การนำ cobit framework ...
DESCRIPTION
การนำ COBIT Framework มาใช้ในการควบคุมภายในสำหรับงาน เทคโนโลยีสารสนเทศ. Worapat Paireekreng. หัวข้อ. บทนำ ตัวแบบและกฎเกณฑ์สำหรับการควบคุมทางด้าน เทคโนโลยีสารสนเทศ แนวทางการใช้งานกรอบแนวคิดในการกำกับดูแลเทคโนโลยีสารสนเทศ ตัวอย่างกระบวนการ AI3 สรุป. 1. บทนำ. - PowerPoint PPT PresentationTRANSCRIPT
การนำ�า COBIT Framework มาใช้ในำการควบค�มภายในำสำ�าหร�บงานำเทคโนำโลย�สำารสำนำเทศ
การนำ�า COBIT Framework มาใช้ในำการควบค�มภายในำสำ�าหร�บงานำเทคโนำโลย�สำารสำนำเทศWorapat PaireekrengWorapat Paireekreng
หั�วข้�อหั�วข้�อ บทนำ�า ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�ม
ทางด้านำ เทคโนำโลย�สำารสำนำเทศ แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการ
ก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ ตั�วอย&างกระบวนำการ AI3 สำร�ป
บทนำ�า ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�ม
ทางด้านำ เทคโนำโลย�สำารสำนำเทศ แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการ
ก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ ตั�วอย&างกระบวนำการ AI3 สำร�ป
1. บทนำ�า1. บทนำ�า ม�การนำ�า IT เข้ามาใช้ในำงานำธุ�รก$จ เพื่,-อ
เพื่$-มประสำ$ทธุ$ภาพื่และประสำ$ทธุ$ผลในำการท�างานำ
ถ้าไม&ม�การนำ�ากรอบแนำวค$ด้มาควบค�มการใช้ IT จะท�าใหตันำท�นำสำ%ง และไม&สำนำ�บสำนำ�นำเป1าหมายทางธุ�รก$จ
ตัองท�าใหเป2นำ IT Governance สำามารถ้ตัรวจสำอบการใช้งานำ IT ในำองค!กรได้
ม�การนำ�า IT เข้ามาใช้ในำงานำธุ�รก$จ เพื่,-อเพื่$-มประสำ$ทธุ$ภาพื่และประสำ$ทธุ$ผลในำการท�างานำ
ถ้าไม&ม�การนำ�ากรอบแนำวค$ด้มาควบค�มการใช้ IT จะท�าใหตันำท�นำสำ%ง และไม&สำนำ�บสำนำ�นำเป1าหมายทางธุ�รก$จ
ตัองท�าใหเป2นำ IT Governance สำามารถ้ตัรวจสำอบการใช้งานำ IT ในำองค!กรได้
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ กฎหมายเก�-ยวก�บการควบค�มภายในำ เช้&นำ
Sarbanes-Oxley Act (SOX) COSO เป2นำตั�วแบบการควบค�มทางด้านำ
เทคโนำโลย�สำารสำนำเทศ โด้ยม�&งเนำนำรายงานำไปท�-บอร!ด้ผ%บร$หาร เป2นำกระบวนำการควบค�ม ประกอบไปด้วย องค!ประกอบ 5 ด้านำ ค,อ Control environment Risk assessment Control activities Information and communication Monitoring
กฎหมายเก�-ยวก�บการควบค�มภายในำ เช้&นำ Sarbanes-Oxley Act (SOX)
COSO เป2นำตั�วแบบการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ โด้ยม�&งเนำนำรายงานำไปท�-บอร!ด้ผ%บร$หาร เป2นำกระบวนำการควบค�ม ประกอบไปด้วย องค!ประกอบ 5 ด้านำ ค,อ Control environment Risk assessment Control activities Information and communication Monitoring
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ ITIL เป2นำกรอบแนำวค$ด้ ท�-ม�&งเนำนำในำการควบค�ม
กระบวนำการทางด้านำ เทคโนำโลย�สำารสำนำเทศ ท�-เนำนำไปในำเร,-องข้องการจ�ด้การ การบร$การ ประกอบไปด้วย การนำ�าสำ&งบร$การ การสำนำ�บสำนำ�นำการบร$การ การวางแผนำเพื่,-อนำ�าการจ�ด้การบร$การไปใช้ การจ�ด้การความม�-นำคง การจ�ด้การโครงสำรางพื่,3นำฐานำทางด้านำเทคโนำโลย�
สำารสำนำเทศและการสำ,-อสำาร ม�มมองข้องธุ�รก$จ การจ�ด้การโปรแกรมประย�กตั! การจ�ด้การทร�พื่ย!สำ$นำทางด้านำช้�ด้ค�าสำ�-ง
ITIL เป2นำกรอบแนำวค$ด้ ท�-ม�&งเนำนำในำการควบค�มกระบวนำการทางด้านำ เทคโนำโลย�สำารสำนำเทศ ท�-เนำนำไปในำเร,-องข้องการจ�ด้การ การบร$การ ประกอบไปด้วย การนำ�าสำ&งบร$การ การสำนำ�บสำนำ�นำการบร$การ การวางแผนำเพื่,-อนำ�าการจ�ด้การบร$การไปใช้ การจ�ด้การความม�-นำคง การจ�ด้การโครงสำรางพื่,3นำฐานำทางด้านำเทคโนำโลย�
สำารสำนำเทศและการสำ,-อสำาร ม�มมองข้องธุ�รก$จ การจ�ด้การโปรแกรมประย�กตั! การจ�ด้การทร�พื่ย!สำ$นำทางด้านำช้�ด้ค�าสำ�-ง
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ ISO 17799:2005 เป2นำมาตัรฐานำในำเร,-อง
ข้องการร�กษาความปลอด้ภ�ยข้องข้อม%ลท�-นำ�าเสำนำอมาในำป6 2005 โด้ยได้ใหแนำวทางปฏิ$บ�ตั$ท�-ด้�ท�-สำ�ด้ในำการแนำะนำ�าในำเร,-องข้อง การบร$หารการร�กษาความปลอด้ภ�ยข้องข้อม%ลท�-ใช้โด้ยผ%ท�-ร �บผ$ด้ช้อบ ประย�กตั!ใช้งานำในำสำ&วนำข้องระบบบร$หารการร�กษาความม�-นำคง
ISO 17799:2005 เป2นำมาตัรฐานำในำเร,-องข้องการร�กษาความปลอด้ภ�ยข้องข้อม%ลท�-นำ�าเสำนำอมาในำป6 2005 โด้ยได้ใหแนำวทางปฏิ$บ�ตั$ท�-ด้�ท�-สำ�ด้ในำการแนำะนำ�าในำเร,-องข้อง การบร$หารการร�กษาความปลอด้ภ�ยข้องข้อม%ลท�-ใช้โด้ยผ%ท�-ร �บผ$ด้ช้อบ ประย�กตั!ใช้งานำในำสำ&วนำข้องระบบบร$หารการร�กษาความม�-นำคง
