2009 ve yakın tarihli Cross Referans Kitapları

Share

Aligning COBIT,ITIL V3,ISO27002 Business Benefit (2008)
ITIL V3 and Information Security (Mayıs.2009)
ITILv3 and ISO/IEC 20000 (Mart.2008)
ITILv3 and ASL (Ocak.2009)
MOF to COBIT & Val IT Comparison and Cross-Implementation Guide (Haziran.2009)
Using MOF for ISO 20000 (Mayıs.2009)
Cross Referance ITILv3 and MOF 4.0 (Mayıs.2009)
IT Compliance Management Guide (Ekim.2008)
Integrating Six Sigma and ITIL for Continual Service Improvement (Temmuz.2009)
Building the Business Case for COBIT and Val IT (2009)
An Introduction to the Business Model for Information Security (2009)
ISACA Journal – IT Value Special Compilation (Mayıs.2009)
ISACA Nine-country Survey on IT Value (Ağustos.2009)
IT Standards,Guidelines,and Tools and Techniques for Audit and Assurance and Control Professionals (15.Mayıs.2009)
Enterprise Risk – Identify, Govern and Manage IT Risk The Risk IT Framework (03.Şubat.2009)
ITAF (Summary – 2009)
MOF 4.0 graphics and mind maps (2009)

Aligning COBIT,ITIL V3,ISO27002 Business Benefit (2008)

Her kuruluş standart ve pratikleri kendi gereksinimlerine uygun olarak uygulamak isterler. IT en iyi pratiklerinin adaptasyonundaki büyüme, iş tarafına hizmet veren IT’nin kalite ve güvenliğini en iyi şekilde yönetme ihtiyacı ile sayısı giderek artan düzenlemeler ve yapılan anlaşmalardaki gereksinimlere uyum gibi IT ihtiyaçları tarafından sürdürülmektedir. Bu kılavuzda ayrıca standart ve pratikler hakkında özet bilgide verilmektedir.

IT en iyi pratiklerinin sağladıklarını şu şekilde özetleyeiliriz ;

  • Kurumsal stratejinin başarısı için kritik öneme haiz olan daha iyi IT yönetimi.
  • Etkili IT aktivitelerinin yönetişimi.
  • Herkesin yetki ve sorumluluklarını bildiği, IT politika, iç kontrol ve tanımlı pratikler için etkili bir yönetim framework’ü.
  • Diğer bir çok iş faydası gibi, verimlilik kazancını, eksperlere olan ihtiyacın azalmasını, daha az hatayı, iş partnerleri üzerindeki güven temini ve düzenlemelere uyumu içerir.

En iyi pratiklerin implementasyonu kurumsal risk yönetimi ve kontrol framework’ündan oluşmalı ve kullanılmakta olan diğer metod ve pratikler ile entegre olmalıdır. Standart ve en iyi pratikler her derde deva değildir; bunların etkinliği nasıl implemente edildikleri ile güncel tutulup tutulmadıklarına bağlıdır. Ne zaman ki prensipler kümesi olarak veya kuruma uyarlanmış prosedürlerin başlangıç noktası olarak kullanılırlarsa en fazla fazyda elde edilebilir. Pratiklerin raflarda tozlanmaması için yönetici ve çalışanların ne yapmaları gerektiğini, nasıl yapmaları gerektiğini ve neden önemli olduğunu anlamaları gerekir.

Etkili kullanımın başarıya ulaşması için implementasyon kuruma göre uyarlanmış olmalı, öncelikleri belirlenmiş olmalı, planlaması yapılmış olmalıdır. Bu özet kılavuzda bu konuda uzak durulması önerilen bazı tuzak ve tehlikelerden bahsedilmektedir.

