Professional Documents
Culture Documents
Gerçekleştirme Süreçleri
Gerçekleştirme Süreçleri
ISACA®
160 ülkede 95,000 katılımcısıyla, ISACA (www.isaca.org), bilgi sistemleri (IS) güvence ve güvenliği, kurumsal BT
yönetişim ve yönetimi ve BT-bağlantılı risk ve uyum konusunda bilgi, sertifikasyon, örgütlenme desteği ve eğitimi
sağlayan dünya lideri bir kuruluştur. Kar amacı gütmeyen bağımsız bir kuruluş olarak 1969 yılında kurulan ISACA,
Uluslararası konferanslara ev sahipliği yapmakta, ISACA® Journal dergisini çıkartmakta, uluslararası IS denetim ve
kontrol standartlarını geliştirerek de katılımcılarının bilgi sistemlerine güvenmesine ve bir değer çıkartmasına yardımcı
olmaktadır.. Ayrıca, dünya çapında saygın Sertifikalı Bilgi Sistemleri Denetçisi (Certified Information Systems Auditor®
(CISA®)), Sertifikalı Bilgi Güvenliği Yöneticisi (Certified Information Security Manager® (CISM®)), Kurumsal BT
Yönetişim Sertifikası (Certified in the Governance of Enterprise IT® (CGEIT®)) ve Risk ve Bilgi Sistemleri Kontrol
Sertifikası (Certified in Risk and Information Systems ControlTM (CRISCTM)) unvanları aracılığıyla BT becerileri ve
bilgi birikimine dair öncülük yapmakta ve onay belgesi vermektedir. ISACA, BT profesyonelleri ve kurum liderlerine,
özellikle güvence, güvenlik, risk ve kontrol alanlarında olmak üzere BT yönetişim ve yönetim sorumluluklarını yerine
getirmelerinde ve işe yönelik değer yaratımında yardımcı olan COBIT® kümesini sürekli olarak güncellemektedir.
Feragatname
ISACA, COBIT® 5: Gerçekleştirme Süreçleri (‘Çalışma’) yayınını, esasen kurumsal BT yönetişimi (GEIT), güvence,
risk ve güvenlik profesyonellerine yönelik bir eğitim kaynağı olarak tasarlamıştır. ISACA, Çalışmanın herhangi bir
şekilde kullanımının başarılı bir sonucu garanti ettiğini iddia etmemektedir. Çalışmanın, tüm doğru bilgi, prosedür ve testi
içerdiği veya mantık çerçevesinde aynı sonucun elde edilmesine yönelik olan diğer bilgi, prosedür ve testleri içermediği
düşünülmemelidir. Herhangi özel bilgi, prosedür veya testin doğruluğunun belirlenmesinde okuyucular, özel sistemler ve
bilgi teknolojisi ortamının getirdiği belirli kurumsal BT yönetişimi (GEIT), güvence, risk ve güvenlik durumlarında kendi
profesyonel görüşlerini uygulamalıdır.
Disclaimer:
ISACA has designed this publication, COBIT® 5 (the ‘Work’), primarily as an educational resource for governance of enterprise
IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any of the Work will assure a successful
outcome. The Work should not be considered inclusive of all proper information, procedures and tests or exclusive of other
information, procedures and tests that are reasonably directed to obtaining the same results. In determining the propriety of any specific
information, procedure or test, readers should apply their own professional judgement to the specific GEIT, assurance, risk and security
circumstances presented by the particular systems or information technology environment.
Telif Hakkı
© 2012 ISACA. Tüm hakları saklıdır. Kullanım kılavuzu için, bkz., www.isaca.org/COBITuse.
Copyright
© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
Quality Statement:
This Work is translated into Turkish from the English language version of COBIT® 5 Enabling Processes by the ISACA® Istanbul
Chapter with the permission of ISACA®. The ISACA® Istanbul Chapter assumes sole responsibility for the accuracy and faithfulness
of the translation.
Kalite Beyanı:
Cobit 5 Gerçekleştirme Süreçleri’nin İngilizceden Türkçeye tercümesi ISACA® Istanbul Chapter tarafından, ISACA® ‘nın izniyle
tercüme edilmiştir. Tercümenin doğruluğu ve güvenilirliği münferiden ISACA® Istanbul Chapter’in sorumluluğundadır.
2
Personal Copy of: Dr. Ali Ozkaya
TAKDİM ve TEŞEKKÜRLER
TAKDİM VE TEŞEKKÜRLER
ISACA aşağıda isimleri verilen kişilere takdirlerini sunar:
Cobit 5 Gerçekleştirme Süreçleri’nin tercümesiyle ilgili düzeltme önerilerinizi pdf üzerinden düzelti notu ekleyerek, Cobit5@isaca-
istanbul.org adresine iletmeniz rica olunur. Pdf dosyalarında yorum yapma konusunda bilgiye http://help.adobe.com/tr_TR/reader/
using/WSdd9016941e183011-1771a28812ac2a34771-8000.html linkinden ulaşılabilir.
3
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Çalıştay Katılımcıları
Gary Baker, CGEIT, CA, Kanada
Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, ABD
Johannes Hendrik Botha, MBCS-CITP, FSM, getITright Skills Development, Güney Afrika
Ken Buechler, CGEIT, CRISC, PMP, Great-West Life, Kanada
Don Caniglia, CISA, CISM, CGEIT, FLMI, ABD
Mark Chaplin, İngiltere
Roger Debreceny, Ph.D., CGEIT, FCPA, University of Hawaii at Manoa, ABD
Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, ABD
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, İsviçre
Bob Frelinger, CISA, CGEIT, Oracle Corporation, ABD James Golden, CISM, CGEIT, CRISC, CISSP, IBM, ABD
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, ABD Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA,
Avustralya
Nicole Lanza, CGEIT, IBM, ABD
Philip Le Grand, PRINCE2, Ideagen Plc, İngiltere
Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, ABD Stuart MacGregor, Real IRM Solutions (Pty) Ltd., Güney Afrika
Christian Nissen, CISM, CGEIT, FSM, CFN People, Danimarka
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, İngiltere
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belçika
Michael Semrau, RWE Almanya, Almanya
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Avustralya
Alan Simmonds, TOGAF9, TCSA, PreterLex, İngiltere
Cathie Skoog, CISM, CGEIT, CRISC, IBM, ABD
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Kanada
Roger Southgate, CISA, CISM, İngiltere
Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM, ABD
Wim Van Grembergen, Ph.D., University of Antwerp Management School, Belçika
Greet Volders, CGEIT, Voquals N.V., Belçika
Christopher Wilken, CISA, CGEIT, PwC, ABD
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, İngiltere
Uzman Eleştirmenler
Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, ABD
Wole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, ABD
Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Polonya
Roland Bah, CISA, MTN Kamerun, Kamerun
Dave Barnett, CISSP, CSSLP, ABD
Max Blecher, CGEIT, Virtual Alliance, Güney Afrika
Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Arjantin
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Belçika
Donna Cardall, İngiltere
Debra Chiplin, Investors Group, Kanada
Sara Cosentino, CA, Great-West Life, Kanada
Kamal N. Dave, CISA, CISM, CGEIT, Hewlett Packard, ABD Philip de Picker, CISA, MCA, National Bank of Belgium, Belçika
Abe Deleon, CISA, IBM, ABD
Stephen Doyle, CISA, CGEIT, İnsan Hizmetleri Bölümü, Avustralya
Heidi L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., ABD
Rafael Fabius, CISA, CRISC, Uruguay
4
Personal Copy of: Dr. Ali Ozkaya
TAKDİM ve TEŞEKKÜRLER
Urs Fischer, CISA, CRISC, CPA (Swiss), Fischer IT GRC Consulting & Training, İsviçre
Bob Frelinger, CISA, CGEIT, Oracle Corporation, ABD
Yalcin Gerek, CISA, CGEIT, CRISC, ITIL Uzmanı, ITIL V3 Eğitimcisi, PRINCE2, ISO/IEC 20000 Danışmanı, Türkiye
Edson Gin, CISA, CISM, CFE, CIPP, SSCP, ABD
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, ABD
Marcelo Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentina, Arjantin
Erik Guldentops, University of Antwerp Management School, Belçika
Meenu Gupta, CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, ABD Angelica Haverblad, CGEIT, CRISC, ITIL, Verizon
Business, İsveç
Kim Haverblad, CISM, CRISC, PCI QSA, Verizon Business, İsveç
J. Winston Hayden, CISA, CISM, CGEIT, CRISC, Güney Afrika
Eduardo Hernandez, ITIL V3, HEME Consultores, Meksika
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Arjantin
Michelle Hoben, Media 24, Güney Afrika
Linda Horosko, Great-West Life, Kanada
Mike Hughes, CISA, CGEIT, CRISC, 123 Consultants, İngiltere
Grant Irvine, Great-West Life, Kanada
Monica Jain, CGEIT, CSQA, CSSBB, Southern California Edison, ABD
John E. Jasinski, CISA, CGEIT, SSBB, ITIL Uzmanı, ABD
Masatoshi Kajimoto, CISA, CRISC, Japonya
Joanna Karczewska, CISA, Polonya
Kamal Khan, CISA, CISSP, CITP, Saudi Aramco, Suudi Arabistan
Eddy Khoo S. K., Prudential Services Asia, Malezya
Marty King, CISA, CGEIT, CPA, Blue Cross Blue Shield NC, ABD Alan S. Koch, ITIL Uzmanı, PMP, ASK Process Inc., ABD
Gary Langham, CISA, CISM, CGEIT, CISSP, CPFA, Avustralya Jason D. Lannen, CISA, CISM, TurnKey IT Solutions, LLC, ABD
Nicole Lanza, CGEIT, IBM, ABD
Philip Le Grand, PRINCE2, Ideagen Plc, İngiltere
Kenny Lee, CISA, CISM, CISSP, Bank of America, ABD
Brian Lind, CISA, CISM, CRISC, Topdanmark Forsikring A/S, Danimarka
Bjarne Lonberg, CISSP, ITIL, A.P. Moller - Maersk, Danimarka
Stuart MacGregor, Real IRM Solutions (Pty) Ltd., Güney Afrika Debra Mallette, CISA, CGEIT, CSSBB, Kaiser Permanente IT, ABD
Charles Mansour, CISA, Charles Mansour Audit & Risk Service, İngiltere
Cindy Marcello, CISA, CPA, FLMI, Great-West Life & Annuity, ABD Nancy McCuaig, CISSP, Great-West Life, Kanada
John A. Mitchell, Ph.D., CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, İngiltere
Makoto Miyazaki, CISA, CPA, Bank of Tokyo-Mitsubishi, UFJ Ltd., Japonya
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Bağımsız Danışman, Kolombiya
Christian Nissen, CISM, CGEIT, FSM, ITIL Uzmanı, CFN People, Danimarka
Tony Noblett, CISA, CISM, CGEIT, CISSP, ABD
Ernest Pages, CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, ABD
Jamie Pasfield, ITIL V3, MSP, PRINCE2, Pfizer, İngiltere
Tom Patterson, CISA, CGEIT, CRISC, CPA, IBM, ABD
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, Güney Afrika
Andy Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, İngiltere
Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd., Brezilya
Geert Poels, Ghent University, Belçika
Dirk Reimers, Hewlett-Packard, Almanya Steve Reznik, CISA, ADP, Inc., ABD
Robert Riley, CISSP, University of Notre Dame, ABD Martin Rosenberg, Ph.D., Cloud Governance Ltd., İngiltere
Claus Rosenquist, CISA, CISSP, Nets Holding, Danimarka
5
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Jeffrey Roth, CISA, CGEIT, CISSP, L-3 Communications, ABD Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, ABD
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belçika
Michael Semrau, RWE Almanya, Almanya
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Avustralya
Alan Simmonds, TOGAF9, TCSA, PreterLex, İngiltere
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Kanada
Jennifer Smith, CISA, CIA, Salt River Pima Maricopa Indian Community, ABD
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Avustralya, Avustralya
Roger Southgate, CISA, CISM, İngiltere
Mark Stacey, CISA, FCA, BG Group Plc, İngiltere
Karen Stafford Gustin, MLIS, London Life Insurance Company, Kanada Delton Sylvester, Silver Star IT Governance Consulting,
Güney Afrika Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hungary Halina Tabacek, CGEIT, Oracle Americas, ABD
Nancy Thompson, CISA, CISM, CGEIT, IBM, ABD
Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japonya
Johan van Grieken, CISA, CGEIT, CRISC, Deloitte, Belçika
Flip van Schalkwyk, Centre for e-Innovation, Western Cape Government, Güney Afrika
Jinu Varghese, CISA, CISSP, ITIL, OCA, Ernst & Young, Kanada
Andre Viviers, MCSE, IT Project+, Media 24, Güney Afrika
Greet Volders, CGEIT, Voquals N.V., Belçika
David Williams, CISA, Westpac, Yeni Zelanda
Tim M. Wright, CISA, CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, İngiltere
Amanda Xu, PMP, Southern California Edison, ABD
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, Güney Afrika
Bilgi Kurulu
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belçika, Yönetim Kurulu Başkanı
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, ABD
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapur
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, ABD
Jon Singleton, CISA, FCA, Auditor General of Manitoba (emekli), Kanada
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, Fransa
6
Personal Copy of: Dr. Ali Ozkaya
TAKDİM ve TEŞEKKÜRLER
7
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
8
Personal Copy of: Dr. Ali Ozkaya
İÇİNDEKİLER
İÇİNDEKİLER
Şekil Listesi .........................................................................................................................................................................................................................................11
Bölüm 2. Kurumsal Hedefler ve BT-Bağlantılı Hedeflere Yönelik Hedef Basamakları ve Ölçütler ....15
COBIT 5 Hedef Basamakları ...........................................................................................................................................................................................................................................15
Basamak 1. Paydaşları Etkileyen Etmenler Paydaş İhtiyaçlarını da Etkiler ............................................................................................................................................15
Basamak 2. Paydaş İhtiyaçları Kurum Hedeflerine Basamak Oluşturur. .......................................................................................................................................................15
Basamak 3. Kurum Hedefleri BT-bağlantılı Hedeflere Basamak Oluşturur. ..........................................................................................................................................17
Basamak 4. BT-bağlantılı Hedefler Gerçekleştirici Hedeflerine Basamak Oluşturur .........................................................................................................17
COBIT 5 Hedef Basamaklarının Kullanımı ..................................................................................................................................................................................................17
COBIT 5 Hedef Basamaklarının Faydaları ......................................................................................................................................................................................................................................................................17
COBIT 5 Hedef Basamaklarının Dikkatli Şekilde Kullanımı .................................................................................................................................................................................................18
COBIT 5 Hedef Basamaklarının Uygulamada Kullanımı ...............................................................................................................................................................................................................18
Ölçütler: .....................................................................................................................................................................................................................................................................................18
Kurum Hedef Ölçütleri: ........................................................................................................................................................................................................................................................................................................................................18
BT-bağlantılı Hedef Ölçütleri: ...............................................................................................................................................................................................................................................................................................................19
9
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
10
Personal Copy of: Dr. Ali Ozkaya
ŞEKİL LİSTESİ
Şekil Listesi
11
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
12
Personal Copy of: Dr. Ali Ozkaya
Bölüm 1
GİRİŞ
BÖLÜM 1: GİRİŞ
COBIT 5: COBIT 5, (Gerçekleştirme) Süreçleri ile birlikte tamamlanır (Şekil 1). Bu yayında, COBIT 5 süreç referans
modelinde tanımlanan süreçlere dair detaylı bir referans rehberi yer almaktadır.
COBIT® 5
COBIT 5 (Gerçekleștirme) Rehberleri
COBIT® 5: COBIT® 5: Diğer Gerçekleștirici
Gerçekleștirme Süreçleri Gerçekleștirme Bilgisi Rehberleri
COBIT 5 çerçevesi, detaylı olarak ele alınacak beş temel prensip üzerine kuruludur ve BT’nin kurumsal yönetişim ve
yönetimindeki gerçekleştiriciler için kapsamlı rehberliği de bünyesinde bulundurur.
13
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
14
Personal Copy of: Dr. Ali Ozkaya
Bölüm 2 KURUMSAL HEDEFLER VE BT-BAĞLANTILI
HEDEFLERE YÖNELİK HEDEF BASAMAKLARI VE ÖLÇÜTLER
BÖLÜM2
KURUMSAL HEDEFLER VE BT-BAĞLANTILI HEDEFLERE
YÖNELİK HEDEF BASAMAKLARI VE ÖLÇÜTLER
COBIT 5 Hedef Basamakları
Kurumlar paydaşları için değer yaratmak amacıyla var olurlar. Bu nedenle, her kurum -ticari olsun veya olmasın- bir
yönetişim hedefi olarak değer yaratacaktır. Değer yaratma, risk optimum hale getirilirken faydanın da optimum kaynak
maliyetiyle gerçekleştirilmesi anlamına gelir. (Bkz., Şekil 2) Faydalar çeşitli şekillerde olabilir. Örneğin, ticari kurumlara
yönelik olarak finansal veya Devlet birimlerine yönelik olarak kamu hizmetleri olabilir.
COBIT 5, Şekil 4’te gösterildiği gibi, aşağıdaki bilgileri içeren 17 genel hedefi tanımlar:
• Kurum hedefinin uygun olduğu BSC boyutu
• Kurum hedefleri
• Üç ana yönetişim hedefiyle- fayda gerçekleştirme, risk ve kaynakların optimizasyonu- ilişki. (“P birincil ilişkiyi ve “S
ikincil ilişkiyi, yani kuvveti daha az olan ilişkiyi belirtir)
1 Kaplan, Robert S.; David P. Norton; The Balanced Scorecard: Translating Strategy into Action, Harvard University Press, ABD, 1996
15
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Etki
Paydașların İhtiyaçları
Fayda Risk Kaynak
Gerçekleștirme Optimizasyonu Optimizasyonu
Gerçekleștirici Hedefleri
16
Personal Copy of: Dr. Ali Ozkaya
Bölüm 2 KURUMSAL HEDEFLER VE BT-BAĞLANTILI
HEDEFLERE YÖNELİK HEDEF BASAMAKLARI VE ÖLÇÜTLER
BT-bağlantılı hedefler ve kurum hedefleri arasındaki eşleştirme tablosu, Ek B’de yer almaktadır ve her kurum hedefinin,
birkaç BT-bağlantılı hedefle nasıl desteklendiğini göstermektedir.
Her sağlayıcı için, BT-bağlantılı hedefin desteklenmesinde bir grup özgün, ilgili hedef tanımlanabilir. Bu dokümanda,
süreç hedefleri detaylı süreç açıklamalarında yer alır. Süreçler, gerçekleştiricilerden biridir ve Ek C, BT-bağlantılı hedefler
ve COBIT 5 süreçleri arasında bir eşleştirme içerir.
17
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Ölçütler
İlerleyen sayfalarda, her hedefin başarısını ölçmek üzere kullanılabilecek örnek ölçütler ile birlikte kurum hedefleri ve BT-
bağlantılı hedefler yer almaktadır. Bu ölçütler örnek olarak verilir ve her kurum listeyi dikkatli şekilde incelemeli, kendi
ortamı içinde ilgili ve başarılabilecek ölçütlere karar vermeli ve kendi puan çizelge sistemini oluşturmalıdır. Aşağıdaki
ölçütlere ek olarak, süreç hedefleri ve ölçütleri detaylı süreç açıklamalarında yer almaktadır.
5. Finansal şeffaflık •Açıkça tanımlanmış ve onaylanmış beklenen maliyet ve faydaları olan ticari yatırımların yüzdesi
•Tanımlanmış ve onaylanmış işletme maliyetleri ve beklenen faydaları olan ürün ve hizmetlerin yüzdesi
•Kurum finansal bilgilerinde şeffaflık, mutabakat ve doğruluk ile ilgili ana paydaşların memnuniyet araştırması
•Kullanıcılara paylaştırılabilecek hizmet maliyetlerinin yüzdesi
18
Personal Copy of: Dr. Ali Ozkaya
Bölüm 2 KURUMSAL HEDEFLER VE BT-BAĞLANTILI
HEDEFLERE YÖNELİK HEDEF BASAMAKLARI VE ÖLÇÜTLER
19
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
20
Personal Copy of: Dr. Ali Ozkaya
Bölüm 3
COBIT 5 SÜREÇ MODELİ
Bölüm 3
COBIT 5 Süreç Modeli
Süreçler, COBIT 5, bölüm 5’te açıklandığı gibi, kurum yönetişim ve yönetimi için yedi gerçekleştirici kategoriden biridir.
Süreç gerçekleştiricisinin detayları, genel gerçekleştirici açıklamasıyla karşılaştırmalı olarak Şekil 8’de gösterilir.
Süreç, “ kurum politikaları ve prosedürlerinden etkilenen, birkaç kaynaktan (diğer süreçler dahil) girdiler alan,
girdileri işleyen ve çıktılar (ör., ürünler, hizmetler) oluşturan bir uygulamalar derlemesidir şeklinde tanımlanır.
Ölçütler, hedeflere ne ölçüde ulaşıldığını ölçmek amacıyla hedef basamaklarının her seviyesinde, dolayısıyla süreçler için
de tanımlanır. Ölçütler, “bir süreç hedefine ulaşmanın ölçülmesini sağlayan ölçülebilir bir niteliktir şeklinde tanımlanabilir.
Ölçütler, SMART- özgün, ölçülebilir, uygulanabilir, konuyla ilgili ve güncel olmalıdır.
Gerçekleştiriciyi etkili ve verimli şekilde yönetmek için, ölçütlerin, beklenen sonuçların ne ölçüde gerçekleştirildiğini
ölçmek amacıyla tanımlanması gerekir. Ek olarak, Gerçekleştirici performans yönetiminin ikinci safhasında, iyi
uygulamaların ne ölçüde uygulandığı açıklanır. İlişkili ölçütler, Gerçekleştirici yönetimine yardımcı olmak amacıyla
burada da tanımlanabilir.
