مدیر:"بچهها ما باید کووید رو خیلی زود پیادهسازیکنیم…."
یکی از کارشناسان:" منظورتون کوبیته دیگه؟"
مدیر با غضب:"حالا هرچی. مهم اینه باید بریم سراغش."
کارشناس:"اگه کووید باشه که خودش میاد سراغمون نیازی نیس بریم سمتش"
مدیر:"خوشمزهبازی درنیار. ما باید بریم سمت حاکمیت و مدیریت فناوری اطلاعات"
کارشناس:"آها! حالا فهمیدم! یعنی اگر IT خوب مدیریت بشه، اصلاً به ویروس کووید مبتلا نمیشه، درسته؟"
مدیر:"خوب بود آفرین؛ دقیقاً همینطوره!" 🙂
کوبیت چیست؟
کوبیت (COBIT) 2019 یک چارچوب حاکمیت و مدیریت فناوری اطلاعات است که توسط ISACA توسعه یافته است. این چارچوب بهخودیخود نرمافزار مستقلی ندارد، اما ابزارها و نرمافزارهای متعددی وجود دارند که به سازمانها در پیادهسازی و مدیریت اصول و فرآیندهای کوبیت کمک میکنند. این ابزارها معمولاً برای ارزیابی، نظارت و بهبود فرآیندهای فناوری اطلاعات بر اساس چارچوب کوبیت طراحی شدهاند.
ابزارها و نرمافزارهای متعددی وجود دارند که به سازمانها در پیادهسازی و مدیریت چارچوب کوبیت (COBIT) کمک میکنند. در ادامه چند نمونه از این نرمافزارها را معرفی میکنیم:
- ابزارهای حاکمیت، ریسک و انطباق (GRC): این نرمافزارها به سازمانها در بهبود حاکمیت، مدیریت ریسک و رعایت الزامات قانونی کمک میکنند. نمونههایی از این ابزارها عبارتاند از:
- RSA Archer
- MetricStream
- نرمافزارهای مدیریت خدمات فناوری اطلاعات (ITSM): این ابزارها به پیادهسازی بهترین شیوههای ITIL و COBIT کمک میکنند. برخی از این نرمافزارها شامل موارد زیر هستند:
- ServiceNow
- ManageEngine ServiceDesk Plus
- نرمافزارهای مدیریت پروژه: این ابزارها به سازمانها در مدیریت مؤثر پروژههای مرتبط با پیادهسازی COBIT کمک میکنند. نمونههایی از این نرمافزارها عبارتاند از:
- Microsoft Project
- Trello
- نرمافزارهای مدیریت ممیزی: این ابزارها در ارزیابی و پایش کنترلهای داخلی بر اساس COBIT مفید هستند. برخی از این نرمافزارها شامل موارد زیر میشوند:
- AuditBoard
- Wolters Kluwer CCH Tagetik
- نرمافزارهای مدیریت عملکرد: این ابزارها برای تحلیل دادهها و اندازهگیری شاخصهای کلیدی عملکرد (KPI) مرتبط با COBIT استفاده میشوند. نمونههایی از این نرمافزارها عبارتاند از:
- ManageEngine Analytics
- Power BI
- نرمافزارهای مدیریت ریسک: این ابزارها به شناسایی، ارزیابی و مدیریت ریسکهای مرتبط با فناوری اطلاعات کمک میکنند. برخی از این نرمافزارها شامل موارد زیر هستند:
- LogicManager
- RiskWatch
- نرمافزارهای مدیریت انطباق: این ابزارها به سازمانها در رعایت الزامات قانونی و نظارتی بر اساس COBIT کمک میکنند. نمونههایی از این نرمافزارها عبارتاند از:
- ComplyAdvantage
- OneTrust
انتخاب نرمافزار مناسب بستگی به نیازها، اندازه و ساختار سازمان دارد. استفاده از این ابزارها میتواند به سازمانها در پیادهسازی، پایش و بهبود فرآیندهای حاکمیت فناوری اطلاعات بر اساس چارچوب COBIT کمک کند و به بهینهسازی عملکرد کلی سازمان منجر شود.
