GIỚI THIỆU PHƯƠNG PHÁP QUẢN TRỊ HTTT COBIT
1. TỔNG QUAN VỀ COBIT
1.1. Giới thiệu
COBIT- Control OBjectives for Information and related Technology. Tạm dịch
là : quản trị chiến lược cho công nghệ thông tin. Cobit là tập hợp các bài học kinh
nghiệm cho các vấn đề xây dựng một cơ chế quản trị CNTT(IT Governance). Một
sản phẩm của 15 năm nghiên cứu và hợp tác giữa các doanh nghiệp CNTT toàn
cầu và các chuyên gia kinh doanh. Một công cụ cho việc tuân thủ Sarbanes-Oxley
và nhiều tiêu chuẩn toàn cầu khác.
Phương pháp quản trị HTTT COBIT hướng dẫn cách quản trị thông tin với
những công cụ hỗ trợ giám đốc dự án khắc phục khoảng cách giữa chiến lược dự
án, khó khăn về kĩ thuật và rủi ro trong kinh doanh. COBIT tăng cường khả năng
định hướng chiến lược rành mạch và nâng cao tiêu chuẩn quản trị công nghệ
thông tin cho doanh nghiệp. Và vì vậy COBIT là một phương pháp giúp doanh
nghiệp của bạn thành công trong chiến lược kinh doanh, HTTT của doanh nghiệp
bạn khi áp dụng COBIT sẽ hoàn chỉnh theo tiêu chuẩn quốc tế.

1.2. Lịch sử phát triển
Như đã tổng quan quan ở chương 2, ban đầu được phát hành vào năm 1996
bởi các hệ thống thơng tin kiểm tốn và Kiểm sốt Quỹ (ISACF). Nhà xuất bản
chính hiện nay là Viện Quản CNTT - hình thành bởi các hệ thống thơng tin kiểm
tốn và kiểm sốt của Hiệp hội (ISACA) vào năm 1998.
COBIT được hình thành thông qua nghiên cứu các nguồn như các tiêu chuẩn
kỹ thuật từ ISO, mã số của tiến hành do Hội đồng Châu Âu và ISACA, tiêu chuẩn
chuyên nghiệp để kiểm soát nội bộ và kiểm toán do COSO, AICPA, GAO, v.v. Các
nguồn tin trên đều được sử dụng để xây dựng COBIT tới "được cả hai thực dụng


GIỚI THIỆU GIẢI PHÁP COBIT

và đáp ứng nhu cầu kinh doanh trong khi được độc lập với nền tảng kỹ thuật

CNTT được thông qua trong một tổ chức.".
COBIT được tạo ra nhằm trợ giúp giám đốc thông tin, hay những nhà quản lý
thông tin doanh nghiệp. COBIT đem lại sự chun nghiệp trong quản lý và kiểm
sốt thơng tin.

1.3. Các phiên bản:

Hinh 3. Các phiên bản COBIT
Phiên bản đầu tiên của COBIT chỉ là dạng ghi nhận (Audit) phát hành năm
1996. Ngay sau 2 năm, 1998 COBIT cải tiến sang phiên bản 2 man tính kiểm sốt
thơng tin. Đến năm 2000 COBIT xây dựng phiên bản 3 đã thể hiện sự quản lý
thông tin nâng tầm COBIT và đưa COBIT vào ứng dụng rộng rãi hơn. Và từ năm
2005 đến nay phiên bản 4 và 4.1 đã mang hẳn tầm cơ chế quản trị, bao quát tất
cả các chức năng của phương pháp này trong những phiên bản trước và trở
thành phương pháp có cơ chế quản trị mạnh và rộng lớn nhất.

1. 4. Nhiệm vụ COBIT


GIỚI THIỆU GIẢI PHÁP COBIT

Phương pháp COBIT để hướng dẫn nghiên cứu, hỗ trợ phát triển, công khai
và đẩy mạnh một thẩm quyền quốc tế công nhận CNTT. Mang đến doanh nghiệp
một HTTT có áp dụng CNTT theo chuẩn quốc tế.
COBIT quản trị kiểm sốt, theo dõi theo khn khổ để thích ứng các doanh
nghiệp và sử dụng bởi các nhà quản lý kinh doanh, chuyên gia IT và các chuyên
gia bảo đảm đánh giá CNTT.
COBIT hỗ trợ quản trị CNTT bằng cách cung cấp một khuôn khổ để đảm bảo
rằng: CNTT là liên kết với doanh nghiệp, CNTT cho phép kinh doanh và tối đa hóa
lợi ích, tài ngun CNTT được sử dụng có trách nhiệm, rủi ro CNTT được quản lý

một cách thích hợp.

1.5. Tư tuờng COBIT
Để cung cấp một khuôn khổ để những khoảng trống cầu nối giữa các rủi ro
kinh doanh, nhu cầu kiểm soát và các vấn đề kỹ thuật để tăng tối đa lợi ích, tạo
những cơ hội và đạt được lợi thế cạnh tranh. Chiến lược kinh doanh thành cơng
khi có hệ thống CNTT được xây dựng thành cơng và COBIT kiểm sốt các vấn đề
kĩ thuật để đảm bảo sự thành công đó.
Xác định rõ chức năng của CNTT là cung cấp thông tin cho DN để thực hiện
các chiến lược kinh doanh của mình. Ln xác định rõ mục đích và nhiệm vụ của
CNTT giúp CNTT áp dụng đạt hiệu quả tối ưu, tránh lãng phí khơng cần thiết.
Xây dựng các quy trình cũng như vai trị và trách nhiệm trong việc tạo ra thông
tin trên(IT proces). Bằng những hướng dẫn và những kinh nghiệm COBIT giúp
xây dựng các quy trình trong việc phát triển hệ thống thơng tin.
Phân nhóm các quy trình thành các phạm vi cụ thể (Domain) và đưa ra các
mục tiêu kiểm soát (control objective). Bằng cách phân nhóm và đưa ra mục tiêu
cụ thể này COBIT giúp người triển khai ln hiểu rõ cơng đoạn mình phải làm và
không đi chệch hướng hay lan man sang các phạm vi khác.


