Đề tài Phương pháp quản trị và đánh giá hệ thống thông tin COBIT

ừa có tính tự động hóa. 18 KPAs của CMMi được đều có 5 thuộc tính (chức năng) chung trong đó có các qui định về khóa chính là những hướng dẫn về các thủ tục, qui tắc, và hoạt động của từng KPA. Khung nhìn cho quá trình phần mềm SEI của Capability Maturity Model: Khung tài liệu được dự định để hướng dẫn những người muốn đánh giá một tổ chức / dự án thống nhất với các CMM. Đối với mỗi cấp độ trưởng thành có năm loại danh sách kiểm tra: Thể loại Mô tả Chính sách Mô tả các nội dung chính sách và mục tiêu KPA khuyến cáo của CMM. Tiêu chuẩn Mô tả nội dung khuyến cáo của các sản phẩm làm việc chọn mô tả trong CMM. Quy trình Mô tả nội dung thông tin về quy trình khuyến cáo của CMM. Các bảng kiểm mục quá trình tinh chế được thêm vào bảng kiểm mục cho: vai trò mục tiêu chí đầu vào các hoạt động đầu ra lối ra các tiêu chí đánh giá và kiểm toán sản phẩm công việc quản lý và kiểm soát đo tài liệu thủ tục đào tạo các dụng cụ Thủ tục Mô tả nội dung đề nghị các thủ tục tài liệu mô tả trong CMM. Mức độ tổng quan Cung cấp tổng quan của một mức trưởng thành toàn bộ. Cấp bảng kiểm mục tổng quan được tinh chế thêm vào bảng kiểm mục cho: Tiêu chí KPA (Key Process Areas) mục tiêu KPA chính sách tiêu chuẩn quá trình mô tả thủ tục đào tạo các dụng cụ đánh giá và kiểm toán sản phẩm công việc quản lý và kiểm soát đo Ta đi vào một ví dụ: Cấp độ 2 có 6 KPA là: Quản lý yêu cầu, đảm bảo mọi yêu cầu đều được quản lý rõ ràng. Lập dự án phần mềm, có kế hoạch sử dụng các phần mềm. Hoạch định dự án phần mềm, tính toán chi phí và tiến hành cài đặt sử dụng. Quản lý chức năng chính của phần mềm. Đảm bảo chất lượng phần mềm. Quản lý cấu hình phần mềm. Khi ta áp dụng cấp độ 2, KPA 2 (Thiết lập dự án phần mềm), ta sẽ có những yêu cầu như sau: Mục tiêu: các hoạt động và những đề xuất của một dự án phần mềm phải được lên kế hoạch và viết tài liệu đầy đủ. Đề xuất/ Xem xét: dự án phải tuân thủ theo các qui tắc của tổ chức khi hoạch định. Khả năng: Việc thực hiện lập kế hoạch cho dự án phần mềm phải là bước thực hiện từ rất sớm khi dự án đưọc bắt đầu. Đo lường: Sự đo lường luôn được thực thi và sử dụng chúng ta luôn có thể xác định và kiểm soát được tình trạng các hoạt động trong tiến trình thực hiện dự án. Kiểm chứng: Các hoạt động khi lập kế hoạch dự án phải được sự reviewed của cấp quản lý dự án. 2.2.4 Ưu nhược điểm của phương pháp CMM  Cũng như ITIL, ưu điểm của CMM là trong lĩnh vực hoạt động về quy trình cụ thể là quy trình, dự án phần mềm. CMM là phương pháp tối ưu cho các công ty kinh doanh và triển khai phần mềm CNTT. CMM là mô hình, đồng thời cung cấp các hướng dẫn và kinh nghiệm thực tế dùng để phát triển, cải tiến và đánh giá năng lực quy trình. CMM không phải là một tiêu chuẩn cứng nhắc, tùy thuộc vào từng tổ chức kinh doanh mà cách thực hiện khác nhau. Hạn chế phạm vi ứng dụng nhỏ, không áp dụng được cho mọi ngành nghề. Nếu doanh nghiệp tự đánh giá thì còn mang tính chủ quan thiếu độ tin cậy. Mức độ an toàn an ninh còn kém… Cũng như phương pháp ITIL, CMM/CMMi mạnh