การน า COBIT Framework มาใช ้ใน การควบคุมภายในส าหรับงาน เทคโนโลยีสารสนเทศ Worapat Paireekreng
Download ReportTranscript การน า COBIT Framework มาใช ้ใน การควบคุมภายในส าหรับงาน เทคโนโลยีสารสนเทศ Worapat Paireekreng
้ การนา COBIT Framework มาใชใน การควบคุมภายในสาหรับงาน เทคโนโลยีสารสนเทศ Worapat Paireekreng ห ัวข้อ บทนำ ตัวแบบและกฎเกณฑ์สำหรับกำรควบคุมทำงด้ำน เทคโนโลยีสำรสนเทศ แนวทำงกำรใช้งำนกรอบแนวคิดในกำรกำกับดูแล เทคโนโลยีสำรสนเทศ ตัวอย่ำงกระบวนกำร AI3 สรุป 1. บทนา มีกำรนำ IT เข้ำมำใช้ในงำนธุรกิจ เพื่อเพิ่มประสิทธิภำพ และประสิทธิผลในกำรทำงำน ถ้ำไม่มกี ำรนำกรอบแนวคิดมำควบคุมกำรใช้ IT จะทำให้ ต้นทุนสูง และไม่สนับสนุนเป้ำหมำยทำงธุรกิจ ต้องทำให้เป็ น IT Governance สำมำรถตรวจสอบกำรใช้ งำน IT ในองค์กรได้ 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ กฎหมำยเกีย่ วกับกำรควบคุมภำยใน เช่น Sarbanes-Oxley Act (SOX) COSO เป็ นตัวแบบกำรควบคุมทำงด้ำน เทคโนโลยีสำรสนเทศ โดยมุง่ เน้นรำยงำนไปที่บอร์ดผูบ้ ริหำร เป็ นกระบวนกำร ควบคุม ประกอบไปด้วย องค์ประกอบ 5 ด้ำน คือ Control environment Risk assessment Control activities Information and communication Monitoring 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ ITIL เป็ นกรอบแนวคิด ที่มง่ ุ เน้นในกำรควบคุมกระบวนกำร ทำงด้ำน เทคโนโลยีสำรสนเทศ ที่เน้นไปในเรื่องของกำรจัดกำร กำรบริกำร ประกอบไปด้วย กำรนำส่งบริกำร กำรสนับสนุนกำรบริกำร กำรวำงแผนเพื่อนำกำรจัดกำรบริกำรไปใช้ กำรจัดกำรควำมมัน่ คง กำรจัดกำรโครงสร้ำงพื้นฐำนทำงด้ำนเทคโนโลยีสำรสนเทศและกำร สื่อสำร มุมมองของธุรกิจ กำรจัดกำรโปรแกรมประยุกต์ กำรจัดกำรทรัพย์สินทำงด้ำนชุดคำสัง่ 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ ISO 17799:2005 เป็ นมำตรฐำนในเรื่องของกำรรักษำ ควำมปลอดภัยของข้อมูลที่นำเสนอมำในปี 2005 โดยได้ให้ แนวทำงปฏิบตั ทิ ี่ดที ี่สดุ ในกำรแนะนำในเรื่องของ กำรบริหำร กำรรักษำควำมปลอดภัยของข้อมูลที่ใช้โดยผูท้ ี่รบั ผิดชอบ ประยุกต์ใช้งำนในส่วนของระบบบริหำรกำรรักษำควำมมัน่ คง 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ ตัวแบบว ุฒิภาวะความสามารถแบบบูรณาการ (Capability Maturity Model Integration) เป็ นมำตรฐำนเพื่อ ใช้สำหรับวัดระดับควำมสำมำรถขององค์กรว่ำอยู่ในระดับใด แบ่งได้เป็ น 5 ระดับ คือ ระดับที่ 1 เรียกว่ำ แรกเริ่ม (Initial) ระดับที่ 2 เรียกว่ำ มีกำรจัดกำร (Managed) ระดับที่ 3 เรียกว่ำ มีกำรกำหนด (Defined) ระดับที่ 4 เรียกว่ำ มีกำรจัดกำรเชิงจำนวน (Quantitatively Managed) ระดับที่ 5 เรียกว่ำ เหมำะสมที่สด ุ (Optimizing) 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ COBIT เป็ นกรอบแนวคิดในกำรที่จะใช้สำหรับกำรควบคุมทำงด้ำน เทคโนโลยีสำรสนเทศ กำรใช้ COBIT เป็ นตัวช่วยในด้ำนกำรควบคุมภำยในของเทคโนโลยีสำรสนเทศ เป็ นกำรเชือ่ มโยงระหว่ำงเป้ำหมำยทำงธุรกิจและเป้ำหมำยทำง เทคโนโลยีสำรสนเทศเข้ำด้วยกัน มุง่ เน้นที่ตวั แบบกระบวนกำร ซึ่งพยำยำมทำให้เทคโนโลยี สำรสนเทศอยู่ภำยใต้กำรควบคุมให้ได้ COBIT จะนำเสนอ ตัวแบบกระบวนกำรทัว่ ไปที่เป็ น กระบวนกำรที่พบได้ในงำนทำงด้ำน IT 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ COBIT กำรทำ IT Governance มุง่ เน้นใน 5 ด้ำน คือ กำรจัดวำงกลยุทธ์ (Strategic Alignment) กำรนำเสนอคุณค่ำ (Value Delivery) กำรจัดกำรทรัพยำกร (Resource Management) กำรจัดกำรควำมเสี่ยง (Risk Management) กำรวัดผลกำรดำเนินงำน (Performance Measurement) 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ COBIT มีขอบเขตของกระบวนกำร 4 ด้ำนหลักด้วยกัน คือ กำรวำงแผนและกำรจัดองค์กร (Planning and Organization : PO) กำรจัดหำและนำไปใช้ (Acquisition and Implementation : AI) กำรนำส่งและสนับสนุน (Delivery and Support : DS) กำรตรวจสอบและประเมินผล (Monitoring and Evaluation : ME) โดยที่แต่ละด้ำนนัน้ จะมีกระบวนกำรย่อยอยูภ่ ำยใน ซึ่งจะมี กระบวนกำรรวมทัง้ หมด 34 กระบวนกำร 2. ตัวแบบและกฎเกณฑ์สาหรับการ ควบคุมทางด ้าน เทคโนโลยีสารสนเทศ COBIT โดยกรอบแนวคิด จะอธิบำยว่ำกระบวนกำรทำง เทคโนโลยี สำรสนเทศ จะนำข้อมูลข่ำวสำรไปให้กบั ควำมต้องกำรทำงธุรกิจได้ อย่ำงไร จึงจะบรรลุวตั ถุประสงค์ที่ได้ตงั้ ไว้ และกำรนำส่งนีม้ กี ำร ควบคุมผ่ำน วัตถุประสงค์กำรควบคุมระดับสูงในแต่ละ กระบวนกำร กรอบแนวคิดนีจ้ ะระบุว่ำ ข้อมูลข่ำวสำรหลักทั้ง 7 ด้ำนที่ได้ คือ ประสิทธิภำพ (effectiveness) , ประสิทธิผล (efficiency), กำรเป็ นควำมลับ (confidentiality) , ควำมสมบูรณ์ (integrity), กำรมี อยู่ (availability) , กำรปฏิบตั ติ ำม (compliance) และ ควำมเชือ่ ถือได้ (reliability) ด้วยทรัพยำกรทำง เทคโนโลยีสำรสนเทศ ได้แก่ คน (people) , โปรแกรมประยุกต์ (applications), เทคโนโลยี (technology) , สิ่งอำนวยควำมสะดวก (facilities) และ ข้อมูล (data) ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.1 การแบ่งระดับการนามาใช้ Level 0 : ระดับกฎหมำย Level 1 : ระดับนโยบำย Level 2 : ระดับกำรควบคุม Level 3 : ระดับปฏิบต ั กิ ำร ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.1 การแบ่งระดับการนามาใช้ Level 0 E-Transaction Law COSO Level 1 COBIT IT Level 2 ITIL ISO/IEC 17799:2000 Level 3 ภาพ แสดงระดับและขอบเขตในการนาตัวแบบต่างๆ มาใช้งาน ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.2 แนวทางประย ุกต์ใช้ COBIT ให้เข้ากับธ ุรกิจ ในกรอบแนวคิดของ COBIT จะมีรป ู แบบแนวทำงกำรบริหำร จัดกำร ซึ่งจะมีองค์ประกอบย่อยๆ ที่อยู่ภำยใน ทำให้ธรุ กิจ สำมำรถที่จะเชือ่ มโยงและได้รบั ข้อมูลสำรสนเทศที่จำเป็ น สำหรับกำรบรรลุเป้ำหมำยขององค์กร COBIT สนับสนุนกำรทำงำนทำงด้ำน IT Governance กำร บริหำรงำน กำรควบคุม COBIT จะเป็ นเครื่องมือที่ชว ่ ยให้ผบู้ ริหำรเชือ่ มโยงช่องว่ำง ระหว่ำง ควำมต้องกำรในกำรควบคุม เรื่องทำงด้ำนเทคนิค กับควำมเสี่ยงทำงธุรกิจได้ พร้อมทัง้ สื่อสำรให้ผทู้ ี่เกีย่ วข้อง รับทรำบ ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.2 แนวทางประย ุกต์ใช้ COBIT ให้เข้ากับธ ุรกิจ เริ่มต้น ให้ควำมต้องกำรทำงธุรกิจแก่กระบวนกำรทำงด้ำน เทคโนโลยีสำรสนเทศต่ำงๆ ให้กระบวนกำรทำงด้ำนเทคโนโลยีสำรสนเทศมีกำรทำงำนให้ได้ ตำมเป้ำหมำยของระดับกิจกรรม วัดผลได้โดย KPIs (Key Performance Indicators) เป็ นตัววัดผล กำรดำเนินงำน และใช้ KGI (Key Goal Indicators) ซึ่งเป็ นกำร วัดผลได้ในกระบวนกำร วัดระดับควำมสำมำรถขององค์กร ว่ำอยู่ในขัน ้ ใด (ระดับ 0 – 5 ) ซึ่งโดยสำมำรถใช้ COBIT เป็ นแนวทำง และทรำบได้ว่ำอยู่ ระดับใดในแต่ละกระบวนกำร ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.2 แนวทางประย ุกต์ใช้ COBIT ให้เข้ากับธ ุรกิจ ภาพ แสดงความสัมพันธ์ขององค์ประกอบ COBIT ที่มา COBIT 4.0 ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.2 แนวทางประย ุกต์ใช้ COBIT ให้เข้ากับธ ุรกิจ ควำมเชือ ่ มโยงที่เกิดขึน้ คือ สำมำรถจัดกลุม่ ขององค์ประกอบ ที่เกีย่ วข้องกับ ปั จจัยทำงด้ำน สำรสนเทศ โดยมีองค์ประกอบ หลักคือ เป้ำหมำยทำงธุรกิจ มีตว ั ผลักดันในเรื่องของกำรกำกับดูแลเข้ำมำเกี่ยวข้อง โดยจะดู จำกผลลัพธ์ที่เกิดขึน้ ทำงธุรกิจ ตัวผลักดันนัน ้ จะมำจำกกระบวนกำรทำงเทคโนโลยีสำรสนเทศ กระบวนกำรทำงเทคโนโลยีสำรสนเทศนีจ ้ ะมีกำรใช้ทรัพยำกร ทัง้ 4 ด้ำนที่เกี่ยวข้อง คือ โปรแกรมประยุกต์ ข้อมูลสำรสนเทศ โครงสร้ำงพื้นฐำน และคน เป็ นตัวผลักดันให้ทำงำนได้ มี KPIs เป็ นตัววัดผลสำเร็จของกระบวนกำร ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.2 แนวทางประย ุกต์ใช้ COBIT ให้เข้ากับธ ุรกิจ ภาพ แสดงการการจัดการของ COBIT, การควบค ุม, การจัดวางและการตรวจสอบด ูแล ที่มา COBIT 4.0 ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.2 แนวทางประย ุกต์ใช้ COBIT ให้เข้ากับธ ุรกิจ จำกลูกบำศก์ COBIT จะเห็นได้ว่ำควำมต้องกำรของธุรกิจจะมี อยู่ 7 ด้ำน ก็คือ ประสิทธิผล ประสิทธิภำพ กำรเป็ นควำมลับ ควำมสมบูรณ์ กำรมีใช้งำน กำรปฏิบตั ติ ำมกฎ และควำม เชือ่ ถือได้ มีกำรใช้ทรัพยำกรทำงด้ำน IT เข้ำไปเพื่อทำให้กำรทำงำนใน กระบวนกำรต่ำงๆ ของ IT สำมำรถที่จะให้ขอ้ มูลสำรสนเทศ ตรงนีอ้ อกมำได้ และจะได้วดั ใน 7 ด้ำนทำงธุรกิจด้วย กระบวนกำรทำงด้ำน IT จะมีขอบเขตที่เกี่ยวข้องอยู่ ดูว่ำสิ่งที่ ทำ อยู่ในขอบเขตเรื่องใด และแบ่งออกเป็ นกระบวนกำรต่ำงๆ จำกนัน้ ก็จะมีกำรแบ่งย่อยในระดับกิจกรรมด้วยว่ำแต่ละ กระบวนกำรจำเป็ นต้องทำกิจกรรมใดบ้ำง ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.2 แนวทางประย ุกต์ใช้ COBIT ให้เข้ากับธ ุรกิจ ภาพ แสดงล ูกบาศก์ของ COBIT ที่มา COBIT 4.0 ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.3 การนาไปใช้ มีแนวคิดกำรทำ IT Governance เปิ ดเผยข้อมูลตำมที่กฎหมำย กำหนด นำแนวทำงในกำรบริหำรจัดกำรต่ำงๆ ของ COSO มำใช้ เพื่อที่จะวำงแนวทำงกำรปฏิบตั งิ ำนทัง้ 5 ด้ำน ผูบ้ ริหำรจะได้ ดูแลงำนได้ถกู ด้ำน ใช้แนวทำงของ COBIT มำช่วยสร้ำงควำมเชือ ่ มโยงทำงด้ำน เป้ำหมำยทำงธุรกิจ กับเป้ำหมำยทำงด้ำน เทคโนโลยี สำรสนเทศ กำรนำมำใช้นน ั้ ไม่จำเป็ นจะต้องนำมำทัง้ หมด แต่ให้เลือก กระบวนกำรที่เกีย่ วข้องกับเป้ำหมำยทำงธุรกิจเป็ นหลักก่อน ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.3 การนาไปใช้ High-level Control Objective Detailed Control Objective Management Guildelines Maturity Model ภาพ แสดงขัน้ ตอนการใช้ COBIT ในแต่ละกระบวนการ ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.3 การนาไปใช้ เริ่มต้นที่กำรควบคุมในระดับบน ซึ่งหมำยถึงภำพรวมของ กระบวนกำรนัน้ ๆ และทรำบว่ำกระบวนกำรที่เกี่ยวข้องกับ เทคโนโลยีสำรสนเทศนี้ จะต้องทำอะไร เพื่อที่จะตอบสนองควำม ต้องกำรด้ำนธุรกิจด้ำนไหน รวมถึงทรำบตัววัดโดยรวมด้วย ว่ำ จะวัดผลกำรดำเนินกำรของกระบวนกำรนีด้ ว้ ย ว่ำจะใช้ ตัวชีว้ ดั หลักใด มำวัดผลสำเร็จของกระบวนกำร ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.3 การนาไปใช้ ทรำบว่ำ ทรัพยำกรใดที่เกี่ยวข้องกับกระบวนกำรนี้ ในแต่ละกระบวนกำรเองนัน ้ ก็จะมีเรื่องของ IT Governance เข้ำ มำเกี่ยวข้องด้วย คือ ทำง COBIT เองก็จะบอกว่ำ เป็ นกำร