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ ตั�วแบบวฒิ�ภาวะความสามารถแบบบ�รณาการ (Capability
Maturity Model Integration) เป2นำมาตัรฐานำเพื่,-อใช้สำ�าหร�บว�ด้ระด้�บความสำามารถ้ข้ององค!กรว&าอย%&ในำระด้�บใด้ แบ&งได้เป2นำ 5 ระด้�บ ค,อ ระด้�บท�- 1 เร�ยกว&า แรกเร$-ม (Initial) ระด้�บท�- 2 เร�ยกว&า ม�การจ�ด้การ (Managed) ระด้�บท�- 3 เร�ยกว&า ม�การก�าหนำด้ (Defined) ระด้�บท�- 4 เร�ยกว&า ม�การจ�ด้การเช้$งจ�านำวนำ (Quantitatively
Managed) ระด้�บท�- 5 เร�ยกว&า เหมาะสำมท�-สำ�ด้ (Optimizing)
ตั�วแบบวฒิ�ภาวะความสามารถแบบบ�รณาการ (Capability Maturity Model Integration) เป2นำมาตัรฐานำเพื่,-อใช้สำ�าหร�บว�ด้ระด้�บความสำามารถ้ข้ององค!กรว&าอย%&ในำระด้�บใด้ แบ&งได้เป2นำ 5 ระด้�บ ค,อ ระด้�บท�- 1 เร�ยกว&า แรกเร$-ม (Initial) ระด้�บท�- 2 เร�ยกว&า ม�การจ�ด้การ (Managed) ระด้�บท�- 3 เร�ยกว&า ม�การก�าหนำด้ (Defined) ระด้�บท�- 4 เร�ยกว&า ม�การจ�ด้การเช้$งจ�านำวนำ (Quantitatively
Managed) ระด้�บท�- 5 เร�ยกว&า เหมาะสำมท�-สำ�ด้ (Optimizing)
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศCOBIT เป2นำกรอบแนำวค$ด้ในำการท�-จะใช้สำ�าหร�บการควบค�ม
ทางด้านำเทคโนำโลย�สำารสำนำเทศ การใช้ COBIT เป2นำตั�วช้&วยในำด้านำการควบค�มภายในำข้อง
เทคโนำโลย�สำารสำนำเทศ เป2นำการเช้,-อมโยงระหว&างเป1าหมายทางธุ�รก$จและ
เป1าหมายทางเทคโนำโลย�สำารสำนำเทศเข้าด้วยก�นำ ม�&งเนำนำท�-ตั�วแบบกระบวนำการ ซึ่9-งพื่ยายามท�าให
เทคโนำโลย�สำารสำนำเทศอย%&ภายใตัการควบค�มใหได้ COBIT จะนำ�าเสำนำอ ตั�วแบบกระบวนำการท�-วไปท�-
เป2นำกระบวนำการท�-พื่บได้ในำงานำทางด้านำ IT
COBIT เป2นำกรอบแนำวค$ด้ในำการท�-จะใช้สำ�าหร�บการควบค�ม
ทางด้านำเทคโนำโลย�สำารสำนำเทศ การใช้ COBIT เป2นำตั�วช้&วยในำด้านำการควบค�มภายในำข้อง
เทคโนำโลย�สำารสำนำเทศ เป2นำการเช้,-อมโยงระหว&างเป1าหมายทางธุ�รก$จและ
เป1าหมายทางเทคโนำโลย�สำารสำนำเทศเข้าด้วยก�นำ ม�&งเนำนำท�-ตั�วแบบกระบวนำการ ซึ่9-งพื่ยายามท�าให
เทคโนำโลย�สำารสำนำเทศอย%&ภายใตัการควบค�มใหได้ COBIT จะนำ�าเสำนำอ ตั�วแบบกระบวนำการท�-วไปท�-
เป2นำกระบวนำการท�-พื่บได้ในำงานำทางด้านำ IT
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศCOBIT การท�า IT Governance ม�&งเนำนำในำ 5 ด้านำ ค,อ การจ�ด้วางกลย�ทธุ! (Strategic Alignment) การนำ�าเสำนำอค�ณค&า (Value Delivery) การจ�ด้การทร�พื่ยากร (Resource
Management) การจ�ด้การความเสำ�-ยง (Risk Management) การว�ด้ผลการด้�าเนำ$นำงานำ (Performance
Measurement)
COBIT การท�า IT Governance ม�&งเนำนำในำ 5 ด้านำ ค,อ การจ�ด้วางกลย�ทธุ! (Strategic Alignment) การนำ�าเสำนำอค�ณค&า (Value Delivery) การจ�ด้การทร�พื่ยากร (Resource
Management) การจ�ด้การความเสำ�-ยง (Risk Management) การว�ด้ผลการด้�าเนำ$นำงานำ (Performance
Measurement)
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศCOBIT ม�ข้อบเข้ตัข้องกระบวนำการ 4 ด้านำหล�กด้วยก�นำ ค,อ
การวางแผนำและการจ�ด้องค!กร (Planning and Organization : PO)
การจ�ด้หาและนำ�าไปใช้ (Acquisition and Implementation : AI)
การนำ�าสำ&งและสำนำ�บสำนำ�นำ (Delivery and Support : DS)
การตัรวจสำอบและประเม$นำผล (Monitoring and Evaluation : ME)
โด้ยท�-แตั&ละด้านำนำ�3นำจะม�กระบวนำการย&อยอย%&ภายในำ ซึ่9-งจะม�กระบวนำการรวมท�3งหมด้ 34 กระบวนำการ
COBIT ม�ข้อบเข้ตัข้องกระบวนำการ 4 ด้านำหล�กด้วยก�นำ ค,อ
การวางแผนำและการจ�ด้องค!กร (Planning and Organization : PO)
การจ�ด้หาและนำ�าไปใช้ (Acquisition and Implementation : AI)
การนำ�าสำ&งและสำนำ�บสำนำ�นำ (Delivery and Support : DS)
การตัรวจสำอบและประเม$นำผล (Monitoring and Evaluation : ME)
โด้ยท�-แตั&ละด้านำนำ�3นำจะม�กระบวนำการย&อยอย%&ภายในำ ซึ่9-งจะม�กระบวนำการรวมท�3งหมด้ 34 กระบวนำการ
2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศ2. ตั�วแบบและกฎเกณฑ์!สำ�าหร�บการ
ควบค�มทางด้านำ เทคโนำโลย�สำารสำนำเทศCOBIT โด้ยกรอบแนำวค$ด้ จะอธุ$บายว&ากระบวนำการทาง เทคโนำโลย�
สำารสำนำเทศ จะนำ�าข้อม%ลข้&าวสำารไปใหก�บความตัองการทางธุ�รก$จได้อย&างไร จ9งจะบรรล�ว�ตัถ้�ประสำงค!ท�-ได้ตั�3งไว และการนำ�าสำ&งนำ�3ม�การควบค�มผ&านำ ว�ตัถ้�ประสำงค!การควบค�มระด้�บสำ%งในำแตั&ละกระบวนำการ กรอบแนำวค$ด้นำ�3จะระบ�ว&า ข้อม%ลข้&าวสำารหล�กท�3ง 7 ด้านำท�-ได้ ค,อ ประสำ$ทธุ$ภาพื่ (effectiveness ) , ประสำ$ทธุ$ผล (efficiency), การเป2นำความล�บ (confidentiality ) , ความสำมบ%รณ! (integrity), การม�อย%& (availability ) , การปฏิ$บ�ตั$ตัาม (compliance ) และ ความเช้,-อถ้,อได้ (reliability) ด้วยทร�พื่ยากรทาง เทคโนำโลย�สำารสำนำเทศ ได้แก& คนำ (people) , โปรแกรมประย�กตั! (applications), เทคโนำโลย� (technology ) , สำ$-งอ�านำวยความสำะด้วก (facilities )และ ข้อม%ล (data)