trong lĩnh vực cụ thể không giải quyết được những bài toán tổng quan hơn. Vấn đề rủi ro từ con người vẫn chưa được quản lý đúng mức, con người là nhân tố quan trọng cho việc xây dựng một hệ thống thành công. Và vì vậy CMM cũng chưa phải là phương pháp tốt nhất cho việc giải quyết các bài toán mang tầm quốc gia hay định hướng lâu dài cho doanh nghiệp, cũng chưa giải quyết được những rủi ro mang tính tổng thể như đã nêu ở trên. 2.3 Phương pháp quản trị và đánh giá ISO 17799 2.3.1 Giới thiệu về ISO 17799 ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàn cầu. Các quốc gia là các thành viên của ISO và IEC tham gia vào sự phát triển chung của các chuẩn quốc tế thông qua các ủy ban được thiết lập bởi các tổ chức tương ứng nhằm giải quyết các lĩnh vực cụ thể về kỹ thuật. ISO và IEC phối hợp trong các lĩnh vực liên quan đến lợi ích của nhau. Các tổ chức quốc tế khác trong mối quan hệ với ISO, IEC, thuộc chính phủ cũng như phi chính phủ. Các chuẩn quốc tế được dự thảo nhằm phù hợp với các quy tắc đã đưa ra trong ISO/IEC. Trong lĩnh vực công nghệ thông tin, ISO và IEC đã thiết lập một hội đồng kỹ thuật chung ISO/IEC JTC 1. Bản dự thảo chuẩn quốc tế ISO/IEC đã được chấp nhận bởi hội đồng kỹ thuật chung được đưa đến các quốc gia để bầu cử. Sự xuất bản như một chuẩn quốc tế yêu cầu sự chấp thuận chung của ít nhất là 75% các quốc gia. ISO và IEC sẽ không được nắm giữ các trách nhiệm cho việc phát triển và các quyền sáng chế. Chuẩn quốc tế ISO/IEC 17799 được chuẩn bị bởi Viện tiêu chuẩn Anh (cụ thể là BS 7799) và được chấp nhận dưới một "thủ tục lối mòn" (fast-track procedure) bởi Hội đồng kỹ thuật chung ISO/IEC JTC 1, Công nghệ thông tin, song song với sự phê chuẩn từ các quốc gia trong các tổ chức ISO và IEC. 2.3.2 Tư tưởng của ISO là sự duy trì Tư tưởng của ISO thể hiện qua những đặc tính yêu cầu thông tin, khi đạt được những yêu cầu đó nghĩa là đảm bảo được sự hoạt động liên tục và duy trì mức độ điều khiển sử dụng và an toàn thông tin. Tính mật: đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép. Quản lý thông tin một cách chặt chẽ, phân quyền và kiểm soát việc truy suất thông tin. Không để mất mát thông tin. Tính toàn vẹn: bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương pháp xử lý. Đảm bảo thông tin khi cần là có, hoạt động mới tiến hành liên tục được. Sẵn sàng: đảm bảo những người dùng hợp pháp mới được truy cập các thông tin và tài sản liên quan khi có yêu cầu. Mọi hoạt động đều được duy trì, sẵn sàng hoạt động bất cứ khi nào. An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được đầy đủ các đối tượng của tổ chức cần được bảo vệ. 2.3.3 Định giá các rủi ro về an toàn Các yêu cầu về an toàn thông tin được xác định bằng phương pháp định giá các rủi ro về an toàn. Vấn đề chi phí trên các sự kiểm soát cần được cân nhắc kỹ lưỡng đối với sự thiệt hại trong kinh doanh do sự mất đi tính an toàn. Các kỹ thuật định giá rủi ro có thể được áp dụng trong tổ chức, hoặc chỉ một bộ phận của tổ chức, như các hệ thống thông tin cá nhân, các thành phần hệ thống xác định hoặc các dịch vụ, … mang