กำกับดูแลเทคโนโลยีสำรสนเทศทำงด้ำนใด ซึ่งจะมีอยู่ดว้ ยกัน 5 ด้ำน และบอกต่อด้วยว่ำ ด้ำนใดเป็ นด้ำนหลัก และด้ำนใดเป็ น ด้ำนสนับสนุน ้ 3. แนวทางการใชงานกรอบแนวคิ ดใน การกากับดูแลเทคโนโลยีสารสนเทศ 3.3 การนาไปใช้ ภาพ แสดงความสัมพันธ์ระหว่างกระบวนการ , เป้าหมาย และตัววัด (ตัวอย่างกระบวนการ DS5) ที่มา COBIT 4.0 4. ตัวอย่างกระบวนการ AI3 : Acquire and Maintain Technology Infrastructure AI3 : Acquire and Maintain Technology Infrastructure 1. High-level Control Objectives Objectives Organisations should have processes for the acquisition, implementation and upgrade of the technology infrastructure. This requires a planned approach to acquisition, maintainance and protection of infrastructure in line with with agreed technology strategies and the provision of development and test environments. This ensures that there is ongoing technological support for business applications. AI3 : Acquire and Maintain Technology Infrastructure 1. High-level Control Objectives AI3 : Acquire and Maintain Technology Infrastructure 1. High-level Control Objectives Control over the IT process of Acquire and maintain technology infrastructure that satisfies the business requirement for IT of acquiring and maintaining an integrated and standardised IT infrastructure by focusing on providing appropriate platforms for the business applications in line with the defined IT architecture and technology standards AI3 : Acquire and Maintain Technology Infrastructure 1. High-level Control Objectives is achieved by Producing a technology acquisition plan that aligns to the technology infrastructure plan Planning infrastructure maintenance Implementing internal control, security and auditability measures and is measured by Percent of platforms that are not in line with the defined IT architecture and technology standards Number of critical business processes supported by obsolete (or soon to be) infrastructure Number of infrastructure components that are no longer supportable (or will not be in the near future) AI3 : Acquire and Maintain Technology Infrastructure 2. Detailed Control Objectives AI3.1 Technological Infrastructure Acquisition Plan AI3.2 Infrastructure Resource Protection and Availability AI3.3 Infrastructure Maintenance AI3.4 Feasibility Test Environment AI3 : Acquire and Maintain Technology Infrastructure 2. Detailed Control Objectives AI3.1 Technological Infrastructure Acquisition Plan Produce a plan for the acquisition, implementation and maintenance of the technological infrastructure that meets established business functional and technical requirements and is in accord with the organisation’s technology direction. The plan should consider future flexibility for capacity additions, transition costs, technical risks and the lifetime of the investment for technology upgrades. Assess the complexity costs and the commercial viability of the vendor and product when