En iyi pratikler ile iş gereksinimlerinin hizalanmasının başarılı olması için IT governance tarafından desteklenen süreçler kullanılıyor olmalıdır. CobiT, IT Governance’ın üst seviyelerinde kullanılabilen, IT süreç modeli üzerine kurulu kapsamlı bir kontrol framework’ü sağlayan ve ITGI tarafından tüm kurumlar için uygun genel bir yapı olarak planlanmıştır. Bunlara ek olarak detaylandırılmış, pratiklere dayalı, standartlaşmış süreçlerede ihtiyaç vardır. İşte bu noktada ne yapılmalı konusunda CobiT ve ISO 27002 yardımcı olurken servis yönetimi bakış açısından nasıl yapılmalı konusunda da ITIL yardımcı olur. ITIL ve ISO 27002 belli IT alanlarını kapsarlar ve CobiT ile belli alanlarda eşleştirilebilirler (mapping). Bu üç yaklaşım arasındaki ilişkiyi daha iyi anlamak için bu kılavuzda;

CobiT’in 34 sürecinin ve kontrol hedeflerinin ITIL ve ISO üzerine dağalımını 1.bölüm de,
ITILv3’ün CobiT 4.1 üzerine dağılımını 2.bölümde,
ISO 27002’nin CobiT üzerine dağılımını da 3.bölümde bulabiliriz. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

ITIL V3 and Information Security (Mayıs.2009)

Son yıllarda ki gündeme gelen başlıklar bize iş tarafının etkili bir Bilgi Güvenlik Yönetimi (ISM) yaklaşımına verdikleri önemi – özellikle ISM olmasaydı neler olabilirdiyi resmederek – bize göstermektedir. Bir çok olayda veri kaybı nedeni unutulan ve çaldırılan laptop ve usb bellekler olarak görülmektedir. Bu olayların bazılarında veriler mobil cihazlara aktarılmamışken bazılarında mobil cihazların yedeği dahi alınmamış olabiliyor. Bunun gibi veri kaybı konusunda edinilen dersler daha sonra incelenecektir (Appendix D). 

Bu tip olayların varlığı verilerin her zaman güvencede olduğunu garanti edebilecek; iş ihtiyaç ve riskleri ile hizalanmış, teknik ölçümler içeren ve bunlara ek olarak politika, prosedür ve eğitimleri bünyesinde barındıran, entegre bir ISM yaklaşımını gerektirmektedir.  İstatistiklerin, güvenlik açıklarının ve teknik hataların kaynağı olarak, bize teknik nedenlerden çok insan etmenini göstermesine rağmen güvenlik yaklaşımlarında halen firewall ve IDS gibi teknik çözümler düşünülmektedir. Bu bakımdan konuya yaklaşıldığında teknik ölçüm kriterleri önemli olmasına rağmen daha kapsamlı bir bakış açısı gerekliliği ortaya çıkmaktadır. Eklerde bazı ayrıntılara girilmiş olsada bu dökümanda derinlemesine işin tekniğine değil daha yukarıdan olaya bakılmaktadir. 

Bu dökümanda hedeflenen kesim iş yöneticileri ve IT servis sağlıyacılarıdır. Burada iş tabanlı bir ISM’e olan ihtiyaçtan ve bunun standart ve best practice’ler (ITIL) ile olan ilişkileri açıklanmaktadır. ITIL’ın, ISO ISM standartlarından edinilen geniş ISM best practice’leri ile hizalanmasını ve bu esnada ITIL’ın ISM tarafında adresleyemediği alanları göreceğiz. 

OGC ITILv3’de v2’de olduğu gibi bir Security Management yayımı yayınlamadı. OGC, Bilgi Güvenliği konusunda giderek sayısı artan standart ve yayımlar nedeni ile ayrı bir ITIL yayım güncellemesi veya ISM için ayrı bir yayım çıkarmanın değer katmayacağını düşünmektedir. Bunun yerine, ISM konusu bir başlık olarak beş ITIL kitabı içinde IT Service Lifecycle’da değinilmektedir ve ISM süreci ITIL Service Design yayımında açıklanmıştır. Bu dökümanda ITIL’in diğer herhangi bir Bilgi Güvenliği kılavuzu ile olan olası eşleşmesini (mapping) araştırmaktadır.