ماژولها و مؤلفههای کلیدی COBIT
چارچوب COBIT 2019 شامل چندین ماژول و مؤلفه کلیدی است که در پنج حوزه اصلی حاکمیت و مدیریت فناوری اطلاعات دستهبندی میشوند. در ادامه، لیست ماژولهای اصلی COBIT 2019 آورده شده است:
1. ارکان حاکمیت و مدیریت (Governance & Management Objectives)
COBIT 2019 شامل 40 هدف حاکمیتی و مدیریتی است که در دو حوزه کلی دستهبندی میشوند:
الف) حوزه حاکمیت (Governance Domain)
- EDM01: اطمینان از تعیین و نگهداری چارچوب حاکمیتی
- EDM02: اطمینان از ارائه مزایا و ارزشافزوده
- EDM03: اطمینان از مدیریت ریسک
- EDM04: اطمینان از بهینهسازی منابع
- EDM05: اطمینان از شفافیت و پاسخگویی به ذینفعان
ب) حوزه مدیریت (Management Domain)
- برنامهریزی و سازماندهی (Align, Plan & Organize - APO)
- APO01: مدیریت چارچوب فناوری اطلاعات
- APO02: مدیریت استراتژی فناوری اطلاعات
- APO03: مدیریت معماری سازمانی
- APO04: مدیریت نوآوری
- APO05: مدیریت پورتفولیو
- APO06: مدیریت بودجه و هزینهها
- APO07: مدیریت نیروی انسانی فناوری اطلاعات
- APO08: مدیریت روابط با ذینفعان
- APO09: مدیریت قراردادها و خدمات فناوری اطلاعات
- APO10: مدیریت تأمینکنندگان
- APO11: مدیریت امنیت اطلاعات
- APO12: مدیریت ریسک فناوری اطلاعات
- APO13: مدیریت انطباق قانونی
- ایجاد، اجرا و پیادهسازی (Build, Acquire & Implement - BAI)
- BAI01: مدیریت برنامهها و پروژهها
- BAI02: مدیریت تعریف الزامات
- BAI03: مدیریت شناسایی راهحلها
- BAI04: مدیریت قابلیتهای در حال توسعه
- BAI05: مدیریت تغییرات در فناوری اطلاعات
- BAI06: مدیریت تغییرات سازمانی
- BAI07: مدیریت پذیرش و انتقال به تولید
- BAI08: مدیریت دانش فناوری اطلاعات
- BAI09: مدیریت داراییهای فناوری اطلاعات
- تحویل، خدمترسانی و پشتیبانی (Deliver, Service & Support - DSS)
- DSS01: مدیریت عملیات فناوری اطلاعات
- DSS02: مدیریت درخواستهای کاربران و خدمات
- DSS03: مدیریت مشکلات و رخدادها
- DSS04: مدیریت امنیت فناوری اطلاعات
- DSS05: مدیریت خدمات و تداوم کسبوکار
- نظارت، ارزیابی و بهبود (Monitor, Evaluate & Assess - MEA)
- MEA01: پایش عملکرد و تطابق فناوری اطلاعات
- MEA02: نظارت بر کنترلهای داخلی
- MEA03: تضمین انطباق با الزامات قانونی
- MEA04: بهبود مستمر حاکمیت و مدیریت IT
2. مؤلفههای حاکمیت در COBIT 2019
علاوه بر ماژولهای بالا، COBIT 2019 شامل ۶ مؤلفه اصلی برای اجرای سیستم حاکمیتی است:
- فرآیندها (Processes)
- ساختارهای سازمانی (Organizational Structures)
- جریان اطلاعات و خدمات (Information & Services Flows)
- فرهنگ، اخلاق و رفتار (Culture, Ethics & Behavior)
- مهارتها و شایستگیها (People, Skills & Competencies)
- زیرساختها و برنامههای کاربردی (Infrastructure & Applications)
چارچوب COBIT 2019 انعطافپذیرتر از نسخههای قبلی است و سازمانها میتوانند ماژولهای موردنیاز را متناسب با نیازهای حاکمیتی و مدیریتی خود انتخاب و پیادهسازی کنند.
در جدول زیر، ماژولهای COBIT 2019 با فرایندهای ITIL 4 تطبیق داده شدهاند تا نشان دهد که چگونه میتوان از ITIL برای پیادهسازی COBIT در مدیریت فناوری اطلاعات استفاده کرد.
| ماژول COBIT 2019 | فرایندهای مرتبط در ITIL 4 | کاربرد و همپوشانی |
|---|---|---|
| EDM01: چارچوب حاکمیتی | Governance, Risk & Compliance (GRC) | مدیریت حاکمیت فناوری اطلاعات در سازمان |
| EDM02: مدیریت ارزش فناوری اطلاعات | Value Stream Mapping, Service Strategy | اطمینان از ایجاد ارزش در کسبوکار |
| EDM03: مدیریت ریسک فناوری اطلاعات | Risk Management | ارزیابی و کنترل ریسکهای فناوری اطلاعات |
| EDM04: مدیریت منابع فناوری اطلاعات | Financial Management, Capacity Management | بهینهسازی منابع مالی و ظرفیت IT |
| EDM05: تعاملات با ذینفعان | Stakeholder Engagement | افزایش تعاملات و درک نیازهای ذینفعان |
1. حوزه برنامهریزی و سازماندهی (APO)
| ماژول COBIT | فرایند ITIL مرتبط | کاربرد |
|---|---|---|
| APO01: مدیریت چارچوب فناوری اطلاعات | Service Management Practices | تنظیم اصول کلی مدیریت خدمات IT |
| APO02: مدیریت استراتژی فناوری اطلاعات | Strategy Management | تنظیم و اجرای استراتژی IT |
| APO03: مدیریت معماری سازمانی | Enterprise Architecture Management | طراحی معماری IT سازمان |
| APO11: مدیریت امنیت اطلاعات | Information Security Management | کنترلهای امنیتی و مدیریت حوادث امنیتی |
| APO12: مدیریت ریسک | Risk Management | ارزیابی و کاهش ریسکهای IT |
| APO13: انطباق با الزامات قانونی | Compliance Management | تطبیق با قوانین و استانداردهای IT |
2. حوزه ایجاد، اجرا و پیادهسازی (BAI)
| ماژول COBIT | فرایند ITIL مرتبط | کاربرد |
|---|---|---|
| BAI01: مدیریت برنامهها و پروژهها | Project Management, Change Enablement | کنترل و نظارت بر پروژههای IT |
| BAI02: تعریف الزامات IT | Requirements Engineering | جمعآوری نیازهای کاربران و IT |
| BAI03: مدیریت راهحلها و توسعه | Software Development & Management | طراحی، توسعه و اجرای راهحلهای IT |
| BAI05: مدیریت تغییرات فناوری اطلاعات | Change Enablement | مدیریت تغییرات سازمانی و IT |
| BAI07: انتقال به محیط عملیاتی | Release & Deployment Management | استقرار و پشتیبانی تغییرات IT |
3. حوزه تحویل، خدمترسانی و پشتیبانی (DSS)
| ماژول COBIT | فرایند ITIL مرتبط | کاربرد |
|---|---|---|
| DSS01: مدیریت عملیات فناوری اطلاعات | IT Operations Management | نگهداری و پشتیبانی IT |
| DSS02: مدیریت درخواستهای کاربران | Service Request Management | پاسخگویی به درخواستهای کاربران |
| DSS03: مدیریت رخدادها و مشکلات | Incident & Problem Management | حل مشکلات و حوادث IT |
| DSS04: مدیریت امنیت فناوری اطلاعات | Security Incident Management | کنترل تهدیدات و حملات سایبری |
| DSS05: مدیریت خدمات و تداوم کسبوکار | Business Continuity Management | حفظ پایداری خدمات IT |
4. حوزه نظارت، ارزیابی و بهبود (MEA)
| ماژول COBIT | فرایند ITIL مرتبط | کاربرد |
|---|---|---|
| MEA01: پایش عملکرد فناوری اطلاعات | Service Performance Management | سنجش و تحلیل عملکرد IT |
| MEA02: نظارت بر کنترلهای داخلی | Audit & Compliance Management | پایش فرآیندها و کنترلهای IT |
| MEA03: اطمینان از انطباق | Compliance Management | بررسی انطباق با مقررات قانونی |
| MEA04: بهبود مستمر | Continual Improvement | بهبود مداوم در خدمات و فرآیندهای IT |
این یعنی:
COBIT 2019 چارچوبی جامع برای حاکمیت و مدیریت فناوری اطلاعات است، درحالیکه ITIL 4 بر مدیریت خدمات IT تمرکز دارد.
با ترکیب این دو، سازمانها میتوانند به بهبود فرایندها، کاهش ریسکها، افزایش امنیت و افزایش ارزش کسبوکار از فناوری اطلاعات دست یابند. هرچند بستگی دارد که هدف سازمان شما چیست و چه سطحی از حاکمیت فناوری اطلاعات را میخواهید اجرا کنید. در کل، COBIT 2019 و ITIL 4 مکمل یکدیگر هستند، اما استفاده از ITIL برای پیادهسازی COBIT باید با درک درستی از هر دو چارچوب انجام شود.