adding new technical capability. AI3 : Acquire and Maintain Technology Infrastructure 2. Detailed Control Objectives AI3.2 Infrastructure Resource Protection and Availability Implement internal control, security and auditability measures during configuration, integration and maintenance of hardware and infrastructural software to protect resources and ensure availability and integrity. Responsibilities for using sensitive infrastructure components should be clearly defined and understood by those who develop and integrate infrastructure components. Their use should be monitored and evaluated. AI3 : Acquire and Maintain Technology Infrastructure 2. Detailed Control Objectives AI3.3 Infrastructure Maintenance Develop a strategy and plan for infrastructure maintenance and ensure that changes are controlled in line with the organisation’s change management procedure. Include periodic review against business needs, patch management and upgrade strategies, risks, vulnerabilities assessment and security requirements. AI3.4 Feasibility Test Environment Establish development and test environments to support effective and efficient feasibility and integration testing of applications and infrastructure in the early stages of the acquisition and development process. Consider functionality, hardware and software configuration, integration and performance testing, migration between environments, version control, test data and tools, and security. AI3 : Acquire and Maintain Technology Infrastructure 3. Management Guidelines INPUT PO3 Technology infrastructure plan, standards and opportunitites; regular ‘state of technology’ updates PO8 Acquisition and development standards PO10 Project management guidelines and detailed project plans AI1 Business requirements feasibility study AI6 Change process description DS3 Performance and capacity plan (requirements) PROCESS Control Objectives AI3.1 AI3.2 AI3.3 AI3.4 OUTPUT AI5 Procurement decisions AI7 Configured system to be tested/installed DS12 Physical environment requirements PO3 Updates for technology standards DS3 System monitoring requirements AI4 Infrastructure knowledge DS1 Initial planned OLAs AI3 : Acquire and Maintain Technology Infrastructure 3. Management Guidelines AI3 : Acquire and Maintain Technology Infrastructure 3. Management Guidelines Business Goals IT Goals Define Goals Process Goals KPIs Activity Goals AI3 : Acquire and Maintain Technology Infrastructure 3. Management Guidelines Activity Goals Key Performance Indicators Producing a technology acquisition plan that aligns to the technology infrastructure plan Planning infrastructure maintenance Providing development and test environment infrastructure Implementing internal control, security and auditability measures Activity Goal # and type of emergency changes to the infrastructure components # of outstanding acquisition requests