COBIT โด้ยกรอบแนำวค$ด้ จะอธุ$บายว&ากระบวนำการทาง เทคโนำโลย�
สำารสำนำเทศ จะนำ�าข้อม%ลข้&าวสำารไปใหก�บความตัองการทางธุ�รก$จได้อย&างไร จ9งจะบรรล�ว�ตัถ้�ประสำงค!ท�-ได้ตั�3งไว และการนำ�าสำ&งนำ�3ม�การควบค�มผ&านำ ว�ตัถ้�ประสำงค!การควบค�มระด้�บสำ%งในำแตั&ละกระบวนำการ กรอบแนำวค$ด้นำ�3จะระบ�ว&า ข้อม%ลข้&าวสำารหล�กท�3ง 7 ด้านำท�-ได้ ค,อ ประสำ$ทธุ$ภาพื่ (effectiveness ) , ประสำ$ทธุ$ผล (efficiency), การเป2นำความล�บ (confidentiality ) , ความสำมบ%รณ! (integrity), การม�อย%& (availability ) , การปฏิ$บ�ตั$ตัาม (compliance ) และ ความเช้,-อถ้,อได้ (reliability) ด้วยทร�พื่ยากรทาง เทคโนำโลย�สำารสำนำเทศ ได้แก& คนำ (people) , โปรแกรมประย�กตั! (applications), เทคโนำโลย� (technology ) , สำ$-งอ�านำวยความสำะด้วก (facilities )และ ข้อม%ล (data)
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.1 การแบ�งระดั�บการนำ�ามาใช้� Level 0 : ระด้�บกฎหมาย Level 1 : ระด้�บนำโยบาย Level 2 : ระด้�บการควบค�ม Level 3 : ระด้�บปฏิ$บ�ตั$การ
3.1 การแบ�งระดั�บการนำ�ามาใช้� Level 0 : ระด้�บกฎหมาย Level 1 : ระด้�บนำโยบาย Level 2 : ระด้�บการควบค�ม Level 3 : ระด้�บปฏิ$บ�ตั$การ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.1 การแบ�งระดั�บการนำ�ามาใช้� 3.1 การแบ�งระดั�บการนำ�ามาใช้�
COSO
ITIL
COBIT IT
E-Transaction Law
ISO/IEC 17799:2000
Level 0
Level 1
Level 2
Level 3
ภาพ แสดังระดั�บและข้อบเข้ตัในำการนำ�าตั�วแบบตั�างๆ มาใช้�งานำ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ ในำกรอบแนำวค$ด้ข้อง COBIT จะม�ร%ปแบบ
แนำวทางการบร$หารจ�ด้การ ซึ่9-งจะม�องค!ประกอบย&อยๆ ท�-อย%&ภายในำ ท�าใหธุ�รก$จสำามารถ้ท�-จะเช้,-อมโยงและได้ร�บข้อม%ลสำารสำนำเทศท�-จ�าเป2นำสำ�าหร�บการบรรล�เป1าหมายข้ององค!กร
COBIT สำนำ�บสำนำ�นำการท�างานำทางด้านำ IT Governance การบร$หารงานำ การควบค�ม
COBIT จะเป2นำเคร,-องม,อท�-ช้&วยใหผ%บร$หารเช้,-อมโยงช้&องว&างระหว&าง ความตัองการในำการควบค�ม เร,-องทางด้านำเทคนำ$ค ก�บความเสำ�-ยงทางธุ�รก$จได้ พื่รอมท�3งสำ,-อสำารใหผ%ท�-เก�-ยวข้องร�บทราบ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ ในำกรอบแนำวค$ด้ข้อง COBIT จะม�ร%ปแบบ
แนำวทางการบร$หารจ�ด้การ ซึ่9-งจะม�องค!ประกอบย&อยๆ ท�-อย%&ภายในำ ท�าใหธุ�รก$จสำามารถ้ท�-จะเช้,-อมโยงและได้ร�บข้อม%ลสำารสำนำเทศท�-จ�าเป2นำสำ�าหร�บการบรรล�เป1าหมายข้ององค!กร
COBIT สำนำ�บสำนำ�นำการท�างานำทางด้านำ IT Governance การบร$หารงานำ การควบค�ม
COBIT จะเป2นำเคร,-องม,อท�-ช้&วยใหผ%บร$หารเช้,-อมโยงช้&องว&างระหว&าง ความตัองการในำการควบค�ม เร,-องทางด้านำเทคนำ$ค ก�บความเสำ�-ยงทางธุ�รก$จได้ พื่รอมท�3งสำ,-อสำารใหผ%ท�-เก�-ยวข้องร�บทราบ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ เร$-มตันำ ใหความตัองการทางธุ�รก$จแก&กระบวนำการ
ทางด้านำเทคโนำโลย�สำารสำนำเทศตั&างๆ ใหกระบวนำการทางด้านำเทคโนำโลย�สำารสำนำเทศม�การ
ท�างานำใหได้ตัามเป1าหมายข้องระด้�บก$จกรรม ว�ด้ผลได้โด้ย KPIs (Key Performance
Indicators) เป2นำตั�วว�ด้ผลการด้�าเนำ$นำงานำ และใช้ KGI (Key Goal Indicators) ซึ่9-งเป2นำการว�ด้ผลได้ในำกระบวนำการ
ว�ด้ระด้�บความสำามารถ้ข้ององค!กร ว&าอย%&ในำข้�3นำใด้ (ระด้�บ 0 – 5 ) ซึ่9-งโด้ยสำามารถ้ใช้ COBIT เป2นำแนำวทาง และทราบได้ว&าอย%&ระด้�บใด้ในำแตั&ละกระบวนำการ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ เร$-มตันำ ใหความตัองการทางธุ�รก$จแก&กระบวนำการ
ทางด้านำเทคโนำโลย�สำารสำนำเทศตั&างๆ ใหกระบวนำการทางด้านำเทคโนำโลย�สำารสำนำเทศม�การ
ท�างานำใหได้ตัามเป1าหมายข้องระด้�บก$จกรรม ว�ด้ผลได้โด้ย KPIs (Key Performance
Indicators) เป2นำตั�วว�ด้ผลการด้�าเนำ$นำงานำ และใช้ KGI (Key Goal Indicators) ซึ่9-งเป2นำการว�ด้ผลได้ในำกระบวนำการ
ว�ด้ระด้�บความสำามารถ้ข้ององค!กร ว&าอย%&ในำข้�3นำใด้ (ระด้�บ 0 – 5 ) ซึ่9-งโด้ยสำามารถ้ใช้ COBIT เป2นำแนำวทาง และทราบได้ว&าอย%&ระด้�บใด้ในำแตั&ละกระบวนำการ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ
ภาพ แสดังความส�มพ�นำธุ'ข้ององค'ประกอบ COBIT ท*+มา COBIT 4.0