tính chất khả thi, thực tế và hữu ích. Đánh giá rủi ro là một vấn đề có tính chất hệ thống của: Kết quả của việc đánh giá sẽ hướng dẫn và xác định các hành động quản lý tương ứng và mức độ ưu tiên cho vấn đề quản lý các rủi ro an toàn thông tin, và cho việc triển khai các quy tắc đã lựa chọn để bảo vệ các rủi ro này. Quá trình đánh giá các rủi ro và lựa chọn các quy tắc cần được thực hiện nhiều lần nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân. Chọn lựa quy tắc: Khi đã xác định được các yêu cầu về an toàn, cần bắt đầu bằng việc chọn lựa và triển khai các quy tắc nhằm giảm thiểu rủi ro tới mức có thể chấp nhận được. Có thể chọn lựa các quy tắc từ tài liệu này hoặc từ các tập quy tắc khác, hoặc có thể thiết kế các quy tắc mới sao cho phù hợp với yêu cầu đặt ra. Có nhiều cách để quản lý rủi ro và tài liệu này cung cấp cách tiếp cận chung qua các ví dụ. Tuy nhiên, điều cần thiết là phải nhận biết một số quy tắc không thể áp dụng cho mọi môi trường và hệ thống thông tin, và cũng có thể không thể áp dụng cho mọi tổ chức. Xuất phát điểm của an toàn thông tin: Nhiều quy tắc có thể xem là nguyên lý cung cấp xuất phát điểm tốt cho việc triển khai an toàn thông tin. Các quy tắc này hoặc là dựa trên các yêu cầu về luật pháp hoặc là được xem là nguyên tắc chung nhất cho vấn đề an toàn thông tin. Xuất phát từ quan điểm luật pháp, các quy tắc được coi là thiết yếu đối với một tổ chức. Các nhân tố quyết định sự thành công: Kinh nghiệm cho thấy rằng, các nhân tố dưới đây thường quyết định sự thành công trong việc triển khai vấn đề an toàn thông tin trong một tổ chức: Chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh nghiệp. Cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức. Các sự hỗ trợ tâm huyết từ các nhà quản lý. Sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro. Phổ biến vấn đề an toàn cho tất cả các nhà quản lý cũng như các nhân viên. Đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn cho mọi nhân viên cũng như các nhà thầu. Có sự đào tạo và giáo dục thích hợp. Sử dụng các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có tính ổn định, tính toàn diện và đưa ra các đề xuất nhằm cải thiện tốt hơn. Phát triển các nguyên tắc chỉ đạo: Nguyên lý này có thể được xem như xuất phát điểm cho sự phát triển các đường lối/nguyên tắc chỉ đạo cho tổ chức. Không phải mọi nguyên tắc quản lý và chỉ đạo trong tập hợp các nguyên tắc này đều có thể áp dụng được. Hơn nữa, các sự quản lý không có trong tài liệu này cũng có thể hoàn toàn cần đến. Khi đó, điều này rất hữu ích làm các tham chiếu, tạo ra thuận lợi trong việc kiểm tra của các soạn giả và các doanh nghiệp. 