao gồm các giải pháp thực tiễn thông qua hệ thống ứng dụng, thường được phân loại theo các điều khiển ứng dụng.
Phân phối các dịch vụ cần thiết, thiết lập các quy trình hỗ trợ và triển khai bằng các hệ thống ứng dụng
Dịch vụ CNTT có được chuyển giao đúng với các ưu tiên kinh doanh hay không? Liệu CNTT có giúp tối ưu hóa chi phí hiệu quả? Đội ngũ lao động có khả năng sử dụng các hệ thống CNTT một cách an toàn và hữu ích không? Bên cạnh đó, có đảm bảo được sự bảo mật, toàn vẹn và tính sẵn sàng của hệ thống hay không?
Bảng 2.3 Quy trình Triển khai và hỗ trợ
DS1 Xác định và quản lý mức dịch vụ
DS2 Quản lý dịch vụ bên thứ ba
DS3 Quản lý hiệu quả và năng lực
DS4 Đảm bảo tính liên tục của dịch vụ
DS5 Đảm bảo hệ thống an ninh
DS6 Xác định và phân bố chi phí
DS7 Giáo dục và đào tạo người sử dụng
DS8 Quản lý dịch vụ bàn và sự cố
DS9 Quản lý cấu hình
DS10 Quản lý vấn đề
DS11 Quản lý dữ liệu
DS12 Quản lý môi trường vật lý
DS13 Quản lý hoạt động
2.2.4 Kiểm soát và theo dõi
Tất cả các quy trình CNTT cần phải được thường xuyên đánh giá qua thời gian cho chất lượng của họ và tuân thủ các yêu cầu kiểm soát
Phạm vi này cũng thể hiện quan điểm của ban lãnh đạo trong việc kiểm soát các quy trình CNTT
Các chủ đề: Đánh giá qua thời gian, cung cấp bảo đảm Quản lý giám sát của hệ thống kiểm soát hiệu suất đo lường
Hiệu suất CNTT có thể được đo lường và các vấn đề có thể được phát hiện kịp thời Điều này đảm bảo rằng các lĩnh vực quan trọng đang hoạt động đúng như dự định.
Bảng 2.4 Quy trình Kiểm soát và theo dõi
ME1 Giám sát và đánh giá hiệu suất CNTT
ME2 Theo dõi và đánh giá hiệu suất CNTT
ME3 Theo dõi và đánh giá kiểm soát nội bộ
ME4 Cung cấp cơ chế quản trị CNTT.
Ví dụ: Thiết lập các chỉ số an toàn thông tin dựa trên SLA cho Điện toán đám mây từ Khung chính sách COBIT 4.1
2.3.1 Giới thiệu chung về điện toán đám mây, SLA trong điện toán đám mây
Ngày nay, khách hàng yêu cầu các dịch vụ Công nghệ Thông tin mới, trong đó Điện toán Đám mây nổi bật với khả năng cung cấp nhiều dịch vụ hơn so với điện toán truyền thống Mặc dù có nhiều ưu điểm, Điện toán Đám mây cũng gặp phải một số nhược điểm như mất quyền quản trị, rủi ro từ nội gián, và các vấn đề về bảo mật, quyền riêng tư và quy định bảo vệ dữ liệu An toàn thông tin trở thành vấn đề quan trọng, cần sự chú ý từ các nhà cung cấp dịch vụ Đám mây để bảo vệ dữ liệu khách hàng Khách hàng yêu cầu xây dựng cơ chế để đo lường và cải thiện tính bảo mật của hệ thống Đám mây, với các phương pháp như giám sát liên tục và cải tiến bảo mật thông tin Mặc dù các nhà cung cấp dịch vụ đám mây cam kết bảo vệ dữ liệu, thực tế cho thấy họ đôi khi không đáp ứng đầy đủ yêu cầu về bảo mật và quyền riêng tư Các Chỉ số An toàn Thông tin là công cụ hữu hiệu để đo lường hiệu quả bảo mật của nhà cung cấp dịch vụ đám mây, và các tổ chức thường áp dụng các biện pháp bảo mật đã có hoặc tự phát triển cho hệ thống của mình.