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ ความเช้,-อมโยงท�-เก$ด้ข้93นำ ค,อ สำามารถ้จ�ด้กล�&มข้ององค!
ประกอบท�-เก�-ยวข้องก�บ ป;จจ�ยทางด้านำ สำารสำนำเทศ โด้ยม�องค!ประกอบหล�กค,อ เป1าหมายทางธุ�รก$จ
ม�ตั�วผล�กด้�นำในำเร,-องข้องการก�าก�บด้%แลเข้ามาเก�-ยวข้อง โด้ยจะด้%จากผลล�พื่ธุ!ท�-เก$ด้ข้93นำทางธุ�รก$จ
ตั�วผล�กด้�นำนำ�3นำจะมาจากกระบวนำการทางเทคโนำโลย�สำารสำนำเทศ
กระบวนำการทางเทคโนำโลย�สำารสำนำเทศนำ�3จะม�การใช้ทร�พื่ยากรท�3ง 4 ด้านำท�-เก�-ยวข้อง ค,อ โปรแกรมประย�กตั! ข้อม%ลสำารสำนำเทศ โครงสำรางพื่,3นำฐานำ และคนำ เป2นำตั�วผล�กด้�นำใหท�างานำได้
ม� KPIs เป2นำตั�วว�ด้ผลสำ�าเร<จข้องกระบวนำการ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ ความเช้,-อมโยงท�-เก$ด้ข้93นำ ค,อ สำามารถ้จ�ด้กล�&มข้ององค!
ประกอบท�-เก�-ยวข้องก�บ ป;จจ�ยทางด้านำ สำารสำนำเทศ โด้ยม�องค!ประกอบหล�กค,อ เป1าหมายทางธุ�รก$จ
ม�ตั�วผล�กด้�นำในำเร,-องข้องการก�าก�บด้%แลเข้ามาเก�-ยวข้อง โด้ยจะด้%จากผลล�พื่ธุ!ท�-เก$ด้ข้93นำทางธุ�รก$จ
ตั�วผล�กด้�นำนำ�3นำจะมาจากกระบวนำการทางเทคโนำโลย�สำารสำนำเทศ
กระบวนำการทางเทคโนำโลย�สำารสำนำเทศนำ�3จะม�การใช้ทร�พื่ยากรท�3ง 4 ด้านำท�-เก�-ยวข้อง ค,อ โปรแกรมประย�กตั! ข้อม%ลสำารสำนำเทศ โครงสำรางพื่,3นำฐานำ และคนำ เป2นำตั�วผล�กด้�นำใหท�างานำได้
ม� KPIs เป2นำตั�วว�ด้ผลสำ�าเร<จข้องกระบวนำการ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ
ภาพ แสดังการการจ�ดัการข้อง COBIT, การควบคม, การจ�ดัวางและการตัรวจสอบดั�แล ท*+มา COBIT 4.0
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ จากล%กบาศก! COBIT จะเห<นำได้ว&าความตัองการข้อง
ธุ�รก$จจะม�อย%& 7 ด้านำ ก<ค,อ ประสำ$ทธุ$ผล ประสำ$ทธุ$ภาพื่ การเป2นำความล�บ ความสำมบ%รณ! การม�ใช้งานำ การปฏิ$บ�ตั$ตัามกฎ และความเช้,-อถ้,อได้
ม�การใช้ทร�พื่ยากรทางด้านำ IT เข้าไปเพื่,-อท�าใหการท�างานำในำกระบวนำการตั&างๆ ข้อง IT สำามารถ้ท�-จะใหข้อม%ลสำารสำนำเทศตัรงนำ�3ออกมาได้ และจะได้ว�ด้ในำ 7 ด้านำทางธุ�รก$จด้วย
กระบวนำการทางด้านำ IT จะม�ข้อบเข้ตัท�-เก�-ยวข้องอย%& ด้%ว&าสำ$-งท�-ท�า อย%&ในำข้อบเข้ตัเร,-องใด้ และแบ&งออกเป2นำกระบวนำการตั&างๆ จากนำ�3นำ ก<จะม�การแบ&งย&อยในำระด้�บก$จกรรมด้วยว&าแตั&ละกระบวนำการจ�าเป2นำตัองท�าก$จกรรมใด้บาง
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ จากล%กบาศก! COBIT จะเห<นำได้ว&าความตัองการข้อง
ธุ�รก$จจะม�อย%& 7 ด้านำ ก<ค,อ ประสำ$ทธุ$ผล ประสำ$ทธุ$ภาพื่ การเป2นำความล�บ ความสำมบ%รณ! การม�ใช้งานำ การปฏิ$บ�ตั$ตัามกฎ และความเช้,-อถ้,อได้
ม�การใช้ทร�พื่ยากรทางด้านำ IT เข้าไปเพื่,-อท�าใหการท�างานำในำกระบวนำการตั&างๆ ข้อง IT สำามารถ้ท�-จะใหข้อม%ลสำารสำนำเทศตัรงนำ�3ออกมาได้ และจะได้ว�ด้ในำ 7 ด้านำทางธุ�รก$จด้วย
กระบวนำการทางด้านำ IT จะม�ข้อบเข้ตัท�-เก�-ยวข้องอย%& ด้%ว&าสำ$-งท�-ท�า อย%&ในำข้อบเข้ตัเร,-องใด้ และแบ&งออกเป2นำกระบวนำการตั&างๆ จากนำ�3นำ ก<จะม�การแบ&งย&อยในำระด้�บก$จกรรมด้วยว&าแตั&ละกระบวนำการจ�าเป2นำตัองท�าก$จกรรมใด้บาง
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ3.2 แนำวทางประยุกตั'ใช้� COBIT ใหั�เข้�าก�บธุรก�จ
ภาพ แสดังล�กบาศก'ข้อง COBIT ท*+มา COBIT 4.0
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.3 การนำ�าไปใช้� ม�แนำวค$ด้การท�า IT Governance เป=ด้เผย
ข้อม%ลตัามท�-กฎหมายก�าหนำด้ นำ�าแนำวทางในำการบร$หารจ�ด้การตั&างๆ ข้อง COSO
มาใช้เพื่,-อท�-จะวางแนำวทางการปฏิ$บ�ตั$งานำท�3ง 5ด้านำ ผ%บร$หารจะได้ด้%แลงานำได้ถ้%กด้านำ
ใช้แนำวทางข้อง COBIT มาช้&วยสำรางความเช้,-อมโยงทางด้านำเป1าหมายทางธุ�รก$จ ก�บเป1าหมายทางด้านำ เทคโนำโลย�สำารสำนำเทศ
การนำ�ามาใช้นำ�3นำไม&จ�าเป2นำจะตัองนำ�ามาท�3งหมด้ แตั&ใหเล,อกกระบวนำการท�-เก�-ยวข้องก�บเป1าหมายทางธุ�รก$จเป2นำหล�กก&อนำ
3.3 การนำ�าไปใช้� ม�แนำวค$ด้การท�า IT Governance เป=ด้เผย
ข้อม%ลตัามท�-กฎหมายก�าหนำด้ นำ�าแนำวทางในำการบร$หารจ�ด้การตั&างๆ ข้อง COSO
มาใช้เพื่,-อท�-จะวางแนำวทางการปฏิ$บ�ตั$งานำท�3ง 5ด้านำ ผ%บร$หารจะได้ด้%แลงานำได้ถ้%กด้านำ
ใช้แนำวทางข้อง COBIT มาช้&วยสำรางความเช้,-อมโยงทางด้านำเป1าหมายทางธุ�รก$จ ก�บเป1าหมายทางด้านำ เทคโนำโลย�สำารสำนำเทศ
การนำ�ามาใช้นำ�3นำไม&จ�าเป2นำจะตัองนำ�ามาท�3งหมด้ แตั&ใหเล,อกกระบวนำการท�-เก�-ยวข้องก�บเป1าหมายทางธุ�รก$จเป2นำหล�กก&อนำ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.3 การนำ�าไปใช้� 3.3 การนำ�าไปใช้� High-level Control
Objective
