More Related Content Similar to It governance implementation Similar to It governance implementation (20) It governance implementation1. 1/26
āđāļāļēāļ°āļĨāļķāļ IT Governance Implementation āđāļĨāļ° āļāļāļ§āļīāđāļāļĢāļēāļ°āļŦāđ CobiT 5.0 âEnterprise Governance of IT
Frameworkâ āđāļĨāļ° IT Governance Implementation Guide āļĨāđ āļēāļŠāļļ āļāļāļēāļ ISACA
Why IT Governance? : The latest update of IT Governance Implementation Guide and Inside the new
CobiT 5.0 Design
āļāļĢāļīāļāļāļē āļŦāļāļĄāđāļāļāļ, CGEIT, CISSP, CSSLP, SSCP, CISA,
CISM, SANS GIAC GCFW, IRCA Lead Auditor
ACIS Professional Center
http://www.acisonline.net
āđāļāļāļą āļāļāļļāļāļāļāļēāļ§āđāļē âIT Governanceâ āđāļĨāļ° âInformation Security Governanceâ āļāļēāļĨāļąāļāđāļāđ āļāļāļĩāđāļāļĨāđāļēāļ§āļāļķāļāļāļąāļāđāļ
āļą
āļ§āļāļāļēāļĢāļāļļ āļĢāļāļīāļāļāļĨāļāļāļāļāđāļāļ§āļāļāļēāļĢāđāļāļāļĩ āļāļĨāļāļāļāļāđāļāļ§āļāļīāļāđāļĢāļ·āđ āļāļ âGreen ITâ āđāļĨāļ° âSustainabilityâ āđāļāđ āļāļāļēāļĢāļĄāļēāļāļķāļāļāļāļ
āļĒāļļāļāļāļĩāđāđāļāļ§āļāļīāļ âCorporate Governanceâ āļŦāļĢāļ· āļ âEnterprise Governanceâ āļāļēāļĨāļąāļāļĄāļēāđāļĢāļāđāļĨāļ°āļāļđāļāļāļēāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļ
āļāļāļāđāļāļĢāļāļąāļ§āđāļĨāļ āļāļąāļāđāļāļ·āđāļāļāļĄāļēāļāļēāļāļāļą āļāļŦāļēāļāļ§āļēāļĄāđāļĄāđāđāļāļĢāđ āļāđāļŠ āđāļĨāļ°āļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļēāļāļāļĩāđāļāđāļāļāļĨ (Fraud) āļāļāļāļāļđāļāļĢāļī āļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđ āļ
āđ
āđ
āđāļĨāļ° āļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļāļāđāļāļĢāļāļĩāđāđāļĄāđāļĄāļĩāļāļĢāļ°āļŠāļī āļāļāļī āļ āļēāļāļāļāļāļŦāļĨāļēāļĒāļāļāļāđāļāļĢāđāļŦāļāđāđāđāļāđāļ§āļĨāļēāļāļĩāđ āļāļķāļāđāļāđ āļāļāļĩāđāļĄāļēāļāļāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢ
āđāļāđāļāļąāļāļŦāļēāļāļĩāđāļāļāđāļŦāļāļļ āđāļāļĒāļāļīāļāļēāļĢāļāļēāļāļķāļāļāļą āļāļŦāļēāļāļĩāđāđāļāļīāļāļāļēāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļĩāđāđāļĄāđāđāļāļĢāđ āļāđāļŠāļāļāļāļāļđāļāļĢāļī āļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđ āļāļāļĩāđāļĒāļāđāļĄāđ
āđ
āđ
āļą
āļŠāļēāļĄāļēāļĢāļāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļāļāđāļāļĢāđāļŦāđāļĄāļĩāļāļĢāļ°āļŠāļī āļāļāļīāļ āļēāļāđāļĨāļ°āļāļĢāļ°āļŠāļī āļāļāļīāļāļĨāđāļāđ āđāļāļ·āđāļāļāļāļēāļāļĒāļąāļāļāļēāļāļāļāļāđāļāļ§āļēāļĄāļĢāļđāđāļŦāļĢāļ· āļāđāļāļ§āļāļēāļ
āļāļāļīāļāļāļīāļāļĩāđāļāļĩāđāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļēāļĄāđāļāļ§āļāļīāļ âCorporate Governanceâ āļŦāļĢāļ· āļ âEnterprise Governanceâ āļāļķāđāļāđāļ
āļą
āļāļą āļāļāļļāļāļāļāļēāļĢāļāļēāļāļļ āļĢāļāļīāļāļāļļ āļĢāļāļĢāļĢāļĄāļāļāļāļāļļāļāļāļāļāđāļāļĢāļāļąāđāļāļāđāļāļāļāļķāđāļāļāļēāļāļēāļĢāđāļāđāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļŦāļĢāļ· āļ âInformation
āļą
Technology (IT)â āđāļāđ āļāļŠāļēāļāļąāļ āļāļąāļāļāļąāđāļ āļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢ âITâ āļāļēāđāļāđ āļāļāđāļāļāļŠāļāļāļāļĨāđāļāļ āļŦāļĢāļ· āļ âAlignâ āļāļąāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢ
āļāļąāļāļāļēāļĢāļāļāļāđāļāļĢ āļāļĨāđāļēāļ§āļāļ·āļ āļāļĨāļĒāļļāļāļāđāđāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ (IT Strategy) āļāđāļāļāļŠāļāļāļāļĨāđāļāļāļāļąāļāļāļĨ
āļĒāļļāļāļāđāđāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļāļāđāļāļĢ (Business Strategy) āđāļāļ·āđāļāđāļŦāđāļāļĢāļĢāļĨāļļāđāļāđ āļēāļŦāļĄāļēāļĒāđāļāļĩāļĒāļ§āļāļąāļ āđāļāļĒāļŦāļĨāļąāļāļāļēāļĢāļāļĩāđāļāļīāļĒāļĄāđāļāļāļēāļĢ
āļāļēāļĄāļēāļāļēāļŦāļāļāļāļĨāļĒāļļāļāļāđāđāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļāļāđāļāļĢāļāđāļāļ·āļ Balanced Scorecard (BSC) (āļāļđāļĢāļđāļāļāļĩāđ 1)
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
2. 2/26
āļĢāļđ āļāļāļĩāđ 1 : âBalanced Scorecard"
âBSCâ āđāļāđ āļāđāļāļāļāļīāļāļ§āļīāļāļĩāđāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļĢāļ°āļŠāļī āļāļāļīāļ āļēāļāļāļāļāļāļāļāđāļāļĢāļāļĩāđāļāļīāļāļāđāļāđāļāļĒ Dr. Robert S. Kaplan āđāļĨāļ°
āļą
Dr. David P. Norton āđāļŦāđāļāļĄāļŦāļēāļ§āļīāļāļĒāļēāļĨāļąāļĒāļŪāļēāļĢāđ āļ§āļēāļĢāđ āļ āļāļķāđ āļāđāļĄāļ·āđāļāļāļēāļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāļāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩ
āļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāđāļĢāļĩ āļĒāļāļ§āđāļē âIT BSCâ (āļāļđāļĢāļđāļāļāļĩāđ 2)
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
3. 3/26
āļĢāļđ āļāļāļĩāđ 2 : âIT Balanced Scorecardâ
āđāļāļĒ BSC āļāļ°āļĄāļĩāļĄāļļāļĄāļĄāļāļāđāļ 4 āļĄāļļāļĄāļĄāļāļāđāļāđāđāļāđ Financial, Customer, Internal Business Processes āđāļĨāļ°
Learning and Growth āļāļāļ°āļāļĩāđ âIT BSCâ āļĄāļĩāļāļēāļĢāļāļĢāļąāļ 4 āļĄāļļāļĄāļĄāļāļāļāļāļ BSC āđāļāđ āļ 4 āļĄāļļāļĄāļĄāļāļāđāļŦāļĄāđ āđāļāđāđāļāđ Corporate
Contribution, Future Orientation, Operational Excellence āđāļĨāļ° Customer Orientation āđāļāļĒāļāļēāļĢāđāļāļ·āđāļāļĄ
(Link)āļĢāļ°āļŦāļ§āđāļēāļ āđāļāđ āļēāļŦāļĄāļēāļĒāļāļāļāļāļļ āļĢāļāļīāļ âBusiness Goalsâ āļāļĩāđāļāļēāļāļāļīāļāļāļēāļ BSC āļāļąāļāđāļāđ āļēāļŦāļĄāļēāļĒ āļāļēāļāļāļēāļĢāļāļēāđāļāļāđāļāđāļĨāļĒāļĩ
āđ
āļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđāđāļāļāļāļāđāļāļĢ āļŦāļĢāļ· āļ âIT Goalsâ āļāļąāđāļāļŠāļēāļĄāļēāļĢāļāļāđāļēāļāļāļīāļāđāļāđ āļāļēāļāļāļēāļĢāļēāļāđāļ Appendix I āļāļāļ CobiT 4.1 (āļāļđ
āļĢāļđ āļāļāļĩāđ 3) âLinking Business Goals to IT Goalsâ āļāļēāđāļŦāđāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāļāļēāļŦāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩ
āļŠāļēāļĢāļŠāļāđāļāļĻ āļŦāļĢāļ· āļ âIT Processesâ āļāļĩāđāļŠāļāļāļāļĨāđāļāļāļāļąāļ âIT Goalsâ āļāļąāļāļāļĨāđāļēāļ§ (āļāļđāļĢāļđāļāļāļĩāđ 4) âLinking IT Goals to IT
