TBD Kamu-BİB Kamu Bilişim Platformu X BİLGİ VE İLGİLİ TEKNOLOJİLER İÇİN KONTROL HEDEFLERİ ( CobiT - Control Objectives For Information And Related Technology) Sürüm 1.0 1. ÇALIŞMA GRUBU Nisan 2008 1
TBD Kamu-BİB Kamu Bilişim Platformu X BİLGİ VE İLGİLİ TEKNOLOJİLER İÇİN KONTROL HEDEFLERİ ( CobiT - Control Objectives For Information And Related Technology) Sürüm 1.0 1. ÇALIŞMA GRUBU Yayını Hazırlayan DENĠZ PEKER (ÇalıĢma Grubu Yazmanı) Belge No : TBD/Kamu-BIB/2008-ÇG1 Tarihi : 16/4/2008 Durumu : S 1.0 2
1. Çalışma Grubu : Çalışma Grubu Başkanı AHMET PEKEL (TCMB) Kamu-BİB YK Temsilcisi AYLA ALTUN (ODTÜ) Çalışma Grubu Başkan Yrd. ÜVEYĠZ ÜNAL ZAĠM (ADALET BAKANLIĞI) Kamu-BİB NECATĠ ETLACAKUġ (OYTEK) TBD YK SELÇUK KAVASOĞLU (DPT) Grup Üyeleri ABĠDĠN TOPAÇOĞLU (ADALET BAKANLIĞI) ADNAN YILMAZ (YARGITAY) ASLIHAN TÜFEKÇĠ (GAZĠ ÜNĠVERSĠTESĠ) ATĠLLA BĠLĠCĠ (TKĠ) AYSIM HANÇER (KIZILAY ) CENGĠZ GÜRAY (OYTEK) CĠHAN ONAY (ANKARA BÜYÜKġEHĠR BLD.) CÜNEYT NALÇACI (SENTĠM) DENĠZ PEKER (OYTEK) DOĞAN PEKER (KOÇSĠSTEM) ERDAL NANECĠ (MĠLLĠ KÜTÜPHANE) ERDĠNÇ IġIK (MALĠYE BAKANLIĞI) ERHAN KUMAġ (TÜRKSAT) ERSĠN TAġÇI (TCDD) ERSĠN T. YALVAÇ (MALĠYE BAKANLIĞI) F.LEYLA ERSUN (ODTÜ) GÜRKAN ERENEL (TÜRKSAT) Ġ.NEJAT ÇERCĠ (YURTKUR) ĠLHAN AKÇAL (MĠLLĠ KÜTÜPHANE) ĠSMAĠL YILDIRIM (ANKARA BÜYÜKġEHĠR BLD.) KEMAL NALÇACI (TÜRK PATENT ENSTĠTÜSÜ) KÜRġAT ÇAĞILTAY (ODTÜ) MELĠKE ÖZLEM TOSUN (ÇEVRE ve ORMAN BAKANLIĞI) MESUT KÜÇÜKĠBA (ADALET BAKANLIĞI) NEZĠHA ÇARKIT (MEB) NURAN GÖRGÜN (ADALET BAKANLIĞI) O.KUBĠLAY YILMAZ (MALĠYE BAKANLIĞI) ORHAN TOPÇU (BAġBAKANLIK-TADY) OSMAN SARITAġ (MALĠYE BAKANLIĞI) RAGIP GÜLPINAR (TOKĠ) SELDA TUNÇ (MALĠYE BAKANLIĞI) SEVDA ÖNÜRME (MALĠYE BAKANLIĞI) SEVĠNÇ OKUMUġOĞLU (TĠK) SUNA SARIOĞLU (SANAYĠ BAKANLIĞI) TOLUNAY CUMURCU (ORBĠM) TUBA DURMAZ (HÜ) TUNCAY BĠLMEZ (TPAO) YASEMĠN SEYDĠM (TCMB) YAġAR TOMSUK (TKĠ) 3
İÇİNDEKİLER Tablolar... 6 BÖLÜM 1... 7 1.1 CobiT Nedir?... 7 1.2 CobiT in Tarihçesi... 7 BÖLÜM 2... 9 2.1 CobiT (4.1 sürümü) ürün ailesi... 9 2.1.1 Yönetimsel Özet... 9 2.1.2 Çatı... 9 2.1.3 Esas BileĢenler (Kontrol Hedefleri, Yönetim Kılavuzu ve Olgunluk Modelleri)... 9 2.1.4 Ekler... 10 BÖLÜM 3... 11 3.1 CobiT Yapısı... 11 3.1.1 Planla ve Organize Et... 12 3.1.2 Tedarik ve Uygulama... 13 3.1.3 Teslimat ve Destek... 13 3.1.4 Ġzle ve Değerlendir... 14 BÖLÜM 4... 17 4.1 CobiT in Sağladığı Faydalar... 17 KAYNAKÇA... 19 4
Kısaltmalar AC Authorization Control : COBIT'de Yetki Kontrolü AI AICPA Acquire and Implement The American Institute of Certified PublicAccounts COBIT'de Tedarik ve Uygulama BT BTY COBIT BiliĢim Teknolojileri BiliĢim Teknolojileri YönetiĢimi Control Objectives for Information and related Technologies Bilgi ve Ġlgili Teknolojiler için Kontrol Hedefleri COSO The Committee of Sponsoring Organizations of the Treadway Commission : Tahrif EdilmiĢ Mali Raporlama Komisyonu Ġçin