Các tổ chức đám mây cần triển khai các chỉ số bảo mật thông tin thông qua Thỏa thuận cấp độ dịch vụ (SLA) để đảm bảo an toàn cho 14 vụ việc đã xảy ra.
SLA (Service Level Agreement) là văn bản pháp lý mà các tổ chức ký kết để xác định các điều khoản và điều kiện của thỏa thuận Trong lĩnh vực Điện toán đám mây, SLA quy định các dịch vụ mà nhà cung cấp cam kết cung cấp, đồng thời thiết lập hình phạt cho bên vi phạm thỏa thuận Các chỉ số bảo mật thông tin dựa trên SLA giúp đo lường mức độ dịch vụ giữa nhà cung cấp dịch vụ đám mây và khách hàng Mặc dù SLA chủ yếu được sử dụng để đánh giá hiệu suất của tổ chức đám mây, nhưng cũng có vai trò quan trọng trong việc đo lường bảo mật thông tin Các tài liệu đánh giá tiêu chuẩn bảo mật cho thấy COBIT là khung hiệu quả nhất để phát triển các chỉ số an toàn thông tin dựa trên SLA trong môi trường Điện toán đám mây.
2.3.2 Thỏa thuận cấp độ dịch vụ
SLA (Thỏa thuận mức độ dịch vụ) là tài liệu hợp pháp giữa Nhà cung cấp dịch vụ đám mây (CSP) và khách hàng, xác định các cấp độ dịch vụ mà CSP cam kết cung cấp Mặc dù có một số nhược điểm, SLA mang lại lợi ích lớn trong việc làm rõ trách nhiệm của cả hai bên Tất cả các điều khoản trong SLA được thương lượng và thống nhất giữa CSP và khách hàng trước khi hoàn thiện, đảm bảo sự đồng thuận và hiểu biết rõ ràng về các phương thức dịch vụ.
SLA định nghĩa rõ ràng loại dịch vụ và cấp độ mà khách hàng mong đợi từ nhà cung cấp dịch vụ đám mây (CSP), đồng thời xác định trách nhiệm của cả hai bên cùng các sự kiện có thể xảy ra Trong môi trường đám mây, việc chuyển giao thông tin và dữ liệu cho CSP khiến tổ chức đám mây không biết vị trí thực tế của dữ liệu Do đó, SLA trở thành công cụ quan trọng để đảm bảo tính bảo mật và quyền riêng tư cho dữ liệu Vì vậy, khi soạn thảo SLA, cả hai bên cần chú trọng đến các vấn đề bảo mật và quyền riêng tư ngay từ giai đoạn đầu.
2.3.3 Tiêu chí để lựa chọn các chỉ số an toàn thông tin dựa trên SLA Để quyết định xem một tổ chức có khả năng liên quan đến bảo mật trong Điện toán đám mây hay không, tổ chức có thể thử COBIT framework để trả lời các câu hỏi liên quan đến quản trị và các thực hành tốt nhất Hơn nữa, COBIT được sử dụng trong kiểm toán CNTT và có khả năng sử dụng kết hợp với các framework, chứng chỉ và các tiêu chuẩn liên quan đến công nghệ thông tin khác như ISO 27001 và NIST SP 800-55 Phiên bản 1 Ngoài ra, nó còn là hướng dẫn tốt nhất trong việc phát triển các chỉ số bảo mật cho điện toán đám mây
Các tiêu chí sau được phát triển để xác định số lượng chính xác các chỉ số có liên quan đến Bảo mật thông tin từ khung COBIT
Bảng 2.5 Tiêu chí lựa chọn các chỉ số bảo mật thông tindựa trênSLA từ COBIT
STT Tiêu chí Nhận xét
1 Có liên quan đến điện toán đám mây không?
Có một số framework và tiêu chuẩn để quản lý cơ sở hạ tầng CNTT và đôi khi có một phần nhỏ của điện toán đám mây
NIST, COBIT, SANS, ISO, v.v có một số hướng dẫn có thể được sử dụng để phát triển các chỉ số bảo mật
Trong các hướng dẫn này, các điều khiển không liên quan đến điện toán đám mây đã được xác định Để lựa chọn các quy trình phù hợp cho điện toán đám mây, các tiêu chí đã được phát triển nhằm đảm bảo chỉ những quy trình liên quan đến đám mây được chọn.