GIỚI THIỆU GIẢI PHÁP COBIT

Xem xét các vấn để về độ tin cậy, chất lượng và mức độ an toàn an ninh cho
các thành phần HTTT thì COBIT chú trọng việc kiểm sốt, vì vậy ln đảm bảo
chất lượng và mức độ an ninh của dự án.

1.6. Lợi ích của doanh nghiệp khi áp dụng COBIT
Có một sự khác biệt rõ ràng giữa các doanh nghiệp mà quản lý CNTT của họ
tốt và những người khơng, hoặc có thể khơng. thực hiện Cobit là một dấu hiệu
của một doanh nghiệp hoạt động tốt, vì nó là một chứng minh và quốc tế cơng

nhận bộ cơng cụ và kỹ thuật.
•

COBIT được sử dụng trong nhiều công ty cung cấp một khuôn khổ cho
quản trị và thực hiện kiểm sốt nội bộ.

•

COBIT bao gồm kinh doanh và q trình CNTT kiểm sốt và cần thiết để
đạt được mục tiêu của cơng ty.

•

COBIT được viết ở cấp độ quản lý và định hứớng của yêu cầu nghiệp vụ.

•

COBIT là liên kết với các CNTT thực hành và các tiêu chuẩn nhưng được
hoàn chỉnh hơn so với những phương pháp khác.

•

COBIT nói chung được chấp nhận như là kiểm soát nội bộ CNTT.

Giúp gia tăng đáng kể chấp nhận và giảm bớt thời gian để thực hiện chương
trình quản trị CNTT. Cung cấp một hướng dẫn để đánh giá chính thức / nhận xét.
Giúp kết quả kiểm tra việc sử dụng như là một cơ hội để lên kế hoạch cải tiến. Là
một yếu tố mạnh mẽ trong việc đạt được các mục tiêu chính cho quản trị CNTT.
Cung cấp một nguồn đáng tin cậy cho các quyết định về quản lý điều khiển. Là lý
tưởng cho quản lý kinh doanh để giao tiếp yêu cầu và quan tâm. Được công nhận

như là một tài liệu tham khảo nguồn đáng tin cậy mà đảm bảo nhận dạng của tất
cả các khu vực rủi ro chính thức. Cải thiện quan hệ với truyền thơng và quản lý
CNTT. Để cải thiện phương pháp kiểm toán / chương trình. Để hỗ trợ cơng tác
kiểm tốn với các nguyên tắc kiểm toán chi tiết. Để cung cấp hướng dẫn cho quản
trị CNTT. Như là một điểm chuẩn có giá trị cho IS / IT kiểm soát. Để cải thiện IS /
IT điều khiển. Để chuẩn hóa phương pháp kiểm tốn / chương trình..


GIỚI THIỆU GIẢI PHÁP COBIT

2. CẤU TRÚC COBIT
2.1 Thành phần COBIT
Hinh 3. Thành phần COBIT
Nền tảng COBIT đuợc xây dựng với ba thành phần cơ bản:
•

IT Resource: Nguồn tài nguyên CNTT.

•

Business Requirements: u cầu nghiệp vụ.

•

IT Processes: Quy trình CNTT.

Các thành phần cơ bản này sẽ đảm bảo sự hoạt động bền vững của doanh
nghiệp. Nguồn tài nguyên CNTT được kiểm sốt trên 4 nguồn chính là: nguồn
nhân lực, nguồn cơ sở hạ tầng, nguồn thông tin, nguồn phần mềm ứng dụng; là 4
phần cơ bản nhất của HTTT. COBIT dựa vào các nguồn tài nguyên này để xây

dựng chính là đảm bảo cho nền móng xây dựng triển khai CNTT trong doanh
nghiệp. Bên cạch đó, COBIT dựa vào mục tiêu kinh doanh của doanh nghiệp, tổ
chức đó để phát triển CNTT đúng khả năng, đem hiệu quả tối ưu đạt được mục
tiêu đề ra, điều nay còn giúp giảm chi phí đến mức tối thiểu. COBIT được xây
dựng gồm 4 quy trình chính là hoạch định, tổ chức; xây dựng và thực hiện; hỗ trợ
và triển khai; kiểm soát và theo dõi. 4 quy trình là 4 bước khơng thể thiếu khi xây
dựng bất cứ hệ thống CNTT nào, COBIT dựa trên 4 quy trình này thể hiện sự gắn
kết chặt chẽ của phương pháp quản trị COBIT với HTTT.

2.1.1. Tài ngun CNTT
•

Ứng dụng : có thể hiểu là tổng của các thủ tục hướng dẫn sử dụng và
lập trình. Dù là doanh nghiệp nào hay tổ chức nào cũng phải có những
thủ tục hay những chương trình ứng dụng để hỗ trợ hoạt động.

•

Thơng tin: Dữ liệu, chuẩn hóa, bảo mật. Nguồn thơng tin là những giá trị
đầu vào cho mỗi hoạt động, thường chuyển thành dạng dữ liệu trong hệ
thống thơng tin. Thơng tin ln địi hỏi sự chính xác và nhanh chóng.


GIỚI THIỆU GIẢI PHÁP COBIT

Quản trị tốt thơng tin thì mới tạo ưu thế kinh doanh của doanh nghiệp
hay tổ chức đó.
•

Cơ sở hạ tầng: là cơng nghệ và thiết bị (tức là, phần cứng, hệ điều

hành, hệ thống quản lý cơ sở dữ liệu, mạng,đa phương tiện. Với chiến
lược phát triển CNTT người ta thường thấy nhất là phải đầu tư cơ sở hạ
tầng nâng cấp các công cụ, hệ thống CNTT.

•

Con người: Nhân viên kỹ năng, nâng cao nhận thức và năng suất để lên
kế hoạch, tổ chức, tiếp thu, phân phối, hỗ trợ, giám sát và đánh giá các
hệ thống thông tin và dịch vụ.

2.1.2. Yêu cầu nghiệp vụ:
Hinh 3. Sơ đồ yêu cầu.
•

Effectiveness –Hợp lý:Thể hiện mức độ phù hợp của thông tin đối với
hoạt động nghiệp vụ, xét cả vấn đề thời gian, độ chính xác và thơng
nhất.