Dökümanda ayrıca etkin Bilgi Güvenlik Yönetimi (ISM)’in iş tarafı için önemi ve rolü, global standartlar’ın nasıl destek verdiği ve ITIL ile olan uyumundan da bahsedilmektedir. Aynı zamanda etkili bir ISM’in oluşturulması için içeriğin, amacın nasıl olması gerektiğinden ve uluslararası standartlar, best practice’ler, organizasyonsal politikalar ve prosedürler arasındaki ilişkilerinden de söz edilmektedir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

ITILv3 and ISO/IEC 20000 (Mart.2008) 

ISO 20000’de, aralarında yakın ilişki bulunan ITILv2 ve BS 15000 dökümanlarından yararlanılmış olmasına rağmen UK standart geliştirme kuralları der ki BS 15000 ve ITIL arasındaki hizalanma bir amaç ve plan’dır ve bu ne OGC’nin ne de BSI (British Standarts Institute)’ın direk kontrolü altında değildir. Aynı zamanda editor kurallarıda der ki ITIL dışında ki best practice’ler BS 15000’in gereksinimlerini karşılamak için kullanılabilir. Buna çok benzer editör kuralları uluslararası standartlarda da (ISO) uygulandığı için ilgili standartlarca ITIL referans olarak gösterilememektedir. 

ITILv2 ile ISO 20000 arasında dökümente edilmiş farklar vardır. Buna rağmen hem ISO 20000 gereksinimlerini karşılayabilmek için halen “ITIL’ın önerileri” kullanılmaktadır hem de ITIL ile tam anlamıyla uyumlu olduklarını göstermek isteyen servis sağlayıcılar belgesi almaktadırlar. Zaten defacto olarak ortada bulunan ISO 20000 ile ITIL arasındaki yakın ilişkinin desteklenmesi, BS 15000 üzerinden yapılan hızlı geçişte (fast tracking) ve ISO 20000 standardının geliştirilmesinden sorumlu uluslararası standartlar komitesinin takip eden çalışmalarında gündeme gelmiştir. 

Mayıs 2007’de yayınlanan ITILv3 projesinin hedeflerinden biride hizlanmayı korumak ve uygun olan yerde geliştirmekti. Şu anda ise ISO 20000 ile ITILv3 arasında v2 ile olandan çok daha az fark vardır. ITILv2’den v3’e geçişteki en önemli farklardan biride Service Lifecycle yaklaşımıdır ki bu ISO20000’in Service Lifecycle yaklaşımına oldukça yakındır. 

Bu dökümanda ITILv3 ile ISO 20000 arasındaki farklar, standartta geçen her bir maddenin ITIL’ın 5 kitabı tarafından kapsanmaması veya farklı şekilde kapsanması olarak ifade edilmektedir. Burada ITILv2’de yapılan hangi değişikliklerin ITILv3’ün ISO 20000 ile daha iyi hizalanmasını sağladığı anlatılmamaktadır. Dökümanda geçen tablolardan biri ISO 20000 1 merkezlidir. Bu tabloda ITIL ile ISO 20000 arasında,IT’nin aynı alanında farklı amaçlara hizmet eden iki ayrı döküman seti olmalarından kaynaklanan, dikkate değer farklara yer verilmektedir. ITILv3’de olup da ISO 20000:2005 kapsamında olmayanlar şeklinde tanımlanan farklar bu dökümanın kapsamında değildir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

ITILv3 and ASL (Ocak.2009) 

Application Managment konusu ITILv3’ün beş temel kitabında da bulunmaktadır. ITIL kitaplarının yayıncısı olan TSO (The Stationary Office) ile ASL (Application Services Library) yayıncısı olan ASL BiSL Foundation’ın birlikte çıkardıkları bu klavuzda her iki framework’unda birbirleri arasındaki benzerliklere ve farklılıklara değinilmektedir. Ayrıca klavuzda ITILv3 ve ASL’nin uygulamalar alanını nasıl adreslediklerini ve bu frameworklerin nasıl en iyi şekilde implemente edileceği anlatılmaktadır. 

Dökümana bu linkten ulaşablirsiniz.

 

 

MOF to COBIT & Val IT Comparison and Cross-Implementation Guide (Haziran.2009) 

Bu kılavuzun amacı IT operasyon yöneticilerine ve profesyonellerine MOF 4.0’ın CobiT 4.1 ve Val IT 2.0’ı nasıl desteklediğini ve bunlarla nasıl hizanlandığını göstermek (3. bölüm). Klavuzda özellikle CobiT ve Val IT’de geçen Governance, Risk ve Compliance (GRC) hedeflerini gerçekleştirmek için MOF’un nasıl kullanılması gerektiğine dair tekniklere ve ip uçlarına yer verilmektedir (4. Bölüm). Aslında MOF, CobiT ve Val IT’den çok ITIL ile benzeşir çünkü her ikside operasyonel framework’lerdir. Bu durumda MOF’un CobiT ve Val IT’ye olan desteği aslında operasyonel servisler ahkkında stratejik konseptin ve taktik prensiplerin implemetasyonu ile olmaktadır. MOF’un bu amaçla kullanımına dair bir seneryo da Ek D’de verilmiştir. Ayrıca detaylı MOF – Val IT, MOF – CobiT haritalarıda eklerde gösterilmiştir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