2 Có liên quan đến an toàn thông tin không?
Khuôn khổ và tiêu chuẩn quản trị CNTT của một tổ chức bao gồm nhiều khía cạnh, tuy nhiên, dự án này tập trung chủ yếu vào vấn đề bảo mật thông tin.
Tiêu chí thứ hai sẽ chỉ chọn những quy trình đó có liên quan đến bảo mật thông tin
3 Có thể áp dụng cho bất kỳ hoặc tất cả các mô hình dịch vụ đám mây (SaaS, PaaS, IaaSand XaaS) không?
Tiêu chí này sẽ kiểm tra xem điều khiển đã chọn có thể áp dụng cho bất kỳ mô hình dịch vụ đám mây nào hay không
Một số điều khiển là một phần liên quan đến bảo mật thông tin cho điện toán đám mây và không đáp ứng đầy đủ các tiêu chí
4 Có thể đáp ứng đầy đủ tiêu chí để được lựa chọn như một kiểm soát không?
Việc lựa chọn kiểm soát là một quá trình quan trọng, trong đó các quy trình sẽ được xem xét và chọn lựa dựa trên việc đáp ứng đầy đủ các yêu cầu đặc điểm Nếu quy trình không đạt tiêu chuẩn, chẳng hạn như chi phí quá cao, nó sẽ bị loại bỏ khỏi danh sách lựa chọn.
Có năm tiêu chí quan trọng để xác định tính phù hợp của các quy trình đưa vào SLA cho Đám mây Các quy trình này sẽ được kiểm tra kỹ lưỡng; những quy trình không đáp ứng yêu cầu sẽ không được đưa vào SLA Do đó, chỉ những quy trình liên quan và đáp ứng tiêu chí SLA mới được lựa chọn.
6 Có liên quan đến nghiên cứu chủ đề không?
Tiêu chí cuối cùng không quá khắt khe, ở đây, nó sẽ chỉ kiểm tra xem quy trình này có liên quan đến nghiên cứu chủ đề hay không
Khung Quản trị CNTT COBIT bao gồm 34 quy trình quản lý cơ sở hạ tầng CNTT của tổ chức, với mỗi quy trình đảm nhiệm một chức năng riêng biệt Trong bối cảnh Đám mây, các quy trình này không thể áp dụng trực tiếp cho việc xử lý dữ liệu của Khách hàng trên trang web của nhà cung cấp dịch vụ đám mây (CSP) Các quy trình của COBIT 4.1 được trình bày trong tài liệu tham khảo.
Bảng 2.6 Danh sách quy trình COBIT 4.1
PO1 Define a Strategic IT Plan
PO2 Define the Information Architecture
PO4 Define the IT Processes, Organization and Relationships
PO5 Manage the IT Investment
PO6 Communicate Management Aims and Direction
PO7 Manage IT Human Resources
PO9 Access and Manage IT Risks
AI2 Acquire and Maintain Application Software
AI3 Acquire and Maintain Technology Infrastructure
AI4 Enable Operation and Use
AI7 Install and Accredit Solutions and Changes
DS1 Define and Manage Service Level
DS2 Manage Third-party Services
DS3 Manage Performance and Capacity
DS6 Identify and Allocate Costs
DS7 Educate and Train Users
DS8 Manage Service Desk and Insidents
DS12 Manage the Physical Environment
ME1 Monitor and Evaluate IT Performance
ME2 Monitor and Evaluate Internal Control
ME3 Ensure Compliance With External Requirements
Để đảm bảo an toàn thông tin, tổ chức đám mây cần lựa chọn các quy trình phù hợp từ khung COBIT Các tiêu chí được nêu trong Bảng 2.5 áp dụng cho khung COBIT 4.1, và mỗi quy trình trong khung công việc này sẽ được đánh giá dựa trên các tiêu chí đó Bảng 2.7 minh họa quá trình thực hiện đánh giá theo các tiêu chí đã đề ra.
