Post Views: 609
Last updated on 10 June, 2024
Ngày nay, việc ứng dụng các công nghệ tiên tiến như Big Data, AI, IoT,… vào hoạt động kinh doanh ngày càng phổ biến, mang lại nhiều lợi ích cho doanh nghiệp. Tuy nhiên, việc quản lý hệ thống thông tin phức tạp với lượng dữ liệu khổng lồ cũng tiềm ẩn nhiều rủi ro. COBIT ra đời như giải pháp hữu hiệu giúp doanh nghiệp kiểm soát thông tin hiệu quả và giảm thiểu rủi ro trong môi trường số.Vậy COBIT là gì? Những nguyên tắc cốt lõi và cách chúng được ứng dụng trong việc kiểm soát công nghệ thông tin như thế nào? Cùng OCD tìm hiểu qua bài viết này.
COBIT là gì?
COBIT, viết tắt của “Các Mục tiêu Kiểm soát cho Công nghệ Thông tin và Liên quan” (Control Objectives for Information and Related Technologies), là một bộ khung được Viện quản lý công nghệ thông tin (IT governance Institure – ITGI) thuộc Hiệp hội về kiểm soát và kiểm soát hệ thống thông tin(ISACA – Information System Audit and Control Association) ban hành để xây dựng để hỗ trợ quản lý và điều hành công nghệ thông tin (CNTT) trong doanh nghiệp. Nó cung cấp một bộ hướng dẫn toàn diện cho việc quản lý CNTT hiệu quả, giúp các tổ chức đảm bảo rằng CNTT được sử dụng một cách hiệu quả, hiệu quả và tuân thủ.
Thay vì tập trung vào kỹ thuật, COBIT hướng đến mục tiêu kinh doanh. Bộ khung này cung cấp một loạt các quy trình chung về quản lý CNTT, với từng quy trình được định nghĩa chi tiết gồm đầu vào, đầu ra, các hoạt động chính, mục tiêu, cách đo lường hiệu quả và thang đánh giá mức độ trưởng thành cơ bản. Đây là bộ khung được công nhận và phổ biến toàn cầu.
Lịch sử của COBIT
- 1996: Phiên bản đầu tiên của COBIT được phát hành nhằm hỗ trợ kiểm toán viên tài chính hiểu biết tốt hơn về môi trường CNTT đang phát triển nhanh chóng.
- 1998: ISACA phát hành phiên bản mở rộng hơn, bao gồm các lĩnh vực ngoài kiểm soát kiểm toán.
- Những năm 2000: Các phiên bản 3 và 4 bổ sung thêm các hướng dẫn quản lý về an ninh mạng.
- 2013: COBIT 5 tập trung cung cấp các công cụ, thực tiễn tốt nhất và mục tiêu có thể áp dụng rộng rãi cho tất cả hoạt động CNTT của doanh nghiệp. COBIT 5 mở rộng dựa trên COBIT 4 bằng cách tích hợp các tiêu chuẩn liên quan từ Tổ chức Tiêu chuẩn hóa Quốc tế (ISO), bao gồm Thư viện Hạ tầng CNTT (ITIL).
- 2019: ISACA công bố phiên bản COBIT hiện tại: COBIT 2019. Phiên bản này linh hoạt, tổng hợp và dễ áp dụng hơn cho mọi doanh nghiệp bất kể quy mô hay mục tiêu trước mắt. COBIT 2019 cũng thích ứng tốt hơn với công nghệ thay đổi nhanh chóng và được thiết kế để cập nhật thường xuyên hơn.
Nguyên tắc cốt lõi của COBIT
5 nguyên tắc cốt lõi
COBIT hoạt động dựa trên 5 nguyên tắc then chốt để quản trị CNTT trong doanh nghiệp:
- Đáp ứng nhu cầu của các bên liên quan: COBIT đảm bảo hoạt động CNTT phục vụ mục tiêu chung của cả doanh nghiệp và người dùng.