Processesâ āļāļķāđāļāđāļ CobiT Framework āđāļāđāļāļēāļŦāļāļ Business Goals āđāļ§āđāļāđ āļāļŦāļĄāļ 17 āđāļāđ āļēāļŦāļĄāļēāļĒāđāļĨāļ° IT Goals āļāļąāđāļāļŦāļĄāļ
āļą
28 āđāļāđ āļēāļŦāļĄāļēāļĒ āđāļāļĒāļŠāļēāļĄāļēāļĢāļāļāđāļēāļāļāļīāļāļāļķāļ 34 āļāļĢāļ°āļāļ§āļāļāļēāļĢāļŦāļĨāļąāļāđāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļāļĩāļāļēāļĄ
CobiT 4.1 Framework
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
4. 4/26
āļĢāļđ āļāļāļĩāđ 3 : âLinking Business Goals to IT Goalsâ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
5. 5/26
āļĢāļđ āļāļāļĩāđ 4 : âLinking IT Goals to IT Processesâ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
6. 6/26
āļāļąāļāļŦāļēāļāļĩāļāļāļāđ āļāļĒāļāļēāļāļāļēāļĢāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ āđāļāļāļāļāđ āļāļĢ ( 7 IT Challenges)
āđ
āļĢāļđ āļāļāļĩāđ 5 : â7 IT Challengesâ
āļāļą āļāļāļļāļāļāļāļāļāđāļāļĢāļāļąāļ§āđāļĨāļāļāļēāļĨāļąāļāļāļĢāļ°āļŠāļāļāļą āļāļŦāļēāļāļĩāđāļāļĨāđāļēāļĒ āđ āļāļąāļāļāļēāļāļāļēāļĢāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđāđāļ
āļą
āđ
āļāļāļāđāļāļĢāđāļāļĒāļŠāļēāļĄāļēāļĢāļāđāļāđāļāđāļāđāļāļāļāđāļāđ āļ 7 āļāļą āļāļŦāļēāđāļŦāļāđ āđ (āļāļđāļĢāļđāļāļāļĩāđ 5) āđāļāđāđāļāđ
1. âKeeping IT Runningâ
āļāļēāļāļāļĢāļąāđāļāļāļēāļĢāđāļŦāđāļāļĢāļī āļāļēāļĢāļāļāļāļāļāļāđāļāļĢāļāļēāļāļŦāļĒāļļāļāļāļ°āļāļąāļāđāļāđāđāļāļāļĢāļāļĩ āļāļĩāđāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāļīāļāļāļą āļāļŦāļē āđāļāđāļ
āļĢāļ°āļāļāļĨāđāļĄ (Unavailability) āļāļēāđāļŦāđāđāļĄāđāļŠāļēāļĄāļēāļĢāļāđāļŦāđāļāļĢāļī āļāļēāļĢāļāđāļāļĄāļđāļĨāļāđāļēāļ āđ āļāļĩāđāļāļļāļĢāļāļīāļāļāđāļāļāļāļēāļĢāļāļēāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āđ
āļāļĩāđāļāļēāļĨāļąāļāđāļāļīāļāļāļą āļāļŦāļēāļāļĒāļđāđ āļāļąāļāļāļąāđāļāļāļāļāđāļāļĢāļāđāļāļāđāļāđāđāļāđāļāđāļ§āļēāļĢāļ°āļāļāļāļĢāđāļāļĄāđāļŦāđāļāļĢāļī āļāļēāļĢāđāļāđāļ§āļĨāļēāļāļĩāđāļāļāļāļāļēāļĢ (Availability)
āđ
āđāļĨāļ°āļĢāļ°āļāļāļŠāļēāļĄāļēāļĢāļāļāļēāļāļēāļāđāļĨāļ°āđāļŦāđāļāļĢāļī āļāļēāļĢāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāđāļāđ (Continuity of IT Service) āđāļ§āļĨāļēāļāļĩāđāļĢāļ°āļāļāļŦāļĨāļąāļ
āđāļāļīāļāļāļą āļāļŦāļēāļāļļ āļāđāļāļī āļ āđāļāļ·āđāļāđāļŦāđāļĢāļ°āļāļāļŦāļĨāļąāļ (Critical Business System) āļŠāļēāļĄāļēāļĢāļāļāļĨāļąāļāļĄāļēāđāļŦāđāļāļĢāļī āļāļēāļĢāđāļāđāļāļĒāđāļēāļāđāļĄāđ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
7. 7/26
āļāļīāļāļāļąāļ āļāļēāļĄāļŦāļĨāļąāļāļāļēāļĢ BCM (Business Continuity Management) āļāļķāđāļāđāļāļāļąāļāļāļļāļāļāļāđāļēāļāļāļīāļāļĄāļēāļāļĢāļāļēāļ BS
āļą
25999
2. âValueâ
āļāļēāļ§āđāļē âValueâ āđāļāđ āļāļāļēāļĒāļāļāļŪāļīāļāļāļāļāļ§āļąāļāļāļĩāđ āđāļāđāļ āļāļēāļĢāļāļĩāđāļāļāļāđāļāļĢāļĄāļļāđāļāđāļāđāļāđāļŦāđāļāļĨāļāļāļāđāļāļāļāļāļāļāļđāļāļ·āļāļŦāļļ āļāļĄāļēāļ
āđ āđ
āļāļĩāđāļŠāļļāļ āđāļĢāļĩ āļĒāļāļ§āđāļē âMaximizing Shareholder Valueâ āļāļēāļĨāļąāļāđāļāļīāļāļāļēāļĢāđāļāļĨāļĩāđāļĒāļāđāļāļĨāļāđāļāđ āļāļāļēāļĢāđāļŦāđāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļąāļāļāļđāļāļĩāđ
āđ
āđāļāļĩāđāļĒāļ§āļāđāļāļāļāļąāļāļāļāļāđāļāļĢāļāļąāđāļāļŦāļĄāļāļāļĩāđāđāļĢāļĩ āļĒāļāļ§āđāļē âStakeholder Valueâ āđāļāđāļ âCustomer Valueâ āđāļĨāļ° âEmployee
Valueâ āļāļ·āļāļāļēāļĢāļāļēāđāļŦāđāļĨāļđāļāļāđāļēāđāļĨāļ°āļāļāļąāļāļāļēāļāđāļāļīāļāļāļ§āļēāļĄāļŠāļļ āļāđāļāļāļēāļĢāđāļāđāļāļĢāļī āļāļēāļĢāđāļĨāļ°āļāļēāļĢāļāļēāļāļēāļāđāļāļāļāļāđāļāļĢ
āļāļāļ°āđāļāļĩāļĒāļ§āļāļąāļāļāđāļāļāļāļĢāļąāļāļāļīāļāļāļāļāļāđāļāļŠāļąāļāļāļĄāļŠāđ āļ§āļāļĢāļ§āļĄāļāļēāļĄāđāļāļ§āļāļīāļ âCorporate social responsibilityâ āļŦāļĢāļ· āļ
āđ
âCSRâ āļāļĩāđāđāļĢāļēāļĢāļđ āđāļāļāļāļąāļāļāļĩ āļāļēāļĄāđāļāļ§āļāļīāļ âIT Governanceâ āļāļąāđāļ Stakeholder āļĄāļĩāļŠāļāļāļāļĢāļ°āđāļ āļ āđāļāđāđāļāđ âInternal
āļą
Stakeholderâ (āļāļđāļĢāļđāļāļāļĩāđ 5) āđāļĨāļ° âExternal Stakeholderâ (āļāļđāļĢāļđāļāļāļĩāđ 6)
āļĢāļđ āļāļāļĩāđ 6 : Internal Stakeholders and Their Concerns
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
8. 8/26
āļĢāļđ āļāļāļĩāđ 7 : External Stakeholders and Their Concerns
āļāļąāļāļāļąāđāļāļāļēāļĢāļĨāļāļāļļāļāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāđāļāļĢāļāļĩāđāđāļĢāļĩ āļĒāļāļ§āđāļē âIT Investmentâ āļāļąāđāļ āļāļķāļ
āđ
āļāļēāđāļāđ āļāļāđāļāļāļāļāļāđāļāļāļĒāđāđāļŦāđāđāļāđāļ§āļē āļŦāļĨāļąāļāļāļēāļāļāļāļāđāļāļĢāļĨāļāļāļļāļāđāļāđāļĨāđāļ§ āļĄāļđāļĨāļāđ āļēāļŦāļĢāļ·āļāļāļļāļāļāđ āļē (Value) āļāļĩāđāļāđ āļĢāļąāļāļāļĨāļąāļāļĄāļē
āđ
āļāļēāļāļāļēāļĢāļĨāļāļāļļāļāļāļąāļāļāļĨāđ āļēāļ§āļāļąāđāļ âāļāļļāđāļĄāļāđ āļēâ āļŦāļĢāļ·āļāđāļĄāđ ? (IT Value) āļĒāļāļāļąāļ§āļāļĒāđāļēāļ āđāļāđāļ āļāđāļēāđāļāļĢāļāļāļēāļĢāļāļĩāđāļāļēāđāļāļāđāļāđāļĨāļĒāļĩ
āđ
āļŠāļēāļĢāļŠāļāđāļāļĻāļŠāļēāļĄāļēāļĢāļāļāļāļāđāļāļāļĒāđāļāļēāļĢāđāļŦāđāļāļĢāļī āļāļēāļĢāļĨāļđāļāļāđāļēāļāļāļāļāļāļāđāļāļĢāđāļāđāđāļĢāđ āļ§āļāļķāđāļ āđāļĢāļĩ āļĒāļāđāļāđāļ§āļē āļŠāļēāļĄāļēāļĢāļāļāļēāđāļŦāđ âITâ āļĄāļĩ
âValueâ āļāđāļ âBusinessâ āļāļāļāļāļāļāđāļāļĢ āļāļķāļāđāļāđ āļāļāļĩāđāļĄāļēāļāļāļāļāļēāļ§āđāļē âIT Valueâ (ISACA āļāļēāļĄāļēāđāļāđ āļāđāļāļ§āļāļīāļāđāļāļāļēāļĢ
āļāļąāļāļāļē Val IT Framework) āļāļąāļāļŦāļēāļāđāļāļ·āļ āđāļĢāļēāļāļ°āļŠāļēāļĄāļēāļĢāļ âāļ§āļąāļâ IT Value āđāļāđ āļāļĒāđāļēāļāđāļĢ āđāļĨāļ° āļāļđāđāļāļĢāļīāļŦāļēāļĢāļāļ°āļāļĢāļēāļ
āđāļāđ āļāļĒāđ āļēāļāđāļĢāļ§āđ āļēāđāļāļĢāļāļāļēāļĢāļāļĩāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ āļŠāļēāļĄāļēāļĢāļāļāļāļāđāļāļāļĒāđ āļāļ§āļēāļĄāļāđ āļāļāļāļēāļĢāļāļēāļāļāđ āļēāļāļāļļāļĢāļāļīāļ
āđ
āļāļļāļĢāļāļĢāļĢāļĄāļāđ āļēāļ āđ āļāļāļāļāļāļāđ āļāļĢāđāļāđ āļāļĒāđ āļēāļāļĄāļĩāļāļĢāļ°āļŠāļī āļāļāļīāļ āļēāļāđāļĨāļ°āļĄāļĩāļāļĢāļ°āļŠāļī āļāļāļīāļāļĨ
3. âCostâ
āļāļēāļĢāļāļ§āļāļāļļāļĄāļāđāļāļāļļāļāđāļāļāļēāļĢāļĨāļāļāļļāļāđāļāļĩāđāļĒāļ§āļāļąāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļąāđāļāđāļāđ āļāļāļĩāļāļāļą āļāļŦāļēāļŦāļāļķāđāļāļāļĩāđāļāļāđāļāđ āļ
