Портал №1 по управлению цифровыми
и информационными технологиями

Обучение
по ITIL 4, ITSM, PRINCE2
Деловые
игры
Консалтинг
по управлению ИТ

Аудит

Как, когда, зачем и кто проводит аудит ИТ?

Аудит. Что может быть скучнее?!

На прошедшей неделе участвовал в аудите (в качестве объекта аудита). Большинство людей, проходивших аудит, подозреваю, разделяет это ощущение: «Бюрократия, формальности и т.п.» Нет, все признают, что аудит, конечно, вещь полезная. Ведь это, по-хорошему, не проверка, чтобы наказать, а, как написано в умных книжках, инструмент повышения уверенности в обеспечении соответствия. Соответствия чему? Зависит от целей и заказчиков аудита. Но в большинстве своём это проверка на соответствие неким правилам, стандартам, регламентам и т.п. Аудиторы могут быть (и нередко) не погружены в предметную область. У них есть некая модель (в простейшем случае набор чек-листов), с которой происходит сопоставление объекта аудита. В данном случае...

, 6 сентября 2021, последний комментарий 6 сентября 2021

IT Governance для чайников

В конце января на сайте ISACA (COBIT и т.п.) опубликована статья «Руководство ИТ для чайников» (IT Governance 101: IT Governance for Dummies). Заявляется, что это только первая часть цикла. Причём автор статьи не кто-нибудь, а сам Пол Вилкинсон (Paul Wilkinson) владелец и управляющий партнёр компании GamingWorks, выпускающей замечательные деловые игры. Текст довольно объёмный, но написан, как обычно у Пола, живым языком с большим количеством отсылок к интересным отчётам и данным. В рамках данной заметки ограничимся лишь описанием структуры статьи (заголовками) и перечислением некоторых ключевых тезисов и цитат. Всем, кому не чужд английский, рекомендуется прочтение оригинала (менее десятка страниц). Поможет погрузиться...

, 11 февраля 2019

Определение ролей для IDM. Два подхода

Внедрение ролевого управления доступом может принести много пользы, если определять роли правильно. Ролевая модель доступа позволяет предоставлять и ограничивать доступ как сотрудникам компании, так и контрактникам, аудиторам и другим временным пользователям, даже клиентам. Применение ролей в IDM системе позволяет упростить аудит и отчетность. Основная трудность при использовании ролей — правильно их определить. Для решения этой проблемы были придуманы два подхода: первый — определение ролей сверху вниз, второй — опредление ролей снизу вверх. Использовать их необходимо последовательно. Первый метод заключается в определении ролей совместно с владельцами систем и непосредственными руководителями сотрудников. Сначала необходимо встретиться с владельцем системы, чтобы понять, как предоставляется доступ, и кто какой доступ должен получать...

, 4 февраля 2016

Role mining. Построение ролевой модели

Как известно, одна из основных трудностей в проектах по управлению доступом — это построение ролевой модели. Сложность построения модели повышается с каждой дополнительной управляемой системой, включенной в охват проекта. Построение актуальной ролевой модели для нескольких систем с нуля может растянуться на месяцы, а то и годы. Такая модель может устареть ещё до начала ее использования. Одно из решений этой проблемы — инструменты построения ролевой модели (Role mining tools). Инструменты эти могут сильно отличаться по логике своей работы, стоимости, юзабилити и т.д., но принцип работы и цели у них общие — это сбор информации о текущих правах сотрудника в информационных системах, анализ "повторяемости" этих прав для сотрудников с...

, 2 октября 2015

Модель зрелости для процессов непрерывного совершенствования

  Роберт Фалкович, основатель компании Concentric Circle Consulting опубликовал свою модель оценки зрелости процессов непрерывного совершенствования, которую он применяет в своих проектах. Предлагаемая методика достаточно проста для понимания и может быть взята на вооружение в качестве эффективного инструмента консультанта или менеджера. Проводя естественые аналогии с работой колеса Роберт предлагает провести оценку зрелости по следующим доменам: Понимание Намерение Метод Скорость Эффективность Ценность Исследование по каждому домену производится обособленно, и выражается в получении численной оценки в диапазоне от "0" до "5". Оценка "0" соответсвует начальному состояния ("отсутствия") какого-либо прогресса в выбранном направлении. В свою очередь 5 — это уровень максимальной эффективности и результативности. Рассмотрим области оценки более подробно. Понимание Оценка говорит...

, 21 сентября 2015, последний комментарий 28 сентября 2015

Пауки для ИТ-руководителя

«Пауки», они же радарные диаграммы, весьма распространены в современном мире, в том числе в мире ИТ-менеджмента. Чаще всего ИТ-директор видит их в аудиторских заключениях, где они представляют сведения о зрелости процессов управления (обычно по шкале от 1 до 5). Иногда на этих диаграммах указывается не только текущий, но и целевой уровень зрелости процессов, что иллюстрирует величину разрывов между текущей и рекомендованной практикой управления. Однако, с моей точки зрения, такие диаграммы не являются основанием для принятия каких-либо решений и потому не несут заказчикам значимой ценности. Идея, которая посетила нас относительно недавно, заключается в дополнении радара по уровню зрелости радаром по показателю...