در جدول زیر، برخی از محصولات ManageEngine که قابلیت استفاده در پیادهسازی چارچوب COBIT 2019 را دارند، ارائه شدهاند:
| ماژول COBIT | محصول ManageEngine | کاربرد |
|---|---|---|
| مدیریت خدمات فناوری اطلاعات (ITSM) | ServiceDesk Plus | مدیریت درخواستهای فناوری اطلاعات، تغییرات و داراییهای IT |
| مدیریت عملیات فناوری اطلاعات (ITOM) | OpManager | نظارت بر عملکرد و سلامت شبکه و سرورها |
| مدیریت امنیت اطلاعات (ISMS) | Log360 | مدیریت لاگها، تحلیل رخدادهای امنیتی و تشخیص تهدیدات |
| مدیریت حسابها و دسترسیها (IAM) | ADManager Plus | مدیریت اکتیو دایرکتوری و کنترل دسترسی کاربران |
| مدیریت ریسک و انطباق (GRC) | Compliance Manager Plus | بررسی تطابق با قوانین و استانداردهای امنیتی و حاکمیتی |
| مدیریت داراییهای IT (ITAM) | AssetExplorer | ردیابی و مدیریت سختافزار و نرمافزارهای سازمانی |
| نظارت و تحلیل عملکرد IT | Analytics Plus | ارائه گزارشات و داشبوردهای پیشرفته برای تحلیل دادههای IT |
محصولات ManageEngine با توجه به رویکردهای COBIT 2019 در زمینه کنترل، امنیت، انطباق، و مدیریت عملیات IT قابل استفاده هستند.
دلایل مناسب بودن پیادهسازی COBIT با ITIL
1️⃣ همپوشانی بالا در فرآیندها: COBIT بر حاکمیت (Governance) تأکید دارد، در حالی که ITIL بر مدیریت خدمات IT (Service Management) تمرکز دارد. اگر سازمانی بخواهد IT را هم حاکمیتپذیر و هم کارآمد کند، ترکیب این دو مفید است.
2️⃣ افزایش کنترل و انطباق: COBIT به کنترل و تطابق با استانداردها (مانند ISO 27001، GDPR) کمک میکند و ITIL روی اجرای فرآیندهای عملیاتی مانند مدیریت رخدادها، مشکلات و تغییرات تمرکز دارد. ترکیب این دو به سازمان کمک میکند هم رعایت قوانین را تضمین کند و هم مدیریت عملیاتی بهتری داشته باشد.
3️⃣ بهبود کیفیت خدمات IT: با اجرای ITIL در سطح عملیاتی، سازمان میتواند کیفیت خدمات IT را بهبود ببخشد، و COBIT چارچوبی برای حاکمیت کلان و نظارت بر اجرای ITIL ایجاد میکند.
4️⃣ کاهش ریسک و افزایش ارزش IT: COBIT تمرکز شدیدی بر مدیریت ریسک IT دارد، در حالی که ITIL به ارزشآفرینی خدمات IT کمک میکند. ترکیب این دو باعث میشود که IT نهتنها یک ابزار عملیاتی، بلکه یک عامل استراتژیک در سازمان باشد.
چالشهای ترکیب COBIT و ITIL
1️⃣ پیچیدگی بالا: اجرای همزمان COBIT و ITIL نیازمند مدیریت تغییرات قوی است و ممکن است باعث پیچیدگی در فرآیندهای IT شود.
2️⃣ هزینه و منابع: اجرای ITIL در سطح عملیات و COBIT در سطح حاکمیت نیاز به منابع انسانی و مالی قابل توجهی دارد. اگر سازمان کوچک باشد، این کار ممکن است بیش از حد سنگین و غیرعملی شود.
3️⃣ مقاومت در برابر تغییر: بسیاری از تیمهای IT به فرآیندهای چابک عادت دارند، اما ترکیب COBIT و ITIL ساختارهای رسمی و کنترلهای بیشتری ایجاد میکند که ممکن است مقاومت تیمها را افزایش دهد.
پیشنهاد عملی
🔹 اگر سازمان شما نیاز به چارچوبی برای بهبود عملیات IT دارد، اول ITIL را پیاده کنید.