āļāļĢāļ°āļāļēāđāļāļāļāļāđāļāļĢ āļŦāļĨāļēāļĒāđāļāļĢāļāļāļēāļĢāļĄāļąāļāļāļ°āļĄāļĩāļāđāļēāđāļāđāļāđāļēāļĒāļāļĩāđāļŠāļđāļāđāļāļīāļāļāļ§āđāļēāļāļĩāđāļāļēāļāļāļĢāļ°āļĄāļēāļāđāļ§āđāļŦāļĢāļ· āļāļāļēāļāđāļĄāđāļāļļāļĄāļāđāļēāļāļąāļāļāļēāļĢ
āđ
āļĨāļāļāļļāļ āļŦāļĨāļēāļĒāđāļāļĢāļāļāļēāļĢāļĨāđāļĄāđāļŦāļĨāļ§āđāļĄāđāļŠāļēāļĄāļēāļĢāļāļŠāđ āļāļĄāļāļāļāļēāļāđāļāđāļāļāđāļ§āļĨāļēāļāļēāđāļŦāđāđāļāļīāļāļāđāļēāđāļāđāļāđāļēāļĒāļāļēāļĄāļĄāļēāļāļĩāļāļĄāļēāļāļĄāļēāļĒ
āļą
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
9. 9/26
āļāļēāļāļāļą āļāļŦāļēāļāļąāļāļāļĨāđāļēāļ§āļāļēāđāļŦāđāļāļāļāđāļāļĢāļāđāļāļāļāļēāļĢāļĄāļĩ âāļāļĢāļ°āļāļ§āļāļāļēāļĢâ āļŦāļĢāļ· āļ âProcessâ āļāļĩāđāļāļĩ āđāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢ
āļāđāļēāđāļāđāļāđāļēāļĒāļāļēāļāļāđāļēāļāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļŦāđāļāļāļāđāļāļāļĒāđāđāļāļĄāļļāļĄāļĄāļāļāļāļąāđāļāļāđāļēāļāļāļĢāļ°āļŠāļī āļāļāļī āļ āļēāļ (efficiency) āđāļĨāļ°
āļāļĢāļ°āļŠāļī āļāļāļīāļāļĨ (effective) āđāļāđāļ§āļĨāļēāđāļāļĩāļĒāļ§āļāļąāļ āļāļĨāļāļāļāļāļāļāļāđāļāļĢāļāļ§āļĢāļĄāļĩāļāļēāļĢāļāļąāļāļāļēāļĢāļāđāļēāļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļŠāļąāļĄāļāļąāļāļāđāļāļĩāđ
āļą
āļāļĩāļāļ Vendor āļŦāļĢāļ· āļ Supplier āļāļĩāļāļāđāļ§āļĒ (Supplier Management)
āļĢāļđ āļāļāļĩāđ 8 : âHuman Abilityâ vs. âIT Complexityâ
4. âMastering Complexityâ
āđāļāļāļąāļāļāļļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĨāļāļāļāļāđāļāļāđāļāđāļĨāļĒāļĩāļāļīāļāđāļāļāļĢāđāđāļāđāļāļĄāļĩāļāļ§āļēāļĄ
āļą
āļāļąāļāļāđāļāļāļĄāļēāļāļāļķāđāļāļāļ§āđāļēāđāļāļāļāļĩāļāļĄāļēāļ (āļāļđāļĢāļđāļāļāļĩāđ 8) āļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāđāļāļāļēāļĢāļāļąāļāļāļēāļĢāļāļāļāļĄāļāļļāļĐāļĒāđ (human ability) āđāļĄāļ·āđāļ
āđāļāļĢāļĩ āļĒāļāđāļāļĩāļĒāļāļāļąāļāļāļ§āļēāļĄāļāļąāļāļāđāļāļāļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ (IT complexity) āļāļąāđāļāđāļĢāļīāđ āļĄāļŦāđāļēāļāļāļķāđāļāđāļĢāļ·āđ āļāļĒ āđ āļāļēāđāļŦāđāđāļāļīāļ
āļāđāļāļāļ§āđāļēāļ āļŦāļĢāļ· āļ âGAPâ āļŠāđ āļāļāļĨāđāļŦāđāđāļāļīāļāļāļą āļāļŦāļēāđāļāļāļēāļĢāļāļ§āļāļāļļāļĄāđāļĨāļ°āļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢ (Control and Manage) āļĢāļ°āļāļ
āļŠāļēāļĢāļŠāļāđāļāļĻāđāļāļīāđāļĄāļĄāļēāļāļāļķāđāļāđāļāļĢāļ°āļĒāļ°āļĒāļēāļ§ āļāļąāļāļāļąāđāļ āļāļđāļāļĢāļī āļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđ āļāļāļāļāļāļāļāđāļāļĢāļāļĩāđāļĄāļĩāļ§āļŠāļąāļĒāļāļąāļĻāļāđāđāļĨāđāļāđāļŦāđāļāļāļą āļāļŦāļē
āđ
āļī
āđ
āļāļąāļāļāļĨāđāļēāļ§ āļāļķāļāđāļāđāļāļĒāļēāļĒāļēāļĄāļāļē Framework, Standard āđāļĨāļ° Best Practice āļāđāļēāļ āđ āđāļĄāđāļ§āļēāļāļ°āđāļāđ āļ CobiT, ITIL
āļŦāļĢāļ· āļ ISO27001, ISO 20000 āļāļĨāļāļāļāļ BCMS āļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđāđāļāļāļāļāđāļāļĢāđāļāļ·āđāļāļāļī āļ GAP āļāļąāļāļāļĨāđāļēāļ§ āđāļāļĒ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
10. 10/26
āđāļāļēāļ°āļĨāļķāļāđāļāļŠāđ āļ§āļāļāļāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāđāļēāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļ āļēāļĒāđāļāļāļāļāđāļāļĢ
(Internal IT Process) (āļāļđāļĢāļđāļāļāļĩāđ 9) āļāļķāđ āļāđāļāđ āļāļŠāđ āļ§āļāļāļĩāđāļāļ§āļĢāļāļĢāļąāļāđāļāđāļāļĄāļēāļāļāļĩāđāļŠāļļāļ āļāļāļ°āļāļĩāđāļāļēāļĢāļāļĢāļąāļ âIT Processâ āļāļąāđāļāļāđ
āļāļ§āļĢāļāļ°āļāļēāļāļķāļāļāļķāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāđāļāļāļēāļĢāļāļ§āļāļāļļāļĄ āļŦāļĢāļ· āļ âIT Controlâ āđāļāļāđāļ§āļĒ āđāļāļ·āđāļāļāļāļēāļāļāļļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢ
(Process) āļāļēāđāļāđ āļāļāđāļāļāļĄāļĩāļāļēāļĢāļāļ§āļāļāļļāļĄ (Control) āđāļāļĢāļēāļ°āļāđāļēāđāļĢāļēāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļ§āļāļāļļāļĄāđāļāđ āđāļĢāļēāļāđāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļĢāļī āļŦāļēāļĢ
āļāļąāļāļāļēāļĢāđāļāđ (If you cannot control, you cannot manage it : āļāļēāļāļŦāļāļąāļāļŠāļ· āļ ITIL V3 CSI) āļāļēāļĢāļāļē CobiT
Framework āļĄāļēāđāļāđāļāđ āļ āđāļĢāļēāļāļēāļĄāļēāđāļāđāđāļāđ āļ âControl Frameworkâ āļāļāļ°āļāļĩāđāļāļēāļĢāļāļē ITIL āļĄāļēāđāļāđāļāđāđāļāļ·āđāļāđāļāđāđāļāđ āļ
āļą
âProcess Frameworkâ (āļāļđāļĢāļđāļāļāļĩāđ 10) āđāļāļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļŦāđāđāļāļīāļāļāļĢāļ°āļŠāļī āļāļāļī āļ āļēāļ āđāļĨāļ°
āļāļĢāļ°āļŠāļī āļāļāļī āļāļĨāļāļąāļāļāļĩāđāļāļĨāđāļēāļ§āļĄāļēāđāļĨāđāļ§āđāļāļāļāļāļāđāļ
āļĢāļđ āļāļāļĩāđ 9 : Business, IT process and IT environment Relationship
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
11. 11/26
āļĢāļđ āļāļāļĩāđ 10 : Process Framework and Control Framework
5. âAligning IT with Businessâ
āđāļāđ āļāļāļą āļāļŦāļēāđāļŦāļāđāļĢāļ°āļāļąāļāļāļāļāđāļāļĢāļāļĩāđāđāļĄāđāļāļ§āļĢāļĄāļāļāļāđāļēāļĄ āđāļāļĢāļēāļ°āļāđāļēāļŦāļēāļāļāļēāļĢāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ
āđāļĨāđāļ§āđāļĄāđāļŠāļāļāļāļĨāđāļāļāļāļąāļāļāļēāļĢāļāļēāđāļāļīāļāļāļļ āļĢāļāļīāļāļāļāļāļāļāļāđāļāļĢāļāđāđāļĄāđāļŠāļēāļĄāļēāļĢāļāļāļĩāđāļāļ°āļāļāļāđāļāļāļĒāđāļāļāļāļāļđāļāļĢāļī āļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđ āļ
āđ
āļāļđāđāļāđāļāļēāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļĨāļāļāļāļ āļāļ§āļēāļĄāļāđāļāļāļāļāļāļĨāļđāļāļāđāļē āđāļĨāļ° āļāļđāļāļ·āļāļŦāļļāļ āđāļāđ āļāļķāđ āļāđāļāļĒāļāļāļāļīāđāļĨāđāļ§ āđāļĢāļēāļāļāļ§āđāļēāļĄāļĩ
āđ
āđ āđ
āļāđāļāļāļ§āđāļēāļāđāļāļīāļāļāļķāđāļāļĢāļ°āļŦāļ§āđāļēāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļāļāļđāđāļāđāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļąāļāļāļ§āļēāļĄāđāļāđāļēāđāļāļāļāļāļāļāđāļāļāļĩāļāļĒāļđāđāđ āļāđ āļāļāļĢāļ°āļāļē
āđ
āļāļąāļāļāļąāđāļ āļāļēāļĢāļāļēāđāļŦāđāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļĩāđāļāļāļāđāļāļĢāļāļēāļĄāļēāđāļāđāļĄāļĩāļāļ§āļēāļĄāļŠāļāļāļāļĨāđāļāļāļāļąāļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļēāļāļāđāļēāļāļāļļ āļĢāļāļīāļ