2.3.4 Ưu nhược điểm của phương pháp ISO 17799 ISO 9001 là một tiêu chuẩn quốc tế về quản lý, các điều khoản gọi là “yêu cầu” quy định những điểm cần phải làm (what to do), nhưng không chỉ ra việc đó nên làm như thế nào (how to do). Những tiêu chuẩn của ISO có độ tin cậy cao áp dụng cho nhiều quy trình, ISO có sự đánh giá ở mức cao bao trùm hầu hết các phương pháp đánh giá khác, khả năng ứng dụng vì vậy rộng. Đạt được tiêu chuẩn ISO nghĩa là được cả thế giới công nhận. ISO có ưu điểm mạnh trong kiểm soát an toàn an ninh thông tin. Nhược điểm ISO là không đưa ra hướng dẫn hay kinh nghiệm cụ thể, vì vậy cũng không gần gũi với bất cứ hoạt động cụ thể nào của doanh nghiệp, tổ chức. Những tiêu chí cũng có phần cứng nhắc. 2.4 Phương pháp quản trị và đánh giá COBIT 2.4.1 Lịch sử hình thành phương pháp COBIT Ban đầu được phát hành vào năm 1996 bởi các hệ thống thông tin kiểm toán và Kiểm soát Quỹ (ISACF). Nhà xuất bản chính hiện nay là Viện Quản CNTT - hình thành bởi các hệ thống thông tin kiểm toán và kiểm soát của Hiệp hội (ISACA) vào năm 1998. COBIT được hình thành thông qua nghiên cứu các nguồn như các tiêu chuẩn kỹ thuật từ ISO, mã số của tiến hành do Hội đồng Châu Âu và ISACA, tiêu chuẩn chuyên nghiệp để kiểm soát nội bộ và kiểm toán do COSO, AICPA, GAO, v.v. Các nguồn tin trên đều được sử dụng để xây dựng COBIT tới "được cả hai thực dụng và đáp ứng nhu cầu kinh doanh trong khi được độc lập với nền tảng kỹ thuật CNTT được thông qua trong một tổ chức.". 2.4.2 Tư tưởng của phương pháp COBIT Để cung cấp một khuôn khổ để những khoảng trống cầu nối giữa các rủi ro kinh doanh, nhu cầu kiểm soát và các vấn đề kỹ thuật để tăng tối đa lợi ích, tạo những cơ hội và đạt được lợi thế cạnh tranh. Chiến lược kinh doanh thành công khi có hệ thống CNTT được xây dựng thành công và COBIT kiểm soát các vấn đề kĩ thuật để đảm bảo sự thành công đó. Xác định rõ chức năng của CNTT là cung cấp thông tin cho DN để thực hiện các chiến lược kinh doanh của mình. Luôn xác định rõ mục đích và nhiệm vụ của CNTT giúp CNTT áp dụng đạt hiệu quả tối ưu, tránh lãng phí không cần thiết. Xây dựng các quy trình cũng như vai trò và trách nhiệm trong việc tạo ra thông tin trên (IT proces). Bằng những hướng dẫn và những kinh nghiệm COBIT giúp xây dựng các quy trình trong việc phát triển hệ thống thông tin. Phân nhóm các quy trình thành các phạm vi cụ thể (Domain) và đưa ra các mục tiêu kiểm soát (control objective). Bằng cách phân nhóm và đưa ra mục tiêu cụ thể này COBIT giúp người triển khai luôn hiểu rõ công đoạn mình phải làm và không đi chệch hướng hay lan man sang các phạm vi khác. Xem xét các vấn để về độ tin cậy, chất lượng và mức độ an toàn an ninh cho các thành phần HTTT. COBIT chú trọng việc kiểm soát vì vậy luôn phải đảm bảo chất lượng và mức độ an ninh của dự án. 2.4.3 Cấu trúc, thành phần của phương pháp COBIT Hình 2.9 Khối lập phương COBIT. Yêu cầu doanh nghiệp (Business Requirements): Là những yêu cầu về tính chất của thông tin và dùng để đánh giá. Mọi quy trình CNTT và tài nguyên CNTT đều phải dựa trên những tính chất này. 7 tính chất gồm: Tính hợp lý, tính hiệu quả, tính bảo mật, tính toàn vẹn, tính sẵn sàng, tính tuân thủ, tính tin cậy. Tương ứng như sau: Tính hợp lý (effectiveness): thể hiện mức độ phù hợp của thông tin đối với hoạt động nghiệp vụ, xét cả vấn đề thời gian, độ chính xác và thống nhất. Tính hiệu quả (efficency): thể hiện mức độ sử dụng tài nguyên CNTT một cách tối ưu. Tính bảo mật (confidentiality): thể hiện mức độ bí mật và tin