🔹 اگر سازمان شما به دنبال کنترل، حاکمیت و مدیریت ریسک است، COBIT را در سطح راهبری اضافه کنید.
🔹 در سازمانهای بزرگتر، ترکیب این دو میتواند مزایای بالایی ایجاد کند، اما نیازمند یک برنامهریزی دقیق است.
🔹 اگر سازمان چابکی نیاز دارد، استفاده صرف از ITIL (بدون COBIT) میتواند بهتر باشد.
پس، بله، پیادهسازی COBIT با ابزارهای ITIL ممکن است مفید باشد، اما باید با درک نیازهای سازمان، منابع موجود و سطح پیچیدگی اجرایی تصمیمگیری شود.
✅ نکته مهم همینجاست: COBIT 2019 فقط یک چارچوب حاکمیتی است و خودش ابزار خاصی ندارد، در حالی که ITIL نهتنها یک چارچوب است، بلکه ابزارهای مشخصی برای اجرای فرآیندهایش دارد (مانند ServiceNow، BMC Remedy، ManageEngine، Freshservice و غیره).
پس چالش اصلی این است:
🔹 COBIT میگوید چه کاری انجام شود، اما نمیگوید با چه ابزاری
🔹 ITIL میگوید چگونه فرآیندهای IT را اجرا کنیم و ابزارهای مشخصی دارد
آیا میتوان COBIT را با ابزارهای ITIL پیاده کرد؟
پاسخ بله، اما نه بهصورت ۱۰۰٪ مستقیم! شما میتوانید ITIL را بهعنوان ابزار اجرای برخی از فرآیندهای COBIT به کار ببرید، ولی COBIT چیزی فراتر از مدیریت خدمات IT (که تمرکز اصلی ITIL است) را شامل میشود، مثلاً:
- مدیریت ریسک سازمانی (Enterprise Risk Management)
- حاکمیت کلان فناوری اطلاعات (IT Governance)
- مدیریت منابع سازمانی (Enterprise Resource Management)
بنابراین ابزارهای ITIL فقط بخشی از الزامات COBIT را پوشش میدهند.
چطور COBIT را با ابزارهای ITIL پیاده کنیم؟
1️⃣ ITIL را در سطح عملیاتی استفاده کنید (مثلاً برای مدیریت رخدادها، تغییرات و خدمات IT)
2️⃣ COBIT را برای نظارت و حاکمیت کلان به کار ببرید (مانند ارزیابی عملکرد IT، انطباق با استانداردها، مدیریت ریسک و بودجه)
3️⃣ ابزارهای ITIL را برای اتوماسیون فرآیندهای COBIT به کار بگیرید، بهعنوان مثال:
| ماژول COBIT | فرآیند ITIL مرتبط | ابزار ITIL پیشنهادی |
|---|---|---|
| مدیریت رخدادها (DSS03) | Incident Management | ServiceNow, BMC Remedy |
| مدیریت تغییرات (BAI05) | Change Enablement | ManageEngine, Freshservice |
| مدیریت داراییها (APO09) | IT Asset Management | Lansweeper, SolarWinds |
| مدیریت امنیت (APO11) | Information Security | Splunk, IBM QRadar |
| ارزیابی ریسک (MEA02) | Risk Management | Archer, ServiceNow GRC |
سخن پایانی:
1️⃣ COBIT را نمیتوان مستقیماً با ITIL پیاده کرد، اما میتوان از ابزارهای ITIL برای اجرای برخی از فرآیندهای COBIT استفاده کرد.
2️⃣ COBIT در سطح استراتژیک و حاکمیتی قرار دارد، در حالی که ITIL بیشتر روی عملیات و فرآیندهای اجرایی تمرکز دارد.
3️⃣ اگر سازمانی ابزارهای ITIL مثل ServiceNow یا ManageEngine را دارد، میتواند از آنها برای پوشش دادن بخشهایی از COBIT استفاده کند، اما همچنان به فرآیندهای مدیریتی، نظارت و سیاستگذاری نیاز خواهد داشت.
پیشنهاد مدانت: اگر سازمان شما در حال حاضر از ابزارهای ITIL استفاده میکند، میتوانید COBIT را بهعنوان یک چارچوب مدیریتی روی ITIL سوار کنید تا مدیریت فناوری اطلاعات را بهبود دهید.