Using MOF for ISO 20000 (Mayıs.2009) 

Bu kılavuzda MOF’un fazları ile ISO 20000’in kompenentleri arasındaki ilişki anlatılırken aynı zamanda MOF’un ISO 20000 standartlarına ulaşmada nasıl kullanılabileceği anlatılmaktadır. Bu anlatım sırasında MOF desteklediği ISO 20000 gereksinimleri ile MOF karşılayamadığı ve bu durumda MOF üzerinde değişikliğe gidilmesi gereken noktalar anlatılmaktadır. MOF’un özellikle “the Management Layer” ile “the Plan Phase” bölümleri bu kılavuz ile ilgiliyken “the Business/IT Alignment SMF” ile “GRC SMF”, ISO 20000 implementasyonu esnasında kuruma vizyon ve yön vermesi açısından yardımcı olmaktadır. Döküman ISO 20000 standartını kumuna kazandırmak isteyen IT yöneticileri, çalışanları ve servis sağlayıcılarına seslenmektedir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

Cross Referance ITILv3 and MOF 4.0 (Mayıs.2009) 

Bir çok IT organizasyonu günümüzün hızla gelişmekte olan teknololojisine ayak uydurmanın yanı sıra en düşük maliyet ile en kaliteli servisi vermeye çalışırken bir çok Servis Yönetim framework’ü geliştirmekteler. Bu dökümanda kısaca bu IT Servis Yönetimi kavramının arka planına da değinilmektedir. Bu Servis Yönetim framework’lerinden ITIL ve MOF’un en son versiyonlarının kısa açıklamaları ve detaylı aralarındaki farklar ve benzerliklerde yine bu dökümanda yer almaktadir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

IT Compliance Management Guide (Ekim.2008) 

Bu döküman GRC düzenlemeleri, standartlar, organizasyonel politikalar ve kabuller gibi otorite dökümanları ile ilişkili IT uyum gereksinimlerini adreslemek ve planlamak isteyen IT yöneticileri, iş yöneticileri, Microsoft müşterileri için düzenlenmiş bir kılavuzdur. Amaç GRC gereksinimlerini gerçekleştirmek için gerekli eforu Microsoft ürünleri ile yönetmek veya uygulamak. Bununla ilgili olarak birde Excel dökümanı geliyor. Excel’de Microsoft ürünleri ve teknoloji çözümleri ile uyum gereksinimleri arasındaki adresleme listeleri var. 

Bunlara ek olarak bu kılavuz bugün ve gelecekte var olan veya olacak olan otorite dökümanları için bu dökümanların gereksinimlerini kolaylaştıracak ve daha verimli kılacak bir süreç oluşturmak amacıyla oluşturulmuş bir kontrol framework’unun nasıl uygulanabileceğinide göstermektedir. 

Ayrıca bu kılavuz MOF tabanlı bir yaklaşım sunmakta. MOF, uyum gereksinimlerinizi adreslemenizde size yardımcı olacak bir IT Service Lifecycle süreç modeli sunar. MOF, soru tabanlı kılavuzluk ve döküman yapısı sunduğu için bir kuruma entegre etmek basittir veya kurumun kullandığı framework ile MOF best practice’leri sorunsuz entegre edilebilir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

Integrating Six Sigma and ITIL for Continual Service Improvement (Temmuz.2009) 

ITIL implementasyon projeleri gibi organizasyonlara yeni sürçlerin implemente edildiği projeler, tabiyatiyle, çok zaman gerektiren, çok yorucu ve pahalı olmaktadır. Proje bittikten sonrada sürçlerin sonsuza kadar (bu kadar zahmetin ardından kusursuz iş yapıldığı düşüncesiyle ve günümüzün hızlı değişimlerini unutarak ) sorunsuz, bakımsız çalışacağı düşünülmektedir. Nitekim işler bu şekilde gerçekleşmemektedir. 