cậy của thông tin, không bị tiết lộ. Tính toàn vẹn (integrity): thể hiện mức độ chính xác và hoàn thiện của thông tin cũng như tính hợp lệ (pháp lý) của nó với nghiệp vụ đặt ra. Tính sẵn sàng (availability): thể hiện mức độ sẵn sàng của thông tin khi có yêu cầu từ các hoạt động nghiệp vụ. Tính tuân thủ (compliance): thể hiện mức độ tuân thủ theo đúng luật lệ, quy định và các thỏa thuật ràng buộc. Tính tin cậy (reliability): thể hiện mức độ chính xác của thông tin. Tài nguyên công nghệ (IT Resources): Là những tài nguyên CNTT gồm: applications, information, infrastructure, people. Đây là 4 tài nguyên chính đối với hệ thống thông tin của doanh nghiệp, tổ chức và chúng được mổ tả cụ thể như sau: Những chương trình ứng dụng (application) : những chương trình ở đây hiểu là tập hợp các hướng dẫn sử dụng và thiết lập thủ tục quy trình. Thông tin (information): là tập hợp những dữ liệu vào ra về tình hình hoạt động của doanh nghiệp, tổ chức. Và cả những tiện ích hỗ trợ khai thác và tìm kiếm thông tin… Cơ sở hạ tầng (infrastructure): tập hợp những công cụ và vật chất CNTT như phần cứng, hệ thống chức năng, hệ thống quản lý cơ sở dữ liệu, mạng và đa ứng dụng khác … Tài nguyên con người (people): tập hợp những kỹ năng, khả năng nhận thức và năng suất công việc của công nhân viên để lên kế hoạch, tổ chức, đào tạo, phân bổ vị trí, hỗ trợ và giám sát các hệ thống thông tin, dịch vụ của doanh nghiệp, tổ chức. Quy trình công nghệ (IT Processes): Quy trình CNTT của COBIT được chia ra làm 3 phần là domains, processes, activities. Domains là những thành phần chính về hoạt động của COBIT sau đó được chia nhỏ thành những processes là những quy trình, những quy trình lại được chia nhỏ hơn thành những activities là những hoạt động cụ thể cần phải làm. Vừa định hướng được mục tiêu lại vừa định hướng được công việc phải làm đó chính là ưu điểm và mang ý nghĩa quan trọng của phương pháp COBIT. Hiện nay COBIT gồm 4 Phần chính (domains), 34 quy trình (processes) và 214 đối tượng điều khiển (control objectives). 4 domains chính là: Lập hoạch định và tổ chức cơ cấu: Phần chứa những quy trình mang tính quản trị và đánh giá về hoạch định chiến lược, tổ chức cơ cấu nội bộ để tiến hành xây dựng HTTT. Tiến trình và ra quyết định: Phần quản trị về các quy trình, quyết định về yếu tố cơ sở hạ tầng, thiết bị và tiếp nhận công nghệ… Hỗ trợ và triển khai: Phần quản trị cách thức hỗ trợ hoạt động xây dựng HTTT. Kiểm soát và đánh giá: Phần cuối chủ trọng kiểm soát đánh giá về mức độ hiệu quả của HTTT và mức độ an ninh thông tin. Khi xác định công việc cần thực hiện của tổ chức hay doanh nghiệp mình thì việc triển khai hệ thống thông tin sẽ dựa vào domain phù hợp, bên cạch đó phải kết hợp qua lại một số quy trình hỗ trợ của các domain khác nhằm xác định đối tượng cụ thể và thực hiện đối tượng đó. COBIT đi từ tổng quát đến cụ thể có sự hướng dẫn rõ ràng bên cạch đó lại có sự kiểm soát và đánh giá chặt chẽ dựa trên những kinh nghiệm lâu năm. Những thành phần này của COBIT còn phát triển theo triều hướng tối ưu nhất và cũng rất mềm dẻo tùy