•

Efficiency –Tính hiệu quả: Thể hiện mức độ sử dụng tài ngun CNTT
một cách tối đa.

•

Confidentiality –Bí mật:Thể hiện mức độ bí mật & tin cậy của thơng
tin, khơng bị tiết lộ.

•


Integrity -Tồn vẹn:Thể hiện mức dộ chính xác và đầy đủ của thơng tin
cũng như tính hợp lệ(pháp lý) của nó với nghiệp vụ đặt ra.

•

Availability –Tính sẵn sàng: Thể hiện mức độ sẵn sàng của thông tin
khi có yêu cầu từ các hoạt dộng nghiệp vụ.


GIỚI THIỆU GIẢI PHÁP COBIT

•

Compliance -Tuân thủ:Thể hiện mức độ tuân thủ theo đúng luật lệ, quy
định và các thỏa thuận ràng buộc.

•

Reliability of information -Độ tin cậy của thơng tin: liên quan đến các
hệ thống quản lý việc cung cấp những thơng tin thích hợp cho nó để sử
dụng trong hê thống và mức độ chính xác của thơng tin.

2.2. Phạm vi, Quy trình, Mục tiêu kiểm sốt
COBIT được chia ra thành 4 miền phạm vi chính:
•

Plan & Organize: Hoạch định và tổ chức.

•


Acquire & Implement: Tiến trình và ra quyết định.

•

Deliver & Support: Triển khai và hỗ trợ.

•

Monitor & Evalute: Kiểm soát và theo dõi


GIỚI THIỆU GIẢI PHÁP COBIT


GIỚI THIỆU GIẢI PHÁP COBIT

Hinh 3. Mối quan hệ qua lại giữa các thành phần COBIT.
2.2.1. Hoạch Định và tổ chức
Mô tả:
Đây là bước đầu tiên cho mọi hoạt động của doanh nghiệp nó quyết định lớn
đến sự thành bại của doanh nghiệp sau này. Vì vậy nó có vai trò rất quan trọng.
Lĩnh vực này bao gồm các chiến lược và chiến thuật, và quan tâm việc xác
định các cách thức CNTT tốt nhất có thể đóng góp vào việc đạt được các mục tiêu
kinh doanh. Hơn nữa, việc thực hiện của tầm nhìn chiến lược cần phải được quy
hoạch, truyền đạt và quản lý cho các quan điểm khác nhau. Việc thực hiện tầm
nhìn chiến lược này yêu cầu DN phải lên kế hoạch, trao đổi và quản lý rõ ràng từ
nhiều phương diện khác nhau. Về mặt tổ chức, không chỉ bao gồm tổ chức vê cơ
cấu HTTT mà còn cả tổ chức về mặt CSHT kỹ thuật.
Các chủ đề:
Chiến lược và chiến thuật, tầm nhìn quy hoạch, tổ chức và cơ sở hạ tầng.

Câu hỏi được đặt ra là: CNTT và chiến lược kinh doanh liên kết nào phù hợp?
Doanh nghiệp đạt được sử dụng tối ưu các nguồn tài nguyên của nó chưa? Liệu
mọi người trong tổ chức CNTT hiểu được mục tiêu? Những rủi ro CNTT và được
quản lý rủi ro đó thế nào? Chất lượng của hệ thống CNTT thích hợp cho nhu cầu
kinh doanh khơng?
Trả lời cho những câu hỏi đó là con đường đi sâu tìm hiểu những quy trình sau
Các quy trình:

PO1
PO2

Xác định kế hoạch và chiến lược CNTT. Đảm bảo các yếu tố ban
đầu của kế hoạch được đáp ứng, kế hoạch rõ ràng cụ thể…
Xác định kiến trúc thơng tin. Xác định rõ mơ hình kiến trúc CNTT
cần xây dựng từ thiết bị nhập, xử lý, lưu trữ và hiển thị đều phải


GIỚI THIỆU GIẢI PHÁP COBIT

đồng bộ.
PO3
PO4
PO5
PO6
PO7
PO8
PO9
.PO10

Xác định đường lối CNTT. Xác đinh CNTT là phục vụ quy trình

sản xuất của doanh nghiệp vì vậy đường lối xây dựng CNTT phải
phù hợp.
Xác định các quy trình CNTT, Tổ chức và quan hệ các bộ phân
CNTT phải hợp lý, chuẩn xác.
Quản lý đầu tư CNTT. Quản lý ngân sách, quản lý chức năng đáp
ứng yêu cầu chiến lược của CNTT
Truyền đạt mục tiêu quản lý và định hướng. Luôn xác định rõ
mục tiêu để đi đúng đường đã đề ra trong xây dựng HTTT.
Quản lý Nguồn nhân lực. Có kế hoạch đào tạo, kiểm tra nguồn
nhân lực, đảm bảo nhân lực cho HTTT.
Quản lý chất lượng. Đảm bảo sự phù hợp và hiệu quả của CNTT
được đem vào áp dụng.
Quản lý rủi ro. Thiết lập kế hoạch dự phòng, tiên liệu rủi ro và đề
xuất giải quyết
Quản lý dự án. Kiểm soát tồn bộ dự án, ln kết hợp kế hoạch
và tiến trình, đảm bảo dự án tiến hành đúng hướng đi.

 PO1 Xác định một kế hoạch chiến lược CNTT:

Lập kế hoạch đầu tư chiến luợc xác định mục tiêu đầu tư. Xác định kế hoạch
và chiến lược CNTT. Đảm bảo các yếu tố ban đầu của kế hoạch được đáp ứng,
kế hoạch rõ ràng cụ thể…


PO2 Xác định các thông tin Kiến trúc:

Chức năng hệ thống thông tin tạo ra và thường xun cập nhật thơng tin một
mơ hình kinh doanh và xác định các hệ thống thích hợp để tối ưu hố việc sử
dụng thơng tin này.
Điều này bao gồm việc phát triển một công ty dữ liệu với các quy tắc dữ liệu

của tổ chức cú pháp, lược đồ phân loại dữ liệu và an ninhcác cấp.