āļāļāļāļāļāļāđāļāļĢāļāļąāđāļ āļāļķāļāļĄāļĩāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļĒāđāļēāļāļĒāļīāļāļĒāļ§āļ
āđ
6. âRegulatory Complianceâ
āđāļāđ āļāļāļĩāļāļāļą āļāļŦāļēāļŦāļāļķāđāļāļāļāļāļāļāļāđāļāļĢāđāļāļāļąāļāļāļļāļāļāđāļāļ·āđāļāļāļāļēāļāļāļĢāļ°āđāļŠāļāļāļāļāļēāļĢāļāļĢāļ§āļāļŠāļāļ (Audit) āđāļĨāļ°āļāļēāļĢ
āļą
āļāļĢāļ°āđāļĄāļīāļ (Assess) āļāļąāđāļāļāļđāļāļĢāļ§āļāļŠāļāļāļ āļēāļĒāđāļ (Internal Auditor) āđāļĨāļ°āļāļđāļāļĢāļ§āļāļŠāļāļāļ āļēāļĒāļāļāļ (External Auditor)
āđ
āđ
āļāļēāļĨāļąāļāđāļāļīāđāļĄāļāļķāđāļāļāļĒāđāļēāļāļāđāļāđāļāļ·āđ āļāļ āđāļāļĒāļāļą āļāļāļąāļĒāļāļĩāđāļāļēāđāļŦāđāđāļĢāļ·āđ āļāļ âRegulatory Complianceâ āļĄāļēāđāļĢāļ āđāļāļ·āđāļāļāļāļēāļāļāļēāļĢāļāļāļ
āļāļāļŦāļĄāļēāļĒāđāļĨāļ°āļāļāļāđāļāļāļąāļāļāļąāļāļāđāļēāļ āđ āļāļĩāđāļāļĒāļāļĒāļāļāļāļĄāļēāļāļąāļāļāļąāļāđāļāđāļāļĒāđāļēāļāļāđāļāđāļāļ·āđ āļāļ āļāļĩāļāļāļąāđāļāļĒāļąāļāđāļāđ āļāļāļ§āļēāļĄāļāđāļāļāļāļēāļĢāļāļāļ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
12. 12/26
āļāļāļāđāļāļĢāļāļĩāđāļāļāļāļāļēāļĢāļĒāļāļĢāļ°āļāļąāļāđāļāđāļēāļŠāļđāđ āļĄāļēāļāļĢāļāļēāļāđāļāļĢāļ°āļāļąāļāļŠāļēāļāļĨ āđāļāđāļ ISO/IEC 27001, ISO/IEC 20000 (āļāļđāļĢāļđāļāļāļĩāđ
āđ
11) āđāļāļ·āđāļāđāļŠāļĢāļī āļĄāļĻāļąāļāļĒāļ āļēāļāđāļĨāļ°āļ āļēāļāļĨāļąāļāļĐāļāđāļāļĩāđāļāļĩāđāļŦāđāđāļāđāļāļāļāđāļāļĢāđāļāļĒāļļāļ Globalization āđāļāļĒāļāļāļāđāļāļāļąāļāļāļąāļāļāđāļēāļ āđ āđāļĄāđāđāļāđ
āļāļđāļāļāļąāļāļāļąāļāđāļāļāļēāļ°āļŠāļāļēāļāļąāļāļāļēāļĢāđāļāļīāļāđāļāđāļēāļāļąāđāļ āđāļāđāļāļđāļāļāļąāļāļāļąāļāļŠāļēāļŦāļĢāļąāļāļāļāļāđāļāļĢāđāļāļĒāļāļąāļ§āđāļ āđāļāđāļ āļāļāļŦāļĄāļēāļĒāļāļļ āļĢāļāļĢāļĢāļĄ
āđ
āļāļīāđāļĨāđāļāđāļāļĢāļāļīāļāļŠāđ āđāļĨāļ°āļāļāļŦāļĄāļēāļĒāļāļēāļĢāļāļĢāļ°āļāļēāļāļīāļāđāļāļĩāđāļĒāļ§āļāļąāļāļāļāļĄāļāļīāļ§āđāļāļāļĢāđ
āļĢāļđ āļāļāļĩāđ 11 : ISO/IEC 20000
7. âSecurityâ
āļāđāļāļĄāļđāļĨ āđāļĨāļ° āļŠāļēāļĢāļŠāļāđāļāļĻ (Data and Information) āļāļēāđāļāđ āļāļāđāļāļāļĢāļąāļāļĐāļēāļāļ§āļēāļĄāļĨāļąāļ (Confidentiality),
āļāļ§āļēāļĄāļāļđāļāļāđāļāļ (Integrity) āđāļĨāļ°āļāļ§āļēāļĄāļāļĢāđāļāļĄāđāļāđ (Availability) āļŦāļĢāļ· āļ CIA TRIAD āļāļąāļāļāļąāđāļāļāļēāļĢāļāđ āļāļāļāļąāļāļāļ§āļēāļĄ
āļāļĨāļāļāļ āļąāļĒāļāļāļāļāđāļāļĄāļđāļĨāđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāđāļāļĢāļāļķāļāļĄāļĩāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļĒāđāļēāļāļĄāļēāļāđāļāļĒāļļāļāļāļĩāđāđāļĢāļēāļŠāļēāļĄāļēāļĢāļāđāļāđāļēāļāļķāļāļāđāļāļĄāļđāļĨ
āđāļĨāļ°āļŠāļēāļĢāļŠāļāđāļāļĻāļāļĒāđāļēāļāļĢāļ§āļāđāļĢāđ āļ§ āļŦāļĢāļ· āļ āļāļĩāđāđ āļĢāļēāđāļĢāļĩ āļĒāļāļ§āđ āļēāļĒāļļāļ âPervasive Computingâ āļāļąāļāļŦāļēāļāļēāļāļāđāļēāļāļāļ§āļēāļĄ
āļāļĨāļāļāļ āļąāļĒāļāļāļāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļķāļāđāļāđ āļ āđāļĢāļ·āđ āļāļāđāļŦāļāđāļāļĩāđāļāļāļĢāļī āļŦāļēāļĢāļāļāļāļāļāļāđāļāļĢāļāđāļāļāđāļŦāđāļāļ§āļēāļĄāļŠāļēāļāļąāļāđāļĄāđāđāļŦāđāđāļāļīāļāļāļĨ
āļđāđ
āļāļĢāļ°āļāļ āļŦāļĢāļ· āļ âImpactâ āļāđāļāļāļēāļĢāļāļāļīāļāļāļīāļāļēāļāđāļĨāļ°āļāļēāļĢāļāļēāđāļāļī āļāļāļļ āļĢāļāļīāļāļāļāļāļāļāļāđāļāļĢ
āļą
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
13. 13/26
āļāļēāļāļāļą āļāļŦāļēāļāļąāđāļ 7 āļāļĢāļ°āđāļāđāļāļāļąāļāļāļĨāđāļēāļ§āļāļēāļāļāļēāļĢāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđāđāļāļāļāļāđāļāļĢ āļāļķāļāļāļēāđāļāđ āļāļāļĩāđ
āļāļđāļāļĢāļī āļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđ āļāļāđāļāļ âāļĢāļąāļāļāļīāļāļāļāļâ (accountability) āđāļāļāļēāļĢāđāļŦāđāļāļĢāļī āļāļēāļĢāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāđāļāđāļāđāđāļāļāļāļāđāļāļĢāđāļĨāļ°
āđ
āļđāđ
āļĨāļđāļāļāđāļēāđāļŦāđāđāļāļīāļāļāļ§āļēāļĄāļāđāļāđāļāļ·āđ āļāļāđāļĨāļ° āļāđāļāļāļĢāļąāļāļĐāļēāļāļļāļāļŠāļĄāļāļąāļāļīāļāļĩāđāļāļĩāļāđ āļ 7 āļāļĢāļ°āļāļēāļĢāļāļāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļ§āđāļāļēāļĄ CobiT
āļą
Information Criteria āđāļāđāđāļāđ Effectiveness, Efficiency, Confidentiality, Integrity, Availability,
Compliance āđāļĨāļ° Reliability āđāļāļ·āđāļāđāļŦāđāļŠāļēāļĢāļŠāļāđāļāļĻāļāļāļāļāļāļāđāļāļĢāđāļāđ āļāļŠāļēāļĢāļŠāļāđāļāļĻ (Information) āļāļĩāđāļĄāļĩāļāļļāļāļ āļēāļ
āļŠāļēāļĄāļēāļĢāļāļāļēāđāļāđāļāđāđāļāļāļēāļĢāļāļīāļāļŠāļī āļāđāļāļāļāļāļāļđāļāļĢāļī āļŦāļēāļĢ āđāļĨāļ°āļāļēāđāļāđāļāđāđāļāļāļēāļĢāļāļēāđāļāļīāļāļāļļ āļĢāļāļīāļ, āļāļļ āļĢāļāļĢāļĢāļĄāļāđāļēāļ āđ āļāļāļ
āđ
āļāļāļāđāļāļĢāđāļāđāļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļī āļāļāļī āļ āļēāļāđāļĨāļ°āļāļĢāļ°āļŠāļī āļāļāļī āļāļĨ
āļāļąāļāļāļąāđāļāļāļķāļāđāļāļīāļāļāļ§āļēāļĄāļāļēāđāļāđ āļāđāļāļāļēāļĢāļāļēāļŦāļĨāļąāļāđāļāļ§āļāļīāļ âIT Governanceâ āļĄāļēāļāļĢāļ°āļĒāļļāļāļāđ āđāļāđ āđāļāļāļāļāđ āļāļĢāđāļāļĒāļāļē
CobiT Framework āļĄāļēāđāļāđ āļāļāļĢāļāļāļāļ§āļēāļĄāļāļīāļ āđāļĨāļ° āļāļāļīāļāļąāļāļīāļāļēāļĄāļŦāļĨāļąāļāđāļāļ§āļāļīāļ IT Governance āļāļĩāđāđ āļĢāļēāđāļĢāļĩāļĒāļāļ§āđāļē âIT
Governance Implementationâ āļĄāļēāļāļēāđāļŦāđ āđāļāļīāļāļāļĨāđāļāļāļēāļāļāļāļīāļāļąāļāļīāļāļĢāļīāļāļāļāļāļāļāļāđ āļāļĢ āļāļķāđāļāđāļāļāļą āļāļāļļāļāļāļŦāļĨāļēāļĒāļāļāļāđāļāļĢāđāļāđāļāļē
āļą
CobiT Version 4.1 āļĄāļēāđāļāđāđāļāđ āļ IT Governance Framework āđāļĨāļ°āļāļēāđāļāļāļŠāļēāļĢāļāļēāļ ISACA āļāļ·āđāļ âIT Governance
Implementation Guide; 2nd Editionâ āļĄāļēāđāļāđ āļāđāļāļ§āļāļēāļāđāļāļāļēāļĢ Implement āđāļĨāļ°āļāļēāļāļāļēāļĢāļāļē CobiT 4.1 āđāļĨāļ° IT
āđ
Governance Implementation Guide āļĄāļēāđāļāđāđāļāļāđāļ§āļāđāļ§āļĨāļē 2-3 āļāļĩ āļāļĩāđāļāļēāļāļĄāļē āļāļēāđāļŦāđāļāļēāļ ISACA āļāđāļāļāļāļāļļāļāļāļāļāļĢāđ āļāļāļāļāļ
CobiT 4.1 āđāļĨāļ° IT Governance Implementation Guide āļāļąāļāļāļĩāđ
āļāļļāļāļāļāļāļĢāđ āļāļāļāļāļ CobiT 4.1 (CobiT 4.1 Weaknesses)
ï· CobiT 4.1 āļĒāļąāļāļāļāđāļāđ āļ Framework āļāļĩāđāļāļĢāļāļāļāļĨāļļāļĄāđāļāļāļēāļ°āđāļĢāļ·āđ āļāļ IT Governance āđāļāđāļēāļāļąāļ āđāļāđ