Bảng 2.7 Lựa chọn quy trình bảo mật cho Cloud SLA từ khung COBIT 4.1
Metrics selection criteria Serial Number
PO1 No No No No No No
PO2 Yes Yes Yes Yes No No
PO3 Yes Yes Yes Yes No No
PO4 Yes Yes Yes Yes No Yes
PO5 Yes Yes Yes Yes No Yes
PO6 Yes Yes Yes Yes No No
PO7 Yes Yes Yes Yes No No
PO8 Yes Yes Yes Yes No Yes
PO9 Yes Yes Yes Yes Yes Yes
PO10 No No No No No No
AI1 Yes Yes Yes Yes No Yes
AI2 Yes Yes Yes Yes Yes Yes
AI3 Yes Yes Yes Yes Yes Yes
AI4 Yes Yes Yes Yes Yes Yes
AI5 Yes Yes Yes Yes No Yes
AI6 Yes Yes Yes Yes No Yes
AI7 Yes Yes Yes Yes No Yes
DS1 Yes Yes Yes Yes No No
DS2 Yes Yes Yes Yes Yes Yes
DS3 Yes Yes Yes Yes Yes Yes
DS4 Yes Yes Yes Yes Yes Yes
DS5 Yes Yes Yes Yes Yes Yes
DS6 No No No No No No
DS7 Yes No No No No No
DS8 Yes Yes Yes Yes Yes Yes
DS9 Yes Yes Yes Yes Yes Yes
DS10 Yes Yes Yes Yes Yes Yes
DS11 Yes Yes Yes Yes Yes Yes
DS12 Yes Yes Yes Yes No No
DS13 Yes Yes Yes Yes Yes Yes
ME1 Yes Yes Yes Yes Yes Yes
ME2 Yes Yes Yes Yes Yes Yes
ME3 Yes Yes Yes Yes Yes Yes
ME4 Yes Yes No No No No
Sau khi áp dụng các tiêu chí lựa chọn, chỉ có 14 quy trình phù hợp được xác định, và danh sách các quy trình này được trình bày trong Bảng 2.8.
Bảng 2.8 Các quy trình COBIT 4.1 đáp ứng tiêu chí
PO9 Access and Manage IT Risks
AI2 Acquire and Maintain Application Software
AI3 Acquire and Maintain Technology Infrastructure
AI4 Enable Operation and Use
DS2 Manage Third-Party Services
DS3 Manage Performance and Capacity
DS8 Manage Service Desk and Insidents
ME1 Monitor and Evaluate IT Performance
ME2 Monitor and Evaluate Internal Control
ME3 Ensure Compliance With External Requirements
Khung COBIT bao gồm tổng cộng 340 chỉ số cho Quản trị CNTT, trong đó miền Phân phối và Hỗ trợ (DS) chiếm 120 chỉ số Bảng 2.9 trình bày chi tiết về các quy trình COBIT cùng với số lượng chỉ số tương ứng của từng quy trình.
Bảng 2.9 Các quy trình và chỉ số tương ứng trong COBIT 4.1
Các số liệu trong khung COBIT tính theo tỷ lệ phần trăm được thể hiện trong Hình 2.2
Plan and Organize (PO) Acquire and Implement (AI)Deliver and Support (DS) Monitor and Evaluate (ME)
Hình 2.2 Phân phối các chỉ số trong bốn lĩnh vực của khung COBIT
Các chỉ số hiện tại quá lớn khiến tổ chức gặp khó khăn trong việc duy trì dữ liệu, đồng thời không hiệu quả về chi phí cho khách hàng trên nền tảng đám mây Hơn nữa, những chỉ số này không liên quan đến Điện toán đám mây, vì chỉ có các quy trình từ DS2 đến DS5 và DS8 đến DS11 trong miền Deliver và Support (DS) mới liên quan đến Cloud SLA.