- Bao quát toàn bộ hoạt động của doanh nghiệp: COBIT không chỉ tập trung vào một khía cạnh cụ thể mà bao gồm toàn bộ quy trình CNTT, từ lên kế hoạch đến vận hành và giám sát.
- Sử dụng một bộ khung tích hợp duy nhất: COBIT cung cấp một cách tiếp cận thống nhất để quản trị CNTT, tránh tình trạng lộn xộn do sử dụng nhiều bộ khung khác nhau.
- Xây dựng cách tiếp cận toàn diện: COBIT khuyến khích nhìn nhận tổng thể các yếu tố liên quan đến CNTT, thay vì chỉ tập trung vào từng phần riêng lẻ.
- Phân biệt giữa quản trị và điều hành: COBIT nhấn mạnh vai trò của quản trị là thiết lập định hướng và giám sát, trong khi điều hành là thực hiện các hoạt động cụ thể.
7 yếu tố then chốt cần thống nhất
Ngoài 5 nguyên tắc, COBIT còn xác định 7 yếu tố then chốt cần được thống nhất để hỗ trợ việc thực hiện các nguyên tắc này:
- Nguyên tắc, Chính sách và Bộ khung: Xác định định hướng và cách thức thực hiện.
- Quy trình: Xác định các bước thực hiện cụ thể.
- Cấu trúc tổ chức: Phân bổ trách nhiệm và quyền hạn liên quan đến CNTT.
- Văn hóa, Đạo đức và Hành vi: Xây dựng văn hóa tuân thủ và sử dụng CNTT một cách hiệu quả.
- Thông tin: Đảm bảo thông tin chính xác và đầy đủ để ra quyết định.
- Dịch vụ, Cơ sở hạ tầng và Ứng dụng: Quản lý hiệu quả các yếu tố nền tảng của CNTT.
- Con người, Kỹ năng và Năng lực: Đảm bảo nguồn nhân lực có đủ trình độ để vận hành CNTT.
Mục tiêu của COBIT
Mục tiêu của COBIT là tạo ra một “ngôn ngữ chung” cho các chuyên gia IT, lãnh đạo doanh nghiệp và kiểm toán viên tuân thủ. Nhờ đó, họ có thể trao đổi với nhau một cách dễ dàng về các biện pháp kiểm soát CNTT, mục tiêu, chiến lược và kết quả đạt được.
Bởi vì nếu thiếu ngôn ngữ chung, doanh nghiệp khi bị kiểm toán sẽ tốn nhiều thời gian để giải thích cho từng kiểm toán viên riêng lẻ về lý do, thời điểm, cách thức thiết lập các biện pháp kiểm soát CNTT cụ thể.
Framework của COBIT
COBIT liên kết và đo lường mục tiêu kinh doanh và CNTT để xác định trách nhiệm của các nhóm kinh doanh và CNTT.
- Bộ khung này bao gồm 5 quy trình chính: Đánh giá, Định hướng và Giám sát (EDM); Điều chỉnh, Lên kế hoạch và Tổ chức (APO); Xây dựng, Thu nạp và Triển khai (BAI); Cung cấp, Dịch vụ và Hỗ trợ (DSS); Giám sát, Đánh giá và Kiểm tra (MEA).
COBIT tương thích với các khuôn khổ khác như COSO, ITIL, BiSL, ISO 27000, CMMI, TOGAF và PMBOK.
Lợi ích của COBIT: Giúp doanh nghiệp tuân thủ pháp luật, linh hoạt hơn và gia tăng lợi nhuận.
Các thành phần của COBIT:
- Bộ khung (Framework): Sắp xếp các mục tiêu quản trị CNTT và các thực tiễn tốt theo lĩnh vực và quy trình CNTT, đồng thời liên kết chúng với các yêu cầu kinh doanh.