Detailed Control Objective
ManagementGuildelines
Maturity Model
ภาพ แสดังข้�.นำตัอนำการใช้� COBIT ในำแตั�ละกระบวนำการ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.3 การนำ�าไปใช้� เร$-มตันำท�-การควบค�มในำระด้�บบนำ ซึ่9-งหมายถ้9ง
ภาพื่รวมข้องกระบวนำการนำ�3นำๆ และทราบว&ากระบวนำการท�-เก�-ยวข้องก�บเทคโนำโลย�สำารสำนำเทศนำ�3 จะตัองท�าอะไร เพื่,-อท�-จะตัอบสำนำองความตัองการด้านำธุ�รก$จด้านำไหนำ รวมถ้9งทราบตั�วว�ด้โด้ยรวมด้วยว&า จะว�ด้ผลการด้�าเนำ$นำการข้องกระบวนำการนำ�3ด้วย ว&าจะใช้ตั�วช้�3ว�ด้หล�กใด้ มาว�ด้ผลสำ�าเร<จข้องกระบวนำการ
3.3 การนำ�าไปใช้� เร$-มตันำท�-การควบค�มในำระด้�บบนำ ซึ่9-งหมายถ้9ง
ภาพื่รวมข้องกระบวนำการนำ�3นำๆ และทราบว&ากระบวนำการท�-เก�-ยวข้องก�บเทคโนำโลย�สำารสำนำเทศนำ�3 จะตัองท�าอะไร เพื่,-อท�-จะตัอบสำนำองความตัองการด้านำธุ�รก$จด้านำไหนำ รวมถ้9งทราบตั�วว�ด้โด้ยรวมด้วยว&า จะว�ด้ผลการด้�าเนำ$นำการข้องกระบวนำการนำ�3ด้วย ว&าจะใช้ตั�วช้�3ว�ด้หล�กใด้ มาว�ด้ผลสำ�าเร<จข้องกระบวนำการ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.3 การนำ�าไปใช้� ทราบว&า ทร�พื่ยากรใด้ท�-เก�-ยวข้องก�บ
กระบวนำการนำ�3 ในำแตั&ละกระบวนำการเองนำ�3นำ ก<จะม�เร,-องข้อง IT
Governance เข้ามาเก�-ยวข้องด้วย ค,อ ทาง COBIT เองก<จะบอกว&า เป2นำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศทางด้านำใด้ ซึ่9-งจะม�อย%&ด้วยก�นำ 5 ด้านำ และบอกตั&อด้วยว&า ด้านำใด้เป2นำด้านำหล�ก และด้านำใด้เป2นำด้านำสำนำ�บสำนำ�นำ
3.3 การนำ�าไปใช้� ทราบว&า ทร�พื่ยากรใด้ท�-เก�-ยวข้องก�บ
กระบวนำการนำ�3 ในำแตั&ละกระบวนำการเองนำ�3นำ ก<จะม�เร,-องข้อง IT
Governance เข้ามาเก�-ยวข้องด้วย ค,อ ทาง COBIT เองก<จะบอกว&า เป2นำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศทางด้านำใด้ ซึ่9-งจะม�อย%&ด้วยก�นำ 5 ด้านำ และบอกตั&อด้วยว&า ด้านำใด้เป2นำด้านำหล�ก และด้านำใด้เป2นำด้านำสำนำ�บสำนำ�นำ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3. แนำวทางการใช้งานำกรอบแนำวค$ด้ในำการก�าก�บด้%แลเทคโนำโลย�สำารสำนำเทศ
3.3 การนำ�าไปใช้� 3.3 การนำ�าไปใช้�
ภาพ แสดังความส�มพ�นำธุ'ระหัว�างกระบวนำการ , เป/าหัมายุ และตั�วว�ดั (ตั�วอยุ�างกระบวนำการ DS5) ท*+มา COBIT 4.0
4. ตั�วอย&างกระบวนำการ AI3 : Acquire and Maintain Technology Infrastructure
4. ตั�วอย&างกระบวนำการ AI3 : Acquire and Maintain Technology Infrastructure
1. High-level Control Objectives1. High-level Control Objectives
Objectives Organisations should have processes for the
acquisition, implementation and upgrade of the technology infrastructure.
This requires a planned approach to acquisition, maintainance and protection of infrastructure in line with with agreed technology strategies and the provision of development and test environments.
This ensures that there is ongoing technological support for business applications.
Objectives Organisations should have processes for the
acquisition, implementation and upgrade of the technology infrastructure.
This requires a planned approach to acquisition, maintainance and protection of infrastructure in line with with agreed technology strategies and the provision of development and test environments.
This ensures that there is ongoing technological support for business applications.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
1. High-level Control Objectives1. High-level Control Objectives
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
1. High-level Control Objectives1. High-level Control Objectives
Control over the IT process of Acquire and maintain technology infrastructure
that satisfies the business requirement for IT of acquiring and maintaining an integrated and standardised
IT infrastructure
by focusing on providing appropriate platforms for the business
applications in line with the defined IT architecture and technology standards
Control over the IT process of Acquire and maintain technology infrastructure
that satisfies the business requirement for IT of acquiring and maintaining an integrated and standardised
IT infrastructure
by focusing on providing appropriate platforms for the business