Sponsor KuruluĢlar Komitesi DS Deliver and Support : COBIT'de Teslimat ve Destek GAO The US General Accounting Office ISACA Information Systems Audit and Control Association : Bilgi Sistemleri Denetim ve Kontrol Birliği ISO International Organization for Standardization : Uluslararası Standartlar TeĢkilâtı ITGI The IT Governance Institute : BiliĢim Teknolojileri YönetiĢim Enstitüsü ME Monitor and Evaluate : COBIT'de Ġzleme ve Değerlendirme OECD Organization for Economic Co-operation and Development : 5
Ekonomik Kalkınma ve ĠĢbirliği Örgütü PO Plan and Organize : COBIT'de Planla ve Organize Et TBD Türkiye BiliĢim Derneği Tablolar Tablo 1 Planla ve Organize Et Süreç Alanına Ait Üst Seviye Kontrol Hedefleri... 12 Tablo 2 Tedarik ve Uygulama Süreç Alanına Üst Seviye Kontrol Hedefleri... 13 Tablo 3 Teslimat ve Destek Süreç Alanına Üst Seviye Kontrol Hedefleri... 14 Tablo 4 Ġzle ve Değerlendir Süreç Alanına Üst Seviye Kontrol Hedefleri... 15 6
BÖLÜM 1 CobiT e Giriş 1.1 CobiT Nedir? CobiT, Türkçe karģılığı Bilgi ve Ġlgili Teknolojiler Ġçin Kontrol Hedefleri olan Control OBjectives for Information and related Technology kelimelerinden üretilmiģ bir kısaltmadır. ISACA ve ITGI tarafından 1992 yılında geliģtirilmiģ, BT Yönetimi için en iyi uygulamalar kümesidir. CobiT; ISO teknik standartları, ISACA ve AB tarafından yayınlanan yönetim kanunları, COSO, AICPA, GAO tarafından yayınlanan profesyonel iç kontrol ve denetim standartları tarafından biçimlendirilmiģtir. Bir Ģirkette teknolojinin kullanımından ve BT yönetiģimi ile kontrol geliģtirmekten türeyen faydayı en üst düzeye çıkarmaya yardım etmesi için yöneticilere, denetçilere ve BT kullanıcılarına genel olarak kabul görmüģ ölçüler, göstergeler, süreçler ve en iyi uygulamalar sağlar. CobiT in vizyonu; biliģim teknolojileri yönetiģim (IT governance) modeli olmaktır. CobiT sadece bir denetim aracı değil, aynı zamanda bir yönetiģim aracı olma amacını taģır. Bu nedenle yönetimden biliģim teknolojileri personeline kadar kurum içi ve dıģında, kurumun varlığı ve sağlıklı faaliyet göstermesi konularında risk üstlenen çeģitli taraflara fayda sağlama amacını da yerine getirmeyi hedeflemektedir. 1.2 CobiT in Tarihçesi CobiT in ilk sürümü 1996 yılında yayımlandı. Amacı; iģ yöneticileri ve denetçilerinin günlük kullanımı için geçerli, güncel, uluslararası kabul görmüģ BT amaçlarını araģtırmak, geliģtirmek, teģvik etmek ve teģvik etmekti. Yönetim Rehberi, 1998 de yayınlanan 2. sürüme eklendi. 2000 yılında 3. sürüm yayınlandı. 2003 yılında bilgisayar bağlantılı versiyonu kullanılır duruma geldi. 2005 yılının aralık ayında 4. basım ilk olarak yayınlandı. 2007 yılının mayıs ayında, Ģu anda kullanılan 4.1 sürümü yayınlandı. Yayında olan bu versiyona ISACA nın web sitesinden eriģilebilmektedir. 4.1 versiyonundaki temel değiģiklikler; Olgunluk modeli için destek, Amaçların basitleģtirilmiģ tarifi, 7