GIỚI THIỆU GIẢI PHÁP COBIT

Quá trình này được cải thiện chất lượng của các quyết định quản lý thực hiện
bằng cách đảm bảo rằng thông tin đáng tin cậy và an tồn được cung cấp, và nó
cho phép.
Bảo mật dữ liệu để tăng cường hiệu quả và kiểm soát việc chia sẻ thông tin
giữa các ứng dụng và thực thể.
 PO3 Xác định hướng công nghệ:

Các chức năng thông tin về dịch vụ xác định hướng công nghệ để hỗ trợ các
doanh nghiệp. Điều này đòi hỏi việc tạo ra một kế hoạch cơ sở hạ tầng công nghệ
và một hội đồng kiến trúc mà bộ và quản lý kỳ vọng rõ ràng và thực tế của cơng
nghệ nào có thể cung cấp về sản phẩm, dịch vụ và cơ chế phân phối.
Kế hoạch này được cập nhật thường xuyên và bao gồm các khía cạnh như hệ
thống kiến trúc, hướng công nghệ, mua lại kế hoạch, tiêu chuẩn, chiến lược di
chuyển.
Điều này cho phép kịp thời phản ứng với những thay đổi trong môi trường
cạnh tranh, các nền kinh tế của quy mô biên chế cho hệ thống thông tin và đầu tư,
cũng như cải thiện khả năng tương tác của các nền tảng và các ứng dụng.
 PO4 Xác định các quy trình CNTT, tổ chức và quan hệ:

Một tổ chức CNTT được xác định bởi xem xét các yêu cầu đối với cán bộ, kỹ
năng, chức năng, trách nhiệm, quyền hạn, vai trò và trách nhiệm, và giám sát. Cái
này tổ chức được nhúng vào một khuôn khổ IT q trình đó, đảm bảo tính minh
bạch và kiểm soát cũng như sự tham gia của các điều hành cấp cao và kinh
doanh quản lý.



GIỚI THIỆU GIẢI PHÁP COBIT

Một ủy ban chiến lược, đảm bảo sự giám sát của Ban CNTT, và các ủy ban chỉ
đạo một hoặc nhiều hơn, trong đó kinh doanh và CNTT tham gia xác định ưu tiên
các nguồn lực CNTT phù hợp với nhu cầu kinh doanh.
Quy trình, chính sách và thủ tục hành chính được đưa ra cho tất cả các chức
năng, với sự quan tâm cụ thể để kiểm soát, bảo đảm chất lượng, quản lý rủi ro,
an ninh thông tin, dữ liệu và quyền sở hữu các hệ thống, và sự phân biệt của
nhiệm vụ.
Để đảm bảo sự hỗ trợ kịp thời của các doanh nghiệp yêu cầu, IT để được
tham gia vào quá trình ra quyết định có liên quan.
 PO5 Quản lý đầu tư CNTT:

Một khn khổ được thiết lập và duy trì để quản lý IT-kích hoạt các chương
trình đầu tư và đó bao gồm chi phí, lợi ích, ưu tiên trong ngân sách, lập ngân
sách và quy trình quản lý đối với ngân sách. Các bên liên quan được tham vấn để
xác định và kiểm sốt tổng chi phí và lợi ích trong bối cảnh IT chiến lược và kế
hoạch chiến thuật, và bắt đầu hành động sửa sai khi cần thiết.
Các quá trình thúc đẩy quan hệ đối tác giữa CNTT và các đối tác kinh doanh; cho
phép hiệu quả và hiệu quả sử dụng nguồn lực CNTT; và cung cấp minh bạch và
trách nhiệm vào các chi phí sở hữu (TCO).
 PO6 Truyền đạt các mục tiêu quản lý và định hướng:

Quản lý các chính sách phát triển doanh nghiệp CNTT khn khổ kiểm sốt và
xác định và liên lạc. Một chương trình truyền thơng liên tục được thực hiện để rõ
nhiệm vụ, mục tiêu dịch vụ, chính sách và thủ tục, vv, phê duyệt và hỗ trợ bởi
quản lý.
Liên lạc hỗ trợ thành tích của CNTT và đảm bảo mục tiêu nâng cao nhận thức
và sự hiểu biết về kinh doanh và rủi ro CNTT, mục tiêu và chỉ đạo. Quá trình này

đảm bảo việc tuân thủ pháp luật liên quan và các quy định.


GIỚI THIỆU GIẢI PHÁP COBIT

 PO7 Quản lý nguồn nhân lực CNTT:

Một lực lượng lao động có thẩm quyền được mua lại và được duy trì cho sự
sáng tạo và cung cấp dịch vụ IT cho doanh nghiệp. Điều này đạt được bằng cách
theo định nghĩa và agreedupon thực hành hỗ trợ việc tuyển dụng, đào tạo, đánh
giá hiệu quả, thúc đẩy và chấm dứt. Quá trình này là rất quan trọng, như mọi
người là tài sản quan trọng, và quản trị và kiểm sốt mơi trường nội bộ phụ thuộc
rất nhiều vào các động lực và năng lực của các nhân sự.
 PO8 Quản lý Chất lượng:

Một hệ thống quản lý chất lượng (QMS) được phát triển và duy trì bao gồm
chứng minh sự phát triển và quá trình mua lại và các tiêu chuẩn. Điều này được
kích hoạt bằng cách lập kế hoạch, thực hiện và duy trì QMS bằng cách cung cấp
các yêu cầu chất lượng rõ ràng, thủ tục và chính sách.
Yêu cầu chất lượng được nêu và truyền đạt trong các chỉ số định lượng và
thành công. Cải tiến liên tục là đạt được bằng cách liên tục giám sát, phân tích và
hành động theo độ lệch, và giao tiếp kết quả để các bên liên quan.
Quản lý chất lượng là điều cần thiết để đảm bảo rằng CNTT là cung cấp giá trị
cho các doanh nghiệp, liên tục cải tiến và minh bạch cho các bên liên quan.
 PO9 Đánh giá và Quản lý rủi ro CNTT:

Một khuôn khổ quản lý rủi ro được tạo ra và duy trì. Khn khổ tài liệu một
mức độ phổ biến và đã được thoả thuận của các rủi ro CNTT, chiến lược giảm
nhẹ và đánh giá rủi ro.
Bất cứ tác động tiềm năng trên các mục tiêu của tổ chức gây ra bởi một sự

kiện có kế hoạch được xác định, phân tích và đánh giá. Giảm thiểu nguy cơ chiến
lược đều được thông qua để giảm thiểu nguy cơ dư đến một mức độ chấp nhận.