Average time to configure infrastructure components Process Goal IT Goal DEFINE GOALS Business Goal AI3 : Acquire and Maintain Technology Infrastructure 3. Management Guidelines Process Key Goal Indicators Process Goals Provide appropriate platforms for the business applications in line with the defined IT architecture and technology standards. Provide a reliable and secure IT infrastructure. Activity Goal Process Goal % of platforms that are not in line with the defined IT architecture and technology standards # of different technology platforms by function across the enterprise % of infrastructure components acquired outside the acquisition process # of infrastructure components that are no longer supportable (or will not be in the near future) IT Goal DEFINE GOALS Business Goal AI3 : Acquire and Maintain Technology Infrastructure 3. Management Guidelines IT Goals IT Key Goal Indicators # of critical business processes supported by obsolete (or soon to be) infrastructure Acquire and maintain an integrated and standardised IT infrastructure. Optimise the IT infrastructure, resources and capabilities. Create IT agility Activity Goal Process Goal IT Goal DEFINE GOALS Business Goal AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model 5 Optimised 4 Managed and Measurable 3 Defined Process 2 Repeatable but Intuitive 1 Initial/Ad Hoc 0 Non-existent AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model 0 Non-existent when Managing the technology infrastructure is not recognised as a sufficiently important topic to be addressed. AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model 1 Initial/ Ad Hoc when There are changes made to infrastructure for every new application, without any overall plan. Although there is an awareness that the IT infrastructure is important, there is no consistent overall approach. Maintenance activity reacts to short-term needs. The production environment is the test environment. AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model 2 Repeatable but Intuitive when There is a consistency among tactical approaches when acquiring and maintaining the IT infrastructure. Acquisition and maintenance of IT infrastructure is not based on any defined strategy and does not consider the needs of the business applications that must be supported. There is an understanding that the IT infrastructure is important, supported by some formal practices. Some maintenance is scheduled, but it is not fully scheduled and co-ordinated. For some environments, a separate test environment exists. AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model 3 Defined Process when A clear, defined and generally understood process exists for acquiring and maintaining IT infrastructure. The process supports the needs of critical business applications and is aligned to IT and business strategy but it is not consistently