[ Pobierz całość w formacie PDF ]
mimo iż istnieje zobowiązanie dotyczące dostępności
ciągłości usług, a jego główne zasady są znane. Istnieje
umiarkowanie solidny spis krytycznych systemów i ich
składników. Pojawia się standaryzacja praktyk w
zakresie zachowania ciągłości usług oraz monitorowanie
procesu, ale ich powodzenie zależy od poszczególnych
osób.
3
Zdefiniowany Proces. Odpowiedzialność jest jedno-
znaczna, a (zakres) obowiązków związany z planowa-
niem i testowaniem ciągłości usług jest jasno zdefinio-
wany i przypisany. Plany są udokumentowane oraz
bazują na krytyczności systemu i wpływie na działanie
biznesu. Istnieje okresowe raportowanie dotyczące
testowania zachowania ciągłości usług. Poszczególne
osoby podejmują inicjatywę stosowania standardów oraz
otrzymują szkolenie (w tym zakresie). Kierownictwo
konsekwentnie komunikuje potrzebę ciągłości usług.
Wysoka dostępność komponentów i nadmiarowość
systemu (system zapasowy) są stosowane po kawałku.
Jest rygorystycznie utrzymywany spis krytycznych
systemów i komponentów.
4
Zarządzany i Mierzalny. Odpowiedzialności i standar-
dy dotyczące zachowania ciągłości usług są przymuso-
we (ściśle egzekwowane). Odpowiedzialność za
utrzymanie planu zachowania ciągłości usług jest
przypisana. W działaniach związanych z utrzymaniem
(planu zachowania ciągłości) brane są pod uwagę:
zmieniające się środowisko biznesowe, rezultaty
testowania ciągłości usług oraz najlepsze wewnętrzne
praktyki. Zestrukturyzowane dane dotyczące zachowa-
nia ciągłości usług są gromadzone, analizowane,
raportowane, a (wszystkie) działania są podejmowane
zgodnie z nimi. Szkolenia uwzględniają procesy
zachowania ciągłości usług. Praktyki związane z
zapewnieniem nadmiarowości systemu (zapasowy
system), włączając w to użycie komponentów o
wysokiej dostępności, są stosowane. Praktyki związane
z zapewnieniem nadmiarowości systemu (system
zapasowy) i planowanie zachowania ciągłości usług
wpływają na siebie wzajemnie. Incydenty dotyczące
braku zachowania ciągłości usług podlegają klasyfikacji
i wzrastającej ścieżce eskalacji oraz są dobrze znane
wszystkim zaangażowanym (w proces stronom).
5
Zoptymalizowany. Zintegrowane procesy zachowania
ciągłości usług są proaktywne, samoregulujące,
automatyczne i samo-analityczne oraz biorą pod uwagę
porównania (z innymi) i najlepsze zewnętrzne praktyki.
Plany zachowania ciągłości usług oraz plany zachowa-
nia ciągłości (działań) biznesu są zintegrowane,
uszeregowane oraz rutynowo utrzymywane. Zakupy (w
dużych ilościach) na potrzeby zachowania ciągłości
usług są uzyskiwane od głównych dostawców. Jako
część procesu utrzymania występuje globalne testowa-
nie, a rezultaty testów stanowią informację zwrotną.
Efektywność kosztów związanych z zachowaniem
ciągłości usług jest optymalizowana poprzez innowację i
integrację. Gromadzenie i analizy danych są używane do
określenia możliwości ulepszeń. Praktyki związane z
zapewnieniem nadmiarowości systemu (system zapaso-
wy) oraz planowanie zachowania ciągłości usług są w
pełni uszeregowane. Kierownictwo nie zezwala na
występowanie pojedynczych punktów niedomagania
(systemu) i dostarcza wsparcia w celu ich naprawienia.
Praktyki związane z eskalacją są zrozumiałe i skrupulat-
nie wymuszane.
%#
DS5
COBIT
I
I
I
I
I
I
I
Kontrola procesu IT Zapewnienia bezpieczeństwa systemów z
celem biznesowym ochrony informacji przed nieautoryzowanym
użyciem, ujawnieniem lub modyfikacją, uszkodzeniem lub utratą
zapewnia dostarczanie informacji dla biznesu, które odno-
szą się do wymaganych Kryteriów Informacyjnych i jest
mierzone przez Kluczowe Wskaźniki Celów
jest umożliwiona poprzez proces planowania strate-
gicznego podejmowany w regularnych odstępach
czasu dając podstawę do planów długoterminowych;
plany długoterminowe powinny być okresowo przekła-
dane na plany operacyjne, ustalając jasne i konkretne
cele krótkoterminowe
rozpatruje Krytyczne Czynniki Sukcesu, które
wpływają na określone Zasoby IT i są mierzone
przez Kluczowe Wskaźniki Wydajności
Krytyczne Czynniki Sukcesu
Stworzony jest całościowy plan bezpieczeństwa, uwzględniający
budowanie świadomości, ustalanie jasnych polityk i standardów,
identyfikowanie efek-tywnych kosztowo i trwałych wdrożeń oraz
definiowanie procesów monitorowania i egzekwowania
Istnieje świadomość, że tworzenie dobrego planu bezpieczeństwa
wymaga czasu
Korporacyjna funkcja bezpieczeństwa raportuje do kierownictwa
wyższego szczebla i jest odpowie-dzialna za wykonanie planu
bezpieczeństwa
Kierownictwo i personel jednakowo rozumieją wymagania
bezpieczeństwa, wrażliwość i zagrożenia oraz rozumieją i
akceptują swoją odpowiedzialność za bezpieczeństwo
Wykonywana jest okresowo niezależna ocena (przez strony
trzecie) polityki bezpieczeństwa i architektury
Zdefiniowany jest program „zezwolenie budow-lane”, identyfikujący
podstawowe wymagania bezpieczeństwa, które muszą być spełnione
Istnieje program „prawo jazdy” przeznaczony dla (osób) rozwija-
jących, wdrażających i używających systemy, wymagający od
personelu certyfikacji dotyczącej bezpieczeństwa
Funkcja bezpieczeństwa posiada środki i zdolności do wykry-
[ Pobierz całość w formacie PDF ]