21
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
•Yaşam döngüsü- Her sürecin yaşam döngüsü vardır. Bu tanımlanır, oluşturulur, yürütülür, izlenir ve ayarlanır/güncellenir
veya sonlandırılır. ISO/IEC 15504 esasındaki COBIT süreç değerlendirme modelinde tanımlananlar gibi genel süreç
uygulamaları, süreçlerin tanımlanması, yürütülmesi, izlenmesi ve optimizasyonuna yardımcı olabilir.
•İyi uygulamalar- COBIT 5: Gerçekleştirici Süreçleri, süreç içi iyi uygulamaların artan detay seviyeleriyle açıklandığı bir
süreç referans modeli içerir: uygulamalar, faaliyetler ve detaylı faaliyetler4.
Uygulamalar:
•Yönetişim/yönetim uygulamaları, her COBIT 5 süreci için, kurum BT’sinin etkili ve pratik yönetişim ve yönetimi için
yüksek seviyedeki koşulların tam bir takımını sağlar. Bunlar:
-Faydaların sağlanması, risk seviyesinin optimizasyonu ve kaynak kullanımının optimizasyonu için yapılacak faaliyet
ifadeleridir
-İyi uygulamalar ve yaygın olarak kabul görmüş standartlara uygun olacak şekilde hizalanır
-Genel kapsamlıdır ve dolayısıyla her kurum için uyarlanması gerekir.
-Süreç dahilindeki (baştan sona) iş ve BT görev üstlenicilerini kapsar.
•Kurum yönetişim kurulu ve yönetim, bu yönetişim ve yönetim uygulamaları ile ilgili tercihleri aşağıdaki şekilde
yapmalıdır:
-Uygulanabilecek olanları seçmeli ve uygulanacak olanlar üzerinde karar vermeli
-Gerekli olduğunda uygulamaları eklemeli ve/veya uyarlamalı
-İş süreçlerinde entegrasyon için BT-bağlantılı olmayan uygulamaları tanımlamalı ve eklemeli
-Bunların nasıl uygulanacağını seçmeli (sıklık, süre, otomasyon vb.)
-Uygulanabilecek olanların uygulanmama riskini kabul etmeli
Diğer iyi uygulamalar herhangi bir şekil veya detay seviyesinde mevcut olabilir ve çoğunlukla diğer standartlar ve
çerçevelere atıfta bulunur. Kullanıcılar, ilgili olduğu durumda COBIT’in bu standartlarla uyumlu olduğunu bilerek, her
zaman bu diğer iyi uygulamalara başvurabilir ve eşleştirme bilgileri temin edilebilir.
4 Güncel projede sadece uygulamalar ve faaliyetler geliştirilir. Daha detaylı olan seviyeler ek geliştirme(ler)e tabidir, ör., çeşitli profesyonel rehberler kendi
alanları için daha detaylı rehberlik sağlayabilir. Ayrıca, detaylı süreç açıklamalarında belirtildiği üzere, ilgili standartlar ve çerçeveler aracılığıyla daha ileri
rehberlik elde edilebilir.
5 Örnek COBIT 5 girdileri ve çıktıları detaylı liste olarak kabul edilmemelidir, çünkü belirli kurum ortamı ve süreç çerçevesine bağlı olarak ek bilgi akışları
tanımlanabilir
22
Personal Copy of: Dr. Ali Ozkaya
Bölüm 3
COBIT 5 SÜREÇ MODELİ
Süreç sağlayıcısı durumunda, ilk iki madde sürecin fiili sonucu ile ilgilidir. Hedeflere ne ölçüde ulaşıldığını ölçmek için
kullanılan ölçütler “gecikmeli göstergeler olarak adlandırılabilir. COBIT 5: Gerçekleştirici Süreçleri’nde, her süreç hedefi
için birkaç ölçüt tanımlanır.
Son iki madde, Gerçekleştiricinin kendisinin fiili işleyişi ile ilgilidir ve buna yönelik ölçütler “öncül göstergeler olarak
adlandırılabilir.
Süreç kabiliyet seviyesi- COBIT 5, ISO/IEC 15504 esaslı süreç kabiliyet değerlendirme şeması içerir. Bu konudan,
COBIT 5, bölüm 8’de bahsedilmektedir ve daha ileri seviyede rehberlik farklı ISACA yayınlarından temin edilebilir.
Özetle, süreç kabiliyet seviyesi hem hedeflere ulaşılma seviyesini ve hem de iyi uygulama tatbiklerini ölçer.
Diğer sağlayıcılarla ilişkiler- süreçler ve diğer sağlayıcı kategorileri arasındaki bağlantı aşağıdaki ilişkiler aracılığıyla
mevcuttur:
•Süreçler bilgiye ihtiyaç duyar (girdilerin bir türü olarak) ve bilgi üretebilir (iş ürünü olarak).
•Süreçler, SMDB tablolarıyla ifade edildiği üzere organizasyon yapılarına ve yürütecek makamlara ihtiyaç duyar, ör., BT
BT Yönlendirme kurulu, kurum risk kurulu, yönetim kurulu, denetleme, BT üst yöneticisi (CIO), İcra kurulu başkanı
(CEO).
•Süreçler hizmet yetkinliklerini (altyapı, uygulamalar vb.) oluşturur ve ayrıca talep eder.
•Süreçler diğer süreçlere bağlı olabilir ve olacaktır.
•Süreçler, uygulama ve yürütmeyi kesintisiz sağlamak için politikalar ve prosedürler oluşturur ve bunlara ihtiyaç duyar.
•Kültürel ve davranış yönleri süreçlerin ne kadar iyi yürütüldüğünü belirler.
23
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
24
Personal Copy of: Dr. Ali Ozkaya
Bölüm 4
COBIT 5 SÜREÇ REFERANS MODELİ
BÖLÜM 4
COBIT 5 SÜREÇ REFERANS MODELİ
Yönetişim ve Yönetim Süreçleri
COBIT’teki rehber prensiplerden biri, yönetişim ve yönetim arasında bir ayrımın yapılmasıdır. Bu prensibe uygun olarak,
her kurumdan, kurum BT’sinin geniş kapsamlı yönetişim ve yönetimini sağlamak amacıyla birkaç yönetişim süreci ve
birkaç yönetim sürecini uygulaması beklenir.
Kurum bağlamında yönetişim ve yönetime yönelik süreçler göz önünde bulundurulduğunda, süreç türleri arasındaki fark,
süreçlerin amaçlarında yatar.
• Yönetişim süreçleri- Yönetişim süreçleri, paydaş yönetişim hedefleriyle- değer yaratımı, risk optimizasyonu ve kaynak
optimizasyonu- ilgilidir ve stratejik seçeneklerin değerlendirilmesi, BT’ye yön verilmesi ve sonuçların izlenmesi
(Değerlendir, Yönlendir ve İzle [EDM]- ISO/IEC 38500 standart kavramlarıyla uyumlu) uygulamaları ve faaliyetlerini
içerir.
•Yönetim süreçleri- “Yönetimin tanımıyla uyumlu olarak (bkz., COBIT 5, Yönetici Özeti), yönetim süreçlerindeki
uygulamalar ve faaliyetler PBRM kurum BT’sine ait sorumluluk alanlarını kapsar, ve BT’nin baştan sona kapsanması
şarttır.
Her iki türdeki sürecin sonucu farklı olmasına ve sürecin kendi bağlamı bakımından farklı bir hedef kitlesine yönelik
olmalarına rağmen, tüm süreçler süreç içinde “planlama, “oluşturma veya uygulama, “yürütme ve “izleme faaliyetlerini
gerektirir.
Model
COBIT 5, kural koyucu nitelikte değildir, ancak yukarıdaki metinden açıkça anlaşılacağı üzere, Şekil 9’da gösterildiği
gibi, önemli alanlar kapsanacak şekilde, kurumların, yönetişim ve yönetim süreçlerini gerçekleştirmesini savunur.
Teoride, bir kurum temel yönetişim ve yönetim amaçları kapsandığı takdirde, süreçleri uygun gördüğü şekilde organize
edebilir. Daha küçük kurumların daha az sayıda süreci olabilir; daha büyük ve daha karmaşık kurumların, hepsi aynı
amaçları kapsayan birden fazla süreci olabilir.
İș ihtiyaçları
Yönetișim
Değerlendir
Yönetim
25
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
COBIT 5, birkaç yönetişim ve yönetim sürecini detaylı olarak tanımlayan ve açıklayan bir süreç referans modeli içerir. BT
faaliyetleriyle ilgili bir kurumda normal olarak bulunan süreçlerin tamamını temsil eden, BT çalışanları ve iş yöneticileri
için anlaşılabilir bir ortak referans modeli sunan bir süreç referans modeli sağlar. Önerilen süreç modeli, tam kapsamlı
bir modeldir, ancak tek olası süreç modeli değildir. Her kurum, kendi özel durumunu dikkate alan kendi süreç takımını
tanımlamalıdır.
BT faaliyetlerinde yer alan tüm taraflar için bir çalışma modeli ve bir ortak lisanın dahil edilmesi, iyi yönetişime doğru
giden en önemli ve kritik aşamalardan biridir. Ayrıca, BT performansının ölçülmesi ve izlenmesi için hizmet sağlayıcılarla
iletişim kuran ve en iyi yönetim uygulamalarının entegrasyonunu yapan bir çerçeve sağlar.
COBIT 5 süreç referans modeli, kurum BT yönetişim ve yönetim süreçlerini, süreç etki alanları halinde bölümlere
ayrılmış halde yönetişim ve yönetim olmak üzere iki ana faaliyet alanına ayırır.
• Yönetişim- Bu etki alanı beş yönetişim süreci içerir; her süreç dahilinde EDM uygulamaları tanımlanır.
• Yönetim- Bu dört etki alanı, PBRM sorumluluk alanlarıyla uyumludur (COBIT 4.1 etki alanlarının bir gelişimi)
ve baştan sona BT’nin kapsanmasını sağlar. Her etki alanı, COBIT 4.1 ve önceki versiyonlarda olduğu gibi, birkaç
süreç içerir. Daha önce açıklandığı üzere, süreçlerin çoğu, süreç dahilinde veya çözülecek olan özel sorun- ör.,
kalite, güvenlik- dahilinde “planlama, “uygulama, “yürütme ve “izleme faaliyetlerini gerektirmesine rağmen, kurum
seviyesinde BT ile ilişkili olarak elde alındığında genellikle en ilgili faaliyet alanıyla uyumlu olan etki alanlarında yer
alır.
COBIT 5 süreç referans modeli, ek olarak Risk IT ve Val IT süreç modelleri entegre edilmiş olmak üzere COBIT 4.1
süreç modelinin yerine geçer. Şekil 10, COBIT 5 dahilindeki 37 yönetişim ve yönetim süreçlerinin tam takımını gösterir.
26
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
BÖLÜM 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Bu bölümde, COBIT 5 yönetişim ve yönetim süreçlerine yönelik olarak süreçle alakalı detaylı içerikler açıklanır. Her
sürece yönelik olarak, bir önceki bölümde açıklanan süreç modeli ile uyumlu olmak üzere aşağıdaki bilgiler verilir:
• Süreç tanımı- Birinci sayfada:
– Süreç etiketi- Etki alanı öneki (EDM, APO, BAI, DSS, MEA) ve süreç numarası
– Süreç adı- Sürecin ana konusunu belirten kısa bir açıklama
– Sürecin alanı- Yönetişim veya yönetim
– Etki alanı adı
• Süreç açıklaması- Sürecin ne olduğuna ilişkin genel bir açıklama ve sürecin amacını nasıl gerçekleştirdiğine ilişkin
yüksek seviyeli genel bir açıklama
• Süreç amaç bildirisi- Sürecin genel amacına dair bir açıklama
• Hedef basamakları bilgisi- Öncelikle süreç tarafından desteklenen6 BT-bağlantılı hedeflerin referansı ve açıklaması ve
BT-bağlantılı hedeflerin başarısını ölçmek için ölçütler
• Süreç hedefleri ve ölçütler- Bir grup süreç hedefi ve sınırlı sayıda örnek ölçütler
• SMDB tablosu- Süreç uygulamaları için farklı makamlar ve yapılara tahsis edilen önerilen sorumluluk seviyesi
Listelenen kurum makamları, BT makamlarından daha koyu olarak tonlanmıştır. Dahil olunan farklı seviyeler şunlardır:
–Sorumlu (S)- Görevi kim yaptırıyor? Listelenen faaliyetin gerçekleştirilmesinde ana operasyon riskini alan ve
planlanmış etkiyi oluşturan makamları belirtir.
–Mesul (M)- Görevin başarısıyla ilgili kim hesap veriyor? Bu, görevin yaptırılmasına dair genel mesuliyeti tayin eder
(Mesuliyet nerede sona erer?). Bahsedilen makamın uygun olan asgari mesuliyet seviyesi olduğu belirtilmelidir; doğal
olarak mesul olan daha yüksek seviyeler de mevcuttur. Kurum yetkilendirmesini gerçekleştirmek amacıyla, mesuliyet
mümkün olduğu kadar parçalara ayrılır. Mesuliyet, makamın hiçbir operasyonel faaliyeti olmadığını göstermez;
makam sahibi büyük ihtimalle işe dahil olur. Prensip olarak, mesuliyet paylaşılamaz.
–Danışılan (D) – Girdileri kim sağlıyor? Bunlar girdi sağlayan ana makamlardır. Diğer birimler veya kurum dışı
ortaklardan bilgi etilmesinin de, mesul ve sorumlu makamların işi olduğu belirtilmelidir. Bununla birlikte, süreç
sahibi ve/veya yönlendirme kurulu bilgisi dahil olmak üzere listelenen makamlardan elde edilen girdiler göz önünde
bulundurulmalı ve gerekli olduğu takdirde, üst bildirimler için uygun eylemler gerçekleştirilmelidir.
–Bilgilendirilen (B) - Bilgileri kim alıyor? Bunlar, görevin başarıları ve/veya çıktıları hakkında bilgilendirilen
makamlardır. Doğal olarak “yükümlü olan makam, söz konusu alanlardan sorumlu makamların yaptığı gibi, görevi
denetlemek amacıyla daima gerekli bilgileri alır.
• Süreç uygulamalarının detaylı açıklaması- Her kurum için:
–Uygulama başlığı ve açıklaması
–Kaynak ve hedef göstergeleriyle birlikte uygulama girdileri ve çıktıları
–Uygulamaları ayrıca detaylandıran süreç faaliyetleri
• İlgili rehber- diğer standartlara referanslar ve ek rehberlere yöneltmeler
Girdiler ve Çıktılar
Detaylı süreç açıklamaları- yönetişim ve yönetim uygulamaları seviyesinde- girdiler ve çıktılar içerir. Genel olarak, her
çıktı, tipik olarak genellikle bir başka COBIT süreç uygulaması olan bir veya sınırlı sayıdaki hedefe gönderilir. Bu çıktı
böylece, hedefi için bir girdi halini alır. Ancak, ör., tüm COBIT süreçleri veya bir etki alanındaki tüm süreçler gibi birçok
hedefi olan birkaç çıktı vardır. Anlaşılabilir olması amacıyla, bu çıktılar buradaki süreçlerde girdiler olarak listelenmez.
Bu çıktıların tam bir listesi Şekil 11’de verilmektedir.
6 Bazı girdiler/çıktılar için, hedef “İçsel olarak dile getirilir. Bunun anlamı, girdi/çıktının aynı süreç içindeki faaliyetler arasında olmasıdır.
27
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Şekil 11-Çıktılar
Tüm Süreçlerin Çıktıları
Kaynak Ana Uygulama Çıktı Açıklaması Hedef
APO13.02 Bilgi güvenliği risk iyileştirme planı Tüm EDM; Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
Tüm Yönetişim Süreçlerinin Çıktıları
Kaynak Ana Uygulama Çıktı Açıklaması Hedef
EDM01.01 Kurum yönetişimi rehber prensipleri Tüm EDM
EDM01.01 Karar alma modeli Tüm EDM
EDM01.01 Yetki seviyeleri Tüm EDM
EDM01.02 Kurum yönetişim iletişimleri Tüm EDM
EDM01.03 Yönetişim etkinliği ve performansına dair geri bildirim Tüm EDM
Tüm Yönetim Süreçlerinin Çıktıları
Kaynak Ana Uygulama Çıktı Açıklaması Hedef
APO01.01 İletişim temel kuralları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO01.03 BT-Bağlantılı politikalar Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO01.04 BT amaçları bildirimleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO01.07 Süreç geliştirme fırsatları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO02.06 İletişim paketi Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.02 Kalite yönetim standartları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.04 Hizmet hedeflerinin süreç kalitesi ve ölçütler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.06 Sürekli iyileşme ve iyi uygulamalara dair bildirimler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.06 Paylaşılacak olan iyi uygulama örnekleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
APO11.06 Karşılaştırmalı kalite değerlendirme sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA01.02 Hedeflerin izlenmesi Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA01.04 Performans raporları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA01.05 İyileştirici aksiyonlar ve görevler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.01 İç kontrol izleme ve değerlendirmelerinin sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.01 Karşılaştırmalı ve diğer değerlendirmelerin sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.03 Öz-değerlendirme planları ve kriterleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.03 Öz-değerlendirme inceleme sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.04 Kontrol yetersizlikleri Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.04 İyileştirici aksiyonlar Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.06 Güvence planları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.08 Arıtılmış kapsam Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.08 Güvence gözden geçirme sonuçları Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA02.08 Güvence gözden geçirme raporu Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
MEA03.02 Değiştirilmiş uyum gereksinimlerine dair bildirimler Tüm APO; Tüm BAI; Tüm DSS; Tüm MEA
28
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Burada sürecin nasıl yürütüleceğine ilişkin bir rehber, yani sürecin kendisinin nasıl oluşturulacağı, yürütüleceği, izleneceği
ve geliştirileceğine dair bir genel rehber de yer alır. Bu rehber, her süreç için aynı olmak üzere genel kapsamlıdır.
COBIT 4.1’de, süreç kontrolleri, herhangi bir sürece özgü olmayan, ancak genel kapsamlı olan ve tüm süreçlere
uygulanabilen iyi uygulamaları içerir. Süreç kontrolleri, COBIT 4.1 olgunluk modelindeki genel olgunluk özelliklerinin
bazılarıyla benzerdir.
COBIT 5’te, ISO/IEC 15504-uyumlu süreç yetkinlik değerlendirme şeması kullanılır. Bu şemada, daha üstteki süreç
yetkinlik seviyelerine ait yetkinlik özellikleri, daha iyi ve daha yetkin süreçlerin nasıl oluşturulacağını açıklar, dolayısıyla
etkin bir şekilde COBIT 4.1 süreç kontrollerinin yerine geçer.
Bu, süreçle bağlantılı önemli bir rehberdir ve bu nedenle Şekil 12’de, iyi uygulamaların temeli olan hem COBIT 4.1 süreç
kontrolleri ve hem de ISO/IEC 15504 esaslı süreç yetkinlik özelliklerinin üst seviyede genel bir açıklaması yer alır.
Şekil 12- COBIT 4.1 Süreç Kontrolleri ve İlgili ISO/IEC 15504 Süreç Yetkinlik Özellikleri
COBIT 4.1 İlgili ISO/IEC 15504 Süreç Yetkinlik Özellikleri
PC1 Süreç Hedefleri ve Amaçları PA 2.1 Performans yönetim özelliği
PC2 Süreç Sahipliği PA 2.1 Performans yönetim özelliği
PC3 Süreç Tekrarlanabilirliği PA 3.1 Süreç tanım özelliği
PC4 Görevler ve Sorumluluklar PA 2.1 Performans yönetim özelliği
PA 3.2 Süreç uygulama özelliği
PC5 Politika, Planlar ve Prosedürler PA 2.1 Performans yönetim özelliği
PC6 Süreç Performans Geliştirme PA 2.1 Performans yönetim özelliği
PA 5.2 Süreç optimizasyon özelliği
29
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
30
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
31
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
32
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
İş Sürekliliği Yöneticisi
Bilgi Güvenliği Yöneticisi
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
İcra Kurulu Başkanı
İş Süreç Sahipleri
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
33
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Değerlendir, Yönlendir ve İzle
34
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
35
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
36
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
37
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Değerlendir, Yönlendir ve İzle
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetişim Uygulaması
EDM02.01
Değer optimizasyonunu M S S D S S D D D D D D D S D D D
değerlendir
EDM02.02
Değer optimizasyonunu M S S D S B S B B B B B B B B B B S D B B B B B B B
yönlendir
EDM02.03
Değer optimizasyonunu izle M S S D S S S D D D D D D D S D D D
38
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
39
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
40
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
EDM03.01
Risk yönetimini değerlendir M S D D S D S B S D B D D D S D D
EDM03.02
Risk yönetimini yönlendir M S D D S D S B B B S B B B D D D S D B B B B B B B
EDM03.03
Risk yönetimini izle M S D D S D S B B B S S B B D D D S D B B B B B B D
41
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Değerlendir, Yönlendir ve İzle
42
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
43
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
44
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
EDM04.01
Kaynak yönetimini değerlendir M S D D S S B D D D D D D D S D D D
EDM04.02
Kaynak yönetimini yönlendir M S D D S B S B B B B B B B B B B S D B B B B B B B
EDM04.03
Kaynak yönetimini izle M S D D S B S B B B D D D D D D D S D D D B B B B B
45
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Değerlendir, Yönlendir ve İzle
46
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
47
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
48
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
EDM05.01
Paydaş raporlama M S D D D B D D S B B
gereksinimlerini değerlendir
EDM05.02
Paydaş iletişim ve raporlamasını M S D D D B D D S B B
yönlendir
EDM05.03
Paydaş iletişimini izle M S D D D B D D S B B
49
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Değerlendir, Yönlendir ve İzle
50
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
02 Stratejiyi yönet
04 Yenilikleri yönet
05 Portföyü yönet
08 İlişkileri yönet
10 Tedarikçileri yönet
11 Kaliteyi yönet
12 Riski yönet
13 Güvenliği yönet
51
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
52
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO01 BT Yönetim Çerçevesini Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Kurum BT özel görev ve vizyon yönetişimine açıklık getir ve sürdür. Bilgi yönetimi ve kurum içinde yönetişim amaçlarını rehber prensipler ve politikalarla
uyumlu olarak desteklemek amacıyla BT kullanımına dair mekanizma ve yetkileri uygula ve sürdür.