Bu duruma engel olmak ve süreçleri ölçüp geliştirmek için ITILv3’de “Continual Service Improvement” (CSI) adında bir service lifecycle adımı tanımlanmıştır. Her ne kadar CSI içinde 7 adımlı genel bir geliştirme (Improvement) süreci olsa da kalite çalışanları için bu yeterli değildir. Neyseki bir çok kalite geliştirme framework’ü mevcut. 

Bu kılavuzda bu kalite geliştirme metodolojilerinden en iyi bilineni olan Six Sigma’dan bahsedilmektedir. Her iki metodoloji içinde de yer alan “nihayetinde müşteriye etkisi olan süreçler üzerinde performans çalışması yapmak” yaklaşımı Six Sigma’yı özellikle ITIL için uygun kılmaktadır. Bu kılavuzda önce bazı temel ITIL prensipleri gözden geçirildikten sonra bu prensiplerin Six Sigma’ya nasıl uygulanabileceğini ve Six Sigma’nın CSI üzerinde nasıl uygulanacağını göreceğiz. En sonda da Siz Sigma’nın ITIl süreçlerini ve servisleri geliştirmede (improvement) uygulanması ile ilgili bazı ip uçları verilecektir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

Building the Business Case for COBIT and Val IT (2009) 

Günümüzde iş süreçlerinin büyük bir çoğunluğu IT organizasyonlarına ve destek süreçlerine bağlıdır. İş’e değer sunmak için IT’nin doğru yatırımlar yaptığından ve IT’nin kendisine ait risklerin üstesinden geldiğinden emin olmak içinde bir IT Governance yaklaşımına odaklanmak gereklidir. Ancak CobiT, Val IT ve benzeri best practice framework’leri implemente etmek, kısa ve uzun vadeli geri dönüşlerin özellikle finansal sonuçlarını ölçmektedi zorluktan dolayı, masraflı ve kompleks olarak görülmektedir. 

İşte bu nedenden dolayı, “IT Governance best practice’lerini uygulamak gerçektende iş tarafına değer katıyor mu ?” sorusuna cevap vermek için akademik ve pratik odaklı araştırmalar başlatılmıştır. Bu tip yaklaşımların iş tarafına değer kattığı kanıtlanabilirse iş ve IT yöneticileri ilham verici IT Governance business case’lerini bu tip projeleri üst yönetime savunmak için sunabilirler. Bu çalışmalar aynı zamanda IT Governance yaklaşımlarının iş tarafına daha fazla nasıl değer sunabileceği hakkında bu yaklaşımları geliştirenlere kılavuzlukta edebilir. 

Bu kılavuzda bulunan araştırma CobiT ve ValIT’nin iş tarafına sunacağı değeri araştırmakta ve göstermektedir. ISACA tarfından oluşturulan bu proje Antwerp Yönetim Okulu’nun IT Hizalanma ve Yönetişim Araştırmaları Enstitüsü tarfından yürütülmüştür. Toplanan veriler birçok analiz firsatı oluşturmuştur; ceografik bazda, endüstri segmanti bazında, kurumsal büyüklük bazında şirketlerin CobiT ve ValIT implementasyonlarının durumları, IT Governance ve iş tarafının performans ölçümleri vb. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

An Introduction to the Business Model for Information Security (2009) 

Günümüz global ekonomisi, sürekli değişen kurumsal riskler, organizasyonlar arası ilişki ve online ticaret sistemleri bilgi güvenliğini iş dünyasının tahmin ettiğinden daha önemli hale getirmiştir. Nitekim gelişmekte olan teknoloji ve yapılan araştırmalar, standartlar ve araçlar yardımı ile iş dünyası gerçekleştirdiği işlemler güvenlik altına alınabilmiştir. Ancak halen daha kurumlar yasal gereksinimler, eknomik koşullar ve risk yönetimi çerçevesinin baskısı altındadır. Buna rağmen bir çok kurumda bilgi güvenliğinin rolü tam olarak anlaşılmamıştır ve bir masraf merkezi olarak görülmektedir. Bilginin korunmasının faydasının bilgiye olan saldırı veya bilgi kaybı esnasında ortaya çıkması ve aksi koşullarda angarya ve iş gücü kaybı olarak görünmesi bilgi güvenliğinin anlaşılmamasındaki diğer önemli noktalardır. 

