Про зрелость процессов, COBIT и CISA/CISM

Про зрелость процессов, COBIT и CISA/CISM
Многие помнят, принимают и используют "Модель зрелости" процессов ИТ (Maturity Model), которая была описана в COBIT 4.1. Данная модель базируется на разработках Capability Maturity Model Integration (CMMI), представляющую собой набор моделей (методологий) совершенствования процессов в организациях разных размеров и видов деятельности.
Модель предполагает плавный поэтапный процесс совершенствования процессов организации.
Модель позволяет оценить текущее состояние зрелости процессов (‘as-is’ state of maturity), определить целевое (‘to-be’ state of maturity) и понять, что надо сделать для его достижения.

Напомню, что в COBIT4.1 были следующие уровни зрелости процессов:
  • Level 5: Optimised (Оптимизированный)
  • Level 4: Managed and Measurable (Управляемый и измеряемый)
  • Level 3: Defined (Определенный)
  • Level 2: Repeatable but Intuitive (Повторяющийся, но интуитивный)
  • Level 1: Initial / Ad Hoc (Начальный / Повторяющийся эпизодически и бессистемно)
  • Level 0: Non-existent (Несуществующий)
Уровень зрелости определялся на основании наличия и полноты базовых атрибутов процессов:
  • Awareness and Communication (Осведомленность и коммуникации)
  • Policies, Plans, Procedures (Политики, Планы и процедуры)
  • Tools and Automation (Инструменты и автоматизация)
  • Skills and Expertise (Навыки и знания)
  • Responsibility and Accountability (Ответственность и подотчетность)
  • Goal Setting and Measurement (Постановка целей и измерения) 

В COBIT5 уровни зрелости процессов пересмотрели...

Начнем с того, что теперь модель называется "The COBIT5 Process Capability Model" и базируется на подходах международного стандарта ISO/IEC 15504 "Software Engineering—Process Assessment standard".

COBIT 5 определяет следующие уровни зрелости процессов:
  • Level 5: Optimising process (Оптимизированные)
  • Level 4: Predictable process (Предсказуемые)
  • Level 3: Established process (Налаженные)
  • Level 3: Established process (Налаженные)
  • Level 2: Managed process (Управляемые)
  • Level 1: Performed process (Выполняемые)
  • Level 0: Incomplete process (Неполные)
На первый взгляд может показаться, что уровни в COBIT 5 и 4.1 идентичны, но это не так. ISACA приводит довольно наглядную таблицу соответствия:

COBIT 4.1 Maturity Model Level
Model Level Process Capability Based on ISO/IEC 15504
Context
5 Optimised
Processes have been refined to a level of good practice, based on the results of continuous improvement and maturity modelling with other enterprises. IT is used in an integrated way to automate the workflow, providing tools to improve quality and effectiveness, making the enterprise quick to adapt.
Level 5: Optimising process
The level 4 predictable process is continuously improved to meet relevant current and projected business goals.
Enterprise View—Corporate Knowledge
4 Managed and measurable
Management monitors and measures compliance with procedures and takes action where processes appear not to be working effectively. Processes are under constant improvement and provide good practice. Automation and tools are used in a limited or fragmented way
Level 4: Predictable process
The level 3 established process now operates within defined limits to achieve its process outcomes.
3 Defined process
Procedures have been standardised and documented, and communicated through training. It is mandated that these processes should be followed; however, it is unlikely that deviations will be detected. The procedures themselves are not sophisticated, but are the formalisation of existing practices
Level 3: Established process
The level 2 managed process is now implemented using a defined process that is capable of achieving its process outcomes.

Level 2: Managed process
The level 1 managed process is now implemented in a managed fashion (planned, monitored and adjusted) and its work products are appropriately established, controlled and maintained.
Instance View—Individual Knowledge
2 Repeatable but intuitive
Processes have developed to the stage where similar procedures are followed by different people undertaking the same task. There is no formal training or communication of standard procedures, and responsibility is left to the individual. There is a high degree of reliance on the knowledge of individuals and, therefore, errors are likely.
Level 1: Performed process
The implemented process achieves its process purpose.

Remark: It is possible that some classified as Maturity Model 1 will be classified as 15504 0, if the process outcomes are not achieved.
1 Initial/Ad hoc
There is evidience that the enterprise has recognised that the issues exist and need to be addressed. There are, however, no standardised processes; instead, there are ad hoc approaches that tend to be applied on an individual or case-by-case basis. The overall approach to management is disorganised.
0 Non-existent
Complete lack of any recognisable processes. The enterprise has not even recognised that there is an issue to be addressed.
Level 0: Incomplete process
The process is not implemented or fails to achieve its purpose.

Основным отличием версий 4.1 и 5 стало изменение подхода от формального наличия атрибутов и их полноты в версии 4.1 и к привязке к целям и результатам процессов в версии 5.


При этом COBIT5 (книга Implementation) дает рекомендации как совместить оба подхода и/или перейти на новую версию.


P.S Если Вы обратили внимание на аббревиатуры CISA/CISM в заголовке, но еще не догадались, то поясню. На экзаменах периодически встречаются вопросы, связанные с уровнями зрелости процессов и их характеристиками. На данный момент я видел примеры вопросов по уровням зрелости из версии 4.1, но так как COBIT является "творением" ISACA, то и спрашивать они могут начать уже и по новой 5й версии. Их обе необходимо знать и понимать.
CISM COBIT
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Наш канал защищен лучше, чем ваш компьютер!

Но доступ к знаниям открыт для всех

Получите root-права на безопасность — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире