Cobit

Vikipedi, özgür ansiklopedi
Atla: kullan, ara

Bilgi ve İlgili Teknolojiler İçin Kontrol Hedefleri (COBIT) ISACA (Information Systems Audit and Control Association) ve ITGI (IT Governance Institute) tarafından 1996 yılında geliştirilmiş, Bilgi Teknolojileri Yönetimi için en iyi uygulamalar kümesidir.COBIT yöneticilere, denetçilere ve Bilgi Teknolojileri (BT) kullanıcılarına iş hedeflerinin bilgi işlem hedeflerine dönüşümünü, bu hedeflere ulaşmak için gerekli kaynakları ve gerçekleştirilen süreçleri bir araya getirirken, aynı zamanda bilgi teknolojileri alt yapılarını da etkin kullanmayı sağlar.

Genel Bakış[değiştir | kaynağı değiştir]

COBIT ilk 1996 yılında yayımlanmıştır.Misyonu "araştırma, geliştirme, ilan ve yetkili tanıtmak, güncellik, uluslararası alanda kabul görmüş genel bilgi teknolojileri kontrol hedeflerinin iş yöneticileri ve denetçiler tarafından kullanılmasıdır." Yöneticiler, denetçiler ve kullanıcılar COBIT gelişmelerinden yararlanırlar; çünkü COBIT onlara BT sistemlerini anlamada, şirketlerin varlıklarini korumak için BT yönetişim modeline göre gerekli olan güvenlik ve kontrol seviyelerine karar vermede yardımcı olur.

COBIT 4.1 34 tane üst düzey işleme sahiptir. Bunların kapsadığı 210 tane kontrol hedeflerinin de dört ana kategorisi bulunur: Planlama ve Organizasyon, Teknoloji Edinme ve Uygulama, Hizmet Saglama ve Destek, İzleme ve Değerlendirme. COBIT, yöneticilere, BT kullanıcılarına ve denetçilere çeşitli faydalar sağlar. Yöneticilerin COBIT'ten yararlanma nedeni, BT alanında daha etkili kararlar verme ve kuruluş için doğru yatırımlar yapma olarak açıklanabilir. İçerdigi stratejik BT planı, bilgi mimarisi, stratejiyi isletmek için gerekli BT donanim ve yazilimlari, sürekli hizmet saglamasi, ve BT performansını izleme sistemi ile COBIT karar vermeyi daha etkili hale getirmektedir. BT kullanıcılarının COBIT'ten yararlanma nedeni, kontrol, güvenlik ve süreç yönetimi güvencesi sağlanmasıdır. Denetçilere ise BT altyapısı içindeki sorunları kontrol esasları çerçevesinde belirlemelerine yardımcı olur. Ayrica denetçilerin kendi denetim bulgularını onaylar.

ISACA son olarak Val IT standardını yayımladı. Bu standart üst düzey yönetime BT yatırımlarında iyi değerler elde etmeleri için gerekli işlem süreçlerini kapsar.

Yakın Tarih[değiştir | kaynağı değiştir]

COBIT dört ana yayımdan olusmustur:

  • 2011 COBIT 5 henüz çıkmadı.
  • 1996, COBIT birinci baskı yayımlandı.
  • 1998, İkinci baskıda yönetim yönergelerine eklendi.
  • 2000, Üçüncü baskı yayımlandı.
    • 2003, COBIT online sürümü kullanıma sunuldu.
  • 2005 Aralık, Dördüncü baskı yayımlandı.
    • 2007 Mayıs, Güncel versiyonu 4.1 yayımlandı.

COBIT Versiyon 4[değiştir | kaynağı değiştir]

COBIT Versiyon 4 , COBIT 3 'teki ayrı kitapların tek bir ses halinde ve kullanım kolaylığına sahip olarak geliştirilmiş halidir.

Her islem için yeni alt kisimlar sunlardir:

  • girdilerin çapraz referansları ve diğer COBIT süreçlerinin çıktıları (parmak göstergesinin gelişimine yardımcı olan)
  • sorumlu bir atama ile her işlem için faaliyetler (CFO, CEO, BT Hizmetleri Müdürü ve Geliştirme Müdürünün ne yapması gerektiğini gösteren)

COBIT Versiyon 4.1[değiştir | kaynağı değiştir]

COBIT sürümü 4.1 simdi ISACA web sitesinde mevcuttur. Yapılan büyük değişiklikler şunlardır:

  • hedef açıklamaları basitleştirildi
  • süreçler ile "İşletme", "BT hedefleri" ve "BT süreçleri" arasındaki çift yönlü ilişki basamaklandırıldı

COBIT ürün ailesi (versiyon 4.0)[değiştir | kaynağı değiştir]

Tam COBIT paketi şunlardan olusur:

  • Yönetici Özeti
  • Yönetim ve Kontrol Çerçevesi
  • Kontrol Nesneleri
  • Yönetim Kılavuzu
  • Uygulama Kılavuzu
  • BT Güvence Kılavuzu

Yönetimsel Özet[değiştir | kaynağı değiştir]

İş kararları, uygun zamanda iyi seçilmiş öz bilgilere dayanmaktadır. Özellikle zaman sıkışıklığı olan kıdemli yöneticiler için tasarlanan COBIT Yönetimsel Özet, COBIT’in temel kavram ve kurallarının anlaşılması için bir özet niteliğindedir. COBIT’in anahtar konuları ve kurallarına ilişkin anahtar bilgileri sağlar.

İşletme yönelimli COBIT; işletmenin amaçlarının bilgi teknolojisi amaçlarına odaklanması, başarıyı değerlendirmek için vade modellerinin oluşturulması, işletme ve bilgi teknolojisi süreç sahiplerinin birleşik sorumluluklarının teşhis edilmesi faaliyetlerinden oluşur.

Çatı[değiştir | kaynağı değiştir]

Başarılı bir organizasyon veri ve bilgilerin sağlam bir çatı üzerine kuruludur. Bu çatı esas bileşenlere, süreçler, kontroller, hedefler ve metrikler arasındaki ilişkilere genel bir açıklama sağlar.İşe tam destek için gerekli BT kaynakları kadar önemli olan yedi bilgi kriterini (etkinlik, verimlilik, gizlilik, bütünlük, uygunluk, uyum ve güvenilirlik) de tanıtır.İşletmenin gereksinimleri ile bağlantı kurar. Bilgi teknolojisi faaliyetlerini genel kabul görmüş bir süreç modeli şeklinde örgütler. Ana bilgi teknolojisi kaynaklarını tanımlar. İşletme kontrol hedeflerini açıklar.

Yönetim Kılavuzu[değiştir | kaynağı değiştir]

Başarılı bir işletme sağlamak için, iş süreçleri ve bilgi sistemleri arasındaki birliği etkili bir şekilde yönetmek gerekir.Yeni Yönetim Yönergeleri, Olgunluk Modellerinden oluşur; bu da kontrol aşamalarını ve beklenen kontrol düzeylerini sanayi normlarıyla karşılaştırmak içindir. Kritik Başarı Faktörleri, BT işlemleri kontrolu için en önemli faaliyetleri içerir. Anahtar Hedef Göstergeleri, performans hedef seviyelerini tanımlamak içindir. Anahtar Performans Göstergeleri de BT kontrol sürecinin amaca ulaşmasına uygun olup olmadığını ölçmek içindir.Bu yönetim yönergeleri kurumsal yatırıma sahip olanların sorunlarına çözüm bulabilmelerinde yardımcı olur.

BT Güvence Kılavuzu[değiştir | kaynağı değiştir]

Kontrol hedeflerinin gerçekleştirildiğinden emin olmak için, kontrolleri birbirlerine bağlı olarak değerlendirmek gerekir.Bu güvence kılavuzu her form için değerlendirmeleri yapmak adına kendi tasarım sonuçlarını gözden geçirerek, gereken araçları sağlar.Bu kılavuz tamamen denetim uygulamaları üzerinedir.Aslında kitabın bir parçası olmamakla beraber, ilgili bir yayındır.

COBIT Yapısı[değiştir | kaynağı değiştir]

COBIT, dört etki alanını kapsar:

  • Planlama ve Organizasyon
  • Tedarik ve Uygulama
  • Teslimat ve Destek
  • İzleme ve Değerlendirme

Planlama ve Organizasyon[değiştir | kaynağı değiştir]

BT SÜREÇLERİ
Planlama ve Organizasyon
PO1 Stratejik BT Planının Tanımlanması
PO2 Bilgi Mimarisinin Tanımlanması
PO3 Teknolojik Yönün Belirlenmesi
PO4 BT Organizasyon ve İlişkilerinin Tanımlanması
PO5 BT Yatırımlarının Yönetimi
PO6 Yönetimin Hedeflerinin ve Talimatlarının İletilmesi
PO7 İnsan Kaynakları Yönetimi
PO8 Kalite Yönetimi
PO9 Risk Değerlendirme
PO10 Proje Yönetimi

Tedarik ve Uygulama[değiştir | kaynağı değiştir]

Tedarik ve Uygulama süreç alanı, BT gereksinimlerini belirlemeyi, teknolojiyi tedarik etmeyi ve şirketin mevcut iş süreçleri içinde uygulamayı kapsar. Bu süreç alanı ayrıca, şirketin BT sistemi ve bileşenlerinin ömrünü uzatmak için bir bakım planı oluşturmayı hedefler.

BT SÜREÇLERİ
Tedarik ve Uygulama
AI1 Otomasyon Çözümlerinin Belirlenmesi
AI2 Uygulama Yazılımı Tedarik Edilmesi ve Bakımı
AI3 Teknoloji Altyapısının Tedarik Edilmesi ve Bakımı
AI4 İş ve Kullanımın Etkin Kılınması
AI5 BT Kaynaklarının Sağlanması
AI6 Değişiklik Yönetimi
AI7 Çözüm ve Değişikliklerin Kurulması ve Kabul Edilmesi

Teslimat ve Destek[değiştir | kaynağı değiştir]

Teslimat ve Destek süreç alanı, BT’nin teslimat durumlarına odaklanır. Uygulamaların BT sistemi içinde yürütülmesi ve sonuçlarıyla olduğu kadar, BT sistemlerinin etkili ve yeterli işletilmesine olanak sağlayan destek süreçlerini de kapsar. Destek süreçleri; güvenlik konuları ve eğitimi içerir.

BT SÜREÇLERİ
Teslimat ve Destek
DS1 Hizmet Düzeyi Belirleme ve Yönetimi
DS2 Üçüncü Parti Hizmet Yönetimi
DS3 Performans ve Kapasite Yönetimi
DS4 Sürekli Hizmetin Sağlanması
DS5 Sistem Güvenliğinin Sağlanması
DS6 Harcamaların Belirlenmesi ve Bütçelenmesi
DS7 Kullanıcı Eğitimi
DS8 Kullanıcılara Yardım ve Danışmanlık
DS9 Konfigürasyon Yönetimi
DS10 Problem ve Olay Yönetimi
DS11 Veri Yönetimi
DS12 Fiziksel Çevre Yönetimi
DS13 Operasyon Yönetimi

İzleme ve Değerlendirme[değiştir | kaynağı değiştir]

İzleme ve Değerlendirme süreç alanı, şirket ihtiyaçlarının tayin edilmesiyle ilgili şirket stratejilerinin belirlenmesi ve mevcut BT sisteminin tasarlanırken niyetlenildiği ihtiyaçları karşılayıp karşılamadığı ile ilgilenir. Bu süreç alanı ayrıca BT sisteminin iş amaçları ve şirketin kontrol süreçlerinin iç ve dış denetçiler tarafından etkinliğinin değerlendirilmesini de kapsar.

BT SÜREÇLERİ
İzleme ve Değerlendirme
ME1 Süreç İzleme
ME2 İç Kontrolün İzlenmesi ve Değerlendirilmesi
ME3 Yasal Mevzuat ve Yönetmeliklerle Uyumun Sağlanması
ME4 Bilgi Teknolojileri Yönetişiminin Sağlanması

COBIT ve Diğer Standartlar[değiştir | kaynağı değiştir]

COBIT ve ISO/IEC 17799:2005[değiştir | kaynağı değiştir]

COBIT, uluslararası kabul çerçevesinde BT yönetim ve kontrolu için kullanılan öncelikli bir standart haline geldi. ISO/IEC 17799:2005 ise güvenlik yönetimi için uluslararası en iyi uygulamadır.Bu iki standart rekabet etmekten çok birbirlerini tamamlarlar.ISO/IEC 17799 güvenlik alanına odaklanmışken, COBIT daha geniş bir alanı kapsar. Aşağıdaki tablo COBIT ve ISO/IEC 17799:2005 standartları arasındaki ilişkiyi anlatmaktadır:

COBIT SÜREÇLERİ 1 2 3 4 5 6 7 8 9 10 11 12 13
Planlama ve Organizasyon - + - - + + + + - - 0 . .
Tedarik ve Uygulama + 0 0 - 0 + . . . . . . .
Teslimat ve Destek - + 0 + + . + 0 0 0 + 0 0
İzleme ve Değerlendirme - 0 - 0 . . . . . . . . .
(+) Değinilen Alanlar (ikiden fazla ISO/IEC 17799:2005 hedefi COBIT süreciyle eşleşiyor)
(0) Kısmen Değinilen Alanlar (bir ya da iki ISO/IEC 17799:2005 hedefi COBIT süreciyle eşleşiyor)
(-) Değinilmeyen Alanlar (COBIT süreciyle eşleşen bir ISO/IEC 17799:2005 hedefi yok)
(.) Mevcut Değil

COBIT ve Diğer Uluslararası Standartlar[değiştir | kaynağı değiştir]

Daha fazla uluslararası standart bilgileri için, bakınız ISACA COBIT Haritaları.

Referanslar[değiştir | kaynağı değiştir]

Notlar[değiştir | kaynağı değiştir]