Süreç Amaç Bildirisi
Kurum yönetişim gereksinimlerinin karşılanmasını gerçekleştirmek amacıyla, yönetim süreçleri, organizasyon yapıları, görevler ve sorumluluklar,
güvenilir ve tekrarlanabilir faaliyetler ve beceriler ve yetkinlikleri kapsayan tutarlı yönetim yaklaşımını sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin
ve kurum stratejik hedeflerinin yüzdesi
53
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
Hizala, Planla ve Organize Et
APO01.01
Organizasyon yapısını tanımla D D D D B D S B B M D D D S D D D
APO01.02
Görevler ve sorumlulukları B D D D D D M D D D S D D D D
oluştur
APO01.03
Yönetim sistemi D M D S D D B D D D D D D S S
gerçekleştiricilerini sürdür
APO01.04
Yönetim amaçları ve M S S S B S B B B S S B B B B B S B B B B B B B B
doğrultusunu bildir.
APO01.05
BT fonksiyonu yerleştirilmesini D D D D M D D D D S D D D S D D D
optimize et
APO01.06
Bilgi (veri) ve sistem mülkiyetini B B D M S D D D D D D D
tanımla
APO01.07
Sürekli süreç gelişimini yönet M S S D B D D S S S S S S S S
APO01.08
Politikalar ve prosedürlerle M S S S S D B S S S S S S S S
uyumu sürdür.
54
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
55
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
56
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
57
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
58
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO02 Stratejiyi Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Güncel iş ve BT ortamı, gelecek istikameti ve istenilen gelecek ortamına ulaşmak için gerekli olan insiyatiflerin bütünleştirici bir bakış açısıyla
sağlanması. Stratejik amaçlara yönelik atik, güvenilir ve etkili cevap verebilmeyi sağlamak amacıyla dışarıdan sağlanan hizmetler ve ilgili yetkinlikler
dahil olmak üzere kurum mimari yapı taşlarının güçlendirilmesi.
Süreç Amaç Bildirisi
Stratejik BT planlarının iş amaçlarıyla hizalanması. Amaçlar ve ilişkili yükümlülüklerin, BT stratejik seçenekleri belirlenecek, yapılandırılacak ve iş
planlarıyla entegre edilecek şekilde herkes tarafından kavranabilmesi amacıyla açıkça bildirilmesi.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin
59
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Ana Yönetim Uygulaması
Uyum
Hizala, Planla ve Organize Et
APO02.01
Kurum doğrultusunu kavra C C C A C C C C C R C R R R R R
APO02.02
Güncel ortam, yetkinlikler ve C C C R C C C C C A R R R C C C C
performansı değerlendir
APO02.03
Hedef BT yetkinliklerini tanımla A C C C I R I C C C C R C C C C C C C
APO02.04
Bir boşluk analizini yürüt R R C C C R R A R R R R R R C
APO02.05
Stratejik plan ve yol haritasını C I C C C R C C C C A C C C C C C C
tanımla
APO02.06
BT strateji ve doğrultusunu I R I I R I A I I I I I I I I I I R I I I I I I I I
bildir.
60
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
61
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
62
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
63
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
64
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO03 Kurum Mimarisini Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Referans değerler ve hedef mimarileri açıklayan ana modeller ve uygulamaların oluşturulmasıyla, kurum ve BT stratejilerini etkili ve verimli şekilde
gerçekleştirmek amacıyla iş süreci, bilgi, veri, uygulama ve teknoloji mimari katmanlarını içeren bir ortak mimariyi oluştur. Taksonomi, standartlar,
rehberler, prosedürler, şablonlar ve araçlara yönelik gereksinimleri tanımla ve bu bileşenler arasında bir bağlantı sağla. Uyumluluk seviyesini iyileştir,
çevikliği arttır, bilgi kalitesini arttır ve yapı taşı bileşenlerinin tekrar kullanımı gibi insiyatifler aracılığıyla potansiyel maliyet tasarruflarını oluştur.
Süreç Amaç Bildirisi
Operasyonel ve stratejik amaçların standart, yanıt veren ve etkili olarak gerçekleştirilmesini sağlayan, kurumu oluşturan farklı yapı taşları ve bunların
birbiriyle ilişkisinin yanı sıra zaman içinde tasarım ve evrimlerini yönlendiren prensipleri yansıt.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
65
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Ana Yönetim Uygulaması
Uyum
Hizala, Planla ve Organize Et
APO03.01
Kurum mimari vizyonunu geliştir M D D S D S D S D D D D S S D D D D
APO03.02
Referans mimariyi tanımla D D D S D S D M D D D D S S D D D D
APO03.03
Fırsatlar ve çözümleri seç M D D S D S D S D D D D S S D D D D
APO03.04
Mimari uygulamayı tanımla M D S D D S D S D D D D S S D D D D
APO03.05
Kurum mimari hizmetlerini sağla M D S D D S D S D D D D S S D D D D
66
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
67
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
6. Referans değer ve hedef etki alanı açıklamalarının bir parçası olarak, karar almada optimum bilgi kullanımını sağlamak amacıyla kurum stratejisiyle
tutarlı olan bir bilgi mimari modelini sürdür. Bir ortak anlayışı destekleyen bir kurum veri sözlüğü ve veri sahipliği, uygun güvenlik seviyelerinin tanımı
ve veri saklama ve yok etme gereksinimleri hakkındaki detayları içeren bir sınıflandırma şemasını sürdür.
7. Kendi içinde tutarlılık ve doğruluk için mimari modelleri doğrula ve referans değer ve hedef arasında bir boşluk analizini gerçekleştir. Eksikliklerin
önceliklendirilmesi ve hedef mimari için geliştirilmesi gereken yeni veya modifiye edilmiş bileşenleri tanımla. Uyuşmazlıklar, tutarsızlıklar veya ihtilaflar
gibi potansiyel etkileri öngörülen mimari içinde çözümle.
8. Önerilen mimariyi, mimari proje başlangıç motivasyonu ve mimari çalışma bildirisiyle karşılaştırarak bir resmi paydaş incelemesi yürüt.
9. İş, bilgi, veri, uygulamalar ve teknoloji etki alanı mimarilerine son şeklini ver ve bir mimari tanım belgesini oluştur.
Yönetim Uygulaması Girdiler Çıktılar
APO03.03 Fırsatlar ve çözümleri seç Kaynak Açıklama Açıklama Hedef
Referans değerler ve hedef mimarileri arasındaki APO02.03 Önerilen kurum mimari Yüksek seviyede uygulama APO02.05
eksiklikleri, hem iş ve hem de teknik perspektiflerden değişiklikleri ve yer değiştirme stratejisi
rasyonelize et ve bunları proje çalışma paketleri
halinde mantıksal olarak gruplandır. Projenin, COBIT dışında • Kurum stratejileri Geçiş mimarileri APO02.05
mimari insiyatiflerin hizalanması ve bu insiyatiflerin • Kurum faktörleri
genel kurum değişikliğinin bir parçası olarak
gerçekleştirilmesini sağlamak amacıyla, her türlü ilgili
BT etkin yatırım programıyla entegre et. Bunu, kurumun
dönüşüme hazır olma seviyesini değerlendirmek
amacıyla iş ve BT’den ana kurum paydaşlarıyla bir
işbirliği haline getir ve fırsatlar, çözümler ve tüm
uygulama kısıtlamalarını belirle.
Faaliyetler
1. Kurum kültürü ve bunun kurum mimari uygulamasının yanı sıra kurum geçiş yetkinliklerini nasıl etkileyeceği dahil olmak üzere ana kurum değişiklik
niteliklerini tanımla ve onayla.
2. Kurum incelemesi ve iş kolu, strateji ve iş planları ve güncel kurum mimari olgunluk değerlendirmesi dahil, uygulama dizisini kısıtlayacak her türlü
kurum faktörünü belirle.
3. Referans değerler ve hedef mimariler arasındaki boşluk analizi sonuçlarını gözden geçir ve birleştir ve potansiyel çözümler/fırsatlar, birbirine
bağımlılıkları ve güncel BT etkin programlarla uyumları açısından etkilerini değerlendir.
4. Çalışma paketlerine entegrasyonu halinde hedef mimarinin daha etkili ve verimli uygulanmasını sağlayacak fonksiyonel gereksinimlerin minimum
grubunu belirlemek amacıyla gereksinimler, eksiklikler, çözümler ve faktörleri değerlendir.
5. Birleştirilen gereksinimleri potansiyel çözümlerle uzlaştır.
6. Uygulama ve geçiş planlarındaki her türlü kısıtlamanın belirlenmesini sağlayarak, başlangıçtaki bağımlılıkları tasfiye et ve bir bağımlılık analiz raporu
halinde birleştir.
7. Kurumun, kurum dönüşümü için hazır olma seviyesi ve bununla ilişki riski onayla.
8. Hedef mimari uygulamasına yönlendirecek ve geçiş mimarilerini kurum stratejik amaçları ve zaman cetvelleri ile uyumlu olarak yapılandıracak yüksek
seviyeli uygulama ve geçiş stratejisini formüle et.
9. Kurum stratejik uygulama doğrultusu ve yaklaşımına ilişkin önemli çalışma paketlerini belirle ve tutarlı program ve proje grupları halinde gruplandır.
10. Hedef mimarisini gerçekleştirmek için gereken değişiklik kapsamı bir artımlı yaklaşımı gerektirdiği takdirde bir dizi geçiş mimarisini geliştir.
68
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
69
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
70
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO04 Yeniliği Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Bilgi teknolojisi ve ilgili hizmet eğilimlerine dair farkındalığı sürdür, yenilik fırsatlarını belirle ve iş ihtiyaçları açısından yenilikten nasıl faydalanılacağını
planla. Hangi iş yenilik veya gelişmesinin, yeni teknolojiler, hizmetler veya BT etkin iş yeniliklerinin yanı sıra mevcut kurulu teknolojilerle ve iş ve BT süreç
yenilikleriyle nasıl oluşturulacağını analiz et. Stratejik planlama ve kurum mimari kararları üzerinde etki oluştur.
Süreç Amaç Bildirisi
Bilgi teknolojisi gelişmelerinden yararlanılarak rekabet üstünlüğü, iş yeniliği ve iyileştirilmiş operasyon etkinliği ve verimini gerçekleştir.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
05 BT etkin yatırım ve hizmet portföylerinden gerçekleştirilen faydalar • Fayda gerçekleşmesinin tam ekonomik yaşam döngüsü
boyunca izlendiği BT etkin yatırımların yüzdesi
71
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
Hizala, Planla ve Organize Et
APO04.01
Yenilik için olanak sağlayan bir M S S S S S S S S S S
ortamı oluştur
APO04.02
Kurum ortamı anlayışını sürdür M S S D S S S S
APO04.03
Teknoloji ortamını izle ve tara M S S S S S
APO04.04
Yeni teknolojiler ve yenilikçi
fikirlere dair potansiyeli B B D D D D M S S S S S
değerlendir
APO04.05
Diğer uygun insiyatifleri öner B S S M D S S S S S S
APO04.06
Yenilik uygulama ve kullanımını D D M D S D D D D D
izle
72
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
73
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
3. Kavram kanıtlama insiyatiflerini, fiili yatırımda ne derece desteklendiğini ölçmek amacıyla izle.
4. Reddedilen kavram kanıtlama insiyatiflerini analiz et ve nedenlerini bildir.
Yönetim Uygulaması Girdiler Çıktılar
APO04.06 Yenilik uygulama ve kullanımını izle Kaynak Açıklama Açıklama Hedef
Entegrasyon, benimseme sırasında ve tam ekonomik Yenilikçi yaklaşım APO02.04
yaşam döngüsü boyunca, söz verilen faydaların kullanımına dair BAI03.02
gerçekleşmesini sağlamak ve öğrenilen dersleri değerlendirmeler
belirlemek amacıyla, yeni teknolojiler ve yenilikleri
uygula ve kullanımını izle. Yenilik fayda APO05.04
değerlendirmesi
Düzeltilmiş yenilik planları İçsel
Faaliyetler
1. BT stratejisi ve kurum mimari gelişmelerinin bir kısmı olarak benimsenen yeni teknolojiler veya BT yeniliklerine ait uygulama ve insiyatif program
yönetimi sırasındaki gerçekleştirilme derecelerini değerlendir.
2. İyileştirmeye yönelik öğrenilen dersler ve fırsatları elde et.
3. Gerektiği takdirde yenilik planını ayarla.
4. Yenilik kullanımından gerçekleştirilebilecek potansiyel değeri belirle ve değerlendir.
74
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO05 Portföyü Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Yatırımlara ait stratejik istikamet ayarını kurum mimari vizyonu ve istenilen yatırım ve ilgili hizmet portföylerinin özellikleriyle uyumlu olarak gerçekleştir
ve farklı yatırım kategorileri ve kaynaklar ve fon kısıtlamalarını dikkate al. Programlar ve hizmetler, kaynak içindeki yönetim talebi ve fon kısıtlamalarını
stratejik amaçlar, kurum değeri ve risk ile uyumları esasında değerlendir, önceliklendir ve dengele. Seçilen programları, icra edilmek üzere aktif
hizmetler portföyüne taşı. Hizmet ve programların genel portföy performansını izle, program ve hizmet performansı veya değişen kurum önceliklerine
göre gerekli olduğunda ayarlamalar sağla.
Süreç Amaç Bildirisi
Programların genel portföy performansını, program ve hizmet performansına ve değişen kurum öncelikleri ve taleplere göre optimize et.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin
75
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
Hizala, Planla ve Organize Et
APO05.01
Hedef karma yatırımını oluştur M S S D B D D D D D D
APO05.02
Fon kaynakları ve D M S D S
kullanılabilirliğini belirle
APO05.03
Kaynak yaratma programlarını D M S S S S S D
değerlendir ve seç
APO05.04
Yatırım portföy performansını
izle, optimize et ve rapor et. B D D D D D S M D D D D D
APO05.05
Portföyleri sürdür B B S D M S S D D D
APO05.06
Fayda kazanımlarını yönet. D D D M S B S B D D S D D
76
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
77
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
78
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
79
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
80
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO06 Bütçe ve Maliyeti Yönet
Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Bütçe, maliyet ve fayda yönetimi ve resmi bütçe uygulamaları ve maliyetlerin kuruma tahsisinde kurallara uygun ve adil bir sistemin kullanımıyla
harcamaların önceliklendirmesini kapsayan hem iş ve hem de BT fonksiyonlarında BT-Bağlantılı finansal faaliyetleri yönet. BT stratejik ve taktik planları
bağlamında toplam maliyet ve faydaları belirle ve kontrol et ve gerekli olduğu yerde düzeltici aksiyonların başlatılması amacıyla paydaşlara danış.
Süreç Amaç Bildirisi
Etkili ve verimli BT Bağlantılı kaynak kullanımını gerçekleştirmek ve maliyete ve çözümler ve hizmetlerin iş değerine dair şeffaflık ve yükümlülük
sağlamak amacıyla BT ve kurum paydaşları arasında ortaklığı teşvik et. Kurumun, BT çözümleri ve hizmetlerinin kullanımıyla ilgili bilgilendirilmiş
kararları almasını sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO06.01
Finans ve muhasebeyi yönet M D D D S D D S
APO06.02
Kaynak tahsisini önceliklendir B S D D D B D D B M B D D S D D
APO06.03
Bütçeleri oluştur ve sürdür B M D D D D D D S D D D S D D D
APO06.04
Maliyetleri modelle ve tahsis et D D D D D D D M D D D S D D
APO06.05
Maliyeti yönet S D D D D D D M D D D S D D
81
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
portföyüne girdi olarak kurallara uygun, şeffaf, tekrarlanabilen ve karşılaştırılabilir BT maliyet ve fayda tahminleri sağlama ve bütçeler ve maliyetlerin
BT varlık ve hizmet portföylerinde sürdürülmesini sağlama yaklaşımlarıyla uyumlu olarak süreçler, girdiler ve çıktılar ve sorumlulukları tanımla.
2. Tüm BT Bağlantılı maliyet elemanlarını, bütçeler ve hizmetlerde nasıl tahsis edildiklerini ve nasıl elde edildiklerini belirlemek amacıyla bir sınıflandırma
şeması tanımla.
3. BT varlıkları ve hizmetlerindeki yeni yatırımlara yönelik iş gerekçelerine girdiler sağlamak amacıyla finansal ve portföy bilgilerini kullan.
4. Bütçe kontrol ve fayda yönetim süreçlerinin nasıl analiz edileceği, raporlanacağı (kime ve nasıl) ve kullanılacağını tanımla.
5. Finansal planlama, yatırım yönetimi ve karar almaya ve kuruma en az harcamayla maksimum değeri sağlamak için tekrarlayan operasyon
maliyetlerinin optimizasyonuna yönelik uygulamaları oluştur ve sürdür.
Yönetim Uygulaması Girdiler Çıktılar
APO06.02 Kaynak tahsisini önceliklendir Kaynak Açıklama Açıklama Hedef
İsteğe bağlı yatırım kuralları ve kaynak tahsisini EDM02.01 Yatırım ve hizmet BT insiyatiflerinin APO05.01
önceliklendirmek amacıyla her iş birimine bir karar alma portföylerinin önceliklendirilmesi ve
süreci uygulat. Kurum dışı hizmet sağlayıcıların olası değerlendirilmesi sıralanması
kullanımına yer ver ve satın alma, geliştirme ve kiralama
seçeneklerini dikkate al. EDM02.03 Değer yaratımını arttıran Bütçe tahsisleri APO02.05
eylemler APO05.03
APO04.04 Kavram kanıtlama APO07.05
kapsamı ve özet iş BAI03.11
gerekçesi
APO05.02 Yatırım geri dönüşü
beklentileri
APO05.03 • İş gerekçesi
değerlendirmeleri
• Program iş gerekçesi
Faaliyetler
1. Stratejik ve taktik planlarla oluşturulan BT etkin programlar, BT hizmetleri ve BT varlıklarına yönelik yüksek seviyeli bütçe tahsislerinde, kurum dışı
hizmet sağlayıcıların kullanımı dahil iş ve BT kaynaklarının önceliklendirilmesine yönelik bir karar alma organı oluştur. Sermayelendirilmiş varlıklar ve
hizmetlere kıyasla kullan-öde esasında kurum dışından kullanılan varlıklar ve hizmetleri satın alma veya geliştirme seçeneklerini dikkate al.
2. İş gerekçeleri ve stratejik ve taktik planlar bazında tüm BT insiyatiflerini sırala ve bütçe tahsisleri ve kesintilerini belirlemek amacıyla prosedürler
oluştur. Bütçe kararlarını bildirmek ve bunları gözden geçirmek amacıyla iş birimi bütçe hamilleriyle birlikte bir prosedür oluştur.
3. Bütçe kararlarının iş gerekçeleri, portföyler ve strateji planları (ör., bütçelerin, değişen kurum şartları nedeniyle, stratejik amaçları veya iş gerekçesi
amaçlarını desteklemek için yetersiz olduklarında, gözden geçirilmesi gerektirdiğinde) üzerindeki önemli etkileri belirle, bildir ve çöz.
4. Kuruluşun stratejik veya taktik planlarını olumsuz yönde etkileyen tüm BT bütçe değişiklikleri için yönetici kadro onayı al ve bu etkilerin çözülmesine
yönelik öneri eylemler teklif et.
82
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
83
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Faaliyetler
1. BT bütçe hamilleri ve finansal bilgileri elde eden, analiz eden ve rapor eden kişiler arasında uygun yetki ve bağımsızlıkları sağla.
2. Bütçe ve muhasebe gereksinimleriyle uyumlu olarak, maliyet yönetim süreci operasyonuna dair zaman cetvellerini oluştur.
3. Aşağıdakilerde olan sapmaları belirlemek amacıyla ilgili verilerin toplanmasına dair bir yöntem tanımla:
• Fiili ve bütçe arasında bütçe kontrolü
• Aşağıdakilere dair fayda yönetimi:
- Muhtemelen yatırım geri dönüşü (ROI), net bugünkü değer (NPV) veya iç getiri oranı (IRR) cinsinden ifade edilen çözümlere yönelik yatırımlara dair
fiili durum ve hedeflerin karşılaştırılması.
- Hizmetlerin maliyet optimizasyonu için hizmet maliyetinin fiili eğilimi (ör., kullanıcı başına düşen maliyet olarak tanımlanır)
- Çözümlerin sağlanması için tepki verme yeteneği ve öngörülebilirlikteki iyileştirmelere dair fiili durum ve bütçenin karşılaştırılması
• Doğrudan ve dolaylı (mahsup edilmiş veya mahsup edilmemiş) maliyetler arasındaki maliyet dağılımı
4. Maliyetlerin, kurum içindeki uygun seviyeler için nasıl birleştirilecekleri ve paydaşlara nasıl sunulacaklarını tanımla. Raporlar, gerekli düzeltici
aksiyonların zamanında belirlenmesini gerçekleştirmek amacıyla bilgiler sağlar.
5. Maliyet yönetimi için verileri elde etmek, toplamak ve birleştirmek ve verileri uygun bütçe sahiplerine rapor etmekten sorumlu olanlara talimat ver.