Số liệu của các chỉ số được xác định từ các quy trình trong COBIT framework cho Điện toán đám mây theo tiêu chí được đưa ra trong Bảng 2.10
Bảng 2.10 Số liệu chỉ số đã xác định
Hình 2.3 Hiệu quả của các quy trình khung COBIT cho điện toán đám mây
Cách thức xây dựng quy trình
Hình 3.2 Cách thức xây dựng quy trình
Ví dụ về xây dựng quy trình
Hình 3.3 Các bước xây dựng quy trình
Trong quá trình triển khai xây dựng hệ thống thông tin (HTTT), việc xác định domain là bước đầu tiên, tiếp theo là xây dựng quy trình cụ thể Các bước chính để thực hiện quy trình bao gồm: xác định "What" - quy trình CNTT cần thực hiện; "Why" - lý do và yêu cầu nghiệp vụ cần thỏa mãn; "How" - cách thức triển khai và ứng dụng tài nguyên CNTT, đảm bảo hiệu quả hoạt động Cuối cùng, cần xem xét lại các bài học đã rút ra và kiểm soát toàn bộ quy trình, chú trọng vào việc quản lý rủi ro và thay đổi có thể xảy ra, đồng thời phân công và thiết lập quy trình nghiệp vụ mới.
Quá trình xây dựng quy trình CNTT không hề đơn giản, mặc dù đã có những bước tổng quan được hướng dẫn COBIT là phương pháp cụ thể với 34 quy trình và 214 đối tượng cần phân tích và điều khiển Hơn nữa, COBIT yêu cầu kiểm soát và đánh giá chặt chẽ, do đó mỗi bước trong quá trình xây dựng đều cần được kiểm tra và đánh giá theo tiêu chuẩn của COBIT.
Có những quy trình còn yếu kém phương pháp COBIT còn dễ dàng ánh xạ đến các phương pháp khác nhằm đạt được lợi ích cao nhất
• Giảm thiểu khả năng xảy ra sự thay đổi lớn, lỗi hoặc sự sửa đổi trái phép.
• Chủ động thực hiện sự thay đổi một cách hợp lí.
• Hệ thống quản lý cho phép phân tích, thực hiện và theo dõi toàn bộ sự thay đổi đối với tài nguyên CNTT.
Vấn đề cần quan tâm
• Nhận dạng, phân loại, ưu tiên và xây dựng các thủ tục quản lý thay đổi.
• Đánh giá mức độ ảnh hưởng.
• Phân công trách nhiệm thực hiện thay đổi.
• Thiết kế lại quy trình nghiệp vụ.
COBIT 5 VÀ QUẢN TRỊ CNTT DOANH NGHIỆP
Tổng quan về COBIT 5 và quản trị CNTT doanh nghiệp
Thông tin và công nghệ ngày càng đóng vai trò quan trọng trong sự bền vững và quản lý rủi ro của doanh nghiệp, khiến CNTT chuyển từ hỗ trợ sang vị trí trung tâm Việc nâng cao vai trò của CNTT trong tạo ra giá trị và quản lý rủi ro đã dẫn đến sự chú trọng đến Quản trị CNTT Doanh nghiệp (GEIT) Các bên liên quan và hội đồng quản trị mong muốn CNTT đạt được các mục tiêu kinh doanh, làm cho GEIT trở thành phần không thể thiếu trong quản trị doanh nghiệp tổng thể GEIT liên quan đến việc xác định và triển khai quy trình, cấu trúc và mối quan hệ cho phép nhân viên thực hiện trách nhiệm trong việc tạo ra hoặc duy trì giá trị doanh nghiệp Tuy phức tạp, GEIT đã có sự hỗ trợ từ các khuôn khổ thực hành tốt, trong đó COBIT 5, được phát hành năm 2012, là một trong những khuôn khổ nổi bật, tích hợp 20 năm phát triển trong lĩnh vực quản trị CNTT COBIT đã trở thành một khuôn khổ quản lý và điều hành CNTT toàn diện, được công nhận rộng rãi trong cộng đồng.