vào từng doanh nghiệp hay tổ chức ứng dụng COBIT. Ví dụ về xây dựng một quy trinh như sau: Quy trình CNTT cần xây dựng là AI6 quản lý thay đổi. Thỏa mãn yêu cầu nghiệp vụ: quan trọng là phải phán đoán những thay đổi có thể xảy ra và giảm thiểu khả năng xảy ra sự thay đổi lớn, giảm lỗi hoặc sự sửa đổi trái phép. Chủ động thực hiện sự thay đổi một cách hợp lý tránh gây sự cố bất ngờ cần có tình huống dự phòng khi sự thay đổi xảy ra. Được thực hiện bởi: Hệ thống quản lý thay đổi cho phép phân tích, thực hiện thực hiện và theo dõi toàn bộ sự thay đổi đối với tài nguyên CNTT, thay đổi tài nguyên nhân lực… chúng tương tác thế nào, ảnh hưởng lẫn nhau ra sao đều cần quản lý và chuẩn bị cho sự thay đổi đó. Các vấn đề cần quan tâm: nhận dạng sự thay đổi, phân loại sự thay đổi, ưu tiên và xây dựng các thủ tục quản lý thay đổi. Đánh giá mức độ ảnh hướng của thay đổi đến tổ chức và doanh nghiệp và giảm thiểu nó ngay. Phân công trách nhiệm thực hiện thay đổi tạo sự chủ động và quản lý chặt chẽ sự thay đổi. Quản lý cấu hình, cấu hình mắc sai phạm có thể xảy ra sự thay đổi lớn. Sự thay đổi ảnh hướng lớn thì nên có sự thiết kế lại quy trình hợp lý hơn hoặc tạo dự án phòng bị cho sự thay đổi… Ở trên đã hướng dẫn những bước tổng quan nhất mà ta cần chú trọng khi xây dựng quy trình CNTT tuy nhiên quá trình xây dựng không hề đơn giản. COBIT là phương pháp hướng dẫn rất cụ thể với 34 quy trình thì có đến 214 đối tượng cần phân tích và điều khiển. Bên cạch đó COBIT luôn yêu cầu chặt chẽ về kiểm soát và đánh giá nên từng bước xây dựng đều yêu cầu sự kiểm tra đánh giá theo tiêu chuẩn của COBIT. Có những quy trình còn yếu kém phương pháp COBIT còn dễ dàng ánh xạ đến các phương pháp khác nhằm đạt được lợi ích cao nhất. 2.4.5 Ưu nhược điểm của phương pháp COBIT Ưu điểm của COBIT là phạm vi hoạt động trong mọi lĩnh vực ngành nghề rộng hơn và bao quát hơn các phương pháp khác. COBIT có chỉ ra các hoạt động và hướng dẫn chi tiết cụ thể cho quá trình xây dựng hoạt động mong muốn. Khả năng đánh giá, kiểm soát rất tốt. Có nhiều bài học kinh nghiệm, quản lý được rủi ro và sự thay đổi. Khả năng mềm dèo thích ứng với từng doanh nghiệp, tổ chức cao. Tránh lãng phí vì vậy giảm thiểu chi phí. Luông được phát triển thay đổi phù hợp xu thế mới. Nhược điểm đòi hỏi kiến thức vững, sự hiểu biết, kinh nghiệm nhiều. Chi phí xây dựng cũng không nhỏ. Không cụ thể về việc xây dựng quy trình bằng phương pháp ITIL. Chuẩn mực đánh giá đối tượng CNTT không cụ thể và uy tín như CMM . Về lĩnhvực an toàn an ninh thông tin thì không bằng ISO. COBIT tuy bao trùm và có đầy đủ công cụ để thực hiện triển khai xây dựng HTTT tuy nhiên khi xét về một đối tượng cụ thể thì còn nhiều yếu kém hơn các phương pháp khác. Để khắc phục COBIT ánh xạ thực hiện kết hợp các chức năng cần thiết của phương pháp khác. COBIT có sự quản lý rủi ro rõ ràng mỗi khi kiểm soát, đánh giá thì phải có công đoạn quản lý rủi ro. Không chỉ quản lý rủi ro từ quy trình xây dựng hoạt động cụ thể còn quản lý đến các nhân tố gây ảnh hưởng đặc biệt là nhân tố con người, COBIT luôn chú trọng để