Bütçe analistleri ve sahipleri, sapmaları ortaklaşa analiz eder ve performansı kurum içinde ve karşılaştırmalı değerlendirmelerle karşılaştırır. Analiz
sonucu, önemli sapmalara dair bir açıklama ve düzeltici aksiyon önerileri sağlar.
6. Yönetimin uygun seviyelerinin, analiz sonuçlarını gözden geçirdiğinden ve düzeltici aksiyon önerilerini onayladığından emin ol.
7. BT bütçeleri ve hizmetlerini BT altyapısı, kurum süreçleri ve bunları kullanan sahiplerine hizala.
8. Maliyet yapıları ve kurum ihtiyaçlarındaki değişiklikleri belirle ve bütçeler ve tahminlerin gerektiği takdirde gözden geçirildiğinden emin ol.
9. Düzenli aralıklarla ve özellikle bütçeler finansal kısıtlamalar nedeniyle kesintiye uğradığında, maliyetleri optimize etme yollarını belirle ve hizmetleri
riske atmaksızın verimlilikleri ortaya çıkar.
84
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO07 İnsan Kaynaklarını Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
İnsan kaynaklarında optimum yapılanma, yerleştirme, karar hakları ve becerileri elde etmek amacıyla yapılandırılmış bir yaklaşım sağla. Bu, yetkin ve
motivasyonlu insanlarla desteklenen tanımlanmış görevler ve sorumluluklar, öğrenme ve gelişim planları ve performans beklentilerinin bildirilmesini
içerir.
Süreç Amaç Bildirisi
Kurum amaçlarını gerçekleştirmek amacıyla insan kaynaklarını optimize et.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin ve kurum
stratejik hedeflerinin yüzdesi
85
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
Hizala, Planla ve Organize Et
APO07.01
Yeterli ve uygun istihdamı sürdür S B S M S S S S S S S
APO07.02
Önemli BT personelini belirle S S M S S S S S S S
APO07.03
Personel becerileri ve S S M S S S S S S S
yetkinliklerinin devamını sağla
APO07.04
Çalışan iş performansını S S M S S S S S S S
değerlendir
APO07.05
BT ve iş insan kaynakları S D M S S B S S S S S S S S
kullanımını planla ve izle
APO07.06
Sözleşmeli personelleri yönet S S M S S S S S S S
86
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
87
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
hakları
COBIT dışında Kurum hedefleri ve
amaçları
Faaliyetler
1. Kişisel hedefleri oluşturma bağlamında fonksiyonel/kurum hedeflerini dikkate al.
2. BT ve kurum hedeflerine net bir katkı olacak şekilde ilgili süreç hedefleri ile uyumlu kişisel hedefler oluştur. Hedefleri temel yetkinlikler, kurum
değerleri ve görevler için gerekli olan becerileri yansıtan SMART amaçlara (özgün, ölçülebilir, erişilebilir, konuyla ilgili ve güncel) dayandır.
3. 360 derecelik performans değerlendirme sonuçlarını derle.
4. Bir disiplin süreci uygula ve bildir.
5. Değerlendirme sürecinde kişisel bilgilerin kullanımı ve saklanmasına yönelik, geçerli personel verileri ve çalışma mevzuatıyla uyumlu olarak özel
talimatlar sağla.
6. Kişisel hedeflere doğru performansa yönelik geri bildirimi zamanında sağla.
7. Performans hedeflerine yönelik tam bağlılık, yetkinlik gelişimi ve başarıyla ulaşmanın ödüllendirildiği bir hakkediş/takdir sürecini uygula. Sürecin tutarlı
şekilde uygulandığından ve organizasyon politikalarıyla uyumlu olduğundan emin ol.
8. Değerlendirme süreci ve belirlenmiş eğitim ve beceri geliştirme gereksinimlerinin sonuçları bazında performans iyileştirme planlarını oluştur.
Yönetim Uygulaması Girdiler Çıktılar
APO07.05 BT ve iş insan kaynakları kullanımını Kaynak Açıklama Açıklama Hedef
planla ve izle EDM04.02 Kaynak oluşturma İş ve BT insan kaynakları BAI01.04
İş ve BT insan kaynaklarına yönelik şimdiki ve stratejilerinin bildirilmesi envanteri
gelecekteki talebi kurum BT sorumluluklarıyla kavra ve
izle. Kaynak oluşturma planları, kurum ve BT işe alma EDM04.03 Kaynak ve yetkinliklerin Kaynak oluşturma BAI01.06
süreçleri kaynak oluşturma planları ve iş ve BT işe alma tahsisi ve etkinliği sermaye eksikliği analizleri
süreçlerine dair sermaye eksikliklerini belirle ve girdileri konusunda geri bildirim
sağla. APO06.02 Bütçe tahsisleri Kaynak kullanım kayıtları BAI01.06
BAI01.04 Kaynak gereksinimleri ve
görevleri
BAI01.12 Proje kaynak
gereksinimleri
Kurum Şimdiki ve gelecekteki
organizasyonu portföyler
COBIT dışında Kurum organizasyon yapısı
Faaliyetler
1. İş ve BT insan kaynakları envanterini oluştur ve sürdür.
2. BT amaçlarının gerçekleştirilmesini desteklemek ve şimdiki BT-Bağlantılı insiyatifler portföyü, gelecekteki yatırım portföyü ve günlük operasyon
ihtiyaçları bazında, hizmetleri ve çözümleri tedarik etmek amacıyla insan kaynaklarının şimdiki ve gelecekteki taleplerini kavra.
3. Sermaye eksikliklerini belirle ve kaynak oluşturma planlarının yanı sıra kurum ve BT işe alma süreçlerine girdiler sağla. Fiili kullanımı izleyerek,
istihdam planını oluştur ve gözden geçir.
4. Farklı görevler, atamalar, hizmetler veya projelerde harcanan zaman konusunda yeterli bilgi akışını sürdür.
88
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
89
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
90
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO08 İlişkileri Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
İş ve BT arasındaki ilişkiyi, stratejik hedeflerin desteklenmesinde ve bütçeler ve risk toleransı kısıtlamaları dahilinde, başarılı kurum çıktılarına dair bir
ortak ve paylaşılan hedefin gerçekleştirilmesine odaklanılmasını sağlayan resmi ve şeffaf bir şekilde yönet. İlişkiyi, açık ve anlaşılır şartlar ve ortak bir dil
kullanılarak karşılıklı güven ve önemli kararlarda sahiplik ve yükümlülük alma isteğine dayandır.
Süreç Amaç Bildirisi
BT’de iyileştirilmiş çıktılar, arttırılmış güven, itimat ve kaynakların etkili kullanımını sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin
ve kurum stratejik hedeflerinin yüzdesi
91
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
Hizala, Planla ve Organize Et
APO08.01
İş beklentilerini kavra D D D D S D D D D D M D S S D S S S
APO08.02
İşi geliştirmek amacıyla BT’ye
yönelik imkanlar, risk ve B B B S S D B D D M S S S S
kısıtlamaları belirle
APO08.03
İş ilişkilerini yönet D D D S S B M S S S
APO08.04
Koordinasyon ve iletişimi sağla S B S S S B M S S S
APO08.05
Sürekli hizmet iyileştirmesine D B D S B D D D M D S S S D D
girdiler sağla
92
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
93
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
94
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO09 Hizmet Anlaşmalarını Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
BT etkin hizmetler ve hizmet seviyelerini BT hizmetleri, hizmet seviyeleri ve performans göstergelerinin belirlenmesi, ayrıntılarıyla tanımlanması,
tasarlanması, yayınlanması, üzerinde anlaşılması ve izlenmesi dahil kurum ihtiyaçları ve beklentileriyle hizala.
Süreç Amaç Bildirisi
BT hizmetleri ve hizmet seviyelerinin şimdiki ve gelecekteki kurum ihtiyaçlarını karşılamasını sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO09.01
BT hizmetlerini belirle D S S S D B B B S B D D D M B B
APO09.02
BT etkin hizmetleri listele B B B B B S B D D D M B B
APO09.03
Hizmet anlaşmalarını tanımla ve S D D D D D S D S S M D D
hazırla
APO09.04
Hizmet seviyelerini izle ve rapor et B B B S D B B B B M
APO09.05
Hizmet anlaşmaları ve M D D D D D S D S S S D D B
sözleşmelerini gözden geçir
95
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
3. Yeni veya yeniden tasarlanmış BT hizmetlerine olan ihtiyacı belirlemek amacıyla iş süreç faaliyetlerini analiz et.
4. Belirlenen gereksinimleri portföyde mevcut olan hizmet bileşenleriyle karşılaştır. Mümkün olduğu takdirde, belirlenmiş iş gereksinimlerini karşılamak
amacıyla mevcut hizmet bileşenlerini (BT hizmetleri, hizmet seviyesi seçenekleri ve hizmet paketleri) yeni hizmet paketleri halinde paketle.
5. Mümkün olduğu yerde, talepleri hizmet paketlerine eşleştir ve tam verim elde etmek amacıyla standart hizmetleri oluştur.
6. Kullanılmayan hizmetleri belirlemek amacıyla, portföy yönetimi ve iş ilişkisi yönetimi olan BT hizmetlerini düzenli aralıklarla gözden geçir. Sonlandırma
ve değişiklik teklifi üzerinde karar al.
Yönetim Uygulaması Girdiler Çıktılar
APO09.02 BT etkin hizmetleri listele Kaynak Açıklama Açıklama Hedef
İlgili hedef gruplarına yönelik bir veya daha fazla hizmet EDM04.01 Onaylanmış kaynak planı Hizmet listeleri APO08.05
listesini tanımla ve sürdür. Hizmet listelerindeki aktif BT
etkin hizmetleri yayınla ve sürdür. EDM04.02 Kaynak oluşturma
stratejilerinin bildirilmesi
APO05.05 Programlar, hizmetler ve
varlıkların güncellenmiş
portföyleri
Faaliyetler
1. Portföydeki ilgili aktif BT etkin hizmetler, hizmet paketleri ve hizmet seviyesi seçeneklerini listeler halinde yayınla.
2. Portföydeki hizmet bileşenleri ve ilgili hizmet listelerinin sürekli şekilde tam ve güncel olmasını sağla.
3. Hizmet listelerine yapılan her türlü güncellemeyi iş ilişkisi yönetimine bildir.
Yönetim Uygulaması Girdiler Çıktılar
APO09.03 Hizmet anlaşmalarını tanımla ve hazırla Kaynak Açıklama Açıklama Hedef
Hizmet listelerindeki seçenekler bazında hizmet APO11.03 Kalite yönetimine dair Hizmet seviyesi APO05.03
anlaşmalarını tanımla ve hazırla. İç operasyon müşteri gereksinimleri anlaşmaları (SLA’lar) APO08.04
anlaşmalarına yer ver. DSS01.02
DSS02.01
DSS02.02
DSS04.01
DSS05.02
DSS05.03
Operasyon seviyesi DSS01.02
anlaşmaları (OLA’lar) DSS02.07
DSS04.03
DSS05.03
Faaliyetler
1. Gereksinimlerin karşılanmasını sağlamak amacıyla, iş ilişkisi yönetiminden alınan yeni ve değiştirilmiş hizmet anlaşmalarına dair gereksinimleri analiz
et. Hizmet süreleri, elverişlilik, performans, kapasite, güvenlik, süreklilik, uyum ve yasal konular, kullanılabilirlik ve talep kısıtlamaları gibi yönleri
dikkate al.
2. Müşteri hizmet anlaşmalarını ilgili hizmet listelerindeki hizmetler, hizmet paketleri ve hizmet seviyesi seçenekleri bazında planla.
3. Uygun olduğu takdirde, müşteri hizmet anlaşmasına zemin oluşturmak amacıyla iç operasyon anlaşmalarını belirle, üzerinde anlaş ve belgele.
4. Uygun olduğu takdirde, kurum dışı hizmet sağlayıcılarla olan uygun ticari sözleşmelerin müşteri hizmet anlaşmalarına zemin oluşturmasını sağlamak
amacıyla tedarikçi yönetimi ile birlikte harekete geç.
5. Müşteri hizmet anlaşmalarını, iş ilişkisi yönetimiyle sonlandır.
96
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
97
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
98
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO10 Tedarikçileri Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Kurum gereksinimlerini karşılamak amacıyla, tedarikçilerin seçimi, ilişkilerin yönetimi, anlaşmaların yönetimi ve etkinlik ve uyum açısından tedarikçi
performansının gözden geçirilmesi ve izlenmesi dahil her türlü tedarikçi tarafından sağlanan BT-Bağlantılı hizmetleri yönet.
Süreç Amaç Bildirisi
Çalışmayan tedarikçilerle ilişkili riskin en aza indir ve rekabetçi fiyatlandırma sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri ve BT etkin iş
programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı olayların sayısı
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
APO10.01
Tedarikçi ilişkileri ve anlaşmaları D D D D D M D D D S D D D
belirle ve değerlendir
APO10.02
Tedarikçileri seç. D D D D D M D D D S D D D
APO10.03
Tedarikçi ilişkileri ve anlaşmaları B D D D M D S S S D D D
yönet
APO10.04
Tedarikçi riskini yönet D S D D D M D S S D D D D
APO10.05
Tedarikçi performans ve B D D D D D M D S S D D D D
uyumunu izle
99
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
2. Tedarikçi bilgilerini tutarlı bir şekilde genel olarak gözden geçirilmesi ve karşılaştırılmasını sağlamak amacıyla tedarikçi ve anlaşma değerlendirme
kriterlerini oluştur ve sürdür.
3. Mevcut tedarikçi ve anlaşmaları, dikkatli şekilde yönetilmesi gereken öncelikli tedarikçilerin detaylı bir kaydını sürdürmek amacıyla tanımlı kriterlere
göre belirle, kaydet ve sınıflandır.
4. Fırsatları veya güncel tedarikçi anlaşmalarının tekrar gözden geçirilmesini gerektiren bir mecburiyeti belirlemek amacıyla mevcut ve alternatif
tedarikçilerin performansını düzenli aralıklarla değerlendir ve karşılaştır.
Yönetim Uygulaması Girdiler Çıktılar
APO10.02 Tedarikçileri seç. Kaynak Açıklama Açıklama Hedef
Tedarikçileri, belirlenmiş gereksinimler bazında BAI02.02 Yüksek seviyede tedarik/ Tedarikçi bilgi talepleri BAI02.01
uygulanabilir en iyiyi elde etmek amacıyla bir makul ve geliştirme planı (RFI’lar) ve teklif talepleri BAI02.02
resmi uygulamaya göre seç. Gereksinimler potansiyel (RFP’ler)
tedarikçilerden gelen girdilerle optimize edilmelidir.
Tedarikçi bilgi talepleri BAI02.02
(RFI’lar) ve teklif
taleplerine (RFP’ler) ait
değerlendirmeler
Tedarikçi değerlendirme EDM04.01
kararlarının sonuçları BAI02.02
Faaliyetler
1. Tüm tedarikçi bilgi talepleri (RFI’lar) ve teklif taleplerini (RFP’ler), aşağıdakileri içerdiğinden emin olacak şekilde gözden geçir:
• Gereksinimlerin açıkça tanımlanması
• Gereksinimlere açıklık getirmek amacıyla bir prosedürün bulunması.
• Tekliflerini hazırlaması için satıcılara yeterli sürenin sağlanması.
• Ödül kriterleri ve karar sürecinin açıkça tanımlanması.
2. Onaylanmış değerlendirme süreci/kriterlerine göre tedarikçi bilgi talepleri (RFI’lar) ve teklif taleplerini (RFP’ler) değerlendir ve değerlendirmelere ait
belgeye dayalı kanıtı sürdür. Aday satıcıların referanslarını doğrula.
3. Teklif taleplerine (RFP’ler) en uygun olan tedarikçiyi seç. Kararı belgelendir ve bildir ve anlaşma imzala.
4. Yazılım tedariği özel durumunda, anlaşma şartlarına tüm tarafların hak ve yükümlülüklerini dahil et ve yasal olarak uygula. Bu hak ve yükümlülüklere,
fikri mülkiyet sahiplik ve izinleri, bakım, garantiler, tahkim prosedürleri, iyileştirme şartları ve güvenlik, emanet ve erişim hakları dahil amaca
uygunluklar dahildir.
5. Geliştirme kaynakları tedariği özel durumunda, anlaşma şartlarına tüm tarafların hak ve yükümlülüklerini dahil et ve yasal olarak uygula. Bu hak ve
yükümlülüklere fikri mülkiyet sahiplik ve izinleri, geliştirme metodolojisi dahil amaca uygunluklar, test, gerekli performans kriterleri dahil kalite yönetim
süreçleri, performans gözden geçirmeleri, ödeme esası, garantiler, tahkim prosedürleri, insan kaynakları yömnetimi ve kurum politikalarına uyum
dahildir.
6. Fikri mülkiyet sahiplik ve izinleriyle ilişkili kaynak geliştirme tedarik anlaşmaları konusunda yasal danışmanlık al.
7. Altyapı, hizmet araçları ve ilişkili hizmetlerin tedariği özel durumunda, anlaşma şartlarına tüm tarafların hak ve yükümlülüklerini dahil et ve yasal olarak
uygula. Bu hak ve yükümlülüklere hizmet seviyeleri, bakım, prosedürler, erişim kontrolleri, güvenlik, performans gözden geçirmeleri, ödeme esası ve
tahkim prosedürleri dahildir.
100
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
101
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
102
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO11 Kaliteyi Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Sürekli iyileştirme ve verimlilik çalışmalarındaki kontroller, devam eden izlemeler ve kanıtlanmış uygulamalar ve standartların kullanımı dahil tüm
süreçler, prosedürler ve ilişkili kurum çıktılarındaki kalite gereksinimlerini tanımla ve bildir.
Süreç Amaç Bildirisi
Kurum kalite gereksinimlerini karşıla ve paydaş ihtiyaçlarının giderilmesi amacıyla çözümler ve hizmetlerin tutarlı tedariğini sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
05 BT etkin yatırım ve hizmet portföylerinden gerçekleştirilen faydalar • Fayda gerçekleşmesinin tam ekonomik yaşam döngüsü
boyunca izlendiği BT etkin yatırımların yüzdesi
• Beklenen faydaların gerçekleştirildiği BT hizmetlerinin yüzdesi
103
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
Hizala, Planla ve Organize Et
APO11.01
Kalite yönetim sistemini (QMS) D M D B D B B D D D S D D B S S B B B
oluştur
APO11.02
Kalite standartları, uygulamaları
ve prosedürlerini tanımla ve D D S D S D D D M S S S S S S S S
yönet
APO11.03
Müşteriler konusunda kalite M S D B D D S B B B B S B B
yönetimine odaklan
APO11.04
Kalite izleme, kontrol ve gözden D D S D S D S D D M D D D D S D D D
geçirmelerini gerçekleştir
APO11.05
Geliştirme ve hizmet tedariği
için kalite yönetimini çözümlere D D B M D S S S
entegre et
APO11.06
Sürekli iyileştirmeyi sürdür D S D S D D M S S S S S S S
104
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
105
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
1. Süreçleri açıklayarak, ölçerek, analiz ederek, iyileştirerek/planlayıp düzenleyerek ve kontrol ederek süregelen ve sistematik bir esasta süreçler ve
hizmetlerin kalitesini izle.
2. Kalite gözden geçirmeleri hazırla ve yürüt.
3. Gözden geçirme sonuçlarını rapor et ve uygun olduğunda iyileştirmeleri başlat.
4. Süreç kalitesinin yanı sıra sağladıkları değer kalitesini de izle. Uygun düzeltici ve önleyici eylemleri alması için bilgi ölçümü, izlemi ve kaydının süreç
sahibi tarafından kullanıldığından emin ol.
5. Kişisel proje ve hizmetlerin kalitesini kapsayan genel kalite amaçlarıyla uyumlu hedefe yönelik kalite ölçütlerini izle.
6. Yönetim ve süreç sahiplerinin, kalite yönetim performansını tanımlı kalite ölçütlerine göre düzenli aralıklarla gözden geçirdiğinden emin ol.
7. Genel kalite yönetim performans sonuçlarını analiz et.
Yönetim Uygulaması Girdiler Çıktılar
APO11.05 Geliştirme ve hizmet tedariği için kalite Kaynak Açıklama Açıklama Hedef
yönetimini çözümlere entegre et Çözüm ve hizmet tedariği APO08.05
İlgili kalite yönetim uygulamalarını, çözüm geliştirme kalite izleme sonuçları APO09.04
ve hizmet tekliflerinin tanım, izleme, raporlama ve BAI07.08
süregelen yönetimine dahil et.
Kalite tedarik APO08.02
başarısızlıklarına dair kök APO09.04
nedenler BAI07.08
MEA02.04
MEA02.07
MEA02.08
Faaliyetler
1. Kalite yönetim uygulamalarını çözüm geliştirme süreçleri ve uygulamalarına entegre et.
2. Hizmet seviyelerini sürekli olarak izle ve kalite yönetim uygulamalarını hizmet tedariği süreçleri ve uygulamalarına dahil et.
3. Uyumsuzluk kök nedenlerini belirle ve belgele ve iyileştirici aksiyonların yapılmasını sağlamak amacıyla tespitleri BT yönetimine ve diğer paydaşlara
zamanında bildir. Uygun olduğunda, sonraki gözden geçirmeleri gerçekleştir.
106
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
107
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
108
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO12 Riski Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Kurum yönetim kadarosu tarafından ayarlanan tolerans seviyeleri içinde BT-Bağlantılı riski sürekli olarak belirle, değerlendir ve azalt.