İş tarafının bakış açısı ile; bilgi güvenliğinin başka birilerinin sorumluluğu gibi görülmekte, işbirliği olarak görülmemekte,  güvenlik programları iş hedefleri ile ilgili bulunmamaktadır. Bir başka bakış açısı ile güvenlik sadece teknik disiplinlere bağlanmaktadır (VPN, IDS, Firewall). 

Bilgi güvenliği için kullanılan araçların bir gereklilik olduğu şüphe götürmez iken teknolojinin yeterli olmadığıda bir gerçektir. Bilgi güvenliğini sağlamak için standart ve kılavuzlar tarafından sağlanan güvenlik prosedür ve politikalarına ihtiyaç duyulur. Bu kılavuz bilgi güvenliği programı ve bilginin kullanımı, paylaşımı, iletimi ve yok edilmesi gibi konularda bir yol göstericidir. Bilgi güvenliği programları organizasyon, insan, süreç ve teknoloji arasındaki ilişkinin nasıl olacağı ve organizasyonel governance, kültür ve insan faktörünün bu değişime nasıl tepki vereceği konularında söz sahibi olmalıdır. 

2008’de ISACA, “University of Southern California (USA) Marshall School of Business Institute for Critical Information Infrastructure Protection” ile Systemic Security Management Model isimli bir modeli resmi olarak geliştirmeye başlamışlardır. “The Business Model for Information Security” ise bu enstitü tarafından geliştirilmiş temel bir konsept olup bilgi güvenliği yönetimine iş tarafı odaklı bir yaklaşımdır. 

Bu kılavuz serinin ilk kitabı ve Systemic Security Management Model dikkate alınarak yazılmış. Güvenlik Programı aktiviteleri ile organizasyonel hedef ve önceliklerin hizalanması, etkili risk yönetimi ve bilgi güvenliği programı aktivitelerinin kuruma katacağı değerin arttırılması konusunda temel konsepti tanıtmaktadır. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

ISACA Journal – IT Value Special Compilation (Mayıs.2009) 

Bu özel yayın ISACA Journal’da yer alan IT Value başlığı altında 2008-2009 yılları arasında yer almış olan 6 makalenin derlemesinden oluşmuştur. Makalelerde IT Value hakkında tanıtım bilgilerine, kritik başarı faktörlerine ve Val IT’nin 3 domain’inin implementasyonu ile ilgili pratiklere yer verilmektedir. Bu yayında derlenen Val IT başlıkları aşağıdaki gibidir ; 

“Recognising the Need for Val IT: Identifying Tipping Points for Value Management,” vol. 3, 2008
“Five Steps to Introducing Val IT: Applying Val IT to Introduce or Improve Value Management in an Enterprise,” vol. 4, 2008
“Practical Guidance on Establishing the Val IT Value Governance Process,” vol. 6, 2008
“Portfolio Management,” vol. 1, 2009
“Benefits Realisation and Programme Management: Beyond the Business Case,” vol. 2, 2009
“Five Critical Success Factors for Introducing Val IT,” vol. 3, 2009 

Dökümana bu linkten ulaşabilirsiniz.

 

 

ISACA Nine-country Survey on IT Value (Ağustos.2009) 

ISACA tarafından yürütülen ve 86.000 IT governance, security ve assurance profesyoneli ile yapılan anket de katılımcıların yarısı yaptıkları IT yatırımlarından bekledikleri değer geri dönüşü %50-74 arası iken beşte birinin ise beklediği değer dönüşü %75-100 arasında. Yarısı gerçekleşen değeri bir yere kadar ölçerken, onda biri bu ölçümü gerçekleştiremiyor. Gerçekleşen değeri ölçen bu topluluk ölçüm işleminin iş tarafının sorumluluğu olmasına rağmen IT’nin kendisine devredildiğini belirtiyor. 