- Mô tả quy trình (Process descriptions): Cung cấp mô hình quy trình tham khảo và ngôn ngữ chung cho tất cả mọi người trong tổ chức. Các quy trình này tương ứng với các lĩnh vực trách nhiệm: lập kế hoạch, xây dựng, vận hành và giám sát.
- Mục tiêu kiểm soát (Control objectives): Cung cấp bộ yêu cầu toàn diện ở cấp cao để ban lãnh đạo xem xét nhằm kiểm soát hiệu quả từng quy trình CNTT.
- Hướng dẫn quản lý (Management guidelines): Hỗ trợ phân công trách nhiệm, thống nhất mục tiêu, đo lường hiệu suất và minh họa mối liên hệ với các quy trình khác.
- Mô hình trưởng thành (Maturity models): Đánh giá mức độ trưởng thành và năng lực cho từng quy trình, giúp xác định và khắc phục những thiếu sót.
COBIT đáp ứng mọi nhu cầu thực tế, đồng thời duy trì tính độc lập với các nhà sản xuất, công nghệ và nền tảng cụ thể. Điều này cho phép sử dụng COBIT để kiểm tra hệ thống CNTT của công ty (xác định mức độ phù hợp của hệ thống với các thực tiễn tốt nhất) hoặc để thiết kế một hệ thống CNTT gần như hoàn hảo về mặt tính năng.
Sự khác biệt giữa COBIT 5 và COBIT 2019 không?
Các phiên bản COBIT trước đây từng nhận nhiều phàn nàn từ nhiều bên khác nhau . Người ta cho rằng chúng có thể dẫn đến những hạn chế hoặc thậm chí là tác động khác nữa.
Một số người đánh giá rằng COBIT 5.0 thiên về thủ tục giấy tờ và các quy tắc cứng nhắc. Thay vì thúc đẩy việc tham gia quản trị CNTT và cải thiện trách nhiệm giải trình.
So với COBIT 5, phiên bản mới nhất COBIT 2019 có những thay đổi chính như:
- Cập nhật để phù hợp hơn với các tiêu chuẩn, bộ khung và thực tiễn tốt nhất toàn cầu.
- Cung cấp cơ chế để cộng đồng người dùng COBIT đóng góp ý kiến, chia sẻ ứng dụng và đề xuất cải tiến cho bộ khung.
- Hướng dẫn và công cụ mới để tùy chỉnh hệ thống quản trị CNTT. Nhằm đáp ứng các mục tiêu CNTT cụ thể và hỗ trợ ra quyết định tốt hơn.
Những điều cơ bản sau trước khi sử dụng COBIT 2019
COBIT 2019 không phải là công thức hoàn hảo mà là một công cụ linh hoạt hỗ trợ ra quyết định cho doanh nghiệp.
- Mục tiêu: COBIT 2019 cung cấp hơn 40 mục tiêu quản trị và điều hành doanh nghiệp. Người quản lý IT có thể ưu tiên hoặc bỏ qua các mục tiêu này dựa trên nhu cầu của từng bên liên quan.
- Lĩnh vực: Các mục tiêu COBIT được nhóm theo các lĩnh vực cụ thể, tương ứng với các quy trình kinh doanh khác nhau như lập kế hoạch, xây dựng và giám sát.
- Mục tiêu theo tầng: Điều này giúp xác định mối liên kết giữa nhu cầu và mục tiêu kinh doanh.
- Các thành phần: Các thành phần hoặc yếu tố hỗ trợ là những yếu tố chung như kỹ năng, cơ sở hạ tầng, mô tả quy trình và cấu trúc ảnh hưởng đến CNTT.
- Các yếu tố thiết kế: Bao gồm các yếu tố theo ngữ cảnh, chiến lược và chiến thuật giúp xác định nhu cầu của tổ chức và cách thức giải quyết chúng trong khuôn khổ. Những yếu tố này ảnh hưởng đến các lựa chọn triển khai liên quan đến công nghệ (chẳng hạn như dữ liệu đám mây), phương pháp (chẳng hạn như DevOps, ITIL 4 hoặc Agile) và thuê ngoài.