Süreç Amaç Bildirisi
BT-Bağlantılı kurum riski yönetimini genel ERM ile entegre et ve BT-Bağlantılı kurum riskinin yönetim maliyetleri ve faydalarını dengele.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar ve yönetmeliklere uygunluğu • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT›ye
için BT uyumu ve desteği uygun olmamanın maliyeti
• Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına
veya toplum önünde küçük düşmeye yol açan BT-Bağlantılı
06 BT maliyet, fayda ve riskinde şeffaflık • Açıkça tanımlanmış ve onaylanmış beklenen BT etkin maliyet
ve faydaları olan ticari yatırım durumlarının yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve
beklenen faydaları olan BT hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk
seviyesi ile ilgili ana paydaşların memnuniyet araştırması
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği • Finansal kayıp, iş kesintisi veya toplum önünde küçük
düşmeye yol açan güvenlik olaylarının sayısı
• Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin
sayısı
• Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında
erişim ayrıcalıklarının verilme, değiştirilme ve kaldırılma süresi
• Güncel standartlar ve yönetmelikler bazında güvenlik
değerlendirme sıklığı
13 Fayda sağlayan programların zamanında, bütçe dahilinde, gereksinimleri • Zamanında ve bütçesi dahilinde olan programların/projelerin
karşılayacak şekilde ve kalite standartlarına uygun olarak sunulması sayısı
• Program/proje kalitesi konusunda memnun paydaşların
yüzdesi
• Kalite kusurları yüzünden önemli tekrar çalışma gerektiren
programların sayısı
• Uygulamanın sürdürülme maliyetine karşı genel BT maliyeti
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. BT-Bağlantılı risk belirlenir, analiz edilir, yönetilir ve rapor edilir. • Mevcut ortamda görüş netliği ve farkındalık derecesi
• Havuzlarda yakalanan önemli özelliklere sahip kayıp
olaylarının sayısı
• Havuzlarda yakalanan denetimler, olaylar ve eğilimlerin
yüzdesi
2. Bir güncel ve tam risk profili mevcuttur. • Risk profiline dahil edilen önemli iş süreçlerinin yüzdesi
• Risk profilindeki nitelik ve değerlerin tamlığı
3. Tüm önemli risk yönetim eylemleri yönetilir ve kontrol altındadır. • Diğer ilişkili riskin dikkate almaması nedeniyle reddedilen risk
yönetim tekliflerinin yüzdesi
• Risk yönetim portföyünde belirlenmeyen ve yer almayan
önemli olayların sayısı
4. Risk yönetim eylemleri etkili şekilde uygulanır. • Tasarlandığı gibi yürütülen BT riski eylem planlarının yüzdesi
• Kalıntı riski azaltmayan önlemlerin sayısı
109
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
Hizala, Planla ve Organize Et
APO12.01
Verileri topla B S S S S B D D M S S S S S S S S
APO12.02
Riski analiz et B S D S D B S S M D D D D D D D D
APO12.03
Bir risk profilini sürdür B S D M D B S S S D D D D D D D D
APO12.04
Riski ifade et B S D S D B D D M D D D D D D D D
APO12.05
Bir risk yönetim eylemi B S D M D B D D S D D D D D D D D
portföyünü tanımla
APO12.06
Riske yanıt ver B S S S S B D D M S S S S S S S S
110
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
111
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
112
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
113
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
114
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
APO13 Güvenliği Yönet Etki alanı: Hizala, Planla ve Organize Et
Süreç Açıklaması
Bilgi güvenliğini yönetmek için bir sistemi tanımla, çalıştır ve izle.
Süreç Amaç Bildirisi
Bilgi güvenliği olaylarının etki ve meydana gelme sıklığını, kurumsal risk iştahı seviyeleri içinde tut.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar ve yönetmeliklere uygunluğu • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye
için BT uyumu ve desteği uygun olmamanın maliyeti
• Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına
veya toplum önünde küçük düşmeye yol açan BT-Bağlantılı
06 BT maliyet, fayda ve riskinde şeffaflık • Açıkça tanımlanmış ve onaylanmış beklenen BT etkin maliyet
ve faydaları olan ticari yatırım durumlarının yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve
beklenen faydaları olan BT hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk
seviyesi ile ilgili ana paydaşların memnuniyet araştırması
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği • Finansal kayıp, iş kesintisi veya toplum önünde küçük
düşmeye yol açan güvenlik olaylarının sayısı
• Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin
sayısı
• Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında
erişim ayrıcalıklarının verilme, değiştirilme ve kaldırılma süresi
• Güncel standartlar ve yönetmelikler bazında güvenlik
değerlendirme sıklığı
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması (veya
kullanılabilirliği) konusunda iş kullanıcısı memnuniyetinin
seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının
sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı
ticari kararların oranı ve kapsamı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Kurumsal bilgi güvenliği gereksinimlerini göz önünde bulunduran ve etkili şekilde • Açıkça tanımlanmış önemli güvenlik görevlerinin sayısı
ele alan bir sistem uygundur. • Güvenlikle Bağlantılı olayların sayısı
2. Kurum içinde bir güvenlik planı oluşturulmuş, onaylanmış ve bildirilmiştir. • Kurum içinde güvenlik planı konusunda paydaş memnuniyeti
seviyesi
• Plandan sapma gösteren güvenlik çözümleri sayısı
• Kurum mimarisinden sapma gösteren güvenlik çözümleri
sayısı
3. Bilgi güvenliği çözümleri, kurum içinde tutarlı bir şekilde uygulanır ve çalışır. • Güvenlik planına onaylanmış uyumu olan hizmetlerin sayısı
• Güvenlik planına uyumsuzluktak kaynaklanan güvenlik
olaylarının sayısı
• Güvenlik planına onaylanmış uyumu olan geliştirilmiş
çözümlerin sayısı
115
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Ana Yönetim Uygulaması
Uyum
Hizala, Planla ve Organize Et
APO13.01
Bir bilgi güvenliği yönetim D D D B D B B D M D D D D S B B B S B S D D
sistemini (ISMS) oluştur ve
sürdür.
APO13.02
Bir bilgi güvenliği risk iyileştirme
planını tanımla ve yönet D D D D D B B D M D D D D S D D D S D S D D
APO13.03
Bilgi güvenliği yönetim sistemini D S D S M D D S S S S S S S S S
(ISMS) izle ve gözden geçir
116
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
117
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
118
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
06 Değişiklikleri yönet
09 Varlıkları yönet
10 Konfigürasyonu yönet
119
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
120
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI01 Program ve Projeleri Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
Yatırım portföyündeki tüm program ve projeler kurum stratejisi ile hizalı ve koordineli bir şekilde yönet. Program ve projeleri başlat, planla, kontrol et,
yürüt ve uygulama sonrası gözden geçirerek kapat.
Süreç Amaç Bildirisi
İletişimi iyileştirerek ve iş birimi ve son kullanıcıları dahil ederek, değer ve proje çıktılarının kalitesini sağlayarak ve bunların yatırım ve hizmet
portföylerine katkılarını maksimize ederek iş faydalarını gerçekleştir ve beklenmedik gecikmeler, maliyetler ve değer kaybı riskini azalt.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin
ve kurum stratejik hedeflerinin yüzdesi
• Planlı program ve hizmet portföylerinin kapsamına dair paydaş
memnuniyet seviyesi
• İş değeri faktörlerine eşleştirilen BT değer faktörlerinin yüzdesi
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT
hizmetleri ve BT-etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-
Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
05 BT-etkin yatırım ve hizmet portföylerinden sağlanan faydalar • Fayda gerçekleşmesinin tam ekonomik yaşam döngüsü
boyunca izlendiği BT-etkin yatırımların yüzdesi
• Beklenen faydaların gerçekleştirildiği BT hizmetlerinin yüzdesi
• Talep edilen faydaların elde edildiği veya geçildiği BT-etkin
yatırımların yüzdesi
121
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Ana Yönetim Uygulaması
Uyum
BAI01.01
Program ve proje yönetimi için
standart bir yaklaşımı sürdür. B M D D S S D D D D S
BAI01.02
Bir program başlat B S D D M S S S S D D D D D D D D
BAI01.03
Paydaş katılımını yönet M D S S S D S B B S D D D D D D D
BAI01.04
Program planı oluştur ve sürdür. D D M D S S S D D D D D D D D D D D
BAI01.05
Programı başlat ve yürüt. D D M S S S B D D D S S S S D D D D
BAI01.06
İnşa Et, Tedarik Et ve Uygula
122
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
123
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
124
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
125
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Faaliyetler
1. Paydaşlar arasında proje kapsamına dair ortak bir anlayış oluşturmak amacıyla, paydaşlara her projenin türü, kapsamı ve faydasını tanımlayan
kolaylıkla anlaşılan yazılı bir bildiri ver.
2. Her projenin, projeyi genel program dahilinde yönetmek için yeterli yetkiye sahip olan bir veya daha fazla sponsoru olduğundan emin ol.
3. Kurum ve BT içindeki ana paydaşlar ve sponsorların, proje başarı (kabul) kriterleri ve önemli performans göstergelerinin (KPI’lar) tanımı dahil olmak
üzere proje gereksinimleri üzerinde anlaştığından ve kabul ettiğinden emin ol.
4. Proje tanımının, iç ve dış proje iletişimlerini belirleyen bir proje iletişim planına ait gereksinimleri açıkladığından emin ol.
5. Paydaşların onayıyla birlikte, değişiklik gereksinimlerini yansıtan proje tanımını proje boyunca sürdür.
6. Bir projenin yürütülmesini izlemek amacıyla, zamanında uygun onayı olan düzenli raporlama ve aşama bitiş, sürüm veya faz gözden geçirmeleri gibi
uygun mekanizmalar koy.
Yönetim Uygulaması Girdiler Çıktılar
BAI01.08 Projeleri planla. Kaynak Açıklama Açıklama Hedef
Proje yürütülmesini yönlendirmek ve proje süresi BAI07.03 Onaylanmış kabul test Proje planları İçsel
boyunca kontrol etmek amacıyla bir resmi, onaylanmış planı
entegre proje planını (iş ve BT kaynaklarını kapsayan) Proje tabanı İçsel
oluştur ve sürdür. Projelerin kapsamı, açıkça Proje raporları ve İçsel
tanımlanmalı ve iş yetkinliğinin oluşturulması veya iletişimler
arttırılmasına bağlı olmalıdır.
Faaliyetler
1. Projenin gittikçe ilerlemesini kontrol etmek üzere yönetimi gerçekleştirmek amacıyla bilgiler sağlayan bir proje planını oluştur. Planda, proje çıktıları ve
kabul kriterleri, gerekli iç ve dış kaynaklar ve sorumluluklar, açık çalışma durdurma yapıları ve çalışma paketleri, gerekli kaynak tahminleri, kilometre
taşları/sürüm planı/fazlar, önemli bağlılıklar ve kritik yol belirleme detayları yer almalıdır.
2. Güncel olacakları ve fiili ilerlemeyi ve onaylanmış sonuca etkisi olan değişiklikleri yansıtacakları şekilde proje planı ve her türlü bağımlı planı (ör., risk
planı, kalite planı, fayda gerçekleştirme planı) sürdür.
3. Tüm projeler arasında ve genel program içinde proje planları ve ilerleme raporlarına dair etkili bir iletişimin olduğundan emin ol. Kişisel planlara yapılan
her türlü değişikliğin, diğer planlarda yansıtıldığından emin ol.
4. Bir program içindeki çeşitli projeler arasında faaliyetler, birbirine bağlılıklar ve gerekli işbirliği ve iletişimi belirle.
5. Her kilometre taşına, gözden geçirilmesi ve imzalanması gereken önemli bir çıktının eşlik ettiğinden emin ol.
6. Uygun şekilde gözden geçirilmiş, onaylanmış ve entegre proje planına dahil edilmiş olan bir proje tabanı (ör., maliyet, program, kapsam, kalite) oluştur.
126
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
127
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Faaliyetler
1. Sınırlayıcı olmaksızın kapsam, program, kalite, maliyet ve risk seviyesi dahil olmak üzere bir grup proje kriteri oluştur ve kullan.
2. Önemli proje performans kriterlerine göre proje performansını ölç. Oluşturulan önemli proje performans kriterlerinden sapmaları, nedenleri bakımından
analiz et ve program ve bunu oluşturan projeler üzerindeki olumlu ve olumsuz etkileri değerlendir.
3. Program dahilinde proje ilerlemesini, oluşturulan önemli proje performans kriterlerinden sapmaları ve program ve bunu oluşturan projeler üzerindeki
potansiyel olumlu ve olumsuz etkileri belirlenmiş ana paydaşlara rapor et.
4. Program değişikliklerini izle ve halen geçerli ilerleme ölçütlerini temsil edip etmediklerini belirlemek amacıyla mevcut önemli proje performans
kriterlerini gözden geçir.
5. Gerekli her türlü değişikliği belgele ve benimsemeden önce onay almak amacıyla programın ana paydaşlarına sun. Gelecekteki performans
raporlarında kullanılmak üzere, gözden geçirilmiş kriterleri proje yöneticilerine bildir.
6. Gerekli olduğu takdirde, program ve proje yönetişim çerçevesi ile uyumlu olan iyileştirici aksiyonlar tavsiye et ve izle.
7. Etkilenmiş iş ve BT fonksiyonlarındaki atanmış yöneticiler ve kullanıcılardan, her tekrarlama, sürüm veya proje fazında üretilen çıktılara dair onay ve
imza al.
8. Çalışma öncesinde, proje fazı veya tekrarlama çıktısı başlangıcında ana paydaşlar tarafından üzerinde anlaşılan açıkça tanımlanmış kabul kriterleri
üzerinde onay sürecini temel al.
9. Projeyi üzerinde anlaşılmış olan önemli aşama bitişler, sürümler veya tekrarlamalarda değerlendir ve önceden belirlenmiş kritik başarı kriterleri bazında
İnşa Et, Tedarik Et ve Uygula
128
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
129
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
130
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI02 Gereksinim Tanımını Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
İş süreçleri, uygulamalar, bilgi/veri, altyapı ve hizmetleri kapsayan kurum stratejik gereksinimleriyle uyumlu olmalarını sağlamak amacıyla tedarik veya
oluşmalarından önce çözümlerin belirle ve gereksinimleri analiz et. Etkilenen paydaşlarla, nispi maliyetler ve faydalar, risk analizi ve gereksinimler ve
önerilen çözümlerin onayı dahil olmak üzere uygulanabilir seçenekleri gözden geçirmeyi koordine et.
Süreç Amaç Bildirisi
Riski en aza indirirken, kurum ihtiyaçlarını karşılayan uygulanabilir optimum çözümleri oluştur.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
01 BT ve iş stratejisinin hizalanması • BT stratejik hedefleri tarafından desteklenen gereksinimlerin
ve kurum stratejik hedeflerinin yüzdesi
• Planlı program ve hizmet portföylerinin kapsamına dair paydaş
memnuniyet seviyesi
• İş değeri faktörlerine eşleştirilen BT değer faktörlerinin yüzdesi
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların
yüzdesi
12 Uygulamalar ve teknolojinin iş süreçlerine entegre edilmesiyle iş süreçlerinin • Teknolojik entegrasyon hatalarının yol açtığı iş süreç
gerçekleştirilmesi ve desteklenmesi olaylarının sayısı
• Teknolojik entegrasyon sorunları yüzünden ertelenmesi veya
tekrar çalışılması gereken iş süreç değişikliklerinin sayısı
• Teknolojik entegrasyon sorunları yüzünden ertelenen veya
ilave maliyetler oluşturan BT-etkin iş programlarının sayısı
• Bilgi sistemi olmadan çalışan ve entegrasyonu yapılmamış
131
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Ana Yönetim Uygulaması
BAI02.01
İş fonksiyonel ve teknik
gereksinimleri tanımla ve sürdür B S M S D D D D S S D D D D D
BAI02.02
Bir fizibilite çalışması S S M S D D D D S D D D D D
gerçekleştir ve alternatif
çözümleri formüle et.
BAI02.03
Gereksinimlerin riskini yönet S S M S S D D S D S S D D D D
BAI02.04
Gereksinimler ve çözümlerin S S M S D D D D D D D D D D
onayını al
İnşa Et, Tedarik Et ve Uygula
132
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
133
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
emin ol. Etkilenmiş paydaşlardan geri bildirimi koordine et ve uygun iş ve teknik yetkililerden (ör., iş süreç sahibi, kurum mimarı, operasyon yöneticisi,
güvenlik) önerilen yaklaşıma dair imza al.
2. Her önemli proje aşaması, tekrarlama veya sürüm boyunca ve sonunda, sonuçları orijinal kabul kriterlerine göre değerlendirmek amacıyla kalite
gözden geçirmeleri elde et. İş sponsorları ve diğer paydaşların, her başarılı kalite gözden geçirmesini imzalamasını sağla.
134
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI03 Çözüm Belirleme ve Oluşturmayı Yönet Etki alanı: İnşa et, Tedarik Et ve Uygula
Süreç Açıklaması
Belirlenmiş çözümleri, tasarım, geliştirme, satın alma/kaynak yaratma ve tedarikçiler/taşeronlarla ortak olmayı içeren kurum gereksinimleriyle uyumlu
olarak oluştur ve sürdür. İş süreçleri, uygulamalar, bilgi/veri, altyapı ve hizmetlere ait konfigürasyon, test hazırlığı, test yapılması, gereksinimlerin idare ve
bakımını yönet.
Süreç Amaç Bildirisi
Kurum stratejik ve operasyon amaçlarını destekleyebilen zamanında ve düşük maliyetli çözümleri oluştur.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların
yüzdesi
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. İlgili bileşenleri içeren çözüm tasarımı, kurum ihtiyaçlarını karşılar, standartlarla • Gereksinimlerle uyumsuzluk yüzünden tekrar çalışılan çözüm
uyum sağlar ve belirlenen tüm riski ele alır. tasarımlarının sayısı
• Tasarım çıktısının gereksinimleri karşıladığını onaylamak için
geçen süre
2. Çözüm tasarıma uyumludur, organizasyon standartlarına uygundur ve uygun • Aşama gözden geçirmeleri sırasında belirtilen tasarım çözümü
kontrol, güvenlik ve denetlenebilirliğe sahiptir. istisnalarının sayısı
3. Çözüm kabul edilebilir kalitededir ve başarılı şekilde test edilmiştir. • Test sırasında bulunan hataların sayısı
• Testleri tamamlama süresi ve çabası
135
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
BAI03.01
Yüksek seviyeli çözümleri tasarla S B S D D B D M D D D D D
BAI03.02
Detaylı çözüm bileşenlerini S B S D D B D M D D D D D
tasarla
BAI03.03
Çözüm bileşenlerini oluştur S B S D D B D M D D D D D
BAI03.04
Çözüm bileşenlerini tedarik et B S B B D D M B S S S D D D D
BAI03.05
Çözümleri oluştur S B S D D B D M D D D D D
BAI03.06
Kalite güvencesini gerçekleştir B S M S D D B D S D D D D D
İnşa Et, Tedarik Et ve Uygula
BAI03.07
Çözüm testini hazırla S M B D D B S S S S S S
BAI03.08
Çözüm testini yürüt S M B B B B S S B B B B
BAI03.09
Gereksinimlere yapılacak B S M S B B D S S D D D D D
değişiklikleri yönet
BAI03.10
Çözümleri sürdür S S D D B D M D D D D D
BAI03.11
BT hizmetlerini tanımla ve B B B B B S B D D D M B B
hizmet portföyünü sürdür
136
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
137
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
138
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
139
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
talepleri kaydı
Faaliyetler
1. Tüm çözüm değişiklik taleplerinin çözüm geliştirilme, orijinal iş gerekçesi ve bütçe üzerindeki etkisini değerlendir ve bunları uygun şekilde sınıflandır
ve önceliklendir.
2. Tüm paydaşların değişiklikleri izlemesini, gözden geçirmesini ve onaylamasını sağlayarak gereksinimlere yapılacak değişiklikleri izle. Değişiklik süreci
sonuçlarının tüm paydaşlar ve sponsor/iş süreç sahibi tarafından tamamıyla kavrandığından ve üzerinde anlaşıldığından emin ol.
3. Çözüm bileşenlerinin entegrasyon ve konfigürasyon bütünlüğünü sürdürerek değişiklik taleplerini uygula. Her türlü büyük çözüm geliştirilmesine dair
etkileri değerlendir ve ilişkili risk analizinin sonuçları (mevcut sistemler ve süreçler veya güvenlik üzerindeki etki gibi), maliyet-fayda gerekçeleri ve
diğer gereksinimler bazında üzerinde anlaşılmış olan objektif kriterlere (kurum gereksinimleri gibi) göre sınıflandır.
Yönetim Uygulaması Girdiler Çıktılar
BAI03.10 Çözümleri sürdür Kaynak Açıklama Açıklama Hedef
Çözüm ve altyapı bileşenlerinin bakımına yönelik Bakım planı APO08.05
bir plan oluştur ve yürüt. İş ihtiyaçları ve operasyon
gereksinimlerine göre düzenli aralıklarla gözden Güncellenmiş çözüm BAI05.05
geçirmelere yer ver. bileşenleri ve ilişkili
belgelendirme
Faaliyetler
1. Çözüm bileşenlerinin bakımına yönelik olarak, yama yönetimi, iyileştirme stratejileri, risk, zayıflıkların değerlendirilmesi ve güvenlik gereksinimleri gibi
iş ihtiyaçları ve operasyon gereksinimlerine göre düzenli aralıklarla yapılan gözden geçirmeleri içeren bir plan oluştur ve yürüt.
2. Güncel çözüm tasarımı, fonksiyonellik ve/veya iş süreçleri konusunda önerilen bakım faaliyetinin önemini değerlendir. Risk, kullanıcı etkisi ve kaynak
kullanılabilirliğini göz önünde bulundur. İş süreç sahiplerinin, değişiklikleri bakım olarak uygulamanın etkisini kavradığından emin ol.
3. Mevcut çözümlere yapılacak, güncel tasarımlar ve/veya fonksiyonellikte ve/veya iş süreçlerinde önemli değişikliklerle sonuçlanan büyük çaptaki
değişiklikler durumunda, yeni sistemler için kullanılan geliştirme sürecini takip et. Bakım güncellemeleri için, değişiklik yönetim sürecini kullan.