applications in line with the defined IT architecture and technology standards
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
1. High-level Control Objectives1. High-level Control Objectives
is achieved by Producing a technology acquisition plan that aligns to the
technology infrastructure plan Planning infrastructure maintenance Implementing internal control, security and auditability
measures and is measured by Percent of platforms that are not in line with the defined IT
architecture and technology standards Number of critical business processes supported by
obsolete (or soon to be) infrastructure Number of infrastructure components that are no longer
supportable (or will not be in the near future)
is achieved by Producing a technology acquisition plan that aligns to the
technology infrastructure plan Planning infrastructure maintenance Implementing internal control, security and auditability
measures and is measured by Percent of platforms that are not in line with the defined IT
architecture and technology standards Number of critical business processes supported by
obsolete (or soon to be) infrastructure Number of infrastructure components that are no longer
supportable (or will not be in the near future)
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
2. Detailed Control Objectives2. Detailed Control Objectives
AI3.1 Technological Infrastructure Acquisition Plan AI3.2 Infrastructure Resource Protection and Availability AI3.3 Infrastructure Maintenance AI3.4 Feasibility Test Environment
AI3.1 Technological Infrastructure Acquisition Plan AI3.2 Infrastructure Resource Protection and Availability AI3.3 Infrastructure Maintenance AI3.4 Feasibility Test Environment
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
2. Detailed Control Objectives2. Detailed Control Objectives
AI3.1 Technological Infrastructure Acquisition Plan Produce a plan for the acquisition, implementation and
maintenance of the technological infrastructure that meets established business functional and technical requirements and is in accord with the organisation’s technology direction.
The plan should consider future flexibility for capacity additions, transition costs, technical risks and the lifetime of the investment for technology upgrades.
Assess the complexity costs and the commercial viability of the vendor and product when adding new technical capability.
AI3.1 Technological Infrastructure Acquisition Plan Produce a plan for the acquisition, implementation and
maintenance of the technological infrastructure that meets established business functional and technical requirements and is in accord with the organisation’s technology direction.
The plan should consider future flexibility for capacity additions, transition costs, technical risks and the lifetime of the investment for technology upgrades.
Assess the complexity costs and the commercial viability of the vendor and product when adding new technical capability.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
2. Detailed Control Objectives
2. Detailed Control Objectives
AI3.2 Infrastructure Resource Protection and Availability Implement internal control, security and auditability
measures during configuration, integration and maintenance of hardware and infrastructural software to protect resources and ensure availability and integrity.
Responsibilities for using sensitive infrastructure components should be clearly defined and understood by those who develop and integrate infrastructure components.
Their use should be monitored and evaluated.
AI3.2 Infrastructure Resource Protection and Availability Implement internal control, security and auditability
measures during configuration, integration and maintenance of hardware and infrastructural software to protect resources and ensure availability and integrity.