āđ
āļĒāļąāļāđāļĄāđāļāļĢāļāļāļāļĨāļļāļĄāļāļķāļ Enterprise Governance
ï· CobiT 4.1 āļāļđāļāļĄāļāļāļ§āđāļēāđāļāđ āļ âToolâ āļāļāļāļāļđāđāļāļĢāļ§āļāļŠāļāļāļŦāļĢāļ· āļ âIT Auditorâ āđāļāđāļēāļāļąāļ āļāļķāļāļāļĢāļīāļ āđ
āđ āđ
āđāļĨāđ āļ§ CobiT āļāļđāļāļāļāļāđāļāļāļĄāļēāđāļŦāđ āļāđ āļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāđāļĨāļ°āļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļđ
āļāļĨāļāļāļāļāļāļđāđāļāļāļīāļāļāļāļēāļĢāļāđ āļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļēāļĄāļēāđāļāđ
āļąāļī
ï· CobiT 4.1 āļĒāļąāļāđāļāđ āļ Framework āļāļĩāđāļĒāļāđāļĄāđāļŠāļĄāļāļđāļĢāļāđāđāļāļāļąāļ§āđāļāļāļāļķāļāļĒāļąāļāļāđ āļāļāļāļēāļĻāļąāļĒ Framework
āļą
āđ
āļāļ·āđāļāļĄāļēāļāļĢāļ°āļāļāļāđāļāļāļēāļĢāļāļēāļĄāļēāđāļāđ āļāļēāļ āđāļāđāļ Val IT Framework āđāļĨāļ° Risk IT Framework
ï· CobiT 4.1 āļĒāļąāļāļāļđāļāļāļēāđāļāđāļāđ āđāļāđ āļĒāļēāļ āđāļāļ·āđāļāļāļāļēāļāļāļ§āļēāļĄāļĒāļēāļāđāļāļāļēāļĢāļāļēāļāļ§āļēāļĄāđāļāđ āļēāđāļāđāļāļāļąāļ§
Framework āđāļāļ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
14. 14/26
āļāļļāļāļāļāļāļĢāđ āļāļāļāļāļ IT Governance Implementation Guide 2nd Edition (āļāļđāļĢāļđāļāļāļĩāđ 12)
āļĢāļđ āļāļāļĩāđ 12 : âIT Governance Implementation Guide 2nd Edition
āļāļēāļĢ Implement IT Governance āļĒāļąāļāđāļāđ āļāđāļāļ§āļāļīāļāđāļāļīāļĄāļāļĩāđāļĒāļāđāļĄāđāđāļāđ āļ âContinual Improvementâ āļāļēāđāļŦāđ
āļą
āđāļāļīāļāļāļ§āļēāļĄāđāļāđ āļēāđāļāļāļīāļāļ§āđāļēāđāļĄāļ·āđāļāļāļēāđāļāļīāļāļāļēāļĢāļāļēāļĄāđāļāđāļĨāļ°āļāļąāļāļāļāļāđāļĨāđ āļ§ āđāļĄāļ·āđāļāļāļķāļāļāļąāļāļāļāļāļŠāļļāļāļāđ āļēāļĒāļāđāđāļāļĨāļ§āđāļēāļāļāđāļĨāļ°āđāļĄāđ
āđ
āđ
āļāđ āļāļāļāļēāļāđāļ āļāļķāļāļāļīāļāđāļāļāļēāļāđāļāļ§āļāļēāļāļāļĩāđāļāļāļāđ āļāļāļāļķāļāļāļēāđāļāđ āļāļāđ āļāļāļāļēāđāļāļāļāđāļāđāļāļ·āđāļāļ (Continual) āđāļāđ āļ
āđ
āļđ
āđ
āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāļāļēāđāļāļāļāđāļāđāļāļ·āđāļāļ (Iterative Process) āđāļāļĨāļąāļāļĐāļāļ° âLife Cycleâ (āļāļđāļĢāļđāļāļāļĩāđ 13) āđāļĨāļ° âIT
Governance Implementation Guide 2nd Editionâ āļĒāļąāļāđāļĄāđāđāļāđ āļāļēāļ§āļīāļāļĩāļāļēāļĢāļāļāļ Best Practice āđāļŦāļĄāđ āđ āļĄāļēāđāļāđ āđāļāđāļ
ITIL Version 3 āļĒāļāļāļąāļ§āļāļĒāđāļēāļāđāļāđāļ āđāļĢāļ·āđ āļāļ âChange Enablementâ āđāļĨāļ° âContinual Improvement Life Cycleâ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
15. 15/26
āļĢāļđ āļāļāļĩāđ 13 : âThe New Life Cycle Modelâ
āļāļēāļāļāđ āļāļāļāļāļĢāđāļāļāļāļąāļāļāļĨāđāļēāļ§ ISACA āđāļĨāļ° IT Governance Institute āļāļķāļāļĄāļĩāđāļāļ§āļāļīāļāđāļāļāļēāļĢāļĒāļāđāļāļĢāļ·āđ āļāļ
CobiT 4.1 āđāļŦāļĄāđāđāļāļ âMajor Changeâ āđāļāļ·āđāļāđāļŦāđ CobiT āđāļ§āļāļĢāđ āļāļāđāļŦāļĄāđāļāļāļāļĢāļāļāļāļĨāļļāļĄāđāļāļāļķāļ âEnterprise
āļąāđ
āļąāđ
Governanceâ āđāļĨāļ°āļĄāļĩāļāļēāļĢāļĢāļ§āļĄāļāļąāļāļāļāļ Framework āļāđāļēāļ āđ āđāļ§āđ āđāļāđ āļāļŦāļāļķāļāđāļāļĩāļĒāļ§āđāļāļĒāļāļ°āļĄāļĩāļāļēāļĢāļĢāļ§āļĄ Val IT
āđ
Framework āđāļĨāļ° Risk IT Framework āđāļāđ āļēāļāļąāļ CobiT 4.1 (āļāļđāļĢāļđāļāļāļĩāđ 14) āđāļāļ·āđāļāļāļāļāđāļāļāļĒāđāļāļāļĄāļļāļĄ
āļąāđ
âPerformanceâ āđāļĨāļ° âConformanceâ āđāļāļĒāļāļīāļāļēāļĢāļāļē Business Model for Information Security (BMIS)
Framework (āļāļāļ°āļāļĩāđāđāļāļĩāļĒāļāļāđ āļāļāļāļąāļ āļĒāļąāļāđāļĄāđāļāļāļ Final Version) āđāļĨāļ° A Professional Practices Framework
for IT Assurance (ITAF) āļĢāđāļ§āļĄāļāđ āļ§āļĒ āđāļĨāļ°āđāļāđ āđāļŦāđ āļāļ·āđāļ Framework āđāļŦāļĄāđāļ§āļē âCobiT 5â āļŠāļēāļŦāļĢāļąāļāđāļāļāļŠāļēāļĢāļāļĢāļ°āļāļāļ
āđ
āļāļĩāļāļŠāļāļāļāļāļąāļāđāļāđ āđāļāđ ITAF āđāļĨāļ° IT Governance Implementation Guide āđāļāđ āļĄāļĩāđāļāļāđāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļŦāļĄāđ āļāļķāļ
āđ
āļāļąāļ§āđāļāļāļŠāļēāļĢ IT Governance Implementation Guide 2nd Edition āđāļāđ āļĄāļĩāļāļēāļĢāļāļą āļāļāļļāđ āļ āļāļĢāļąāļāļāļĢāļļāļāđāļŦāļĄāđāđāļāļāļĒāļ
āđāļāļĢāļ·āđ āļāļāđāļāđāļāļāļąāļāđāļĨāļ°āđāļāđ āļāļāļāļĄāļēāđāļŦāđ āļāļēāļ§āļāđāđāļŦāļĨāļāđāļĨāđ āļ§āđāļāļāļ·āđāļāđāļŦāļĄāđāļāļĩāđāđāļĢāļĩ āļĒāļāļ§āđāļē âImplementing and Continually
Implementing IT Governanceâ (āļāļđāļĢāļđāļāļāļĩāđ 15)
āļĢāļđ āļāļāļĩāđ 14 : Positioning CobiT, Val IT and Risk IT Framework
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
16. 16/26
āļĢāļđ āļāļāļĩāđ 15 : âImplementing and Continually Implementing IT Governanceâ
āđāļāļāļŠāļēāļĢ âImplementing and Continually Implementing IT Governanceâ āđāļāđ āļāļāļāļĢāļąāļāļāļĢāļļāļāđāļāļĒ
āļđ
āļāļēāđāļāļ§āļāļ§āļēāļĄāļāļīāļāļāļāļ ITIL V3 Continual Service Improvement (CSI) āļĄāļēāļāļĢāļ°āļĒāļļāļāļāđāđāļāđ āđāļāļāļēāļĢ Implement
IT Governance āđāļāļĢāļđāļāđāļāļ âLife cycle Approachâ āđāļāļĒāļāļēāļŦāļĨāļąāļāļāļēāļĢ CSI 6 Steps Model (āļāļđāļĢāļđāļāļāļĩāđ 16) āļĄāļē
āļāļĢāļ°āļĒāļļāļāļāđāđāļāļĒāđāļāļīāđāļĄāļāļąāļāļāļāļāļĄāļēāļāļĩāļāļāļąāļāļāļāļāļŦāļāļķāļāļāļ·āļ âWhat need to be doneâ (Step 4th) āļĢāļ°āļŦāļ§āđāļēāļ âWhere do
āđ
āđ
āđ
we want to beâ āđāļĨāļ° âHow do we get thereâ āļāļēāļ CSI 6 steps Model āđāļāļĒāđāļ CobiT 5 āļāļ°āđāļāđ āļāđāļāđāļĢāļ·āđ āļāļ
Information Security āđāļĨāļ° Information Assurance āļāđ āļ§āļĒ
āļĢāļđ āļāļāļĩāđ 16 : CSI 6 Steps Model
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
17. 17/26
āļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļāļāļĢāļąāļāļāļĢāļļāļāđāļāļīāđāļĄāļāļķ āđāļāļāļąāļāđ 7 āļāļąāļāļāļāļ āļĄāļĩāļāļ§āļēāļĄāļŠāļĄāļāļđāļĢāļāđāđāļĨāļ°āļāļĢāđ āļāļĄāđāļāļāļēāļĢāļāļēāđāļ
āļđ
āđ
āļāļĢāļ°āļĒāļļāļāļāđāđāļāđ āļāļāļāđāļāļĢāļĄāļēāļāļāļķ āđāļāļāļ§āđāļēāđāļāļīāļĄ (āļāļđāļĢāļđāļāļāļĩāđ 17)
āļĢāļđ āļāļāļĩāđ 17 : â4 Components of the life cycleâ
āđāļāļāļŠāļēāļĢ âImplementing and Continually Implementing IT Governanceâ āļāļĢāļ°āļāļāļāļāđ āļ§āļĒ 4
Components āđāļāđ āđāļāđ
1.
2.
3.
4.