4. Bakım faaliyetlerinin düzen ve hacminin, altta yatan kalite veya performans problemleri, büyük çapta iyileştirme veya bakım yerine yenileme maliyet/
faydasını gösteren anormal eğilimler konusunda düzenli aralıklarla analiz edildiğinden emin ol.
5. Bakım güncellemeleri için, tüm bakım taleplerini kontrol etmek amacıyla değişiklik yönetim sürecini kullan.
140
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
141
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
142
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI04 Kullanılabilirlik ve Kapasiteyi Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
Düşük maliyetli hizmet tedariği ile kullanılabilirlik, performans ve kapasiteye yönelik şimdiki ve gelecekteki ihtiyaçları dengele.
Belirlenen gereksinimleri karşılamaya yönelik eylemleri planlamak ve uygulamak amacıyla, güncel yetkinliklerin değerlendirilmesi, iş
gereksinimleri, iş etki analizleri ve risk değerlendirmesi bazında gelecekteki ihtiyaçların tahminine yer ver.
Süreç Amaç Bildirisi
Gelecekteki performans ve kapasite gereksinimlerinin tahmin edilmesi sayesinde hizmet kullanılabilirliği, verimli kaynak yönetimi ve
sistem performansı optimizasyonunu sürdür.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin
sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet
seviyelerini karşılamasından memnun iş paydaşlarının
yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun
kullanıcıların yüzdesi
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon
değerlendirmelerinin sıklığı
• Değerlendirme sonuçlarının eğilimi
• BT-Bağlantılı maliyetler ve yetkinlikler konusunda iş
idarecileri ve BT yöneticilerinin memnuniyet dereceleri
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması
(veya kullanılabilirliği) konusunda iş kullanıcısı
memnuniyetinin seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç
143
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
BAI04.01
Güncel kullanılabilirlik,
performans ve kapasiteyi B D D M S D D
değerlendir ve bir referans
değeri oluştur
BAI04.02
İş etkisini değerlendir M D D S S D D
BAI04.03
Yeni veya değiştirilmiş hizmet S D D M S D D
gereksinimlerini planla
BAI04.04
Kullanılabilirlik ve kapasiteyi izle S D D M S D D
ve gözden geçir
İnşa Et, Tedarik Et ve Uygula
BAI04.05
Kullanılabilirlik, performans ve
kapasite sorunlarını araştır ve B S B S D M S B B
ele al
144
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
145
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
1. İşlem tavanı ve iş yüküne dair uygun bir seviyede performans kullanılabilirliği sağlamak amacıyla tedarikçi ürün kılavuzlarından rehberlik al.
2. Güncel ve tahmin edilen performansın izlenmesine göre performans ve kapasite eksikliklerini belirle. Kaynakları sınıflandırmak ve önceliklendirmeye
imkan sağlamak amacıyla, bilinen kullanılabilirlik, süreklilik ve kurtarma şartnamelerini kullan.
3. Düzeltici aksiyonları (ör., performans ve kapasite sorunları belirlendiğinde iş yükünün aktarılması, görevlerin önceliklendirilmesi veya kaynakların
eklenmesi) tanımla.
4. Gerekli düzeltici aksiyonları uygun planlama ve değişiklik yönetim süreçleri halinde entegre et.
5. Acil kapasite ve performans problemleri durumunda hızlı çözüme ulaşmak için bir üst bildirim prosedürü tanımla.
146
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI05 Organizasyon Değişikliği Gerçekleştirmeyi Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
Kurum çapında sürdürülebilir organizasyon değişikliğini, hızlı ve düşük riskle, tüm değişiklik yaşam döngüsünü ve etkilenen tüm paydaşlar ve iş ve BT’yi
kapsayarak başarılı şekilde uygulama olasılığını maksimuma çıkar.
Süreç Amaç Bildirisi
Paydaşları iş değişikliğine hazırla ve görev ver ve başarısızlık riskini azalt.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
08 Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı • Destekleyici BT ürün ve hizmetlerinden memnun iş süreç sahiplerinin
yüzdesi
•İş kullanıcılarının, teknolojik çözümlerin kendilerine ait süreçleri nasıl
desteklediğini kavrama seviyesi
•Eğitim ve kullanıcı rehberleri konusunda iş kullanıcılarının memnuniyet
derecesi
•Teknolojik çözümlerin kalite ve kullanışlılığı konusunda ticari
memnuniyeti gösteren net bugünkü değer (NPV)
13 Fayda sağlayan programların zamanında, bütçe dahilinde, • Zamanında ve bütçesi dahilinde olan programların/projelerin sayısı
gereksinimleri karşılayacak şekilde ve kalite standartlarına uygun olarak • Program/proje kalitesi konusunda memnun paydaşların yüzdesi
sunulması • Kalite kusurları yüzünden önemli tekrar çalışma gerektiren programların
sayısı
• Uygulamanın sürdürülme maliyetine karşı genel BT maliyeti
17 İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik • BT yenilik olanaklarına dair iş idarecisinin farkında olma ve kavrama
seviyesi
• BT yeniliğine dair uzmanlık ve fikirlerin seviyesi konusunda paydaş
memnuniyeti seviyesi
• Yenilikçi BT fikirlerinden doğan onaylanmış girişimlerin sayısı
147
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
BAI05.01
Değişiklik isteğini oluştur S M D D S D S S D S D D S D D D D D D
BAI05.02
Etkili bir uygulama takımını B B D M D D S S D D D S S D D D D D D
oluştur
BAI05.03
İstenilen vizyonu bildir M D D S B S B B B B B B S B B B B B B B B
BAI05.04
Görev sahiplerini güçlendir ve S M D D S D S D D S D D D D D D D
kısa dönem kazanımlarını belirle
BAI05.05
Operasyon ve kullanımı D M S S S D S S S S S S
gerçekleştir
İnşa Et, Tedarik Et ve Uygula
BAI05.06
Yeni yaklaşımları yerleştir S S S M S S S D S S S S S S
BAI05.07
Değişiklikleri sürdür S S S S M S S S D S S S S S S
148
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
149
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
150
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI06 Değişiklikleri Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
İş süreçleri, uygulamaları ve altyapıya ilişkin standart değişiklikler ve acil bakımlar dahil tüm değişiklikleri kontrollü bir şekilde yönet. Buna, değişiklik
standartları ve prosedürleri, etki değerlendirme, önceliklendirme ve yetkilendirme, acil değişiklikler, izleme, raporlama, kapanış ve belgeleme dahildir.
Süreç Amaç Bildirisi
İş ile ilgili değişikliği hızlı ve güvenilir bir şekilde sağla ve değiştirilen ortamın istikrarı veya bütünlüğünü olumsuz yönde etkileyen riskin azaltılmasını
gerçekleştir.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri ve BT etkin iş
programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
sağlanması • BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini karşılamasından memnun
iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların yüzdesi
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği • Finansal kayıp, iş kesintisi veya toplum önünde küçük düşmeye yol açan güvenlik
olaylarının sayısı
• Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin sayısı
• Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında erişim ayrıcalıklarının
verilme, değiştirilme ve kaldırılma süresi
• Güncel standartlar ve yönetmelikler bazında güvenlik değerlendirme sıklığı
Süreç Hedefleri ve Ölçütler
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI06.01
Değişiklik taleplerini değerlendir, M S D D D D S D S S D S D
önceliklendir ve yetkilendir
BAI06.02
Acil değişiklikleri yönet M B D D D S B S S B D
BAI06.03
Değişiklik durumunu izle ve D S D M S S S
rapor et
BAI06.04
Değişiklikleri kapat ve belgele M S S D D D S D S S B B
151
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
göz önünde bulundur. Ayrıca değişiklikler arasında karşılıklı bağımlılıkları da göz önünde bulundur. Uygun olduğu takdirde iş süreç sahiplerini
değerlendirme sürecine dahil et.
5. Uygun olduğu takdirde, her değişikliği iş süreç sahipleri, hizmet yöneticileri ve BT teknik paydaşlarına resmi olarak onaylat. Düşük riskli ve nispeten
sık yapılan değişiklikler, standart değişiklikler olarak önceden onaylanmalıdır.
6. Onaylanmış tüm değişiklikleri planla ve programla.
7. Sözleşmeli hizmet tedarikçilerinin (ör., dış kaynak kullanımlı iş süreçleri, altyapı, uygulama geliştirme ve paylaşımlı hizmetler), organizasyona ait
değişiklik yönetim süreçlerinin, hizmet tedarikçilerinin değişiklik yönetim süreçleriyle entegrasyonu dahil, değişiklik yönetim süreci üzerindeki etkisini
ve sözleşme süresi ve hizmet sözleşmeleri (SLA) üzerindeki etkiyi göz önünde bulundur.
Yönetim Uygulaması Girdiler Çıktılar
BAI06.02 Acil değişiklikleri yönet Kaynak Açıklama Açıklama Hedef
Başka olayların ortaya çıkmasını en aza indirmek Acil değişikliklerin İçsel
için acil değişiklikleri dikkatli şekilde yönet ve uygulama sonrasında
değişikliğin kontrol edildiğinden ve güvenli şekilde gözden geçirilmesi
gerçekleştirildiğinden emin ol. Acil değişikliklerin,
değişiklik yapıldıktan sonra uygun şekilde
değerlendirildiğini ve yetkilendirildiğini teyit et.
Faaliyetler
1. Bir acil değişikliği bildirmek, değerlendirmek, ön onayını vermek, değişiklik sonrasında yetkilendirmek ve kaydetmek için belgelenmiş bir prosedürün
mevcut olduğundan emin ol.
2. Değişiklik için tüm acil erişim düzenlemelerinin, değişiklik uygulandıktan sonra uygun şekilde yetkilendirildiğini, belgelendiğini ve iptal edildiğini teyit et.
3. Tüm acil değişiklileri izle ve ilişkili tüm tarafları dahil eden uygulama sonrası incelemeler yürüt. İncelemede, iş süreci, uygulama sistemi geliştirme
ve bakımı, geliştirme ve test ortamları, belgeleme ve talimatlar ve veri bütünlüğü ile ilgili problemler gibi kök nedenlere göre düzeltici aksiyonlar göz
önünde bulundurmalı ve başlatılmalıdır.
4. Bir acil değişikliği oluşturan nedeni belirle.
152
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
153
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
154
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI07 Değişiklik Kabul ve Dönüşümü Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
Uygulama planı, sistem ve veri dönüşümü, kabul testi, iletişim, sürüm hazırlığı, yeni veya değiştirilmiş iş süreçleri ve BT hizmetlerinin üretimine geçiş,
erken üretim desteği ve uygulama sonrası gözden geçirme dahil olmak üzere yeni operasyonel çözümleri resmi olarak kabul et ve yap.
Süreç Amaç Bildirisi
Çözümleri güvenli ve üzerinde anlaşılmış olan beklentiler ve çıktılarla uyumlu bir şekilde uygula.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
08 Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı • Destekleyici BT ürün ve hizmetlerinden memnun iş süreç
sahiplerinin yüzdesi
•İş kullanıcılarının, teknolojik çözümlerin kendilerine ait süreçleri
nasıl desteklediğini kavrama seviyesi
•Eğitim ve kullanıcı rehberleri konusunda iş kullanıcılarının
memnuniyet derecesi
•Teknolojik çözümlerin kalite ve kullanışlılığı konusunda ticari
memnuniyeti gösteren net bugünkü değer (NPV)
12 Uygulamalar ve teknolojinin iş süreçlerine entegre edilmesiyle iş süreçlerinin • Teknolojik entegrasyon hatalarının yol açtığı iş süreç
gerçekleştirilmesi ve desteklenmesi olaylarının sayısı
• Teknolojik entegrasyon sorunları yüzünden ertelenmesi veya
tekrar çalışılması gereken iş süreç değişikliklerinin sayısı
• Teknolojik entegrasyon sorunları yüzünden ertelenen veya
ilave maliyetler oluşturan BT etkin iş programlarının sayısı
• Bilgi sistemi olmadan çalışan ve entegrasyonu yapılmamış
uygulamalar veya kritik altyapıların sayısı
Süreç Hedefleri ve Ölçütler
155
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
BAI07.01
Bir uygulama planını oluştur D S M D S D D S D S D S S S D
BAI07.02
İş süreci, sistem ve veri D S M D S D D S D S D S S S D
dönüşümünü planla
BAI07.03
Kabul testlerini planla M S S B D B S S B S S D
BAI07.04
Bir test ortamını oluştur M S S B B S S B S S D
BAI07.05
Kabul testlerini gerçekleştir M S S B B S S B S S D
BAI07.06
İnşa Et, Tedarik Et ve Uygula
156
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
157
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
158
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
159
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
5. Uygulama sonrası gözden geçirmelerde belirlenen sorunları ele almak amacıyla bir eylem planı üzerinde anlaş ve uygula. Eylem planının
oluşturulmasında, iş süreç sahipleri ve BT teknik yönetimini bir araya getir.
160
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI08 Bilgi Birikimini Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
Tüm süreç faaliyetlerini desteklemek ve karar almayı kolaylaştırmak amacıyla ilgili, güncel, doğrulanmış ve güvenli bilgi kullanılabilirliğini sürdür. Bilginin
belirlenmesi, toplanması, organize edilmesi, sürdürülmesi, kullanılması ve sonlandırılmasını planla.
Süreç Amaç Bildirisi
Tüm kadronun iş faaliyetlerinde desteklenmesi ve bilgilendirilmiş karar alma ve geliştirilmiş verimlilik için gerekli olan bilgiyi sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
09 BT çevikliği • BT’nin yeni şartlara tepki verme yeteneğine dair iş idarecileri
memnuniyetinin seviyesi
•Güncel altyapı ve uygulamalarla desteklenen kritik iş süreçlerinin sayısı
• Stratejik BT amaçlarının, üzerinde anlaşılmış ve onaylanmış bir girişime
döndürülmesi için geçen ortalama süre
17 İşte yenilik için bilgi birikimi, uzmanlık ve girişimcilik • BT yenilik olanaklarına dair iş idarecisinin farkında olma ve kavrama seviyesi
• BT yeniliğine dair uzmanlık ve fikirlerin seviyesi konusunda paydaş
memnuniyeti seviyesi
• Yenilikçi BT fikirlerinden doğan onaylanmış girişimlerin sayısı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Bilgi kaynakları belirlenir ve sınıflandırılır. • Kapsanan bilgi kategorilerinin yüzdesi
• Sınıflandırılan bilgi hacmi
• Sınıflandırılmış bilgilerden doğrulananların yüzdesi
2. Bilgi kullanılır ve paylaşılır. • Kullanıma hazır bilgilerden fiili olarak kullanılanların yüzdesi
• Bilgi kullanımı ve paylaşımında eğitim görmüş kullanıcı sayısı
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
161
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
4. Bilgi kaynaklarını bilgi doğrulama kriterleri (ör., anlaşılabilirlik, uygunluk, önem, bütünlük, doğruluk, tutarlılık, gizlilik, güncellik ve güvenilirlik) bazında
topla, birleştir ve doğrula.
Yönetim Uygulaması Girdiler Çıktılar
BAI08.03 Bilgileri bilgi birikimi halinde organize et Kaynak Açıklama Açıklama Hedef
ve uygun bir bağlama yerleştir. BAI03.03 Belgelendirilmiş çözüm Yayınlanmış bilgi havuzları APO07.03
Sınıflandırma kriterleri bazında bilgileri organize et. Bilgi bileşenleri
unsurları arasındaki anlamlı ilişkileri belirle ve oluştur
ve bilginin kullanılmasını sağla. Sahipleri belirle ve bilgi BAI05.07 Bilgi aktarım planları
birikimi kaynaklarına erişim seviyelerini tanımla ve
uygula.
Faaliyetler
1. Paylaşılan nitelikleri belirle ve bilgi grupları (bilgi etiketleme) arasında ilişkiler oluşturacak şekilde bilgi kaynaklarını eşleştir.
2. Paydaş ve organizasyon gereksinimlerini göz önünde bulundurarak ilgili veri gruplarına dair görünümler oluştur.
3. Resmi kaynaklar aracılığıyla kullanılamayan yapılandırılmamış bilgi birikimini (ör., uzman bilgi birikimi) yönetmek amacıyla bir şema planla ve uygula.
4. Görevler ve erişim mekanizmaları bazında ilgili paydaşlara bilgi birikimini yayınla ve erişimine izin ver.
Yönetim Uygulaması Girdiler Çıktılar
BAI08.04 Bilgileri kullan ve paylaş Kaynak Açıklama Açıklama Hedef
Kullanılabilir bilgi birikimi kaynaklarını ilgili paydaşlara BAI03.03 Belgelendirilmiş çözüm Bilgi birikimi kullanıcı İçsel
ilet ve bu kaynakların farklı ihtiyaçları (ör., problem bileşenleri veritabanı
çözme, öğrenme, stratejik planlama ve karar alma) ele
almak üzere nasıl kullanılabileceğini bildir. BAI05.05 Operasyon ve kullanım Bilgi birikimi farkındalığı ve APO07.03
planı eğitim şemaları
BAI05.07 Bilgi aktarım planları
Faaliyetler
1. Bilgi birikimi sınıflandırması aracılığıyla potansiyel bilgi birikimi kullanıcılarını belirle.
2. Bilgi birikimini, ihtiyaçlara ait boşluk analizi ve etkili öğrenme teknikleri ve erişim araçları bazında bilgi birikimi kullanıcılarına aktar.
3. Kullanıcıları kullanılabilir bilgi birikimi, bilgi birikimine erişim ve bilgi birikimi erişim araçlarının kullanımı konusunda öğrenim ve eğitim ver.
162
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
163
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
164
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI09 Varlıkları Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
BT varlıklarının, kullanımlarının optimum maliyetle değer oluşturması, operasyonel (amaca uygunluk) kalmaları, kayıt edilmeleri ve fiziksel olarak
korunmaları ve hizmet yetkinliğini desteklemek için önemli olan varlıkları güvenilir ve kullanılabilir olmasını sağlayacak şekilde yaşam döngüleri boyunca
yönet. Gerekli iş kullanımıyla Bağlantılı olarak optimum sayının tedarik edildiğinden, muhafaza edildiğinden ve dağıtıldığından ve yazılımın lisans
anlaşmalarıyla uyumlu olduğundan emin olmak amacıyla yazılım lisanslarını yönet.
Süreç Amaç Bildirisi
Tüm BT varlıklarını kaydet ve bu varlıklarla sağlanan değeri optimize et.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
06 BT maliyet, fayda ve riskinde şeffaflık • Açıkça tanımlanmış ve onaylanmış beklenen BT etkin maliyet ve faydaları olan ticari
yatırım durumlarının yüzdesi
• Açıkça tanımlanmış ve onaylanmış işletme maliyetleri ve beklenen faydaları olan BT
hizmetlerinin yüzdesi
• BT finansal bilgilerinde şeffaflık, mutabakat ve doğruluk seviyesi ile ilgili ana paydaşların
memnuniyet araştırması
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon değerlendirmelerinin sıklığı
• Değerlendirme sonuçlarının eğilimi
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri ve BT yöneticilerinin
memnuniyet dereceleri
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Lisanslar iş ihtiyaçlarıyla uyumlu ve uygundur. • Ödenen lisanslarla karşılaştırıldığında kullanılan lisansların yüzdesi
2. Varlıklar optimum seviyelerde korunur. • Kullanılmayan varlıkların sayısı
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
165
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
süresi bildirimleri
adım at.
Bakım anlaşmaları İçsel
Faaliyetler
1. Hizmet yetkinliklerinin sağlanmasında kritik olan varlıkları, hizmet tanımları, hizmet seviyesi anlaşmaları (SLA’lar) ve konfigürasyon yönetim
sistemindeki gereksinimleri referans alarak belirle.
2. Kritik varlıkların performansını, olay eğilimlerini inceleyerek izle ve gerekli olduğu takdirde, düzeltmek veya değiştirmek için harekete geç.
3. Arıza riski veya her kritik varlığı değiştirme ihtiyacını düzenli aralıklarla göz önünde bulundur.
4. Kritik varlıkların dayanıklılığını, düzenli koruyucu bakım uygulayarak, performansı izleyerek ve gerektiği takdirde, arıza olasılığını en aza indirmek
amacıyla alternatif ve/veya ek varlıklar sağlayarak sürdür.
5. Tüm donanım için, maliyet-fayda analizi, tedarikçi tavsiyeleri, hizmet dışı kalma riski, kalifiye personel ve diğer ilişkili faktörleri göz önünde
bulundurarak bir koruyucu bakım planı oluştur.
6. Organizasyon BT hizmet araçlarına iş sahası içinde ve dışındaki faaliyetler (ör., dış kaynak kullanımı) için üçüncü şahıs erişimini içeren bakım
anlaşmaları yap. Organizasyon güvenlik politikaları ve standartlarıyla uyumu sağlamak amacıyla erişim yetkilendirme prosedürleri dahil gerekli tüm
güvenlik koşullarını içeren veya ele alan resmi hizmet sözleşmeleri yap.
7. Etkilenen müşteriler ve kullanıcılara bakım faaliyetleri nedeniyle beklenen etkiyi (ör., performans kısıtlamaları) bildir.
8. Uzaktan erişim hizmetleri ve kullanıcı profillerinin (veya bakım veya teşhis için kullanılan diğer araçlar) sadece gerektiğinde aktif olduğundan emin ol.
9. Planlanmış aksama süresini genel üretim programına dahil et ve iş süreçleri üzerinde kötü etkileri en aza indirmek amacıyla bakım faaliyetlerini
programla.