ĠĢ, BT Hedefleri ve BT Süreçleri arasındaki çift yönlü iliģkileri ve süreçleri basamaklandırmak Ģeklinde listelenebilir. 8
BÖLÜM 2 2.1 CobiT (4.1 sürümü) ürün ailesi CobiT (4.1 sürümü) ürün ailesi; Yönetimsel özet, Çatı, Esas Ġçerik (Kontrol Hedefleri, Yönetim Kılavuzu ve Olgunluk Modelleri) Ekler olmak üzere dört yayından oluģmaktadır. 2.1.1 Yönetimsel Özet Özellikle zaman sıkıģıklığı olan kıdemli yöneticiler için tasarlanan CobiT Yönetimsel Özet, CobiT in temel kavram ve kurallarının anlaģılması için bir özet niteliğindedir. CobiT in anahtar konuları ve kurallarına iliģkin anahtar bilgi sağlar. 2.1.2 Çatı CobiT çatısını tanımlar. Ayrıca esas bileģenlere, süreçler, kontrollere ve süreçler, hedefler, metrikler arasındaki iliģkilere genel açıklama sağlar. 2.1.3 Esas Bileşenler (Kontrol Hedefleri, Yönetim Kılavuzu ve Olgunluk Modelleri) CobiT kılavuzunun esas içeriği 34 BT sürecine göre bölümlenmiģtir. Her bir süreç, kendine ait 4 sayfada detaylandırılmıģtır. Bu sayfaların içeriği aģağıdaki gibidir; 1. Sayfa Süreç için üst seviye kontrol amacını içerir; süreç tanımı, amaçlar, hedefler, metrikler, uygulamalar ve süreçten süreç alanlarına eģleme, bilgi kriterleri, BT kaynakları ve BT odak alanları tarif edilir. 2. Sayfa Süreç için detaylı kontrol hedefleri açıklanır. 3. Sayfa Yönetim kılavuzları, süreç girdileri/çıktıları, RACI (Sorumlu, tarif edilir, ve/veya bilgilendirilmiģ) grafiği, hedef ve metrikler anlatılır. 9
4. Sayfa Süreç için olgunluk modeli açıklanır. 2.1.4 Ekler EĢleĢtirmeler ve çapraz baģvurular, ilave olgunluk modeli bilgileri, referans materyalleri, proje tanımı ve sözlük yer alır. 10
BÖLÜM 3 3.1CobiT Yapısı CobiT, dört Süreç Alanında gruplanmıģ 34 BT sürecini ele alır. Bu dört grup; Planla ve Organize Et Tedarik ve Uygulama Teslimat ve Destek Ġzle ve Değerlendir Ģeklindedir. Her bir sürecin 0-5 arası bir olgunluk seviyesi vardır. (0 yok, 5 optimize edilmiģ) Bu ölçek, bir organizasyondaki sürecin olgunluk seviyesi, o sürecin hangi olgunluk seviyesinde olması gerektiği, hangi seviyenin en iyi uygulama olarak varsayıldığı ve diğer organizasyonların ne seviyede olduğu gibi anahtar değerlendirmeler için kullanılır. Olgunluk modelleri; 0 Olmayan TanımlanmıĢ süreç bulunmamaktadır. 1 Başlangıç Organize olmayan ve standartlaģmamıģ fakat kurumda farkındalığın mevcut olduğu ve adresleme ve standartlaģtırma ihtiyacının tespit edildiği seviyedir. 2 Tekrarlanan Bireye dayalı ve tekrarlanan iģleri farklı kiģilerin aynı Ģekilde yapabildiği seviyedir. Bu seviyede formal eğitim ve iletiģim metodları belirlenmemiģ fakat sorumluluk büyük oranda kiģiye bağlı kılınmıģtır. 3 Tanımlı Prosedürler standartlaģmıģ ve dokümante edilmiģ, eğitim aracılığı ile kurum içinde iletilmiģtir. Ancak bu süreçleri izleyip izlememe kararı kiģinin kendisine bırakılmıģtır; bu nedenle yapılan iģler arasında çeģitli farklılıklar mevcuttur. Prosedürlerin kendisi geliģmiģ değildir; ancak mevcut uygulamaların biçimselleģtirilmiģ halidir. 4 Yönetilen Prosedürlerle uyumu izlemek ve ölçmek, süreçlerin etkin 11