Responsibilities for using sensitive infrastructure components should be clearly defined and understood by those who develop and integrate infrastructure components.
Their use should be monitored and evaluated.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
2. Detailed Control Objectives
2. Detailed Control Objectives
AI3.3 Infrastructure Maintenance Develop a strategy and plan for infrastructure maintenance and
ensure that changes are controlled in line with the organisation’s change management procedure.
Include periodic review against business needs, patch management and upgrade strategies, risks, vulnerabilities assessment and security requirements.
AI3.4 Feasibility Test Environment Establish development and test environments to support effective and
efficient feasibility and integration testing of applications and infrastructure in the early stages of the acquisition and development process.
Consider functionality, hardware and software configuration, integration and performance testing, migration between environments, version control, test data and tools, and security.
AI3.3 Infrastructure Maintenance Develop a strategy and plan for infrastructure maintenance and
ensure that changes are controlled in line with the organisation’s change management procedure.
Include periodic review against business needs, patch management and upgrade strategies, risks, vulnerabilities assessment and security requirements.
AI3.4 Feasibility Test Environment Establish development and test environments to support effective and
efficient feasibility and integration testing of applications and infrastructure in the early stages of the acquisition and development process.
Consider functionality, hardware and software configuration, integration and performance testing, migration between environments, version control, test data and tools, and security.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
3. Management Guidelines3. Management Guidelines
Control Objectives
AI3.1AI3.2AI3.3AI3.4
INPUT PROCESS OUTPUT
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI5 Procurement decisions
AI7 Configured system to be tested/installed
DS12 Physical environment requirements
PO3 Updates for technology standards
DS3 System monitoring requirements
AI4 Infrastructure knowledge
DS1 Initial planned OLAs
PO3 Technology infrastructure plan,
standards and opportunitites;
regular ‘state of technology’ updates
PO8 Acquisition and development
standards
PO10 Project management guidelines and
detailed project plans
AI1 Business requirements feasibility study
AI6 Change process description
DS3 Performance and capacity plan
(requirements)
3. Management Guidelines3. Management Guidelines
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
3. Management Guidelines3. Management Guidelines
Business GoalsBusiness Goals
IT GoalsIT Goals
Process GoalsProcess Goals
Activity GoalsActivity Goals
Define Goals
KPIs
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
3. Management Guidelines3. Management GuidelinesActivity Goals
Producing a technology acquisition plan that aligns to the technology infrastructure planPlanning infrastructure maintenanceProviding development and test environment infrastructureImplementing internal control, security and auditability measures
Key Performance Indicators# and type of emergency changes to the infrastructure components# of outstanding acquisition requestsAverage time to configure infrastructure components
DEFINE GOALS
ProcessGoal
IT Goal
Activity Goal
Business Goal
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
DEFINE GOALS
ProcessGoal
IT Goal
Activity Goal
Business Goal
3. Management Guidelines3. Management Guidelines
Process GoalsProvide appropriate platforms for the business applications in line with the defined IT architecture and technology standards.Provide a reliable and secure IT infrastructure.
Process Key Goal Indicators% of platforms that are not in line with the defined IT architecture and technology standards# of different technology platforms by function across the enterprise% of infrastructure components acquired outside the acquisition process# of infrastructure components that are no longer supportable (or will not be in the near future)
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
3. Management Guidelines3. Management Guidelines
IT GoalsAcquire and maintain an integrated and standardised IT infrastructure.Optimise the IT infrastructure, resources and capabilities.Create IT agility
IT Key Goal Indicators# of critical business processes supported by obsolete (or soon to be) infrastructure
DEFINE GOALS
ProcessGoal
IT Goal
Activity Goal
Business Goal
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
5 Optimised
4 Managed and Measurable
3 Defined Process
2 Repeatable but Intuitive
1 Initial/Ad Hoc
0 Non-existent
4. Maturity Model4. Maturity Model
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
4. Maturity Model4. Maturity Model 0 Non-existent when Managing the technology infrastructure is not recognised
as a sufficiently important topic to be addressed.
0 Non-existent when Managing the technology infrastructure is not recognised
as a sufficiently important topic to be addressed.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
4. Maturity Model4. Maturity Model 1 Initial/ Ad Hoc when There are changes made to infrastructure for every new
application, without any overall plan. Although there is an awareness that the IT infrastructure is
important, there is no consistent overall approach. Maintenance activity reacts to short-term needs. The production environment is the test environment.
1 Initial/ Ad Hoc when There are changes made to infrastructure for every new
application, without any overall plan. Although there is an awareness that the IT infrastructure is
important, there is no consistent overall approach. Maintenance activity reacts to short-term needs. The production environment is the test environment.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
4. Maturity Model4. Maturity Model 2 Repeatable but Intuitive when There is a consistency among tactical approaches when
acquiring and maintaining the IT infrastructure. Acquisition and maintenance of IT infrastructure is not
based on any defined strategy and does not consider the needs of the business applications that must be supported.
There is an understanding that the IT infrastructure is important, supported by some formal practices.
Some maintenance is scheduled, but it is not fully scheduled and co-ordinated.
For some environments, a separate test environment exists.
2 Repeatable but Intuitive when There is a consistency among tactical approaches when
acquiring and maintaining the IT infrastructure. Acquisition and maintenance of IT infrastructure is not
based on any defined strategy and does not consider the needs of the business applications that must be supported.
There is an understanding that the IT infrastructure is important, supported by some formal practices.
Some maintenance is scheduled, but it is not fully scheduled and co-ordinated.
For some environments, a separate test environment exists.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
4. Maturity Model4. Maturity Model 3 Defined Process when A clear, defined and generally understood process exists
for acquiring and maintaining IT infrastructure. The process supports the needs of critical business
applications and is aligned to IT and business strategy but it is not consistently applied.
Maintenance is planned, scheduled and co-ordinated. There are separate environments for test and production.
3 Defined Process when A clear, defined and generally understood process exists
for acquiring and maintaining IT infrastructure. The process supports the needs of critical business
applications and is aligned to IT and business strategy but it is not consistently applied.
Maintenance is planned, scheduled and co-ordinated. There are separate environments for test and production.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
4. Maturity Model4. Maturity Model 4 Managed and Measurable when The acquisition and maintenance process for technology
infrastructure has developed to the point where it works well for most situations, is followed consistently and is focused on reusability.