John Thorp, ISACA Val IT Geliştirme Takım Başkanı ve Thorp Network’ün Başkanı diyor ki “Bir çok kurum IT’den değer geri dönüşü elde edilebileceğine inanırken, bir kısmı bu değerin ne anlama geldiğini biliyor ve aldukça az bir kısmı ise bunu ölçebiliyor. Bu durum akla şu soruyu getiriyor: ‘Harcama kararları neye göre yapılıyor ?’ Buna ek olarak, kurumların değeri tamamiyle ölçememesi hangi yatırımların başarılı olduğunu ve hangi yatırımların artık kesilmesi gerektiğini bilememelerine neden oluyor. Kurumlar IT yatırımlarından geri dönüşü tam anlmıyla sağlayabilmeleri için bir değer yönetim best practice’ine ihtiyaçları vardır. Aynı zamanda IT yatırımlarından geri dönüşün el de edilmesi sorumluluğunun CIO’lardan alınıp CEO’lara veya yönetim kurullarına verilmesi gerekmektedir.” 

Dökümana bu linkten ulaşabilirsiniz.

 

 

IT Standards,Guidelines,and Tools and Techniques for Audit and Assurance and Control Professionals (15.Mayıs.2009) 

IT Denetim ve Güvence Standartları, IT denetçilerinin denetim sonucu bulgularını raporlayabilmeleri için zorunlu gereksinimleri içerir. Bu kılavuz bu standartların nasıl takip edilmesi gerektiğini göstermektedir. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

Enterprise Risk – Identify, Govern and Manage IT Risk The Risk IT Framework (03.Şubat.2009)  

Bu döküman ITGI’nin Risk IT -IT ile ilgili risklerde kurumlara yardımcı olan- girişiminin bir parçasıdır. Risk IT, pirensipler kümesi, iş süreçleri ve yönetimsel kılavuzlara dayalı bir framework’tür. Risk IT framework’ü CobIT framework’ünün tamamlayıcısıdır. CobIT risk yönetimi hakkında orta seviye best practice’ler sunarken, Risk IT, kurumun IT risklerini yönetmek ve tanımlamak için bir kapsamlı bir framework sunar. IT riskleri IT ilişkili olayları içerir ki bunların potansiyel olarak iş tarafına etkileri vardır. Bu framework, COSO ERM (Enterprise Risk Management) ve AS/NZS 4360 (Standards Australia, Risk Management) gibi krumsal risk yönetimi framework ve/veya standartlarının prensipleri üzerine kuruludur. IT risklerini sadece IT güvenliği olarak gören diğer IT risk kılavuzlarından farklı olarak Risk IT tüm IT risklerini kapsamaktadır. Risk IT içinde tanımlı olan IT risk yönetim pratiklerini uygulamak, ölçülebilir iş kazançları, daha az operasyonel süprizler ve hatalar, bilgi kalitesinde artış, paydaşların güveninde artma ve yasal düzenlemeler ilgili daha az endişe gibi kuruma bir çok fayda sağlar. 

Dökümana bu linkten ulaşabilirsiniz.

 

 

ITAF (Summary – 2009) 

ITAF (Information Technology Assurance Framework) kapsamlı ve best practice’lerden oluşan bir model olarak;

  • IT denetim ve güvence görevlendirmesinde dizayn, idare ve raporlama için kılavuzluk sağlar,
  • IT güvence terim ve konseptleri hakkında tanımlar sağlar,
  • IT denetim ve güvence profesyonelleri için role, sorumluluk, bilgi, yetkinlik ve raporlama konusunda standartlar oluşturur. 

ITAF genel, performans, raporlama standartları ile IT denetim ve güvence profesyonelleri için bu alanda bilgi sağlayan ve yön gösteren bilgiler ve araç ve tekniklerin anlatıldığı bölümlerden meydana gelmektedir. 

IT denetim ve güvence alanında neden böyle bir framework’e gerek olduğu da dahil olmak üzere framework ile ilgili diğer bilgilere aşağıdaki linkten ulaşabilirsiniz.   

Dökümana bu linkten ulaşabilirsiniz.

 

 

MOF 4.0 graphics and mind maps (2009) 

MOF 4.0 ile ilgili visio’da süreç akışlarını, süreçlere yukarıdan bir bakış sağlayan posterlerini, her bir faz için mindmapleri bulabilirsiniz.

Dökümana bu linkten ulaşabilirsiniz.

Share

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Copy Protected by Chetan's WP-Copyprotect.