GIỚI THIỆU GIẢI PHÁP COBIT

Kết quả của việc đánh giá là dễ hiểu đối với các bên liên quan và bày tỏ về mặt
tài chính, để cho phép các bên liên quan để hứớng nguy cơ đến một mức độ chấp
nhận được khoan dung.
 PO10 Quản lý dự án:

Một khuôn khổ chương trình và quản lý dự án cho việc quản lý của tất cả các
dự án CNTT được thành lập. Khn khổ đảm bảo các ưu tiên chính xác và phối
hợp của tất cả các dự án.
Khuôn khổ bao gồm một kế hoạch tổng thể, phân công các nguồn tài nguyên,
định nghĩa của phân phôi, phê duyệt bởi người dùng, một cách tiếp cận dần dần
để giao hàng, bảo đảm chất lượng, kiểm tra một kế hoạch chính thức, và thử
nghiệm và sau xem xét việc thực hiện sau khi cài đặt để đảm bảo quản lý rủi ro
dự án và phân phối giá trị cho kinh doanh.
Cách tiếp cận này làm giảm nguy cơ các chi phí bất ngờ và huỷ bỏ dự án,
truyền thông để cải thiện và sự tham gia của các doanh nghiệp và người dùng
cuối, đảm bảo giá trị và chất lượng của phân phơi dự án, và maximises đóng góp
của họ cho CNTT-kích hoạt các chương trình đầu tư.

2.2.2. Tiến trình và ra quyết định
Mô tả:
Để thực hiện chiến lược, giải pháp CNTT cần phải được xác định, cũng như
triển khai thực hiện và tích hợp vào q trình kinh doanh. Ngồi ra, thay đổi và
bảo trì các hệ thống hiện có được bao phủ bởi lĩnh vực này để đảm bảo rằng chu
kỳ cuộc sống là tiếp tục cho các hệ thống này.

Việc thay đổi cũng cần phải đuợc tính đến để đảm bảo các hệ thống luôn đuợc
phát triển theo kế hoạch đặt ra.


GIỚI THIỆU GIẢI PHÁP COBIT

Các chủ đề:
Xác định các yêu cầu về CNTT, mua lại các công nghệ, và thực hiện nó trong
quy trình kinh doanh hiện tại của cơng ty. Lĩnh vực này cũng chỉ ra sự phát triển
của một kế hoạch bảo dưỡng mà công ty sẽ chấp nhận để kéo dài sự tồn tại của
P03
PO1
một hệ thống CNTT và các thành phần của nó. Giải pháp CNTT,thay đổi và bảo
PO1
P03
dưỡng.
...
Câu hỏi:

PO2
P0 10
Po4
P0 10
PO2

AI3
Được dự án AI4 có khả năng cung cấp các giải pháp đáp ứng nhu cầu kinh
mới
....
AI1

doanh? Được dự án mới có khả năng cung cấp về thời gian và trong ngân sách?
AI1
AI2
Liệu các hệ thống mới hoạt động đúng khi triển khai thực hiện? Thay đổi sẽ được
AI4
....
AI2
AI7
thực hiện mà khơng có xáo trộn hoạt động kinh doanh hiện nay?
AI7
AI3
ME3
Tóm tắt quyME4
trình:
ME4
ME2
ME1
Đầu vào = Yêu cầu và hoạt động hoạch đinh & tổ chức;
ME2
ME3

Kết quả đầu ra = DS và PO;

DS3
DS4
.....
DS2
Hoạt động chính = xác định các giải pháp, bảo trì phần mềm và cơ sở hạ tầng,
DS4
DS13

DS13
DS1
thay đổi và quản lý cấu hình, cho phép sử dụng của nó, và thực hiện các kết quả
DS1
DS3
vào môi trường hoạt động.
DS2
.....

Các hoạt động khác = quản lý chất lượng, rủi ro và các dự án CNTT và rất
nhiều kỹ thuật giám sát, đánh giá và cuối cùng mua sắm các nguồn lực CNTT.
Các Quy trình

AI1

Xác định các giải pháp tự động.

AI 2

Duy trì tiếp thu và ứng dụng phần mềm.


GIỚI THIỆU GIẢI PHÁP COBIT

AI 3

Tiếp thu và duy trì cơ sở hạ tầng cơng nghệ.

AI 4


Kích hoạt và sử dụng.

AI 5

Mua nguồn lực CNTT.

AI 6

Quản lý thay đổi.

AI 7

Cài đặt và công nhận giải pháp và thay đổi.

 AI1 Xác định các giải pháp tự động:

Xác định, ưu tiên, xác định và đồng ý về kinh doanh, chức năng và yêu cầu kỹ
thuật bao gồm phạm vi đầy đủ của tất cả các sáng kiến cần thiết để đạt được kết
quả mong đợi của CNTT-kích hoạt chương trình đầu tư.
 AI2 Duy trì tiếp thu và ứng dụng phần mềm:

Các ứng dụng được làm sẵn, phù hợp với yêu cầu nghiệp vụ. Quá trình này
bao gồm việc thiết kế các ứng dụng, sự bao gồm hợp của các điều khiển ứng
dụng và bảo đảm các yêu cầu, và sự phát triển và cấu hình phù hợp với tiêu
chuẩn. Điều này cho phép các tổ chức để hỗ trợ đúng với hoạt động kinh doanh
các ứng dụng tự động đúng.
 AI3 Tiếp thu và duy trì cơ sở hạ tầng cơng nghệ:

Các tổ chức có quy trình cho việc mua lại, thực hiện và nâng cấp cơ sở hạ
tầng công nghệ.

Điều này đòi hỏi một cách tiếp cận kế hoạch để thu mua,bảo trì và bảo vệ cơ
sở hạ tầng phù hợp với chiến lược đã được thoả thuận công nghệ và cung cấp
các môi trường phát triển và thử nghiệm. Điều này đảm bảo rằng có cơng nghệ
liên tục hỗ trợ cho các ứng dụng kinh doanh.