Create the right environment
Programme Management āļŦāļĢāļ· āļ Project Management
Change Enablement
Continual Improvement Life Cycle
āļāļķāļāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļąāļāđ 7 āđāļŦāđ āļāļĢāļđāļāļāļĩāđ 18
āđ
āļđ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
18. 18/26
āļĢāļđ āļāļāļĩāđ 18 : âSeven Phases of the Implementation Life Cycleâ
Inside CobiT 5 Design
āļāļĢāļąāļāļāļēāđāļāļāļēāļĢāļāļāļāđāļāļ CobiT 5 āļāļąāļāļāļēāļĄāļēāļāļēāļ ISACA Initiative āļāļĩāđāđāļĢāļĩ āļĒāļāļ§āđāļē âTGFâ āļĒāđāļāļĄāļēāļāļēāļ
āđ
âTaking Governance Forwardâ āļāļķāļāļāļąāļ§ CobiT 5 āļĄāļĩāļ§āļāļāļļāļāļĢāļ°āļŠāļāļāđāđāļāļāļēāļĢāļāļąāļāļāļēāļāļĒāļđāđ 7 āļāđ āļāđāļāđ āđāļāđ
āđ
āļą
1. āļāļ§āļēāļĄāļāđ āļāļāļāļēāļĢāđāļāļāļēāļĢāļĢāļ§āļĄ Framework āļāđāļēāļ āđ āđāļāđ āđāļāđ Val IT, Risk IT, BMIS āđāļĨāļ° ITAF āđāļāđ āļē
āļāđ āļ§āļĒāļāļąāļāđāļāļĨāļąāļāļĐāļāļ°āđāļāđ āļ Framework āđāļŦāļāđāđāļāļĩāļĒāļāļŦāļāļķāļāđāļāļĩāļĒāļ§ āđāļāļ·āđāļāđāļĄāđāđāļŦāđ āđāļāļīāļāļāļ§āļēāļĄāļĒāļļāļāļĒāļēāļāļŠāļąāļāļŠāļ
āđ
āđ
āđāļāļāļēāļĢāđāļāđ āļāļēāļ Framework āļāđāļēāļ āđ
2. āļāđ āļāļāļāļēāļĢāđāļŦāđ āļŦāļĨāļąāļāļāļēāļĢāđāļĨāļ°āđāļŦāđ āļāļēāļĻāļąāļāļāđāļāļēāļ āđ āđāļāļīāļāļāļ§āļēāļĄāļāļąāļāđāļāļāđāļĄāđāļāļāļāđ āļāļ
āđ
āļą
3. āļāđ āļāļāļāđāļēāļĒāđāļāļāļēāļĢ âMigrateâ āļāļēāļ CobiT 4.1
4. āļāđ āļāļāļĄāļĩāļĢāļēāļĒāļĨāļ°āđāļāļĩāļĒāļāđāļāļ·āđāļāļāļēāļĢāļāđ āļāļŦāļēāļāļāļāļāļđāđāđāļāđ āļĄāļēāļāļāļķ āđāļāļāļ§āđāļēāđāļ CobiT 4.1
5. āļāđ āļāļāļāļĢāļāļāļāļĨāļļāļĄāđāļĢāļ·āđ āļāļ Enterprise Architecture (EA) āđāļĢāļ·āđ āļāļ Decision Making āđāļĢāļ·āđ āļāļ People
Skill āđāļĢāļ·āđ āļāļ Organization Structure āđāļĢāļ·āđ āļāļ Charge Enablement āđāļĨāļ° āđāļĢāļ·āđ āļāļ Sustainability
6. āļāđ āļāļāļāļēāđāļŦāđ āļāļāđāļāļāđāļāđāļĢāļ·āđ āļāļāļāļāļ âGovernance Processâ āđāļĨāļ° âManagement Processâ
āļą
7. āļāđ āļāļāļāđāļēāļĒāđāļāļāļēāļĢ âāļāļēāļāļ§āļēāļĄāđāļāđ āļēāđāļâ âāļāļēāļĢāļāļēāļĄāļēāđāļāđ āļāļēāļ â āļŠāļāļāļāļĨāđ āļāļāļāļąāļ âStandardâ āđāļĨāļ° âBest
Practiceâ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
19. 19/26
āđāļāđ āļāļāļĩāđāļāļąāļāđāļāļāđāļĨāđ āļ§āļ§āđ āļē āļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢ âIT Governanceâ āļāļąāļāļĄāļĩāļāļĨāļāļēāđāļŦāđ
āđ
āļ āļēāļāļĢāļ§āļĄāļāļāļāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļ āļāļĢāļ°āļāļ§āļāļāļēāļĢ âEnterprise Governanceâ āļāļĩāļāļāļāđ āļ§āļĒ āđāļĨāļ° āļāļēāļĢāļāļē
āļķāđ
Frameworks, Standards āļāļĨāļāļāļāļ âBest Practicesâ āļāđāļēāļ āđ āļĄāļēāđāļāđ āļāļ āļāļ°āđāļāđ āļāļĨāļāđāļāļāđāļĄāļ·āđāļāļāļđāļāļāļēāļĄāļē âAdaptâ
āļąāđ
āđ
āđāļĨāļ° âAdoptâ āļāļĒāđāļēāļāļāļđāļāļāđ āļāļ
CobiT 5 Framework āļāļąāļ āđāļĢāļĩ āļĒāļāđāļāđ āļ§āļēāđāļāđ āļ âEnterprise Governance of IT Frameworkâ āđāļāļĒāļāļē
āđ
āđ
āđāļāļ§āļāļīāļ âTGFâ (āļāļđāļĢāļđāļāļāļĩāđ 19) āļĄāļēāđāļāđ āđāļāļāļēāļĢāļāļāļāđāļāļāđāļĨāļ°āļāļąāļāļāļē āđāļāļĒ CobiT 4.1 āļāļ°āļāļđāļāļāļāļāđāļāļāļĄāļēāļāļēāļĄ
āđāļāļ§āļāļīāļ âProcess Modelâ āđāļĨāļ°āđāļāļ·āđāļāļāļĢāļąāļāļāļĢāļļāļāđāļāļŠāđāļ§āļāļāļāļ âInformation Requirementâ āđāļāļĒāđāļāđ āđāļĄāđāļāļĨāļāļĩāđ
āđāļĢāļĩ āļĒāļāļ§āđāļē âInformation Reference Model (IRM)â āļāļķāļāđāļāđ āļāđāļĄāđāļāļĨāļāļĩāđāđāļāđ āļāđāļĢāļ·āđ āļāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļąāļ
āđ
âInformationâ āđāļāļĒāđāļāļāļēāļ° (āļāļđāļĢāļđāļāļāļĩāđ 20) āđāļāļĒ âInformationâ āļŦāļĢāļ· āļ âāļŠāļēāļĢāļŠāļāđāļāļĻâ āļāļ°āļāļĒāļđāđāļāļĢāļāļāļĨāļēāļāļĢāļ°āļŦāļ§āđāļēāļ
âDataâ āļŦāļĢāļ· āļ āļāđ āļāļĄāļđāļĨ āđāļĨāļ° âKnowledgeâ āļŦāļĢāļ· āļ āļāļāļāđāļāļ§āļēāļĄāļĢāļđāđ āļāļķāđāļ âInformationâ āļāļ°āļāļđāļāļĄāļāļāđāļāļĄāļļāļĄāļāļāļ
Information Criteria, Information Stakeholder, Information Purpose, Information Type, Information
Attribute āļāđāļēāļāđ āļāļĨāļāļāļāļāļāļēāļĢāļāļē Information āļĄāļēāđāļāđ āļŦāļĢāļ· āļ âInformation Useâ āđāļĢāļĩ āļĒāļāđāļāđ āļ§āļēāļāļĢāļāļāļąāļāđ
āđ
Information Life Cycle āļāļĩāđāļāļīāļĒāļĄāđāļĢāļĩ āļĒāļāļ§āđāļē âCRUDâ (Create, Read, Update āđāļĨāļ° Delete)
āļĢāļđ āļāļāļĩāđ 19 : âTaking Governance Forwardâ (TGF)
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
20. 20/26
āļĢāļđ āļāļāļĩāđ 20 : âInformation Reference Model (IRM)â
āļāļĨāļļāđāļĄāļāļāļāļāļđāđāļāđ āļĩāļĄāļĩāļŠāđāļ§āļāđāļāļĩāđāļĒāļ§āļāđ āļāļāļāļąāļāļāļēāļĢāļāļē CobiT 5.0 āđāļāđāļāđ āļāļąāļāļāļ°āļāļ§āđ āļēāļāļāļķāļāļāļ§āđ āļē CobiT 4.1
āđ
āđ
āļāļąāļ Internal Stakeholder āđāļĨāļ° External Stakeholder āļāļēāđāļŦāđ āļāļĢāļāļāļāļĨāļļāļĄāļāļđāđāđāļāđ āđāļāļ§āļāļāļ§āđ āļēāļāļĄāļēāļāļāļķāļāļāļ§āđ āļē
āđ
āđ
āđāļāđ āļē
āļŠāļāļēāļāļą āļāļĒāļāļĢāļĢāļĄāļāļāļ CobiT 5 āļāļđāļāļāļāļāđāļāļāđāļŦāđ āđāļŦāļĄāļēāļ°āļŠāļĄāļāļąāļ Stakeholder āļāļĩāđāđāļāļāļāđāļēāļāļāļąāļ āđāļāļĢāļđāļāļāļāļ
CobiT 5 Family of Products āđāļāđāļ CobiT 5 for Risk, CobiT 5 for Value āļŦāļĢāļ· āļ CobiT 5 for Security āđāļĨāļ°
CobiT 5 for Compliance (āļāļđāļĢāļđāļāļāļĩāđ 22)
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
21. 21/26
āļĢāļđ āļāļāļĩāđ 22: âCobiT 5 Product Architectureâ
āđāļ CobiT 5 āļĄāļĩāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāđāļāļŠāđāļ§āļāļāļāļ âProcess Modelâ āđāļāļĒāđāļŦāđ āļŠāļāļāļāļĨāđ āļāļāļāļąāļāļĄāļēāļāļĢāļāļēāļ ISO
38500:2008 âCorporate Governance of Information Technologyâ (āļāļđāļĢāļđāļāļāļĩāđ 22) āđāļāļĒāļĒāļķāļāļŦāļĨāļąāļ 3
āļāļĢāļ°āļāļ§āļāļāļēāļĢ āđāļāđ āđāļāđ āļāļĢāļ°āđāļĄāļīāļ (Evaluate) āļāļēāļāļąāļ (Direct) āđāļĨāļ°āđāļāļēāļĢāļ°āļ§āļąāļ (Monitor) āļāļķāļāļāļĢāļāļāļāļĨāļļāļĄāđāļ 3 āđāļĢāļ·āđ āļāļ
āđ
āđ
āļāļ·āļ âRisk Governanceâ, âValue Governanceâ āđāļĨāļ° âResource Governanceâ (āļāļąāļāļĢāļđāļāļāļĩāđ 23)
āļĢāļđ āļāļāļĩāđ 23 : âMapping process model with ISO/IEC 38500â
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
22. 22/26
āđāļāļĒāļĄāļĩāļāļēāļĢāļāļĢāļąāļāļāļĢāļļāļāļāļēāļ CobiT 4.1 āļāļķāļāļāļĢāļ°āļāļāļāļāđ āļ§āļĒ 4 āđāļāđāļĄāļ āđāļāđ āđāļāđ âPlan and Organizeâ,
āđ
âAcquire and Implementâ, âDeliver and Supportâ āđāļĨāļ° âMonitor and Evaluateâ āļĄāļēāđāļāđ āļ âAlign, Plan
and Organizeâ, âBuild, Acquire & Implementâ, âDeliver and Supportâ āđāļĨāļ° âMonitor & Assessâ (āļāļđāļĢāļđāļ
āļāļĩāđ 24) āļāļĩāļāļāļąāļāđāļ CobiT 5 āļĒāļąāļāļĄāļĩāļāļēāļĢāļāļē Standard āđāļĨāļ° Best Practice āļĄāļēāđāļāđ āļāđāļēāļāļāļīāļāļāļ§āđāļē 60 āđāļŦāļĨāđāļ āļĒāļāļāļąāļ§āļāļĒāđāļēāļ
āđ
āđāļāđāļ ITIL V3, ISO 27000 Series, ISO 20000, ISO 38500:2008, TOGAF V9 āđāļĨāļ° ISO 9000:2008
āļĢāļđ āļāļāļĩāđ 24 : CobiT 5 New Design
āļāļēāļĢāļāļē CobiT 5 āļĄāļēāđāļāđ āđāļāđ āļāļĨāļāļĩāļāļ āļāđ āļāļāļāļēāļāļķāļāļāļķāļāļ§āļąāļāļāļāļĢāļĢāļĄāļāļāļāļāļāļāđāļāļĢāļāđ āļ§āļĒ āđāļāļĢāļēāļ°āļāļ°āļāđ āļāļāđāļāļīāļāļāļēāļĢ
āļąāđ
āđāļāļĨāļĩāđāļĒāļāđāļāļĨāļ āļŦāļĢāļ· āļ âChangeâ āļāļąāļāļāđ āļēāļ āļ§āļąāļāļāļāļĢāļĢāļĄ (Culture) āđāļĨāļ° āļāļĪāļāļīāļāļĢāļĢāļĄ (Behavior) āļāļāļāļāļāđāļāļāļāļāđāļāļĢ
āđ
āļāļĒāđāļēāļāļŦāļĨāļĩāļāđāļĨāļĩāđāļĒāļāđāļĄāđāđāļāđ āđāļāļĒ ISACA āđāļāđ āļāļēāļāļķāļāļāļķāļāļāļą āļāļŦāļēāđāļŦāļāđāđāļāđāļĢāļ·āđ āļāļāļāļĩ āđāļāļķāļāđāļāđ āļāļēāļāļēāļĢāļāļĢāļąāļāđāļāļ§āļāļēāļāđāļāļāļēāļĢ
Implement IT Governance āļĄāļēāđāļāđ āļ Life Cycle āļāļēāļĄāļŦāļĨāļąāļāļāļēāļĢ CSI 6 Steps Model āļāļēāļ ITIL V3 āļĄāļēāđāļāđ āļ
āđāļāļ§āļāļēāļ 7 Steps āļāļąāļāļāļĩāđāļāļĨāđāļēāļ§āļĄāļēāđāļĨāđ āļ§āđāļāļāļāļāļāđ āļ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
23. 23/26
āļĢāļđ āļāļāļĩāđ 25 : âIT Governance Focus Areasâ
āļāļīāļāļāļĢāļĢāļĄāļāļēāļĄāđāļāļ§āļāļīāļ âIT Governanceâ āļāļąāļāļŠāļēāļĄāļēāļĢāļāđāļāđ āļāđāļāđ āđāļāđ āļ 5 āļāļĨāļļāđāļĄ (āļāļđāļĢāļđāļāļāļĩāđ 25) āđāļāđ āđāļāđ
āđ
1. Strategic Alignment
āļŦāļĄāļēāļĒāļāļķāļ āļāļēāļĢāļāļēāđāļŦāđ āļāļĨāļĒāļļāļāļāđāļāļēāļāļāđ āļēāļāļāļēāļĢāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ āđāļāļāļāļāđāļāļĢāļāļąāļ
āđ
âāļŠāļāļāļāļĨāđ āļāļâ āļŦāļĢāļ· āļ âAlignâ āđāļāđāļāļāļīāļĻāļāļēāļāđāļāļĩāļĒāļ§āļāļąāļāļāļĨāļĒāļļāļāļāđāļāļāļāļāļāļāđāļāļĢ āđāļāļĒāđāļāļāđāļĄāđāļāļāļāđ āļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāļ§āļĢ
āļŠāļāļāļāļĨāđ āļāļāļāļąāļāđāļāļāđāļĄāđāļāļāļāļāļāļāļāļāđāļāļĢ āđāļāļ·āđāļāđāļŦāđ āļāļēāļĢāļāļēāđāļāļīāļāļāļēāļĢāļāļēāļāļāđ āļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāļŠāļāļāļāļĨāđ āļāļāļāļąāļāđāļāļēāļŦāļĄāļēāļĒ
āđ
āļāļāļāļāļāļāđāļāļĢ āļāļ°āļŠāđāļāļāļĨāđāļŦāđ āļāļāļāđāļāļĢāļŠāļēāļĄāļēāļĢāļāđāļāđ āļāļĢāļąāļāļĒāļēāļāļĢāļāđāļēāļ āđ āđāļāđ āļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ
2. Value Delivery āļŦāļĢāļ·āļ Value Creation
āļŦāļĄāļēāļĒāļāļķāļ āļāļēāļĢāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ āđāļāļāļāļāđāļāļĢāļāđ āļāļāļāļāļāđāļāļāļĒāđāļāļ§āļēāļĄāļāđ āļāļāļāļēāļĢāļāļēāļāļāđ āļēāļ
āļāļļāļĢāļāļīāļāļāļāļāļāļāļāđāļāļĢāđāļŦāđ āļāļāđāļāļāđāļāļĄāļļāļĄāļĄāļāļāļāļāļ âāļāļ§āļēāļĄāļāļļāđāļĄāļāđāļēâ āļāļĩāđāļŠāļēāļĄāļēāļĢāļāļĢāļąāļāļĢāļđāđāđāļāđ āđāļāļĒāļāļđāđāđāļāđ āļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻ
āļą
āļāļĨāļāļāļāļ āļāļđāđāļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāļāļāļāļāļāļāđāļāļĢāđāļĨāļ°āļĨāļđāļāļāđ āļēāļāļĩāđāļĄāļĩāļŠāļ§āļāđāļāļĩāđāļĒāļ§āļāđ āļāļāļāļąāļāļāļēāļĢāđāļāđ āđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāđāļāļ·āđāļ
āđ
āļāļēāđāļŦāđ āļāļēāļĢāđāļŦāđ āļāļĢāļī āļāļēāļĢāļāļāļāļāļāļāđāļāļĢāļāļĩāļāļķ āđāļ āđāļāđāļ āđāļŦāđ āļāļĢāļīāļāļēāļĢāđāļāđ āđāļĢāđāļ§āļāļķ āđāļ, āļāļēāđāļŦāđ āļĨāļāļāđ āļēāđāļāļīāļāļāļ§āļēāļĄāļāļķāļāļāļāđāļāļĄāļēāļāļāļķ āđāļāļāļēāļ
āļđ
āļāļēāļĢāļāļĩāđāļāļāļāđāļāļĢāļāļēāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ āđāļĢāļĩ āļĒāļāđāļāđ āļ§āđāļē âāđāļŦāđāļāļāļĢāļ°āđāļĒāļāļāđâ āļāļēāļāļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ
āļāļĒāđāļēāļāļāļąāļāđāļāļ āđāļāđ āļāļĢāļđāļāļāļĢāļĢāļĄ āļāļĨāļāļāļāļāļāļĒāļđāđāļāđāļ§āļĨāļēāđāļĨāļ°āļāļāļāļĢāļ°āļĄāļēāļāļāļĩāđāļāļēāļŦāļāļāđāļ§āđ āļāļĩāļāļāđ āļ§āļĒ (āļāļđāļĢāļđāļāļāļĩāđ 26)
āđ
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
24. 24/26
āļĢāļđ āļāļāļĩāđ 26 : Two Views of Control
3. Risk Management āļŦāļĢāļ·āļ Value Preservation
āļāļāļ°āļāļĩāđ âValue Deliveryâ āļĄāļļāļāđāļāđ āļāđāļāļāļĩāđāļāļēāļĢāļŠāļĢāđ āļēāļāļāļļāļāļāđāļē (Value Creation) āđāļāđāļŠāļēāļŦāļĢāļąāļ Risk
āđ
Management āļŦāļĢāļ· āļ āļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļąāļ āļĄāļļāļāđāļāđ āļāđāļāļāļĩāđāļāļĢāļ°āļāļ§āļāļāļēāļĢāļĢāļąāļāļĐāļēāļāļļāļāļāđāļēāļŦāļĢāļ· āļ (Value
āđ āđ
Preservation) āđāļāļĒāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļ§āļĢāđāļāđ āļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļāļĢāļ°āļāļēāļāļĒāđāļēāļāļāđāļāđāļāļ·āđāļāļāļāļēāļĄāļŦāļĨāļąāļāļāļēāļĢāļāđ āļēāļ
āļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļāļŠāļēāļāļĨ āđāļāđ āđāļāđ āļāļēāļĢāļāļĢāļ°āđāļĄāļīāļ (Assess) āļāļēāļĢāļ§āļīāđāļāļĢāļēāļ°āļŦāđ (Analysis) āđāļĨāļ°āļāļēāļĢ
āļāļąāļāļŠāļīāļāđāļ(Treatment) āļ§āđāļēāļāļ°āļĒāļāļĄāļĢāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļ āļŦāļĢāļ· āļ āđāļĄāđāļĒāļāļĄāļĢāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāļĨāļąāļāļĐāļāļ°āđāļ (Risk
Reduction, Risk Retention, Risk Avoidance āļŦāļĢāļ· āļ Risk Transfer) āđāļāļĒāļāđ āļēāļāļāļīāļāļāļēāļ Risk Acceptance
Criteria (ISO 27005:2008)
āđāļāļĒāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļĩāļāļāļāļ§āļĢāđāļŦāđ āļāđ āļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļāđāļāđ āļĢāļąāļāļĢāļđāđ āđāļĨāļ° āļāļĢāļ°āļŦāļāļąāļ (Risk
āļąāđ
āļđ
Aware) āđāļāļāļĨāļāļĢāļ°āļāļāļāļēāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļāļēāļāđāļāļīāļāļāļķ āđāļ āđāļĨāļ° āđāļāđ āļāļēāļāļēāļĢāļāļēāļŦāļāļāļĢāļ°āļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāļĒāļāļĄāļĢāļąāļāđāļāđ
âRisk Appetiteâ āļŦāļĢāļ· āļ Risk Acceptance Levelâ āđāļāļ·āđāļāļāļēāđāļāđāļāđ āđāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļķāļāļŦāļāđ āļēāļāļĩāđāđāļāļāļēāļĢ
āđ
āļāļēāļŦāļāļāļĢāļ°āļāļąāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļąāļāļāļĨāđāļēāļ§āļāļĩ āđāļāļ°āđāļāđ āļāđāļāļĢāđāļāđāļŠāļĩāļĒāđāļĄāđāđāļāđ āļāļāļāļāļēāļ âāļāļđāđ āļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļąāļāļŠāļđāļâ āļāļĩāđāļāđāļāļāļĢāļąāļāļāļīāļāļāļāļ