COBIT 5 hợp nhất và tích hợp các framework COBIT 4.1, Val IT 2.0 và Risk IT Trước COBIT 5, Val IT đã đề cập đến các quy trình và trách nhiệm kinh doanh liên quan đến CNTT trong việc tạo ra giá trị doanh nghiệp và Risk IT cung cấp một quan điểm kinh doanh tổng thể về quản lý rủi ro Giờ đây, được tích hợp vào COBIT 5, khung toàn diện duy nhất hướng dẫn các nhà quản lý khi họ triển khai GEIT trong doanh nghiệp của mình
Theo ISACA, toàn bộ những sự cập nhật và thay đổi trên có ý nghĩa như sau:
- Tối ưu hóa việc trao đổi thông tin trong tổ chức
- Sử dụng các chiến lược và kỹ năng công nghệ thông tin để đạt được các mục tiêu kinh doanh
- Giảm thiểu rủi ro bảo mật thông tin và cung cấp nhiều quyền kiểm soát hơn
- Cung cấp giải pháp hiệu quả về chi phí cho các hoạt động cung cấp CNTT
- Tích hợp các phát hiện mới nhất vào khung COBIT
Các công ty áp dụng các framework như CMI và ITL sẽ trải nghiệm việc quản trị công nghệ thông tin trở nên dễ dàng và hiệu quả hơn Những thành phần này giúp tối ưu hóa quy trình và nâng cao hiệu suất làm việc trong tổ chức.
Các chuyên gia bảo mật, quản trị viên và kiểm toán viên công nghệ thông tin đều có vai trò quan trọng trong việc quản trị và quản lý toàn bộ hệ thống công nghệ Công việc của họ không chỉ tập trung vào các khía cạnh kỹ thuật mà còn bao gồm việc đảm bảo an ninh và tuân thủ các quy định trong lĩnh vực công nghệ thông tin.
Năm nguyên tắc cơ bản của COBIT 5
Khung COBIT 5 được xây dựng dựa trên năm nguyên tắc cốt lõi, được minh họa trong hình
Hình 4.1 Năm nguyên tắc cơ bản về cách hoạt động của COBIT 5
4.2.1 Đáp ứng nhu cầu của các bên liên quan (Meeting Stakeholder Needs)
Doanh nghiệp tạo ra giá trị cho các bên liên quan bằng cách duy trì sự cân bằng giữa lợi ích, rủi ro và nguồn lực COBIT 5 cung cấp quy trình và điều kiện cần thiết để hỗ trợ việc tạo ra giá trị kinh doanh thông qua công nghệ thông tin Mỗi doanh nghiệp có thể tùy biến COBIT 5 để phù hợp với bối cảnh và mục tiêu riêng của mình, chuyển đổi từ mục tiêu kinh doanh tổng quát thành các mục tiêu chi tiết có thể quản lý, đồng thời ánh xạ các mục tiêu này vào quy trình và thực hành của mục tiêu IT.
Hình 4.2 Các tầng mục tiêu
Các tầng mục tiêu (goals cascade) đạt được thông qua bốn bước:
Hình 4.3 Các bước của tầng mục tiêu
Bước 1: Định hướng của các bên liên quan ảnh hưởng đến nhu cầu của các bên liên quan
Bước 2: Nhu cầu của các bên liên quan tác động vào mục tiêu của doanh nghiệp
Nhu cầu của các bên liên quan đóng vai trò quan trọng trong việc thiết lập các mục tiêu tổng quát của doanh nghiệp Những mục tiêu này có thể được phát triển thông qua việc áp dụng mô hình Balance Scorecard (BSC) Theo COBIT 5, có 17 mục tiêu tổng quát được phân chia thành 4 chiều chính của BSC, bao gồm Tài chính, Khách hàng, Nội bộ, và Đào tạo và phát triển.
Hình 4.4 Mục tiêu của doanh nghiệp
Step 3: The goals of the enterprise influence the IT-related goals To achieve the business objectives, it is essential to align IT strategies with these enterprise goals effectively.