çalıģmadığının anlaģılması durumunda faaliyete geçmek mümkündür. Süreçler sürekli geliģmekte ve iyi uygulamaların tanımlanması sağlanmaktadır. Otomasyon ve araçlar kısıtlı veya parçalı bir biçimde kullanılabilmektedir. 5 Optimize Süreçler en iyi uygulamalar seviyesine indirgenmiģ, sürekli geliģim ve olgunluk modelleme konusunda diğer Ģirketlerin sonuçları ile çalıģmaktadır. BT, iģ akıģlarının otomatize edilmesi, kalite ve etkinliğin artırılması ve kurumun çabuk adapte olabilmesi için entegre olmuģtur. Ģeklinde tariflenmiģtir. 3.1.1 Planla ve Organize Et Planla ve Organize Et Süreç Alanı, bir Ģirketin amaçlarına ve hedeflerine ulaģması için bilgi ve teknolojilerin nasıl kullanılacağını kapsar. BT nin kullanımından en iyi sonuçları alarak fayda sağlamak için BT nin organizasyonel ve altyapısal Ģekline iģaret eder. Planla ve Organize Et Süreç Alanına ait üst seviye kontrol hedefleri Tablo 1 de listelenmiģtir. Tablo 1 Planla ve Organize Et Süreç Alanına Ait Üst Seviye Kontrol Hedefleri PO PO1 PO2 PO3 PO4 PO5 PO6 PO8 PO7 Planla ve Organize Et Stratejik BT Planının Tanımlanması Bilgi Mimarisinin Tanımlanması Teknolojik Yönün Belirlenmesi BT Organizasyon ve ĠliĢkilerinin Tanımlanması BT Yatırımlarının Yönetimi Yönetimin Hedeflerinin ve Talimatlarının Ġletilmesi Kalite Yönetimi Ġnsan Kaynakları Yönetimi 12
PO9 PO10 Risk Değerlendirme Proje Yönetimi 3.1.2 Tedarik ve Uygulama Tedarik ve GerçekleĢtirme Süreç Alanı, BT gereksinimlerini belirlemeyi, teknolojiyi tedarik etmeyi ve Ģirketin mevcut iģ süreçleri içinde uygulamayı kapsar. Bu Süreç Alanı ayrıca, Ģirketin BT sistemi ve bileģenlerinin ömrünü uzatmak için bir bakım planı oluģturmayı adresler. Tedarik ve Uygulama Süreç Alanına ait üst seviye kontrol hedefleri Tablo 2 de listelenmiģtir. Tablo 2 Tedarik ve Uygulama Süreç Alanına Üst Seviye Kontrol Hedefleri AI AI1 AI2 AI3 AI4 AI5 AI6 AI7 Tedarik ve Uygulama Otomasyon Çözümlerinin Belirlenmesi Uygulama Yazılımı Tedarik Edilmesi ve Bakımı Teknoloji Altyapısının Tedarik Edilmesi ve Bakımı ĠĢ ve Kullanımın Etkin Kılınması BT Kaynaklarının Sağlanması DeğiĢiklik Yönetimi Çözüm ve DeğiĢikliklerin Kurulması ve Kabul Edilmesi 3.1.3 Teslimat ve Destek Teslimat ve Destek Süreç Alanı, BT nin teslimat durumlarına odaklanır. Uygulamaların BT sistemi içinde yürütülmesi ve sonuçlarıyla olduğu kadar, BT sistemlerinin etkili ve yeterli iģletilmesine olanak sağlayan destek süreçlerini de kapsar. Destek süreçleri; güvenlik konuları ve eğitimi içerir. Teslimat ve Destek Süreç Alanına ait üst seviye kontrol hedefleri Tablo 3 te listelenmiģtir. 13