GIỚI THIỆU GIẢI PHÁP COBIT

 AI4 Kích hoạt dịch và sử dụng:

Kiến thức về hệ thống mới được làm sẵn. Q trình này địi hỏi việc sản xuất
các tài liệu và hướng dẫn sử dụng cho người dùng và CNTT, đào tạo và cung cấp
cho đảm bảo việc sử dụng đúng và hoạt động của các ứng dụng và cơ sở hạ
tầng.
 AI5 mua nguồn lực CNTT:

Nguồn lực CNTT, bao gồm cả người dân, phần cứng, phần mềm và dịch vụ,
cần phải được mua. Điều này đòi hỏi phải định nghĩa và thi hành các thủ tục mua
sắm, việc lựa chọn nhà cung cấp, thiết lập các thỏa thuận hợp đồng, và mua lại
của chính nó. Làm như vậy đảm bảo rằng các tổ chức đã yêu cầu tất cả các
nguồn lực CNTT trong một kịp thời và hiệu quả theo cách.
 AI6 Quản lý Thay đổi:

Mọi thay đổi, kể cả trường hợp khẩn cấp và bảo trì các bản vá lỗi, liên quan
đến cơ sở hạ tầng và các ứng dụng trong mơi trường sản xuất được chính thức
quản lý một cách kiểm soát.
Thay đổi (bao gồm cả các thủ tục, quy trình, hệ thống và các thơng số dịch vụ)
sẽ được lưu lại, đánh giá và thẩm quyền trước khi thực hiện và xem xét lại đối với
kết quả thực hiện kế hoạch sau. Điều này đảm bảo giảm thiểu các rủi ro của các
tác động tiêu cực đến sự ổn định hoặc tính tồn vẹn của mơi trường sản xuất.

 AI7 Cài đặt và công nhận giải pháp và thay đổi

Hệ thống mới cần phải được thực hiện hoạt động phát triển một khi đã hoàn
tất. Điều này địi hỏi phải kiểm tra thích hợp trong một môi trường chuyên dụng
với các bài kiểm tra dữ liệu có liên quan, định nghĩa của buổi giới thiệu và hướng
dẫn di dân, lập kế hoạch phát hành và thực tế để thúc đẩy sản xuất, và đăng thực
hiện lại xem xét.


GIỚI THIỆU GIẢI PHÁP COBIT

Điều này đảm bảo rằng hệ thống hoạt động là phù hợp với sự mong đợi đã
được thoả thuận và kết quả.

2.2.3. Triển khai- Hỗ trợ
Mô tả:
Bao gồm các dịch vụ cần thiết trong việc triển khai các giải pháp CNTT như
đào tạo, đảm bảo an tồn an ninh…
Q trình này cũng bao gồm giám sát và báo cáo kịp thời cho các bên liên
quan về việc hồn thành các cấp ðộ dịch vụ. Q trình này cho phép chỉnh giữa
dịch vụ và yêu cầu doanh nghiệp liên quan.
Lĩnh vực này là có liên quan với việc phân phối thực tế của dịch vụ cần thiết, trong
đó bao gồm từ các hoạt động truyền thống trên phương diện an ninh và liên tục
để đào tạo.
Để cung cấp dịch vụ, các quá trình hỗ trợ cần thiết phải được thiết lập. Lĩnh
vực này bao gồm các giải pháp thực tế bằng hệ thống ứng dụng, thường được
phân loại theo các điều khiển ứng dụng.
Các chủ đề:
Phân phối các dịch vụ cần thiết, thiết lập các quy trình hỗ trợ và chế biến bằng
các hệ thống ứng dụng.

Câu hỏi:
Là dịch vụ CNTT đang được chuyển giao phù hợp với các ưu tiên kinh doanh
không? CNTT là tối ưu hóa chi phí? Là lực lượng lao động có thể sử dụng các hệ
thống CNTT hữu ích và an tồn? Được bảo mật đầy đủ, tồn vẹn và tính sẵn có
tại địa điểm?


GIỚI THIỆU GIẢI PHÁP COBIT

Các quy trình
DS1

Xác định và quản lý mức dịch vụ.

DS2

Quản lý dịch vụ bên thứ 3.

DS3

Quản lý hiệu quả và năng lực

DS4

Đảm bảo tính liên tục dịch vụ.

DS5

Đảm bảo hệ thống an ninh.


DS6

Xác định và phân bố chi phí.

DS7

Giáo dục và đào tạo người sử dụng.

DS8

Quản lý dịch vụ bàn và sự cố.

DS9

Quản lý cấu hình.

DS10

Quản lý vấn đề.

DS11

Quản lý dữ liệu.

DS12

Quản lý môi trường vật lý.

DS13


Quản lý hoạt động.

 DS1 Xác định và quản lý các cấp dịch vụ:

Giao tiếp CNTT hiệu quả quản lý và khách hàng liên quan đến kinh doanh dịch
vụ cần thiết được kích hoạt bởi một định nghĩa của tài liệu và thỏa thuận
về các dịch vụ IT, các cấp dịch vụ.
Quá trình này cũng bao gồm giám sát và báo cáo kịp thời cho các bên liên
quan về việc hồn thành các cấp độ dịch vụ. Q trình này cho phép chỉnh giữa
dịch vụ và yêu cầu doanh nghiệp liên quan.