applied. Maintenance is planned, scheduled and co-ordinated. There are separate environments for test and production. AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model 4 Managed and Measurable when The acquisition and maintenance process for technology infrastructure has developed to the point where it works well for most situations, is followed consistently and is focused on reusability. The IT infrastructure adequately supports the business applications. The process is well organised and proactive. The cost and lead time to achieve the expected level of scalability, flexibility and integration are partially optimised. AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model 5 Optimised when The acquisition and maintenance process for technology infrastructure is proactive and closely aligned with critical business applications and the technology architecture. Good practices regarding technology solutions are followed and the organisation is aware of the latest platform developments and management tools. Costs are reduced by rationalising and standardising infrastructure components and by using automation. A high level of technical awareness can identify optimum ways to proactively improve performance, including consideration of outsourcing options. The IT infrastructure is seen as the key enabler to leveraging the use of IT. AI3 : Acquire and Maintain Technology Infrastructure 4. Maturity Model Level 5 4 3 2 1 Awareness and Communic ation Policies, Standards and Procedures Tools and Automation Skill and Expertise Responsibi lity and Accountabi lity Goal Setting and Measureme nt AI3 : Acquire and Maintain Technology Infrastructure 5. Link to Business เป้ าหมายทาง IT เป้ าหมายทางธุรกิจ 4.การใช้ขอ้ มูลสารสนเทศ 19.ได้รับข้อมูลที่มีความ อย่างเหมาะสม น่าเชื่อถือและเป็ น ประโยชน์สาหรับการ ตัดสิ นใจในเชิงกลยุทธ์ 19.มัน่ ใจว่าข้อมูลที่สาคัญ 5.จัดการความเสี่ ยงทาง และเป็ นความลับจะไม่ถูก ธุรกิจ ให้ผไู ้ ม่มีสิทธิ์เข้าถึง 14.การทาตามกฎหมาย และข้อบังคับภายนอก 27.มัน่ ใจว่าการการใช้งาน 14.การทาตามกฎหมาย IT จะทาตามกฎหมายและ และข้อบังคับภายนอก ข้อบังคับ มุมมองทางด้ าน ผลลัพธ์ ทางธุรกิจ การเรี ยนรู ้และการเติบโต ข้อมูลมีประสิ ทธิผล ถูกต้องและสามารถ เชื่อถือได้ สามารถปกป้องข้อมูลที่ สาคัญและเป็ นความลับ การเงิน รวมถึงข้อมูลมีความ ถูกต้องสามารถใช้งานได้ ตามความต้องการ และ ถูกต้องตามกฏหมาย กระบวนการภายใน 5. สรุป COBIT เป็ นกรอบแนวคิดที่ชว่ ยเชือ่ มโยงกำรดำเนินธุรกิจกับ กำรใช้งำนทำงด้ำน เทคโนโลยีสำรสนเทศ ให้มคี วำมสอดคล้อง กัน โดยเริ่มต้นที่ตงั้ วัตถุประสงค์ทำงธุรกิจ และมีแนวคิดในกำร นำ เทคโนโลยีสำรสนเทศ มำใช้งำนซึ่งจะต้องมีกำรกำกับดูแล ให้ชดั เจนและมีวตั ถุประสงค์ในกำรกำกับดูแลควบคุมไว้ดว้ ย กำรจะควบคุมได้นนั้ ก็จะต้องมีขอ้ มูลสำรสนเทศที่จำเป็ นจะต้อง ใช้ ซึ่งจะทำให้กำรควบคุมกำรใช้งำน เทคโนโลยีสำรสนเทศ ใน องค์กรเป็ นไปอย่ำงถูกต้องและมีประสิทธิผล และสุดท้ำยส่งผล ให้ตรงกับควำมต้องกำรทำงธุรกิจและบรรลุเป้ำหมำยทำง ธุรกิจที่ได้วำงเอำไว้ได้