29 các kết quả của các mục tiêu liên quan đến IT COBIT 5 định nghĩa 17 mục tiêu liên quan đến IT
Hình 4.5 Mục tiêu liên quan CNTT
Hình 4.6 Sơ đồ liên kết giữa mục tiêu của doanh nghiệp và mục tiêu liên quan
Để đạt được các mục tiêu liên quan đến IT, cần thiết phải có các ứng dụng thành công và các điều kiện cần thiết như quy trình, cấu trúc tổ chức và thông tin Mỗi điều kiện này hỗ trợ cho mục tiêu IT, trong đó quy trình đóng vai trò quan trọng COBIT 5 giúp ánh xạ giữa các mục tiêu liên quan đến IT và các quy trình cần thiết, đảm bảo sự liên kết và hiệu quả trong việc thực hiện các mục tiêu này.
Hình 4.7 Sơ đồ thực hiện các mục tiêu liên quan đến CNTT
Hình 4.8 Những câu hỏi khảo sát cho việc quản trị và quản lý IT
4.2.2 Bao phủ toàn bộ hoạt động doanh nghiệp (Covering the Enterprise End-to- end)
COBIT 5 bao phủ toàn bộ các chức năng và quy trình của doanh nghiệp COBIT
COBIT 5 không chỉ chú trọng vào các chức năng IT mà còn quản lý thông tin và công nghệ như một tài sản quý giá của doanh nghiệp Nó đánh giá toàn bộ các hoạt động liên quan để đảm bảo sự hiệu quả và bền vững trong quản lý công nghệ thông tin.
Quản trị IT là một yếu tố quan trọng trong toàn bộ doanh nghiệp, yêu cầu xem xét tất cả nhân viên cũng như các yếu tố bên trong và bên ngoài có liên quan đến việc quản lý thông tin và công nghệ thông tin Việc này đảm bảo rằng mọi khía cạnh của doanh nghiệp được tối ưu hóa để phục vụ cho quản trị hiệu quả.
Hình 4.9 Điều kiện quản lý cần thiết
Các điều kiện cần thiết về quản trị (Governance Enabler) bao gồm các nguồn lực tổ chức như khuôn khổ, nguyên tắc, cấu trúc và thực hành, nhằm định hướng và thực hiện các mục tiêu đã đề ra Ngoài ra, các nguồn lực doanh nghiệp như hạ tầng IT, ứng dụng, con người và thông tin cũng đóng vai trò quan trọng Thiếu hụt các điều kiện này có thể ảnh hưởng tiêu cực đến khả năng tạo ra giá trị của doanh nghiệp.
Phạm vi của quản trị bao gồm toàn bộ doanh nghiệp, các thực thể, tài sản hữu hình và tài sản vô hình Quản trị doanh nghiệp có thể được định nghĩa theo nhiều quan điểm khác nhau, tùy thuộc vào cách thức áp dụng Do đó, việc xác định phạm vi rõ ràng cho hệ thống quản trị doanh nghiệp là cần thiết để đảm bảo tính hiệu quả và sự phù hợp trong quản lý.
Vai trò, hoạt động và mối liên quan trong quản trị xác định ai tham gia, cách thức tham gia, nhiệm vụ của họ và cách họ tương tác trong hệ thống quản trị COBIT 5 phân biệt rõ ràng giữa quản trị và quản lý, giúp làm sáng tỏ các giao tiếp và vai trò của nhà quản trị cùng nhà quản lý trong hệ thống này.
Hình 4.10 Nguyên tắc, hoạt động và các mối quan hệ
4.2.3 Áp dụng duy nhất một khuôn khổ tích hợp (Applying a Single, Integrated
COBIT 5 là một khuôn khổ tổng thể giúp quản trị và quản lý IT trong doanh nghiệp, tích hợp nhiều tiêu chuẩn và thực hành khác nhau Mỗi tiêu chuẩn và thực hành cung cấp hướng dẫn cho các hoạt động IT cụ thể, tạo nên sự đồng bộ và hiệu quả trong quản lý công nghệ thông tin.