GIỚI THIỆU GIẢI PHÁP COBIT

 DS2 Quản lý các dịch vụ của bên thứ ba:

Sự cần thiết để đảm bảo rằng các dịch vụ cung cấp bởi các bên thứ ba (nhà
cung cấp, các nhà cung cấp và các đối tác) đáp ứng yêu cầu nghiệp vụ có hiệu
quả yêu cầu một quy trình quản lý bên thứ ba.
Quá trình này được thực hiện bằng cách định rõ vai trò, trách nhiệm và sự
mong đợi trong các thỏa thuận của bên thứ ba, cũng như xem xétvà giám sát các
hợp đồng cho hiệu quả và tuân thủ. Hiệu quả quản lý của các dịch vụ của bên thứ
ba giảm thiểu các rủi ro kinh doanh liên kết .
 DS3 Quản lý hiệu quả và năng lực:

Sự cần thiết để quản lý hiệu quả và năng lực của các nguồn lực CNTT địi hỏi
một q trình định kỳ xem lại hiệu suất hiện tại và năng lực của các nguồn lực
CNTT.
Quá trình bao gồm các dự báo nhu cầu trong tương lai dựa trên khối lượng
công việc, lưu trữ và các yêu cầu ngờ. Quá trình này cung cấp đảm bảo rằng

thông tin tài nguyên hỗ trợ được yêu cầu nghiệp vụ liên tục có sẵn.
 DS4 Đảm bảo liên tục Dịch vụ:

Cần thiết cho việc cung cấp dịch vụ IT liên tục yêu cầu phát triển, duy trì và thử
nghiệm các kế hoạch CNTT liên tục, lưu trữ dự phòng và cung cấp định kỳ liên
tục kế hoạch đào tạo. Mục tiêu của khung sẽ được hỗ trợ trong việc xác định khả
năng đàn hồi yêu cầu của cơ sở hạ tầng và sự phát triển của khắc phục thảm
họa .
Tao kế hoạch Test CNTT liên tục một cách thường xuyên để đảm bảo rằng hệ
thống IT có thể được phục hồi có hiệu quả, hạn chế được địa chỉ và kế hoạch vẫn


GIỚI THIỆU GIẢI PHÁP COBIT

có liên quan. Điều này địi hỏi phải chuẩn bị kỹ lưỡng, tài liệu, báo cáo kết quả
kiểm tra và, theo các kết quả, thực hiện ...
 DS5 Đảm bảo hệ thống an ninh:

Sự cần thiết để duy trì sự tồn vẹn của thơng tin và bảo vệ tài sản IT địi hỏi
một quy trình quản lý an tồn. Q trình này bao gồm việc thành lập và CNTT vai
trị duy trì an ninh , chính sách, tiêu chuẩn, và các thủ tục. Bảo mật quản lý cũng
bao gồm các hoạt động giám sát an ninh, định kỳ kiểm tra và thực hiện hành động
sửa sai cho các điểm yếu an ninh đã xác định sự cố.
Quản lý an ninh hiệu quả bảo vệ tất cả tài sản CNTT để giảm thiểu các tác
động kinh doanh của các lỗ hổng an ninh và sự cố.
 DS6 Xác định và phân bổ chi phí:

Sự cần thiết cho một hệ thống công bằng và công bằng trong phân bổ chi phí
CNTT cho doanh nghiệp địi hỏi phải đo chính xác của các chi phí IT và thỏa
thuận với người sử dụng kinh doanh trên phân bổ công bằng.

Quá trình này bao gồm xây dựng và điều hành một hệ thống để nắm bắt, phân
bổ và báo cáo chi phí CNTT cho người sử dụng dịch vụ. Một hệ thống công bằng
cho phép các doanh nghiệp để đưa ra quyết định thêm thông tin về việc sử dụng
các dịch vụ IT.
 DS7 Giáo dục và đào tạo người dùng:

Hiệu quả giáo dục của tất cả người dùng của hệ thống CNTT, bao gồm cả
những người trong CNTT, đòi hỏi phải xác định các nhu cầu đào tạo của từng
nhóm người sử dụng. Ngoài việc xác định nhu cầu, quá trình này bao gồm xác
định và thực hiện một chiến lược đào tạo hiệu quả và đo lường kết quả.


GIỚI THIỆU GIẢI PHÁP COBIT

Một chương trình đào tạo hiệu quả làm tăng hiệu quả sử dụng công nghệ bằng
cách giảm lỗi người dùng, tăng năng suất và tuân thủ ngày càng tăng với các
phím điều khiển, chẳng hạn như các biện pháp bảo mật của người dùng.
 DS8 Quản lý dịch vụ bàn và sự cố:

Kịp thời và hiệu quả để đáp CNTT truy vấn của người dùng và những vấn đề
đòi hỏi phải được thiết kế và thực hiện tốt bàn làm dịch vụ và quy trình quản lý sự
cố.Quá trình bao gồm các chức năng thiết lập một bàn làm việc với dịch vụ đăng
ký, sự cố leo thang, xu hướng và phân tích nguyên nhân gốc rễ, và độ phân giải.
Các lợi ích kinh doanh bao gồm sản lượng tăng lên nhanh chóng thơng qua các
nghị quyết của các truy vấn của người dùng.
 DS9 Quản lý Cấu hình:

Bảo đảm tính tồn vẹn của các cấu hình phần cứng và phần mềm địi hỏi việc
thành lập và duy trì một kho cấu hình chính xác và đầy đủ. Q trình này bao gồm
thu thập thơng tin cấu hình đầu tiên, thiết lập mốc, xác minh, kiểm tốn thơng tin

cấu hình, và cập nhật cấu hình kho khi cần thiết. Quản lý cấu hình hiệu quả tạo
điều kiện sẵn có hệ thống lớn hơn, giảm thiểu các vấn đề sản xuất và giải quyết
các vấn đề nhanh hơn.
 DS10 Quản lý các vấn đề và sự cố:

Quản lý vấn đề hiệu quả đòi hỏi việc xác định và phân loại các vấn đề, gốc gây
ra phân tích và giải quyết vấn đề. Vấn đề quy trình quản lý cũng bao gồm việc xây
dựng các khuyến nghị để cải tiến, bảo trì các hồ sơ và xem xét lại vấn đề của tình
trạng sửa sai hành động. Một vấn đề hiệu quả quản lý quá trình hệ thống sẵn có,
cải thiện mức độ dịch vụ, giảm chi phí, và cải thiện sự tiện lợi của khách hàng và
sự hài lòng.
 DS11 Quản lý dữ liệu:


GIỚI THIỆU GIẢI PHÁP COBIT

Quản lý dữ liệu hiệu quả đòi hỏi phải xác định các dữ liệu yêu cầu. Quy trình
quản lý dữ liệu cũng bao gồm việc thành lập các thủ tục có hiệu quả để quản lý
các thư viện phương tiện truyền thông, sao lưu và khôi phục dữ liệu, và đúng tiêu
hủy các phương tiện truyền thông. Quản lý dữ liệu hiệu quả giúp đảm bảo chất
lượng, kịp thời và sẵn có của dữ liệu kinh doanh
 DS12 Quản lý Môi trường vật lý:

Bảo vệ cho thiết bị máy tính và nhân sự địi hỏi phải được thiết kế tốt và cũng
quản lý cơ sở vật chất. Quy trình quản lý mơi trường vật lý bao gồm việc xác định
các yêu cầu trang web vật lý, lựa chọn phương tiện thích hợp, và thiết kế quy trình
có hiệu quả để giám sát các yếu tố mơi trường và quản lý vật lý truy cập. Hiệu quả
quản lý của môi trường thể chất làm giảm sự gián đoạn kinh doanh từ thiệt hại
cho thiết bị máy tính và nhân sự.
 DS13 Quản lý các hoạt động:


Hoàn chỉnh và chính xác của dữ liệu chế biến yêu cầu quản lý hiệu quả của
thủ tục xử lý dữ liệu và bảo trì siêng năng của phần cứng. Quá trình này bao gồm
việc xác định các chính sách điều hành và thủ tục quản lý hiệu quả xử lý theo lịch
trình, bảo vệ sản lượng nhạy cảm, giám sát cơ sở hạ tầng hiệu suất và đảm bảo
dự phòng bảo trì phần cứng. Quản lý hoạt động hiệu quả giúp duy trì tính tồn vẹn
dữ liệu và làm giảm sự chậm trễ kinh doanh và CNTT chi phí điều hành.

2.2.4. Kiểm sốt & theo dõi
Mơ tả:
Tất cả các quy trình CNTT cần phải được thường xuyên đánh giá qua thời gian
cho chất lượng của họ và tuân thủ các yêu cầu kiểm soát.
Phạm vi này cũng thể hiện quan điểm của bản lãnh đạo trong việc kiểm soat các
quy trình CNTT.
Các chủ đề:


GIỚI THIỆU GIẢI PHÁP COBIT

Đánh giá qua thời gian, cung cấp bảo đảm. Quản lý của giám sát của hệ thống
kiểm soát. Hiệu suất đo lường.
Câu hỏi:
CNTT của hiệu suất có thể được đo lường và các vấn đề có thể được phát
hiện trước khi quá muộn? Bảo đảm độc lập cần thiết để đảm bảo các lĩnh vực
quan trọng đang hoạt động như dự định?
Các quy trình:

ME1

Giám sát và đánh giá hiệu suất CNTT.


ME2

Theo dõi và đánh giá hiệu suất CNTT.

ME3

Theo dõi và đánh giá kiểm soát nội bộ.

ME 4

Cung cấp cơ chế quản trị CNTT.

 ME1 Giám sát và Đánh giá hiệu suất CNTT:

Hiệu quả CNTT hiệu quả quản lý địi hỏi một quy trình giám sát. Q trình này
bao gồm việc xác định các chỉ số hoạt động có liên quan, có hệ thống và kịp thời
báo cáo về hiệu suất, và hành động nhanh chóng khi độ lệch. Giám sát là cần
thiết để đảm bảo rằng những điều phải được thực hiện và có phù hợp với thiết lập
hướng dẫn và chính sách.
Thành lập các khung giám sát nói chung và phương pháp xác định phạm vi,
phương pháp và quy trình để được theo sau để theo dõi sự đóng góp của CNTT


GIỚI THIỆU GIẢI PHÁP COBIT

Xác định một tập cân bằng các mục tiêu hiệu quả, các biện pháp, chỉ tiêu và điểm
chuẩn, và họ đã ký tắt của các bên liên quan.
Triển khai một phương pháp cung cấp một gọn gàng, tất cả xung quanh xem buổi
biểu diễn của CNTT và phù hợp với hoạt động trong hệ thống giám sát doanh

nghiệp đánh giá.
Định kỳ đánh giá về hiệu suất đối với các mục tiêu, thực hiện hành động
khắc phục hậu quả đối với độ lệch ban đầu. Ban chấp hành và báo cáo. Quản lý
các báo cáo có chứa các tiến bộ chống lại các mục tiêu đặt ra.
Hành động khắc phục hậu quả. Nhận dạng và bắt đầu khắc phục hậu quả của
hành động dựa trên hiệu năng giám sát, đánh giá và báo cáo.
 ME2 Theo dõi và Đánh giá Kiểm soát nội bộ:

Thành lập một chương trình kiểm sốt nội bộ cho CNTT hiệu quả địi hỏi một
quy trình giám sát cũng xác định. Quá trình này bao gồm các giám sát và báo cáo
kiểm soát ngoại lệ, kết quả tự đánh giá và nhận xét của bên thứ ba. Một lợi ích
quan trọng của giám sát kiểm soát nội bộ là cung cấp bảo đảm về hiệu quả và
hiệu quả hoạt động và phù hợp với luật pháp và quy định.
Giám sát của Kiểm soát khung nội bộ. Liên tục thẩm định đối với ngành công
nghiệp thực hành tốt nhất và điểm chuẩn để cải thiện mơi trường CNTT kiểm
sốtTn thủ với các chính sách và các tiêu chuẩn, an ninh thơng tin, kiểm sốt
sự thay đổi, xác định và bắt đầu khắc phục hậu quả những hành động dựa trên
đánh giá kiểm soát và báo cáo;:đàm phán xét và sự hiểu biết về phản ứng quản
lý.
Đảm bảo ME3 Tuân Với ngoài Yêu cầu. Giám sát hiệu quả của việc tuân thủ
yêu cầu thành lập một quá trình xem xét để đảm bảo việc tuân thủ pháp luật, quy
định và yêu cầu trong hợp đồng. Cái này quá trình bao gồm việc xác định các yêu
cầu tuân thủ, tối ưu hoá và đánh giá các phản ứng, lấy bảo đảm rằng các yêu cầu
đã được đáp ứng. Và cuối cùng, tích hợp CNTT của việc tuân thủ báo cáo với
phần còn lại của doanh nghiệp.