Tablo 3 Teslimat ve Destek Süreç Alanına Üst Seviye Kontrol Hedefleri DS DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Teslimat ve Destek Hizmet Düzeyi Belirleme ve Yönetimi Üçüncü Parti Hizmet Yönetimi Performans ve Kapasite Yönetimi Sürekli Hizmetin Sağlanması Sistem Güvenliğinin Sağlanması Harcamaların Belirlenmesi ve Bütçelenmesi Kullanıcı Eğitimi Kullanıcılara Yardım ve DanıĢmanlık Konfigürasyon Yönetimi Problem ve Olay Yönetimi Veri Yönetimi Fiziksel Çevre Yönetimi Operasyon Yönetimi 3.1.4 İzle ve Değerlendir Ġzle ve Değerlendir Süreç Alanı, Ģirket ihtiyaçlarının tayin edilmesiyle ilgili Ģirket stratejilerinin belirlenmesi ve mevcut BT sisteminin tasarlanırken niyetlenildiği ihtiyaçları karģılayıp karģılamadığı ile ilgilenir. Bu Süreç Alanı ayrıca BT sisteminin iģ amaçları ve Ģirketin kontrol süreçlerinin iç ve dıģ denetçiler tarafından etkinliğinin değerlendirilmesini de kapsar. Ġzle ve Değerlendir Süreç Alanına ait üst seviye kontrol hedefleri Tablo 4 te listelenmiģtir. 14
Tablo 4 Ġzle ve Değerlendir Süreç Alanına Üst Seviye Kontrol Hedefleri ME ME1 ME2 ME3 ME4 İzle ve Değerlendir Süreç Ġzleme Ġç Kontrol Değerlendirme Yeterliliği Bağımsız Güvence Elde Edilmesi Bağımsız Denetimin Sağlanması CobiT in 4 temel Süreç Alanının altında toplam 34 adet BT süreci bulunmaktadır. Bu BT süreçleri 318 adet detaylı kontrol amacı içermektedir. CobiT, BT süreçlerini aģağıdaki bilgi kriterleri ve bilgi kaynakları ile iliģkilendirilir. Bilgi kriterleri Etkililik Verimlilik Gizlilik Bütünlük Devamlılık Bilginin iş süreçleri ihtiyaçları ile ilgili ve bu ihtiyaçlara cevap verir nitelikte olması. Bilgi kaynakların en etkin kullanımı ile elde edilmesi. Hassas bilginin yetkisiz eriģime karģı korunması. Bilginin kendi içinde ve çevresel veriler ile bütünlük göstermesi, yetkisiz değilikliğinin engellenmesi. Bilginin ihtiyaç duyulduğunda eriģilebilir olması. Uyumluluk ĠĢ süreçlerinde kanun, düzenleme ve kontratlara uyumun sağlanması. Güvenilirlilik Yönetimin finansal ve diğer raporlamalar için güvenilir veriye ulaģabilmesi. 15
Bilgi kaynakları Ġnsan Kaynakları BT personel yetenekleri, bilinç, bilgi sistemleri planlama, organizasyon, uygulama, destek, gözetim üretkenliği. Uygulama Sistemleri Teknoloji Fiziksel Ortam Veri Manuel ve programlanmıģ iģ süreçlerinin tümü. Donanım, iģletim sistemi, veritabanı yönetim sistemi, bilgi ağı ve diğer teknoloji altyapısı. Bilgi sistemlerini barındıran ve koruyan fiziksel ortamlar. En geniģ anlamıyla, iç, dıģ veri türlerinin tamamı. 16