hệ thống thông tin thực sự đi vào hoạt động, đạt hiệu quả tốt nhất. 2.5 So sánh chung về các phương pháp quản trị và đánh giá trên Tiêu chuẩn so sánh Phương pháp COBIT Phương pháp ITIL Phương pháp CMM Phương pháp ISO 17799 Phạm vi ứng dụng Ứng dụng trên mọi lĩnh vực ngành nghề. Tổ chức và doanh nghiệp. Lợi thế trong việc thực hiện quy trình dịch vụ cho các doanh nghiệp. Doanh nghiệp về phát triển phần mềm, CNTT ứng dụng. Ứng dụng rộng rãi trên nhiều lĩnh vực. Khả năng quản trị và đánh giá -Đảm bảo đầy đủ chức năng quản trị HTTT quản lý. -Phát triển và kiểm soát chặt các hoạt động CNTT. -Quản trị tốt quy trình dịch vụ. -Kiểm soát các yếu tố liên quan đến quy trình dịch vụ. -Quản trị chất lượng sản phẩm CNTT. -Kiểm soát các yếu tố chất lượng. -Không quản trị cụ thể. -Kiểm soát tiêu chí chất lượng, an ninh mọi sản phẩm Tính mềm dẻo Quá trình ứng dụng luôn thay đổi theo hoàn cảnh cụ thể. Tương đối cứng nhắc, yêu cầu thực hiện đầy đủ và chính xác. Cứng nhắc vì ít có sự thay đổi Rất cứng nhắc yêu cần phải đạt tiêu chí đưa ra. Khả năng mở rộng Luôn phát triển theo quản trị hiện đại. Ánh xạ phương pháp. Là hệ thống mở, có thể bổ sung và mở rộng thêm. Ít có sự thay đổi. Nâng cấp mức độ đánh giá. Một số nhận định thêm: COBIT và ISO 17799 sử dụng để kiểm tra, xác định tình trạng hiện tại. Xác định các điểm yếu trong quy trình và điều khiển hoạt động. ITIL sử dụng để cải thiện các quy trình CNTT và kiểm soát, còn sử dụng ISO 17799 để cải thiện các quy trình và điều khiển an ninh thông tin . ITIL sử dụng để xác định công nghệ, mặc dù không hoàn chỉnh. COBIT sử dụng để xác định các số liệu. ITIL truy vấn trên cơ cấu có thể. Một lần nữa ta khẳng định tầm bao quát của phương pháp COBIT, thể hiện nhiều tính ưu việt hơn các phương pháp khác. Từ những sự so sánh trên, ta nhận thấy rằng cần ứng dụng phương pháp COBIT vào quản trị và đánh giá nhằm khắc phục tình trạng như đã đưa ở trên về tình hình triển khai CNTT xây dựng HTTT ở nước ta. Được phát triển trong nhiều năm đã tích lũy nhiều bài học kinh nghiệm, phát huy từ nền móng vững chắc là phương pháp COSO, COBIT là phương pháp đáng tin cậy. Không cứng nhắc như các phương pháp khác, do có phạm vi bao trùm các hoạt động CNTT nên tùy vào hoạt động ta có thể lựa chọn quy trình đánh giá, quản trị phù hợp. Giúp tích kiệm nhân lực, giảm thiểu chi phí so với việc dùng nhiều phương pháp và lại mang tính thống nhất cao. COBIT ánh xạ dễ dàng liên kết với các phương pháp khác đem lại hiệu quả cao hơn trong quản trị và đánh giá hoạt động CNTT. COBIT mang tính định hướng phát triển lâu dài. COBIT là phương pháp mới nhưng có sự phát triển lâu năm, nền móng là COSO. Việc tìm hiểu và áp dụng COBIT vào sự phát triển CNTT ở nước ta là cần thiết. Bây giờ, chúng ta cùng đi sâu tìm hiểu và thực hiện triển khai phương pháp COBIT trong đề tài rất đáng quan tâm này. CHƯƠNG III: GIỚI THIỆU PHƯƠNG PHÁP QUẢN TRỊ HTTT COBIT 1. TỔNG QUAN VỀ COBIT 1.1. Giới thiệu COBIT- Control OBjectives for Information and related Technology. Tạm dịch là : quản trị chiến lược cho công nghệ thông tin. Cobit