166
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
167
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
168
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
BAI10 Konfigürasyonu Yönet Etki alanı: İnşa Et, Tedarik Et ve Uygula
Süreç Açıklaması
Konfigürasyon bilgilerinin toplanması, referans değerlerinin oluşturulması, konfigürasyon bilgilerinin doğrulanması ve denetlenmesi ve konfigürasyon
havuzunun güncellenmesi dahil olmak üzere, BT etkin hizmetleri sağlamak için gerekli olan ana kaynaklar ve yetkinliklere dair açıklamalar ve
aralarındaki ilişkileri tanımla ve sürdür.
Süreç Amaç Bildirisi
Hizmetin etkili şekilde yönetilmesini sağlamak amacıyla hizmet varlıklarına dair yeterli bilgiyi sağla, değişiklik etkilerini değerlendir ve hizmet olaylarını
çözümle.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye uygun olmamanın maliyeti
ve yönetmeliklere uygunluğu için BT uyumu ve desteği • Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına veya toplum önünde küçük
düşmeye yol açan BT-Bağlantılı uygun olmama sorunlarının sayısı
•BT hizmet sağlayıcılarıyla yapılan sözleşmeli anlaşmalarla ilgili uygun olmama sorunlarının
sayısı
• Uygunluk değerlendirmelerinin kapsamı
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon değerlendirmelerinin sıklığı
• Değerlendirme sonuçlarının eğilimi
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri ve BT yöneticilerinin
memnuniyet dereceleri
14 Karar alma için güvenilir ve yararlı bilgilerin • Yönetim bilgilerinin kalitesi ve zamanlaması (veya kullanılabilirliği) konusunda iş kullanıcısı
kullanılabilirliği memnuniyetinin seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı ticari kararların oranı ve
kapsamı
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
BAI10.01
Bir konfigürasyon modelini D D D D B M S S
oluştur ve sürdür.
BAI10.02
Bir konfigürasyon havuzu ve
referans değerini oluştur ve D S M S S
sürdür.
BAI10.03
Konfigürasyon öğelerini sürdür M D S S S D
ve kontrol et.
BAI10.04
Durum ve konfigürasyon B B B D D M S B
raporlarını oluştur.
BAI10.05
Konfigürasyon havuzu B S S S M S
bütünlüğünü doğrula ve gözden
geçir
169
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
170
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
171
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
172
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
01 Operasyonu yönet
03 Problemleri yönet
04 Sürekliliği yönet
173
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
174
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
DSS01 Operasyonu Yönet Etki alanı: Tedarik, Hizmet ve Destek
Süreç Açıklaması
Önceden tanımlanmış standart çalışma prosedürleri ve gerekli izleme faaliyetlerinin yürütülmesi dahil olmak üzere, iç ve dış tedarikli BT hizmetlerini
sağlamak için gereken faaliyetler ve çalışma prosedürleri koordinasyonunu yap ve yürüt.
Süreç Amaç Bildirisi
BT operasyon hizmeti sonuçlarını planlandığı şekilde gerçekleştir.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Risk değerlendirmesinin kapsadığı kritik iş süreçleri, BT hizmetleri
ve BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı
olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların yüzdesi
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon değerlendirmelerinin
sıklığı
• Değerlendirme sonuçlarının eğilimi
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri ve BT
yöneticilerinin memnuniyet dereceleri
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Operasyon faaliyetleri gerektiği ve programlandığı şekilde gerçekleştirilir. • Gerçekleştirilen standart dışı operasyon prosedürlerinin sayısı
• Operasyon problemlerinden kaynaklanan olayların sayısı
2. Operasyonlar izlenir, ölçülür, rapor edilir ve iyileştirilir. • Olumsuz olay sayısına kıyasla olayların oranı
• Otomatik tespit sistemlerinin kapsadığı kritik operasyon olay tipi
yüzdesi
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
175
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
çevreleyen veya destekleyen diğer faaliyetlerin zaman Olayların kronolojik kaydı İçsel
sıralamasına ait gözden geçirme ve incelemeleri sakla. Olumsuz olay kayıtları DSS02.02
Faaliyetler
1. Risk ve performans dikkate aldığında kaydedilecek bilgi seviyesini belirleyerek olayların kronolojik kaydını tut.
2. Hizmet kritikliği ve konfigürasyon öğeleri ve bunlara bağlı hizmetler arasındaki ilişkiler bazında izlenmesi gereken altyapı varlıklarının bir listesini belirle
ve sürdür.
3. Eşik değeri ihlalleri ve olay koşullarını belirleyen ve kaydeden kuralları tanımla ve uygula. Olayların kronolojik kayıtları gereksiz bilgilerle aşırı
yüklenmeyecek şekilde, istenmeyen küçük olaylar ve önemli olayların oluşturulması arasında bir dengeyi bul.
4. Olayların kronolojik kayıtlarını oluştur ve gelecekteki araştırmalara yardımcı olması için uygun bir süre boyunca tut.
5. Olayların kronolojik kaydının izlenmesi için prosedürler oluştur ve düzenli aralıklarla gözden geçirmeler yürüt.
6. İzleme sırasında tanımlanmış eşik değerlerinden sapmalar belirlendiğinde, olay kayıtlarının zamanında oluşturulduğundan emin ol.
176
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
177
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
178
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
DSS02 Hizmet Talep ve Olayları Yönet Etki alanı: Tedarik, Hizmet ve Destek
Süreç Açıklaması
Her türlü olayda kullanıcı talepleri ve çözümlerine zamanında ve etkili cevaplar sağla. Normal hizmeti yeniden teşkil et, kullanıcı taleplerini kaydet ve
yerine getir ve olayları kaydet, araştır, teşhis et, üst bildirimini yap ve çöz.
Süreç Amaç Bildirisi
Kullanıcı sorguları ve olayların hızlı çözümü aracılığıyla yüksek verimlilik sağla ve kesintileri en aza indir.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı
olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların yüzdesi
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. BT-Bağlantılı hizmetler kullanıma hazırdır. • İş kritik süreçlerinde kesintiye yol açan olayların sayısı ve yüzdesi
• BT etkin hizmetlere göre olaylar arasında geçen ortalama süre
2. Olaylar, üzerinde anlaşılmış olan hizmet seviyelerine uygun şekilde çözülür. • Üzerinde anlaşılmış/kabul edilebilir bir zaman aralığı içinde
çözülen olayların yüzdesi
3. Hizmet talepleri, üzerinde anlaşılmış olan hizmet seviyelerine ve kullanıcı • Hizmet talebinin karşılanması konusunda kullanıcı memnuniyet
memnuniyetine uygun olarak ele alınır. seviyesi
• Her çeşit hizmet talebinin ele alınması için geçen ortalama süre.
179
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
DSS02.01
Olay ve hizmet talebi D B B M D S S S D D D
sınıflandırma şemalarını tanımla
DSS02.02
Talepler ve olayları kaydet, B B B M S B
sınıflandır ve önceliklendir
DSS02.03
Hizmet taleplerini doğrula, S B S S M
onayla ve yerine getir
DSS02.04
Olayları araştır, teşhis et ve S B B B B B D S M D
tahsis et
DSS02.05
Olayları çöz ve düzelt B B B D D B S S M S D
DSS02.06
Hizmet talepleri ve olayları B B B B B B B M B S B
kapat
DSS02.07
Durumu izle ve raporları oluştur. B B B B B B B M S B
180
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
181
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
182
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
DSS03 Problemleri Yönet Etki alanı: Tedarik, Hizmet ve Destek
Süreç Açıklaması
Olayların tekrar ortaya çıkmasını engellemek amacıyla, problemler ve bunların kök nedenlerini belirle ve sınıflandır ve zamanında çözüm sağla.
İyileştirmelere yönelik öneriler sağla.
Süreç Amaç Bildirisi
Operasyon problemleri sayısının azaltılmasıyla kullanılabilirliği arttır, hizmet seviyelerini iyileştir, maliyetleri düşür ve müşteri kolaylık ve memnuniyetini
iyileştir.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı
olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların yüzdesi
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon değerlendirmelerinin
sıklığı
• Değerlendirme sonuçlarının eğilimi
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri ve BT
yöneticilerinin memnuniyet dereceleri
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması (veya kullanılabilirliği)
konusunda iş kullanıcısı memnuniyetinin seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının
sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı ticari
kararların oranı ve kapsamı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. BT-Bağlantılı problemler, tekrar ortaya çıkmayacak şekilde çözülür. • Çözülmemiş problemlerden kaynaklanan tekrar ortaya çıkan
olayların sayısında azalma
• Problemlerin kronolojik kaydının tutulduğu büyük olayların yüzdesi
• Çözülmemiş problemler için tanımlanan geçici çözümlerin yüzdesi.
• İleriye dönük problem yönetim faaliyetinin bir parçası olarak
kronolojik kayıtları tutulan problemlerin yüzdesi
183
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
DSS03.01
Problemleri belirle ve sınıflandır B D B B B B S D S S M D
DSS03.02
Problemleri araştır ve teşhis et B B D D M S S
DSS03.03
Bilinen hataları bir araya getir M S S
DSS03.04
Problemleri çöz ve kapat B D B B D D B D D S M
DSS03.05
İleriye dönük problem D D D S M
yönetimini gerçekleştir
3. Problem yönetimini desteklemek amacıyla problem belirleme, kök neden analizi ve çözüm belirleme konusunda yardımcı olacak uygun destek
gruplarını tanımla. Destek gruplarını donanım, ağ, yazılım, uygulamalar ve destek yazılımı gibi önceden tanımlanmış kategoriler bazında belirle.
4. Problem belirleme ve kök neden analizinin üzerinde anlaşılmış olan hizmet seviyesi anlaşmalarına (SLA’lar) uygun şekilde zamanında ele alındığından
emin olmak amacıyla, işle istişare sonucunda öncelik seviyelerini tanımla. Öncelik seviyelerini iş etkisi ve acil olma durumuna dayandır.
5. Müşteriler ve BT yönetiminin bilgilendirilmiş kalabilmesini sağlamak amacıyla, belirlenmiş problemlerin durumunu hizmet masasına rapor et.
6. Belirlenen problemleri kaydetmek ve rapor etmek ve her problemin durumu (yani, açık, tekrar açılmış, süreci devam ediyor veya kapatılmış) dahil
olmak üzere problem yönetim süreçlerinin denetim izini oluşturmak amacıyla tek bir problem yönetim listesini sürdür.
Yönetim Uygulaması Girdiler Çıktılar
DSS03.02 Problemleri araştır ve teşhis et Kaynak Açıklama Açıklama Hedef
Kök nedenleri değerlendirmek ve analiz etmek amacıyla APO12.06 Riskle Bağlantılı kök Problemlerin kök nedenleri İçsel
ilgili konuya dair yönetim uzmanlarından faydalanarak nedenler
problemleri araştır ve teşhis et. Problem çözüm raporları DSS02.07
Faaliyetler
1. Olay verilerinin bilinen ve şüpheli hatalara (ör., dış tedarikçiler tarafından bildirilenler) ait veritabanlarıyla karşılaştırılmasıyla, problemlerin bilinen
hatalar olup olmadıklarını belirle.
2. Etkilenen konfigürasyon öğelerini belirlenmiş/bilinen hatayla ilişkilendir.
3. Problemlerin çözümündeki ilerlemeyi bildirmek ve çözülmeyen problemlerin devam eden etkisini izlemek amacıyla raporlar oluştur. Değişiklik ve
konfigürasyon yönetiminden girdiler dahil olmak üzere, yaşam döngüsü boyunca problem ele alma sürecinin durumunu izle.
184
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
185
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
186
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
DSS04 Sürekliliği Yönet Etki alanı: Tedarik, Hizmet ve Destek
Süreç Açıklaması
Kritik iş süreçleri ve gerekli BT hizmetlerine ait çalışmaların devamını sağlamak ve bilgi kullanılabilirliğini kurum tarafından kabul edilebilecek bir
seviyede sürdürmek için, iş ve BT’nin olaylar ve kesintilere müdahale etmesini sağlamak amacıyla bir plan oluştur ve sürdür.
Süreç Amaç Bildirisi
Kritik iş operasyonlarını sürdür ve önemli bir kesinti durumunda bilgi kullanılabilirliğini kurum tarafından kabul edilebilecek bir seviyede devam ettir.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin kapsadığı
BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı
olayların sayısı
• Kabul edilebilir risk seviyesini güncelleme sıklığı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların yüzdesi
14 Karar alma için güvenilir ve yararlı bilgilerin kullanılabilirliği • Yönetim bilgilerinin kalitesi ve zamanlaması (veya kullanılabilirliği)
konusunda iş kullanıcısı memnuniyetinin seviyesi
•Bilgilerin kullanılamamasından kaynaklanan iş süreç olaylarının sayısı
•Hatalı veya kullanılamayan bilgilerin ana faktör olduğu hatalı ticari
kararların oranı ve kapsamı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. İş kritik bilgileri, minimum gerekli hizmet seviyesiyle uyumlu olarak iş • Hizmet süresi gereksinimlerini karşılayan BT hizmetlerinin yüzdesi
tarafından kullanılabilir. • Yedekleme veya alternatif ortam kopyalarından başarılı ve zamanında
onarım yüzdesi
• Güvenli şekilde aktarılan ve saklanan yedekleme ortamı yüzdesi
2. Kritik hizmetler için yeterli direnç mevcuttur. • Planın kapsamadığı kritik iş sistemlerinin sayısı
3. Hizmet süreklilik testleri, planın etkinliğini doğrulamıştır. • Kurtarma amaçlarını yerine getiren alıştırma ve testlerin sayısı
• Testlerin sıklığı
4. Güncel bir süreklilik planı, güncel iş gereksinimlerini yansıtır. • Planda yansıtılmış olan üzerinde anlaşılmış plan iyileştirmelerinin
yüzdesi
• Müteakip olarak planda ele alınan belirlenmiş sorunların yüzdesi
5. Kurum içi ve dışındaki taraflar süreklilik planı konusunda eğitim alır. • Eğitim alan kurum içi ve dışı paydaşların yüzdesi
• Müteakip olarak eğitim materyallerinde ele alınan belirlenmiş
sorunların yüzdesi
187
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
DSS04.01
İş süreklilik politikası, amaçları M D S D D D S S D S S
ve kapsamını tanımla
DSS04.02
Süreklilik stratejisini sürdür M D S B D D S S D S S
DSS04.03
İş süreklilik tepkisini oluştur ve B S B D D S D D S M
uygula
DSS04.04
İş süreklilik planını (BCP) B S B S S D S M
uygula, test et ve gözden geçir
DSS04.05
Süreklilik planını gözden geçir, M B S B S D S S
sürdür ve iyileştir.
DSS04.06
Süreklilik planı eğitimini yürüt B S S S S S M
DSS04.07
Yedekleme düzenlemelerini D M S
yönet
DSS04.08
Devam etme sonrası gözden D S B S D D S S M
geçirmeyi yürüt
188
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
189
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
190
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
191
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
192
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
DSS05 Güvenlik Hizmetlerini Yönet Etki alanı: Tedarik, Hizmet ve Destek
Süreç Açıklaması
Güvenlik politikasına uygun olarak kurum tarafından kabul edilebilir bilgi güvenliği riski seviyesini sürdürmek amacıyla kurum bilgilerini koru. Bilgi
güvenliği görevleri ve erişim ayrıcalıklarını oluştur ve sürdür ve güvenlik izlemlerini gerçekleştir.
Süreç Amaç Bildirisi
Operasyon bilgi güvenliğine ait zayıf noktaların ve olayların işe etkisini en aza indir.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
02 İşin ait olunan ülke dışındaki ülkelere ait kanunlar ve yönetmeliklere uygunluğu • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT›ye
için BT uyumu ve desteği uygun olmamanın maliyeti
• Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına
veya toplum önünde küçük düşmeye yol açan BT-Bağlantılı
uygun olmama sorunlarının sayısı
•BT hizmet sağlayıcılarıyla yapılan sözleşmeli anlaşmalarla ilgili
uygun olmama sorunlarının sayısı
• Uygunluk değerlendirmelerinin kapsamı
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-
Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
10 Bilgi, süreç altyapısı ve uygulamaların güvenliği • Finansal kayıp, iş kesintisi veya toplum önünde küçük
düşmeye yol açan güvenlik olaylarının sayısı
• Güvenlik şartları yerine getirilmemiş olan BT hizmetlerinin
sayısı
• Üzerinde anlaşılmış hizmet seviyeleriyle karşılaştırıldığında
erişim ayrıcalıklarının verilme, değiştirilme ve kaldırılma süresi
• Güncel standartlar ve yönetmelikler bazında güvenlik
değerlendirme sıklığı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Ağların ve iletişimlerin güvenliği, iş ihtiyaçlarını karşılar. • Bulunan zayıf noktaların sayısı
• Güvenlik duvarı ihlallerinin sayısı
2. Uç nokta aygıtlarıyla işlenen, saklanan ve aktarılan bilgiler korunur. • Uç nokta aygıtlarının kullanımıyla ilgili farkındalık eğitimi alan
kişilerin yüzdesi
• Uç nokta aygıtlarının dahil olduğu olayların sayısı
• Ağ içinde veya son kullanıcı ortamında tespit edilen yetkisiz
193
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
DSS05.01
Kötü amaçlı yazılıma karşı koru S B D M S D D D B S S B S
DSS05.02
Ağ ve bağlantı güvenliğini yönet B D M D D D B S S B S
DSS05.03
Uç nokta güvenliğini yönet B D M D D D B S S B S
DSS05.04
Kullanıcı kimliği ve mantıksal S D M B D D D B D S B S D
erişimi yönet
DSS05.05
BT varlıklarına fiziksel erişimi B D M D D D B D S B S B
yönet
DSS05.06
Hassas belgeler ve çıktı B D D M S
aygıtlarını yönet
DSS05.07
Altyapıyı güvenlikle Bağlantılı B D B M D D D B D S B S B B
olaylar açısından izle.
194
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
195
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
3. BT alanlarına tüm giriş noktalarının kronolojik kaydını tut ve izle. Taşeronlar ve tedarikçiler dahil alanlara giren tüm ziyaretçileri kaydet.
4. Tüm personelin her zaman görünür şekilde kimliklerini göstermeleri konusunda talimat ver. Kimlik kartları veya yaka kartlarının uygun yetkilendirme
olmaksızın düzenlenmesini engelle.
5. Kurum içinde ziyaretçilere her zaman eşlik edilmesini talep et. Personel kimlik kartı takmayan, eşlik edilmeyen, tanıdık olmayan bir kişi belirlendiği
takdirde, güvenlik personeline bildir.
6. İç ve dış mekanlara parmaklıklar, duvarlar gibi çevre kısıtlayıcılar ve güvenlik aygıtları yerleştirerek hassas BT alanlarına erişimi kısıtla. Aygıtların
girişi kaydettiğinden ve yetkisiz erişim durumunda bir alarmı tetiklediğinden emin ol. Bu aygıtların örneklerine yaka kartları veya anahtar kartları, tuş
takımları, kapalı devre televizyon ve biyoölçüt sensörler dahildir.
7. Düzenli aralıklarla fiziksel güvenlik farkındalık eğitimleri düzenle.
196
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
197
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
198
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
DSS06 İş Süreç Kontrollerini Yönet Etki alanı: Tedarik, Hizmet ve Destek
Süreç Açıklaması
Kurum içi veya dış tedarikli iş süreçleri ile Bağlantılı olan ve işlenen bilginin tüm ilgili bilgi kontrol gereksinimlerini karşıladığından emin olmak amacıyla,
uygun iş süreç kontrollerini tanımla ve sürdür. İlgili bilgi kontrol gereksinimlerini belirle ve bilgi ve bilgi işlemenin bu gereksinimleri karşıladığından emin
olmak amacıyla uygun kontrolleri yönet ve uygula.
Süreç Amaç Bildirisi
Kurum içi veya dış tedarikli iş süreçlerinde ele alanın bilgilerin bütünlüğü ve bilgi varlıkları güvenliğini sürdür.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-
Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların
yüzdesi
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Bilgi işlenmesine dair iş gereksinimlerini karşılayan ana kontrollerin kapsamı ve • Kritik süreçler ve ana kontrollere ait tamamlanmış envanter
etkinliği tamdır. yüzdesi
• Ana kontrollerin test planlarıyla kapsanma yüzdesi
•Ana kontrol başarısızlığını gösteren olay ve denetim raporu
bulgularının sayısı
2. Görevler, sorumluluklar ve erişim haklarının envanteri yetkilendirilmiş iş • Tahsis edilmiş hakları ve yetki seviyeleri olan iş süreç
ihtiyaçlarıyla uyumludur. görevlerinin yüzdesi
• Açık görevler ayrılığı prensibine sahip iş süreç görevlerinin
yüzdesi
• Erişim veya görevler ayrılığı prensibi ihlallerinden kaynaklanan
olay ve denetim bulgularının sayısı
3. İş işlemleri tam olarak ve kronolojik kayıtların gerektirdiği şekilde tutulur. • İzlenebilir işlem kronolojik kaydının tam olma yüzdesi
• İşlem geçmişinin kurtarılamadığı olayların sayısı
199
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
DSS06.01
İş süreçlerine yerleşik kontrol
faaliyetlerini kurum amaçlarıyla D D D M S B B D D D D D D D
hizala
DSS06.02
Bilgi işlenmesini kontrol et S S S M S B B D D D D D D
DSS06.03
Görevler, sorumluluklar, erişim
ayrıcalıkları ve yetki seviyesini S M S B B D D D D D S D
yönet
DSS06.04
Hata ve istisnaları yönet B B M D D B D S
DSS06.05
Bilgi olayları ve
yükümlülüklerine ait izleme D M B D D D D D D
sağla
DSS06.06
Bilgi varlıkları güvenliğini sağla D D D M B B D D D D D D D
200
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
201
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
1. İş kontrolü altındaki bilgi varlıklarını korumak amacıyla veri sınıflandırma ve uygun kullanım ve güvenlik politikaları ve prosedürlerini uygula.