BÖLÜM 4 4.1 CobiT in Sağladığı Faydalar CobiT in yönetime ve bilişim teknolojileri yönlendirme komitesine sağladığı faydalar; Kurum yönetiminin sorumluluğunda olan biliģim teknolojileri süreç kontrollerinin uygulanabilmesi için gerekli çatıyı sağlar. BiliĢim teknolojileri ve iģ süreçleri arasındaki iliģkiyi gözeterek öncelikli bilgi sistemleri kontrollerinin tesbitinin daha etkin yapılabilmesini sağlar. BT yatırımlarının iģ süreçlerine uygun olarak gerçekleģtirilmesi ve risk/maliyet oranı yüksek projelere ağırlık verilebilmesi için alınacak kararlara ıģık tutar. BiliĢim teknolojileri süreçlerinin olgunluğunu sadece üretilen sonuçlar ile değil aynı zamanda performans belirteçleri ile de değerlendirilebilmesine imkan tanır. Bu sayede biliģim teknolojileri amaç belirteçlerinin yanı sıra performans belirteçlerinin de belirlenerek IT Scorecard ın ortaya konabilmesine ve yönetimin geleceğe yönelik daha kesin beklentilere sahip olabilmesine olanak sağlar. Bilgi Teknoloji personeline sağladığı yararlar: CobiT kontrol hedeflerinden özellikle Planla ve Organize Et sahasında bulunanların uygulamaya alınması ile önceliklendirme süreci ve diğer birimlerle olan iliģkilerde iyileģme yaģanabilecek, verimlilik artıģı sağlanabilecektir. Bu fayda tüm kurumu etkilemekle birlikte BiliĢim teknolojileri personeli tarafından daha fazla hissedilecektir. BT personeli biliģim teknolojileri denetiminin hangi kriterlere göre yapıldığını bilerek denetimin daha verimli gerçekleģtirilmesine katkıda bulunabilir. BT personeli için bir rehberlik hizmeti sağlar. Böylece BT personeli kontrol sahasında bulunan süreçlerinin olgunluk seviyesini CobiT te belirtlien kriterlere göre kendi insiyatifi ile yükseltebilir. 17
Bilişim teknolojileri denetçilerine sağladığı yararlar: CobiT BT denetimi alanında çok sayıda uzmanın katkısı ile, varolan diğer kriterlerin de dikkate alınarak hazırlandığı kabul görmüģ bir metodolojidir. BT denetçileri tüm denetim konularında yaģanabilecek kapsam ve objektif kriter belirleme sorununu CobiT ile aģabilir. BT denetçileri denetim rehberinden faydalanarak tespit edilen risklerin doğurabileceği zararları somutlaģtırabilir ve yönetime daha net bir bakıģ açısı kazandırabilir. CobiT te her süreç için sunulan kritik baģarı faktörlerinden yola çıkarak denetim sonuçlarını ölçümleyebilir ve iyileģtirme önerileri getirebilir. Kurum içi ve kurum dışı bilişim teknolojileri kullanıcılarına sağladığı yararlar: Bir kontrol metodolojisinin uygulanması iç ve dıģ kullanıcılara kullanılan bilgi kaynaklarının kontrollü olarak yönetildiğini ifade edecektir. Özellikle dıģ kullanıcılara sağladığı güvence zorunlu yükümlülüklerin yerine getirilmesine imkan tanıyabileceği gibi kurum için bir rekabet avantajı haline de dönüģebilir. Süreçlerin kontrollü olarak yürütülmesi, kullanıcıların gizlilik, bütünlük ve eriģilebilirlik ihtiyaçlarının beklenen ve daha üstü düzeylerde sağlanmasına olanak sağlar. 18
KAYNAKÇA [1] http://www.isaca.org [2] http://www.itgovernance.co.uk/cobit.aspx [3] http://en.wikipedia.org/wiki/cobit [4] http://www.projeyoneticisi.com [5] Vildan UZUNAY, CobiT (Control OBjectives for Information and related Technology), Ġç Kontrol Merkezi UyumlaĢtırma Dairesi Ankara,2007 19