The IT infrastructure adequately supports the business applications.
The process is well organised and proactive. The cost and lead time to achieve the expected level of
scalability, flexibility and integration are partially optimised.
4 Managed and Measurable when The acquisition and maintenance process for technology
infrastructure has developed to the point where it works well for most situations, is followed consistently and is focused on reusability.
The IT infrastructure adequately supports the business applications.
The process is well organised and proactive. The cost and lead time to achieve the expected level of
scalability, flexibility and integration are partially optimised.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
4. Maturity Model4. Maturity Model 5 Optimised when The acquisition and maintenance process for technology
infrastructure is proactive and closely aligned with critical business applications and the technology architecture.
Good practices regarding technology solutions are followed and the organisation is aware of the latest platform developments and management tools. Costs are reduced by rationalising and standardising infrastructure components and by using automation. A high level of technical awareness can identify optimum ways to proactively improve performance, including consideration of outsourcing options.
The IT infrastructure is seen as the key enabler to leveraging the use of IT.
5 Optimised when The acquisition and maintenance process for technology
infrastructure is proactive and closely aligned with critical business applications and the technology architecture.
Good practices regarding technology solutions are followed and the organisation is aware of the latest platform developments and management tools. Costs are reduced by rationalising and standardising infrastructure components and by using automation. A high level of technical awareness can identify optimum ways to proactively improve performance, including consideration of outsourcing options.
The IT infrastructure is seen as the key enabler to leveraging the use of IT.
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
4. Maturity Model4. Maturity Model
Level
Awareness and Communication
Policies, Standards and Procedures
Tools and Automation
Skill and Expertise
Responsibility andAccountability
Goal Setting and Measurement
5
4
3
2
1
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
5. Link to Business5. Link to Business
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
AI3 : Acquire and Maintain Technology AI3 : Acquire and Maintain Technology InfrastructureInfrastructure
เป1าหมายทาง IT เป1าหมายทางธุ�รก$จ ม�มมองทางด้านำ ผลล�พื่ธุ!ทางธุ�รก$จ
4.การใช้ข้อม%ลสำารสำนำเทศอย&างเหมาะสำม
19.ได้ร�บข้อม%ลท�-ม�ความนำ&าเช้,-อถ้,อและเป2นำประโยช้นำ!สำ�าหร�บการตั�ด้สำ$นำใจในำเช้$งกลย�ทธุ!
การเร�ยนำร% และการเตั$บโตั
ข้อม%ลม�ประสำ$ทธุ$ผล ถ้%กตัองและสำามารถ้เช้,-อถ้,อได้สำามารถ้ปกป1องข้อม%ลท�-สำ�าค�ญและเป2นำความล�บ รวมถ้9งข้อม%ลม�ความถ้%กตัองสำามารถ้ใช้งานำได้ตัามความตัองการ และถ้%กตัองตัามกฏิหมาย
19.ม�-นำใจว&าข้อม%ลท�-สำ�าค�ญและเป2นำความล�บจะไม&ถ้%กใหผ%ไม&ม�สำ$ทธุ$?เข้าถ้9ง
5.จ�ด้การความเสำ�-ยงทางธุ�รก$จ
การเง$นำ
14.การท�าตัามกฎหมายและข้อบ�งค�บภายนำอก
27.ม�-นำใจว&าการการใช้งานำ IT จะท�าตัามกฎหมายและข้อบ�งค�บ
14.การท�าตัามกฎหมายและข้อบ�งค�บภายนำอก
กระบวนำการภายในำ
5. สำร�ป5. สำร�ป COBIT เป2นำกรอบแนำวค$ด้ท�-ช้&วยเช้,-อมโยงการ
ด้�าเนำ$นำธุ�รก$จก�บการใช้งานำทางด้านำ เทคโนำโลย�สำารสำนำเทศ ใหม�ความสำอด้คลองก�นำ โด้ยเร$-มตันำท�-ตั� 3งว�ตัถ้�ประสำงค!ทางธุ�รก$จ และม�แนำวค$ด้ในำการนำ�า เทคโนำโลย�สำารสำนำเทศ มาใช้งานำซึ่9-งจะตัองม�การก�าก�บด้%แล ใหช้�ด้เจนำและม�ว�ตัถ้�ประสำงค!ในำการก�าก�บด้%แลควบค�มไวด้วย การจะควบค�มได้นำ�3นำก<จะตัองม�ข้อม%ลสำารสำนำเทศท�-จ�าเป2นำจะตัองใช้
ซึ่9-งจะท�าใหการควบค�มการใช้งานำ เทคโนำโลย�สำารสำนำเทศ ในำองค!กรเป2นำไปอย&างถ้%กตัองและม�ประสำ$ทธุ$ผล และสำ�ด้ทายสำ&งผลใหตัรงก�บความตัองการทางธุ�รก$จและบรรล�เป1าหมายทางธุ�รก$จท�-ได้วางเอาไวได้
COBIT เป2นำกรอบแนำวค$ด้ท�-ช้&วยเช้,-อมโยงการด้�าเนำ$นำธุ�รก$จก�บการใช้งานำทางด้านำ เทคโนำโลย�สำารสำนำเทศ ใหม�ความสำอด้คลองก�นำ โด้ยเร$-มตันำท�-ตั� 3งว�ตัถ้�ประสำงค!ทางธุ�รก$จ และม�แนำวค$ด้ในำการนำ�า เทคโนำโลย�สำารสำนำเทศ มาใช้งานำซึ่9-งจะตัองม�การก�าก�บด้%แล ใหช้�ด้เจนำและม�ว�ตัถ้�ประสำงค!ในำการก�าก�บด้%แลควบค�มไวด้วย การจะควบค�มได้นำ�3นำก<จะตัองม�ข้อม%ลสำารสำนำเทศท�-จ�าเป2นำจะตัองใช้
ซึ่9-งจะท�าใหการควบค�มการใช้งานำ เทคโนำโลย�สำารสำนำเทศ ในำองค!กรเป2นำไปอย&างถ้%กตัองและม�ประสำ$ทธุ$ผล และสำ�ด้ทายสำ&งผลใหตัรงก�บความตัองการทางธุ�รก$จและบรรล�เป1าหมายทางธุ�รก$จท�-ได้วางเอาไวได้