2. Uygun kullanım farkındalığı ve eğitimi sağla.
3. Bilgilerin kullanım, dağıtım ve fiziksel erişimini, sınıflandırmasına uygun şekilde sınırlandır.
4. Uyumu mantık çerçevesinde doğrulamak amacıyla süreçler, araçlar ve teknikler belirle ve uygula.
5. İhlaller ve sapmalar durumunda iş ve diğer paydaşlara rapor ver.
202
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
203
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
204
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
MEA01 Performans ve Uyum Sağlamayı İzle, Tespit Et ve Değerlendir Etki alanı: İzle, Tespit Et ve Değerlendir
Süreç Açıklaması
İş, BT ve süreç hedefleri ve ölçütleri topla, doğrula ve değerlendir. Süreçlerin, üzerinde anlaşılmış olan performans ve uyum hedefleri ve ölçütlerine uygun
şekilde gerçekleştirilip gerçekleştirilmediğini izle ve sistematik ve zamanında raporlama sağla.
Süreç Amaç Bildirisi
Performans ve uyum konusunda şeffaflık sağla ve hedeflerin gerçekleştirilmesini sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-
Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesinigüncelleme sıklığı
07 BT hizmetlerinin iş gereksinimlerine uyumlu olarak sağlanması • BT hizmet olayları nedeniyle oluşan iş kesintilerinin sayısı
• BT hizmet tedariğinin üzerinde anlaşılmış hizmet seviyelerini
karşılamasından memnun iş paydaşlarının yüzdesi
• BT hizmetinin sağlandığı kaliteden memnun kullanıcıların
yüzdesi
11 BT varlık, kaynak ve yetkinliklerinin optimizasyonu • Yetkinlik olgunluğu ve maliyet optimizasyon
değerlendirmelerinin sıklığı
• Değerlendirme sonuçlarının eğilimi
• BT-Bağlantılı maliyetler ve imkanlar konusunda iş idarecileri
ve BT yöneticilerinin memnuniyet dereceleri
15 İç politikalarla BT uyumu • Politikaya uygun olmayan olayların sayısı
• Politikaların esasını kavrayan paydaşların yüzdesi
• Etkili standartlar ve çalışma yöntemleriyle desteklenen
politikaların yüzdesi
• Politikaların tekrar gözden geçirilme ve güncellenme sıklığı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Hedefler ve ölçütler paydaşlar tarafından onaylanır. • Paydaşlar tarafından onaylanan hedefler ve ölçütlerin yüzdesi
2. Süreçler, üzerinde anlaşılmış olan hedefler ve ölçütlere göre ölçülür. • Tanımlanmış hedefler ve ölçütlere sahip süreçlerin yüzdesi
3. Kurumsal izleme, tespit etme ve bilgilendirme yaklaşımı etkili ve operasyoneldir. • Etkinliği gözden geçirilmiş ve iyileştirilmiş hedefler ve ölçütlere
sahip süreçlerin yüzdesi
• İzlenen kritik süreçlerin yüzdesi
4. Hedefler ve ölçütler kurum izleme sistemi ile entegredir. • Kurum izleme sistemine hizalanmış hedefler ve ölçütlerin
yüzdesi
5. Performans ve uyum konusunda süreç raporlaması faydalı ve zamanındadır. • Programlandığı üzere iletilen performans raporlarının yüzdesi
Tedarik, Hizmet ve Destek
205
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
MEA01.01
Bir izleme yaklaşımı oluştur. M S S S B D B D D D S B D D B D B B B
MEA01.02
Performans ve uyum hedefleri B B B M S B D D D S S B S B B B
belirle
MEA01.03
Performans ve uyum verilerini
topla ve işle D S B D M S S B S B B B
MEA01.04
Performansı analiz et ve raporla M S D D D D D D S S D S D D D
MEA01.05
Düzeltici aksiyonların B B B B D S D D D D M D S S D S D D D
uygulandığından emin ol
6. İzleme için kaynak talep et, önceliklendir ve tahsis et (uygunluk, verimlilik, etkinlik ve gizliliği dikkate al).
7. Kullanılan yaklaşımı düzenli olarak doğrula ve yeni veya değişen paydaşları, gereksinimleri ve kaynakları belirle.
206
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
207
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
208
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
MEA02 İç Kontrol Sistemini İzle, Tespit Et ve Değerlendir Etki alanı: İzle, Tespit Et ve Değerlendir
Süreç Açıklaması
Öz-değerlendirmeler ve bağımsız güvence gözden geçirmeleri dahil olmak üzere, kontrol ortamını sürekli olarak izle ve değerlendir. Yönetimi iyileştirici
aksiyonları başlatması için ve kontrol eksikliklerini ve yetersizliklerini belirlemesi için etkin kıl. İç kontrol değerlendirme ve güvence faaliyetlerine yönelik
standartların planla, organize et ve sürekliliğini sağla.
Süreç Amaç Bildirisi
Ana paydaşlar için, İç kontrol sistemlerinin yeterliliği ve dolayısıyla operasyonlara güven, kurum hedeflerinin gerçekleştirilmesinde öz güven ve yeterli
artık risk anlayışının sağlanması konusunda şeffaflık sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
02 İşin dış kanun ve yönetmeliklerle uyumlu olması için BT uyumu ve desteği • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT
uyumsuzluklarının maliyeti
• Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına
veya toplum önünde küçük düşmeye yol açan BT-Bağlantılı
uyumsuzluk sorunlarının sayısı
•BT hizmet sağlayıcılarıyla yapılan sözleşmeli anlaşmalarla ilgili
uyumsuzluk sorunlarının sayısı
• Uyum değerlendirmelerinin kapsamı
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-
Bağlantılı olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
15 İç politikalarla BT uyumu • Politikaya uygun olmayan olayların sayısı
• Politikaların esasını kavrayan paydaşların yüzdesi
• Etkili standartlar ve çalışma yöntemleriyle desteklenen
politikaların yüzdesi
• Politikaların tekrar gözden geçirilme ve güncellenme sıklığı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Süreçler, kaynaklar ve bilgiler kurum iç kontrol sistemi gereksinimlerini karşılar. • Hedeflere toleranslar dahilinde ulaşan güvence altına alınmış
çıktıları olan süreçlerin yüzdesi
• İç kontrol hedeflerine uyumlu olarak güvence altına alınmış
süreçlerin yüzdesi
2. Tüm güvence insiyatifleri planlıdır ve etkili şekilde gerçekleştirilir. • Onaylanmış güvence programı ve plan standartlarını izleyen
güvence insiyatiflerinin yüzdesi
3. İç kontrol sistemi operasyonel ve etkili olacak şekilde bağımsız güvence sağlanır. • Bağımsız gözden geçirme alan süreçlerin yüzdesi
4. İç kontrol tesis edilir ve eksiklikler belirlenir ve raporlanır. • Kurum dışı kalifikasyon ve sertifikasyon raporlarıyla belirlenen
zayıf yönlerin sayısı
• Büyük iç kontrol ihlallerinin sayısı
• İç kontrol eksikliğinin ortaya çıkması ve raporlama arasındaki
süre
Tedarik, Hizmet ve Destek
209
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
Ana Yönetim Uygulaması
MEA02.01
İç kontrolleri izle B D B D S S S S S M B S S S S S S S
MEA02.02
İş süreç kontrolleri etkinliğini B B S B M S B B B S S D D D D D
gözden geçir
MEA02.03
Kontrol öz değerlendirmelerini B D B D S S S S S M B S S S S S S S
gerçekleştir.
MEA02.04
Kontrol eksikliklerini belirle ve B D B D S S B B S S M B S S S S S S S
rapor et.
MEA02.05
Güvence sağlayıcıların bağımsız S M M S
ve kalifiye olması sağla.
MEA02.06
Güvence insiyatiflerini planla M D S D D D S D D D D D D D D
MEA02.07
Güvence insiyatifleri kapsamını S S S D D M S D D D D D D D D
belirle
MEA02.08
Güvence insiyatiflerini yürüt B B D S D B B D M S D D D D D D D D
Faaliyetler
1. Organizasyon yönetişim standartları ve endüstri tarafından kabul görmüş çerçeveler ve uygulamalar bazında, iç kontrol izleme ve değerlendirme
faaliyetleri gerçekleştir. Yönetimin denetleyici gözden geçirmelerine dair verimlilik ve etkinliğin izlenmesi ve değerlendirilmesine yer ver.
2. İç kontrol sisteminin bağımsız değerlendirmelerini (ör., iç denetim veya eşdeğerleri tarafından) göz önünde bulundur.
3. BT iç kontrol sisteminin sınırlarını (ör., organizasyon BT iç kontrollerinin dış tedarikli ve/veya sınır ötesi geliştirme veya üretim faaliyetlerini nasıl hesaba
kattığını akla getir) belirle.
Tedarik, Hizmet ve Destek
4. Kontrol faaliyetlerinin yerleşik olduğu ve istisnaların acilen raporlandığı, izlendiği ve analiz edildiği ve uygun düzeltici aksiyonların risk yönetim profiline
(ör., belirli istisnaları önemli risk olarak ve diğerlerini ise önemli olmayan risk olarak sınıflandır) uygun şekilde önceliklendirildiği ve uygulandığından
emin ol.
5. İş ve BT riski, organizasyon kontrol ortamı, ilgili iş ve BT süreçleri ve BT riskinde devam eden değişiklikleri göz önünde bulundurarak BT iç kontrol
sistemini sürdür. Boşluklar mevcut olduğu takdirde, değişiklikleri değerlendir ve öner.
6. BT kontrol çerçevesi performansı, endüstri tarafından kabul görmüş standartlar ve iyi uygulamalara kıyasla karşılaştırmalı değerlendirmeleri düzenli
olarak değerlendir. İç kontrol izlemesine yönelik sürekli iyileştirme yaklaşımının resmi olarak benimsenmesini göz önünde bulundur.
7. Kurum dışı hizmet sağlayıcılarına ait iç kontrolleri değerlendir ve hizmet sağlayıcılarının yasa ve yönetmelik şartlarına ve sözleşme zorunluluklarına
uyduğunu teyit et.
210
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
211
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
2. Riski teşhis etmek ve kritik BT süreçlerini belirlemek amacıyla yüksek seviyeli risk değerlendirmesi ve/veya süreç yetkinliği değerlendirmesi
gerçekleştir.
3. Kontrol değerlendirmesine temel oluşturan kritik süreçlerin kontrol hedeflerini seç, özelleştir ve üzerlerinde anlaşmaya var.
212
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Faaliyetler
1. BT güvence konusuna dair bir anlayış geliştir.
2. BT güvence konusuna dair ana kontrol hedeflerinin kapsamını geliştir.
3. Ana kontrol hedeflerinin kontrol tasarımı etkinlik seviyesini test et.
4. Alternatif olarak/ek olarak, ana kontrol hedeflerine dair sonuçları test et.
5. Kontrole ait zayıf yönlerin etkisini belgele.
6. İnsiyatifin yürütülmesi sırasında, gerçekleştirilen işe dair açık bir anlayış ve ilk bulgular ve öneriler üzerinde bir anlaşma ve onaylama olacak şekilde
yönetim ile iletişime geç.
7. Güvence faaliyetlerini denetle ve yapılan işin tam olmasını, hedefleri karşılamasını ve uygun bir kalitede olmasını sağla.
8. Yönetime, insiyatif sonuçlarını destekleyen bir rapor (şartname, kapsam ve üzerinde anlaşılan raporlama standartlarına uygun) ver.
213
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
214
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
Alan: Yönetim
MEA03 Dış Gereksinimler İle Uyumu İzle, Tespit Et ve Değerlendir Etki alanı: İzle, Tespit Et ve Değerlendir
Süreç Açıklaması
BT süreçleri ve BT desteklenmiş iş süreçlerinin yasa, yönetmelik ve anlaşma şartlarıyla uyumlu olduğunu değerlendir. Gereksinimlerin belirlendiği ve
uyumlu olduğuna dair güvence sağla ve BT uyumu ile genel kurum uyumunu entegre et.
Süreç Amaç Bildirisi
Kurumun, mevcut tüm kurum dışı gereksinimlerle uyumlu olmasını sağla.
Süreç, bir grup birincil öncelikli BT-Bağlantılı hedefe ulaşılmasına katkıda bulunur:
BT-Bağlantılı Hedef İlgili Ölçütler
02 İşin dış kanun ve yönetmeliklerle uyumlu olması için BT uyumu ve desteği • Ödemeler ve para cezaları ve itibar kaybı etkisi dahil BT’ye uygun
olmamanın maliyeti
• Yönetim kuruluna rapor edilen veya kamuoyu açıklamasına veya
toplum önünde küçük düşmeye yol açan BT-Bağlantılı uygun
olmama sorunlarının sayısı
•BT hizmet sağlayıcılarıyla yapılan sözleşmeli anlaşmalarla ilgili
uygun olmama sorunlarının sayısı
• Uygunluk değerlendirmelerinin kapsamı
04 Yönetilen BT-Bağlantılı iş riski • Kritik iş süreçleri, BT hizmetleri ve risk değerlendirmesinin
kapsadığı BT etkin iş programlarının yüzdesi
• Risk değerlendirmesinde belirlenmemiş olan önemli BT-Bağlantılı
olayların sayısı
• BT-Bağlantılı risk dahil olmak üzere kurum risk
değerlendirmelerinin yüzdesi
• Kabul edilebilir risk seviyesini güncelleme sıklığı
Süreç Hedefleri ve Ölçütler
Süreç Hedefi İlgili Ölçütler
1. Tüm kurum dışı uyum gereksinimleri belirlenir. • Kurum dışı uyum sorunlarının belirlenmesi ve çözümü arasında
geçen ortalama süre
• Uyum gözden geçirme sıklığı
2. Kurum dışı uyum gereksinimleri yeterince ele alınır. • Bir yılda belirlenen kritik uyumsuzluk sorunlarının sayısı
• Uyumu işaret eden, teyit eden süreç sahiplerinin yüzdesi
İş Sürekliliği Yöneticisi
Kurumsal Risk Kurulu
Operasyon Direktörü
Mahremiyet yetkilisi
BT Yönetim Başkanı
Yapı Bölüm Başkanı
Yapı Yönetim Kurulu
Değer Yönetim Ofisi
İcra Kurulu Başkanı
Hizmet Yöneticisi
Finans Direktörü
Yönetim Kurulu
Denetim
Uyum
MEA03.01 M S S S S S
Kurum dışı uyum
gereksinimlerini belirle
MEA03.02 S S S M S B S S S S B S S S S S S S
Kurum dışı gereksinimlere yanıtı
optimize et
MEA03.03
Tedarik, Hizmet ve Destek
B S S S S S B B D M B S D D D D D D D S
Kurum dışı uyumu teyit et
MEA03.04 B B B B D D B D D M S D D D D D D D D
Kurum dışı uyum güvencesini
elde et
215
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
216
Personal Copy of: Dr. Ali Ozkaya
Bölüm 5
COBIT 5 SÜREÇ REFERANS KILAVUZU İÇERİKLERİ
217
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
218
Personal Copy of: Dr. Ali Ozkaya
Ek A
COBIT 5 VE ESKİ ISACA ÇERÇEVELERİ ARASINDA EŞLEŞTİRME
COBIT 5
Val IT 2.0 Yönetișim ve
Ana Yönetim Eșleștirme
Yönetim
Uygulamaları Uygulamaları
Risk IT
Yönetim Eșleștirme
Uygulamaları
COBIT 4.1, Val IT ve Risk IT öğelerinin COBIT 5 ile eşleştirilmesi Şekil 14, 15 ve 16’da gösterilmektedir.
219
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
220
Personal Copy of: Dr. Ali Ozkaya
Ek A
COBIT 5 VE ESKİ ISACA ÇERÇEVELERİ ARASINDA EŞLEŞTİRME
221
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
222
Personal Copy of: Dr. Ali Ozkaya
Ek A
COBIT 5 VE ESKİ ISACA ÇERÇEVELERİ ARASINDA EŞLEŞTİRME
223
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
224
Personal Copy of: Dr. Ali Ozkaya
Ek A
COBIT 5 VE ESKİ ISACA ÇERÇEVELERİ ARASINDA EŞLEŞTİRME
225
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
226
Personal Copy of: Dr. Ali Ozkaya
Ek B: KURUM HEDEFLERİ ve
BT-BAĞLANTILI HEDEFLERİN DETAYLI EŞLEŞTİRİLMESİ
227
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
Şekil 17’deki tablo kullanılırken, lütfen COBIT 5 hedef basamaklarının nasıl kullanılacağına dair bölüm 2’de yapılan
açıklamaları dikkate al.
sağlanması
08 Uygulama, bilgi ve teknoloji çözümlerinin
S S S S S S S P S P S S
yeterli kullanımı
09 BT Çevikliği S P S S P P S S S P
10 Bilgi, süreç altyapısı ve uygulamaların
P P P P
güvenliği
11 BT varlık, kaynak ve yetkinliklerinin
P S S P S P S S S
optimizasyonu
12 Uygulamalar ve teknolojinin iş
süreçlerine entegre edilmesiyle iş
S P S S S S P S S S S
Internal
süreçlerinin gerçekleştirilmesi ve
desteklenmesi
13 Fayda sağlayan programların zamanında,
bütçe dahilinde, gereksinimleri
P S S S S S P S
karşılayacak şekilde ve kalite
standartlarına uygun olarak sunulması
14 Karar alma için güvenilir ve yararlı
S S S S P P S
bilgilerin kullanılabilirliği
15 İç politikalarla BT uyumu S S P
16 Yetkin ve istekli iş ve BT personeli S S P S S P P S
Learning
Growth
and
228
Personal Copy of: Dr. Ali Ozkaya
EK C: BT-BAĞLANTILI HEDEFLER VE
BT-BAĞLANTILI SÜREÇLERİN DETAYLI EŞLEŞTİRMESİ
Şekil 18’deki tablo kullanılırken, lütfen COBIT 5 hedef basamaklarının nasıl kullanılacağına dair bölüm 2’de yapılan
açıklamaları dikkate al.
Şekil 18 – COBIT 5 BT-Bağlantılı Hedeflerin Süreçlere Eşleştirilmesi
BT-Bağlantılı Hedef
Uygulama, bilgi ve teknoloji çözümlerinin yeterli kullanımı
BT-Bağlantılı kararların verilmesinde yönetici kadronun
İç politikalarla BT uyumu
gerçekleştirilen faydalar
BT uyumu ve desteği
kullanılabilirliği
desteklenmesi
BT Çevikliği
uyumu
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Sürekli
Öğrenme
COBIT 5 Süreci Finansal Müşteri İçsel ve Büyüme
EDM01 Yönetişim Çerçevesi
Evaluate, Direct and Monitor
Kurulum ve P S P S S S P S S S S S S S S S
Sürdürülmesini Sağla
EDM02 Fayda Yaratımı Sağla P S P P P S S S S S S P
EDM03 Risk Optimizasyonu Sağla S S S P P S S P S S P S S
EDM04 Kaynak Optimizasyonu
S S S S S S S P P S P S
Sağla
EDM05 Paydaş Şeffaflığı Sağla S S P P P S S S S
229
Personal Copy of: Dr. Ali Ozkaya
: GERÇEKLEŞTİRME SÜREÇLERİ
İç politikalarla BT uyumu
BT uyumu ve desteği
kullanılabilirliği
desteklenmesi
BT Çevikliği
faydalar
uyumu
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Sürekli
Öğrenme
ve
COBIT 5 Süreci Finansal Müşteri İçsel Büyüme
APO01 BT Yönetim Çerçevesini
P P S S S P S P S S S P P P
Yönet
APO02 Stratejiyi Yönet P S S S P S S S S S S S S P
APO03 Kurum Mimarisini Yönet P S S S S S S P S P S S S
APO04 Yeniliği Yönet S S P P P P S S P
Align, Plan and Organise
Oluşturmayı Yönet
BAI04 Kullanılabilirlik ve
S S P S S P S P S
Kapasiteyi Yönet
BAI05 Organizasyon Değişikliği
S S S S P S S S P S P
Gerçekleştirmeyi Yönet
BAI06 Değişiklikleri Yönet S P S P S S P S S S S S S
BAI07 Değişiklik Kabul ve
S S S P S P S S S S
Dönüşümü Yönet
BAI08 Bilgi Birikimini Yönet S S S S P S S S S P
BAI09 Varlıkları Yönet S S P S S S P S S
BAI10 Konfigürasyonu Yönet P S S S S S P P S
230
Personal Copy of: Dr. Ali Ozkaya
Align, Plan and Organise
DSS06
DSS05
DSS04
DSS03
DSS02
DSS01
MEA03
MEA02
MEA01
Yönet
Yönet
Değerlendir
COBIT 5 Süreci
Sürekliliği Yönet
Problemleri Yönet
Operasyonu Yönet
P
P
S
S
P
S
S
S
02
BT uyumu ve desteği
BT-Bağlantılı kararların verilmesinde yönetici kadronun
S
03
uyumu
Finansal
P
P
P
P
P
P
P
P
P
04
Yönetilen BT-Bağlantılı iş riski
S
S
S
S
S
05
faydalar
S
S
06
S
S
P
P
S
P
P
P
P
07
S
S
S
S
S
S
S
S
08
BT Çevikliği
S
S
S
S
P
S
S
S
10
P
S
S
S
P
P
11
S
13
S
S
S
P
P
S
S
14
S kullanılabilirliği
S
P
P
S
S
S
S
S
15
İç politikalarla BT uyumu
S
S
S
S
16
Büyüme
231
BT-BAĞLANTILI SÜREÇLERİN DETAYLI EŞLEŞTİRMESİ
EK C: BT-BAĞLANTILI HEDEFLER VE
3701 Algonquin Road, Suite 1010
Phone: +1.847.253.1545
Fax: +1.847.253.1443
Email: info@isaca.org