4.2.4 Tạo lập một phương pháp tiếp cận toàn diện (Enabling a Holistic Approach)
COBIT 5 định nghĩa một tập các điều kiện cần thiết (enabler) để hỗ trợ thực hiện một hệ thống quản trị và quản lý toàn diện IT của doanh nghiệp Các điều kiện cần thiết (enabler) được định nghĩa là tất cả mọi điều kiện mà giúp hoàn thành mục tiêu của doanh nghiệp
COBIT 5 định nghĩa 7 loại điều kiện cần thiết (enabler) là:
1 Quy tắc, chính sách và khuôn khổ (Principles, policies and frameworks)
3 Cấu trúc tổ chức (Organization Structures)
4 Văn hóa, Đạo đức và Hành vi (Culture, Ethics, and Behavior)
6 Dịch vụ, hạ tầng và ứng dụng (Services, Infrastructures, and Applications)
7 Con người, Kỹ năng và Năng lực (People, Skills, and Competencies)
Hình 4.11 Tích hợp khung mẫu các Công ty đa quốc gia
Các điều kiện cần thiết (enabler) bao gồm nhiều chiều phân tích (dimension) giúp liên kết một cách đơn giản và có cấu trúc Điều này không chỉ tạo ra sự kết nối giữa các điều kiện cần thiết mà còn cho phép quản lý hiệu quả các tương tác phức tạp giữa chúng.
Các điều kiện cần thiết có 4 chi ề u phân tích (dimension) gồm:
- Các bên liên quan (Stakeholders): Mỗi điều kiện cần thiết đều có các bên liên quan
Mỗi điều kiện cần thiết đều đi kèm với một số lượng mục tiêu nhất định, cung cấp giá trị để đạt được các mục tiêu này Các mục tiêu có thể là kết quả mong đợi từ các điều kiện cần thiết hoặc các ứng dụng, hoạt động liên quan Chúng có thể được phân chia thành các mục nhỏ hơn để dễ dàng quản lý và thực hiện.
Chất lượng thực chất (Intrinsic quality) đóng vai trò quan trọng trong việc nâng cao khả năng làm việc chính xác, nhằm đáp ứng các mục tiêu cần thiết và cung cấp kết quả chính xác, đúng mục tiêu và đáng tin cậy.
Chất lượng theo bối cảnh (Contextual quality) nhằm nâng cao khả năng của các điều kiện cần thiết và kết quả của chúng để phù hợp với bối cảnh hoạt động Kết quả cần phải liên quan, hoàn thiện, đúng thời điểm, chính xác, thống nhất, dễ hiểu và dễ sử dụng.
Thành phần cấu thành nên COBIT 5 (COBIT 5 framework)
Framework chính cung cấp các hướng dẫn cơ bản và thực tiễn tốt nhất trong quản trị công nghệ thông tin Những hướng dẫn này có thể được điều chỉnh và tích hợp theo nhu cầu thực tế của tổ chức hoặc doanh nghiệp Mục tiêu chính của framework là giúp doanh nghiệp sắp xếp và cơ cấu các mục tiêu của mình phù hợp với khả năng công nghệ thông tin.
4.3.2 Mô tả quá trình Điều này cho phép doanh nghiệp có được một mô hình quy trình tham chiếu mẫu, cùng với ngôn ngữ chung được sử dụng bởi mỗi thành viên của doanh nghiệp đó Các yếu tố mô tả bao gồm lập kế hoạch, tạo, thực hiện và giám sát các quy trình liên quan đến công nghệ thông tin Điều này giúp mỗi cá nhân trong tổ chức hiểu và nắm rõ các quy trình và thuật ngữ liên quan
Doanh nghiệp có thể truy cập danh sách chi tiết các yêu cầu cần thiết để kiểm soát hiệu quả quy trình công nghệ thông tin Việc này sẽ góp phần nâng cao hiệu quả quản lý và vận hành cho tất cả các quy trình công nghệ thông tin trong doanh nghiệp.
Hướng dẫn của COBIT sẽ mô tả rõ ràng trách nhiệm và nhiệm vụ của từng cá nhân trong từng giai đoạn Đồng thời, chúng cũng cung cấp phương pháp đo lường hiệu suất của tổ chức trong quá trình triển khai COBIT 5.
Những mô hình này sẽ đánh giá sự “trưởng thành” của doanh nghiệp về mặt triển khai các quy trình và đối phó với thách thức