āđāļāđāļĢāļ·āđ āļāļāļāļĩ āđ āđāļāļ·āđāļāđāļŦāđ āļŠāļāļāļāļĨāđ āļāļāļāļąāļāđāļāļ§āļāļēāļ IT Governance āđāļĨāļ°āđāļāļ§āļāļīāļ Governance, Risk Management
and Compliance (GRC)
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
25. 25/26
āđāļāļ·āđāļāļāļāļēāļāļāļēāļĢāļāļēāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ āļāļēāđāļŦāđ āđāļāļīāļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāļāļĩāđāđāļĢāļĩ āļĒāļāļ§āđāļē âIT Riskâ āļāļķāļāļŠāđāļāļāļĨāđāļāļĒāļāļĢāļāļāđāļ
āđ
āļāļēāļĢāļāļēāđāļāļīāļāļāļēāļāļāļāļāļāļāļāđāļāļĢ āļāļēāđāļŦāđ āđāļāļīāļ âBusiness Riskâ āļŦāļĢāļ· āļāļāļ§āļēāļĄāđāļŠāļĩāđāļĒāļāđāļāđāļāļīāļāļāļļāļĢāļāļīāļāļāļāļāļāļāļāđāļāļĢ āļāļēāļāļāļēāļĢ
āļāļēāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻāļĄāļēāđāļāđ āļāļĒāđāļēāļāđāļĄāđāļāļĨāļāļāļ āļąāļĒ āđāļĨāļ°āđāļĄāđāļĢāļąāļāļāļļāļĄāļāļ āđāļĢāļĩ āļĒāļāđāļāđ āļ§āļē âIT Risk āļāđāļāļ·āļ âBusiness
āđ
Riskâ āļāļĩ āđ āļāļĩāđāđāļāļâ
4. Performance Management
āļāļēāļĢāļ§āļąāļāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāđāļĨāļ°āļāļĢāļ°āļŠāļīāļāļāļīāļāļĨ āļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāđ āļēāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāđāļāļāđāļāđāļĨāļĒāļĩ
āļŠāļēāļĢāļŠāļāđāļāļĻāļāļąāļ āļāļēāļĨāļąāļāđāļāđ āļāļāļĢāļ°āđāļāđāļāļĢāđ āļāļāļāļĩāđāļĄāļĩāļāļēāļĢāļāļĨāđāļēāļ§āļāļķāļāļāļĒāđāļēāļāļĄāļēāļāļāļąāļ§āđāļĨāļāđāļāļāļāļ°āļāļĩ āđ āđāļĢāļ·āđ āļāļāļāļāļ âIT KPIâ
āđ
āđ
âIT Metricâ āļāļĨāļāļāļāļ âIT Performance Managementâ āļāđāļēāļ āđ āļāļēāļĨāļąāļāđāļāđ āļāļāļĩāđāđāļĢāļ·āđ āļāļāļāļĩāđāļāđ āļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļ
āļđ
āļŠāļēāļĢāļŠāļāđāļāļĻāļāđ āļāļāļāļēāļĄāļēāđāļāđ āđāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļēāļĢāļāļāļīāļāļāļāļēāļāļāļāļāļāđ āļēāļĒāđāļāļāđāļāđāļĨāļĒāļĩāļŠāļēāļĢāļŠāļāđāļāļĻ āļāļąāļāļāļąāļāļāļķāļāļĄāļĩāļāļ§āļēāļĄ
āļąāļī
āđ
āļāļēāđāļāđ āļāļāļĩāđāļāđ āļāļĢāļīāļŦāļēāļĢāļĢāļ°āļāļāļŠāļēāļĢāļŠāļāđāļāļĻāļāđ āļāļāļāļēāļŦāļāļ âāļāđāļēāļāļĩ āđāļ§āļąāļâ āļŦāļĢāļ· āļ âMetricâ āđāļāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļĩāđāđāļāđ āļĢāļąāļāļāļēāļĢ
āļđ
āļĒāļāļĄāļĢāļąāļāđāļāļĒāļāļđāđāđāļāļĩāđāļĒāļ§āļāđ āļāļ āļŦāļĢāļ· āļ Stakeholder āļāļķāļāļāļēāļāļ§āļąāļāđāļāļĢāļđāļāļāļāļ Performance Scorecard, Dashboard āļŦāļĢāļ· āļ
āđ
Benchmarking
āļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļāļāļāļēāļĢāļ§āļąāļ āļŦāļĢāļ· āļ âMeasurementâ āļāļąāļ āļŠāđāļāļāļĨāļāđāļāļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāđāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢ
āđ
āļŦāļĢāļ· āļ âManageâ āļāļąāļāļāļēāļāļĨāđāļēāļ§āļāļĩāđāļ§āļē âIf you cannot measure it, you cannot manage itâ āļāļąāļāļāļąāļāļāļēāļĢāļ§āļąāļ
āđ
āđ
āļāļĢāļ°āļŠāļīāļāļāļīāļāļĨāđāļĨāļ°āļ§āļąāļāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļāļāļąāļāļāļķāļāđāļāđ āļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļĩāđāļĄāļĩāļāļ§āļēāļĄāļŠāļēāļāļąāļāļāļĒāđāļēāļāļĄāļēāļāļāļķāļāļāļ°āļāļđāļāļĄāļāļāļāđ āļēāļĄāđāļŠāļĩāļĒ
āđ
āđ
āđāļĄāđāđāļāđ āļāļđāđāļāļĢāļ§āļāļŠāļāļāļāļēāļ Certification Body (CB) āđāļ§āļĨāļēāļĄāļēāļāļĢāļ§āļāļŠāļāļāļāļāļāđāļāļĢāļāļēāļĄāļĄāļēāļāļĢāļāļēāļ ISO/IEC
27001 āļāļ°āđāļāđ āļāđāļĢāļ·āđ āļāļāļāļēāļĢāļ§āļąāļāļāļĢāļ°āļŠāļīāļāļāļīāļāļĨ (Effectiveness) āļāļāļāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāđ āļēāļāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļ§āļēāļĄ
āļāļĨāļāļāļ āļąāļĒāļŠāļēāļĢāļŠāļāđāļāļĻ āđāļāļĒāļāđ āļēāļĄāļĩāļāļēāļĢāļāļāļīāļāļāļāļēāļĄāļāļĢāļ°āļāļ§āļāļāļēāļĢāļāļēāļĄāļŦāļĨāļąāļ ISMS āđāļĨāđ āļ§āđāļāđāđāļĄāđāļĄāļĩāļāļēāļĢāļāļĢāļ°āđāļĄāļīāļāļāļĨāļāđ
āļąāļī
āļāļ·āļāļ§āđāļē āļĒāļąāļāđāļĄāđāļāļĢāļāļāļēāļĄāļŦāļĨāļąāļāļāļēāļĢāļāļāļ ISO/IEC 27001
5. Resource Management
āļŦāļĄāļēāļĒāļāļķāļ āļāļēāļĢāļāļĢāļī āļŦāļēāļĢāļāļąāļāļāļēāļĢāļāļĢāļąāļāļĒāļēāļāļĢāļāđāļēāļ āđ āļāļąāļāđ 4 āļāļĨāļļāļĄāđāļāđ āđāļāđ
āđ
1. āļāļļāļāļĨāļēāļāļĢ (People)
2. āđāļāļĢāļāļŠāļĢāđ āļēāļāļāļ· āđāļāļāļēāļ (Infrastructure)
3. āđāļāļĢāđāļāļĢāļĄāļāļĢāļ°āļĒāļļāļāļāđ (Application)
4. āļŠāļēāļĢāļŠāļāđāļāļĻ (Information)
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą
26. 26/26
āđāļāđ āļāļāļēāļĢāļāļēāļāļĢāļąāļāļĒāļēāļāļĢāļĄāļēāđāļāđ āļāļĒāđāļēāļāļĄāļĩāļāļĢāļ°āļŠāļīāļāļāļīāļ āļēāļ āđāļāļĩāļĒāļāļāļāļāļąāļāļāļ§āļēāļĄāļāđ āļāļāļāļēāļĢāđāļĨāļ°āļāļļāđāļĄāļāđāļēāļāļēāļĢāļĨāļāļāļļāļ
āđāļāļĒāļāļēāļĢāļāļĢāļīāļŦāļēāļĢāļāļĢāļąāļāļĒāļēāļāļĢāļāļļāļāļāļĨ āļŦāļĢāļ· āļ âHuman Resource Managementâ āļāļąāļāđāļāđ āļāđāļĢāļ·āđ āļāļāļŠāļēāļāļąāļāđāļāļĢāļēāļ°
āđ
āļāļļāļāļĨāļēāļāļĢāļāļ·āļāđāļāđ āļāļāļĢāļąāļāļĒāļēāļāļĢāļāļĩāđāļŠāļēāļāļąāļāļāļĩāđāļŠāļāļāļāļāļāļāļāđāļāļĢāļāļķāļāļāđ āļāļāļĄāļĩāļāļēāļĢāļāļķ āļāļāļāļĢāļĄāđāļŦāđ āļāļ§āļēāļĄāļĢāļđāđāļāļĨāļāļāļāļāļĄāļĩāļāļēāļĢ
āļļ
āļāļąāļāļāļēāļāļļāļāļĨāļēāļāļĢāđāļŦāđ āļĄāļĩāļāļ§āļēāļĄāļĢāļđāđāļāļ§āļēāļĄāļŠāļēāļĄāļēāļĢāļāđāļāđ āļ âKnowledge Workerâ āļāļĩāđāļŠāļēāļĄāļēāļĢāļāļāļāļīāļāļāļīāļāļēāļ āđ āļāļāļ
āļą āđ
āļāļāļāđāļāļĢāđāļāđ āļāļēāļĄāđāļāļēāļŦāļĄāļēāļĒāļāļĩāđāļāļēāļŦāļāļāđāļ§āđ āđāļāđāļāļāļāļĨāļĒāļļāļāļāđāļāļēāļāļāđ āļēāļāļŠāļēāļĢāļŠāļāđāļāļĻāđāļĨāļ°āđāļāļāļāļĨāļĒāļļāļāļāļāļļāļĢāļāļīāļāđāļ
āđ
āļ āļēāļāļĢāļ§āļĄāļāļāļāļāļāļāđāļāļĢāđāļāļāļĩāđāļŠāļ
āļļ
āļāļāļŠāļĢāļļāļāļāļāļāļāļēāļĢāļāļē CobiT Framework āđāļĨāļ° IT Governance Implementation Guide āļĄāļē
āđāļāđ āļāļąāļāļŠāļĢāļļāļāļāļ§āļēāļĄāđāļāđ āļ§āđāļē āļāļąāļ CobiT āđāļĨāļ° IT Governance Implementation Guide āļāļąāļāđāļĄāđ āđāļāđ
āđ
āđ
āđ
âSolutionâ āđāļāđ āđāļāđ āļ âMethodâ āļāļąāļāļāļēāļāļĨāđ āļēāļ§āļāļāļ âLuc Kordelâ āļāļĩāđāļ§āđāļē âItâs a method, not the
solution!â āļāļąāļāļāļąāļāļāļāļāđ āļāļĢāļāđ āļāļāļāļē Framework āļĄāļē âAdoptâ āđāļĨāļ° âAdaptâ āļāļĢāļąāļāđāļŦāđ āđāļāđ āļēāļāļąāļ
āđ
Corporate Culture, Style āđāļĨāļ° People Skill
āļāļĩāļāļīāļĄāļāđāļĨāļāđāļāļāļļāļĨāļŠāļēāļĢ āļŠāļāļ. āļāļāļąāļāļāļĩāđ 56 (āļāļĢāļ°āļāļēāđāļāļ·āļāļāđāļĄāļĐāļēāļĒāļ â āļĄāļīāļāļļāļāļēāļĒāļ 2553) āđāļāļĒāļ āļēāļāļļāļ§āļāļāđ 01062553
āļą