So sánh COBIT với các bộ khung quản trị khác
COBIT với ITIL
COBIT | ITIL |
Đều là những công cụ phân tích quan trọng để quản trị dịch vụ CNTT. Hai bộ khung này có thể phối hợp hiệu quả vì chúng có một số điểm trùng hợp. |
- COBIT có phạm vi rộng hơn, tập trung vào quản trị rủi ro và có thể áp dụng cho hầu hết mọi lĩnh vực trong doanh nghiệp.
| - Tập trung hẹp vào quản trị dịch vụ CNTT (ITSM)
|
- Khi cần chứng minh thủ tục, kiểm toán COBIT luôn được thực hiện bởi Kiểm toán viên Hệ thống Thông tin Chứng nhận ISACA (CISA).
| - ITIL yêu cầu sử dụng các công cụ của bên thứ ba, chẳng hạn như Đánh giá Quy trình CNTT Tudor (TIPA)
|
COBIT với TOGAF
TOGAF |
- Bộ khung Kiến trúc Nhóm Mở (TOGAF) là một bộ khung quản trị, rủi ro và tuân thủ (GRC) bổ sung cho COBIT. TOGAF được tạo ra và duy trì bởi The Open Group, một hiệp hội ngành độc lập.
|
- TOGAF xây dựng dựa trên một bộ khung trước đó có tên TAFIM (Bộ khung Kiến trúc Kỹ thuật cho Quản lý Thông tin), do Bộ Quốc phòng Hoa Kỳ (DOD) phát triển. Vào đầu năm 2009, The Open Group đã phát hành TOGAF phiên bản 9.
|
- Hiện nay, The Open Group và các tổ chức khác thường tổ chức các chương trình đào tạo và chứng nhận TOGAF. Kiến trúc sư doanh nghiệp thường là người chịu trách nhiệm triển khai TOGAF trong tổ chức
|
Những chứng chỉ của COBIT
Đối với những người đã có chứng chỉ COBIT 5: ISACA vẫn hỗ trợ gia hạn và cung cấp các khóa đào tạo, cấp chứng chỉ COBIT 5. Chứng chỉ COBIT 5 sẽ vẫn có giá trị song song với COBIT 2019.
Các chứng chỉ cho COBIT 2019:
- COBIT 2019 BRIDGE: Khóa học 1 ngày này giới thiệu các khái niệm, mô hình và định nghĩa chính trong COBIT 2019, tập trung vào những điểm khác biệt so với COBIT 5.
- COBIT 2019 Foundation: Bài thi này đánh giá kiến thức về “bối cảnh, thành phần, lợi ích và lý do chính khiến COBIT được sử dụng như một bộ khung quản trị thông tin và công nghệ”. Bạn có thể lấy chứng chỉ COBIT 2019 Foundation sau khóa học 2 ngày.
- COBIT 2019 Design and Implementation Chứng chỉ này đánh giá năng lực thiết kế một hệ thống quản trị phù hợp, tùy chỉnh theo nhu cầu sử dụng COBIT.
- NIST Cybersecurity Framework using COBIT 2019 certificate: Chứng chỉ này cung cấp kiến thức về việc triển khai Khung an ninh mạng NIST theo các tiêu chuẩn ngành và tích hợp Quản trị CNTT của Doanh nghiệp (EGIT).
Hiện tại, đây là những thông tin duy nhất về hệ thống chứng chỉ COBIT 2019. ISACA cho biết “bộ sản phẩm và đào tạo COBIT 2019 có tính cởi mở. ISACA sẽ tiếp tục đánh giá việc phát triển các mô-đun đào tạo trong tương lai dựa trên phản hồi và nhu cầu của thị trường”.
——————————-