, 16 декабря 2014, последний комментарий 2 января 2015

ITMF2014: оцениваем процессы и размышляем над уроками

5 июня на XI форуме по управлению ИТ (ITMF2014) среди прочих интересных выступлений был проведен кейс-тренинг по оценке процессов. Участникам была предложена такая ситуация:  В связи со сменой владельцев в торговой компании проводится комплексная оценка действующих практик управления. В частности, новые руководители компании хотят получить оценку процессов управления ИТ. Вообще-то, руководство интересуют:  соответствие практик управления ИТ целям и приоритетам бизнеса; уровень ИТ-рисков; эффективность (рациональность) деятельности по управлению ИТ; соответствие практик управления ИТ рекомендациям и требованиям отраслевых сводов знаний и стандартов. Но с учётом ограничений по времени и стоимости оценки, а также ввиду отсутствия формализованных целей и приоритетов бизнеса, да и...

, 6 июня 2014, последний комментарий 3 августа 2015

COBIT? — Знаю, слышал!

Как и было объявлено, сегодня утром состоялся совместный наш с Московским отделением ISACA вебинар/семинар/круглый стол, посвященный дню рождения COBIT 5, а заодно — оценке ИТ-процессов с помощью COBIT 5 Process Assessment Model (PAM). Вещание велось из офиса компании KPMG, сотрудники которой имели возможность присоединиться к нам очно (парадоксальным образом у тех, кто слушал и смотрел нас из сети, была возможность задавать вопросы докладчикам, а у тех, кто сидел в той же комнате — нет; в будущем мы и для очных гостей что-нибудь придумаем).  Не буду пересказывать содержание докладов — запись, как обычно, вскоре появится в свободном доступе. Поделюсь лишь некоторыми впечатлениями от увиденного и...

, 11 апреля 2014, последний комментарий 11 апреля 2014

Оценка зрелости по ITIL

Хотите узнать свой уровень зрелости по ITIL? Никаких проблем! В этот понедельник AXELOS решил порадовать сообщество ITSM-профессионалов и участников рынка, анонсировав новый продукт — Модель зрелости ITIL (ITIL Maturity Model). Вот что о нем говорится в пресс-релизе: AXELOS и TSO (The Stationary Office — официальное издательство ITIL) с гордостью сообщают о появлении Модели Зрелости ITIL и запуске сервиса для самостоятельной оценки. Полная версия модели зрелости и сервиса для самостоятельной оценки включают в себя 4000 вопросов, разнесенных по 30 вопросникам — каждый для одного из 26 процессов или 4 функций из ITIL. Каждый вопросник состоит из пяти частей: демографические вопросы о процессе/функции; общие атрибуты...

, 7 ноября 2013, последний комментарий 14 ноября 2013

Чеклист документов ISO 20000

Линда Купер, ITIL Master, ведущий блогер от имени APMG, продолжает делиться своими правилами и рекомендациями в области сертификации ИТ-служб по стандарту ISO 20000. На этот раз, она решилась на публикацию честного и полного перечня всех документов, которые будут нужны аудиторам, проверяющим организацию. В тексте стандарта эти документы разбросаны по различным требованиям, а вот в виде "плоского" списка встречаются впервые. Кроме самого, Линда успокаивает тех, кто расстроен его солидными размерами: Если коротко, то документов в стандарте много, но тяжелым бюрократическим бременем на ваши плечи они не лягут. Важно помнить об иерархии: политика, план, процесс, процедура. Все документы должны соответствовать той или...

, 29 октября 2013, последний комментарий 30 октября 2013

Are you CIO? There is something 4YOU! In Russian

 Два года назад клуб 4CIO выпустил учебник 4CIO — сборник материалов, необходимых руководителю ИТ-службы в работе. Это был интересный проект, мы даже приняли в нём участие, и, хотя список авторов главы про процессы и сервисы, над которой мы работали, и вызвал у нас тогда некоторое удивление, общего впечатления от книжки это не испортило: полезных интересных книг по управлению ИТ на русском языке катастрофически не хватает, и любая новая публикация всегда только привествуется, а любая качественная — вдвойне.  В прошлом году учебник был серьёзно обновлён — он стал примерно вдвое больше, теперь в нём семьсот страниц, и, видимо, отчасти поэтому он распространяется только в...

, 26 октября 2013, последний комментарий 4 марта 2019
 
DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM
Авторы и редакторы портала — консультанты и тренеры компании Cleverics.
Использование материалов данного сайта допускается исключительно с разрешения правообладателя.
Использование данного сайта означает согласие с обязательством соблюдать нашу Политику конфиденциальности и Согласие на обработку персональных данных.