là tập hợp các bài học kinh nghiệm cho các vấn đề xây dựng một cơ chế quản trị CNTT(IT Governance). Một sản phẩm của 15 năm nghiên cứu và hợp tác giữa các doanh nghiệp CNTT toàn cầu và các chuyên gia kinh doanh. Một công cụ cho việc tuân thủ Sarbanes-Oxley và nhiều tiêu chuẩn toàn cầu khác. Phương pháp quản trị HTTT COBIT hướng dẫn cách quản trị thông tin với những công cụ hỗ trợ giám đốc dự án khắc phục khoảng cách giữa chiến lược dự án, khó khăn về kĩ thuật và rủi ro trong kinh doanh. COBIT tăng cường khả năng định hướng chiến lược rành mạch và nâng cao tiêu chuẩn quản trị công nghệ thông tin cho doanh nghiệp. Và vì vậy COBIT là một phương pháp giúp doanh nghiệp của bạn thành công trong chiến lược kinh doanh, HTTT của doanh nghiệp bạn khi áp dụng COBIT sẽ hoàn chỉnh theo tiêu chuẩn quốc tế. 1.2. Lịch sử phát triển Như đã tổng quan quan ở chương 2, ban đầu được phát hành vào năm 1996 bởi các hệ thống thông tin kiểm toán và Kiểm soát Quỹ (ISACF). Nhà xuất bản chính hiện nay là Viện Quản CNTT - hình thành bởi các hệ thống thông tin kiểm toán và kiểm soát của Hiệp hội (ISACA) vào năm 1998. COBIT được hình thành thông qua nghiên cứu các nguồn như các tiêu chuẩn kỹ thuật từ ISO, mã số của tiến hành do Hội đồng Châu Âu và ISACA, tiêu chuẩn chuyên nghiệp để kiểm soát nội bộ và kiểm toán do COSO, AICPA, GAO, v.v. Các nguồn tin trên đều được sử dụng để xây dựng COBIT tới "được cả hai thực dụng và đáp ứng nhu cầu kinh doanh trong khi được độc lập với nền tảng kỹ thuật CNTT được thông qua trong một tổ chức.". COBIT được tạo ra nhằm trợ giúp giám đốc thông tin, hay những nhà quản lý thông tin doanh nghiệp. COBIT đem lại sự chuyên nghiệp trong quản lý và kiểm soát thông tin. 1.3. Các phiên bản: Hinh 3.1 Các phiên bản COBIT Phiên bản đầu tiên của COBIT chỉ là dạng ghi nhận (Audit) phát hành năm 1996. Ngay sau 2 năm, 1998 COBIT cải tiến sang phiên bản 2 man tính kiểm soát thông tin. Đến năm 2000 COBIT xây dựng phiên bản 3 đã thể hiện sự quản lý thông tin nâng tầm COBIT và đưa COBIT vào ứng dụng rộng rãi hơn. Và từ năm 2005 đến nay phiên bản 4 và 4.1 đã mang hẳn tầm cơ chế quản trị, bao quát tất cả các chức năng của phương pháp này trong những phiên bản trước và trở thành phương pháp có cơ chế quản trị mạnh và rộng lớn nhất. 1. 4. Nhiệm vụ COBIT Phương pháp COBIT để hướng dẫn nghiên cứu, hỗ trợ phát triển, công khai và đẩy mạnh một thẩm quyền quốc tế công nhận CNTT. Mang đến doanh nghiệp một HTTT có áp dụng CNTT theo chuẩn quốc tế. COBIT quản trị kiểm soát, theo dõi theo khuôn khổ để thích ứng các doanh nghiệp và sử dụng bởi các nhà quản lý kinh doanh, chuyên gia IT và các chuyên gia bảo đảm đánh giá CNTT. COBIT hỗ trợ quản trị CNTT bằng cách cung cấp một khuôn khổ để đảm bảo rằng: CNTT là liên kết với doanh nghiệp, CNTT cho phép kinh doanh và tối đa hóa lợi ích, tài nguyên CNTT được sử dụng có trách nhiệm, rủi ro CNTT được quản lý một cách thích hợp. 1.5. Tư tuờng COBIT Để cung cấp một khuôn khổ để những khoảng trống cầu nối giữa các rủi ro kinh doanh, nhu cầu kiểm soát và các vấn đề kỹ thuật để tăng tối đa lợi