几年前,COBIT® 过程评估模型(PAM)通常用于评估COBIT的成熟度水平® 实现. PAM为9个属性和6个过程能力级别提供了指标,并用于指导审核员和IT部门.
COBIT没有PAM® 2019, 但是能力成熟度模型集成(CMMI)可以用来度量能力等级,并将这些信息与其他因素结合起来,为度量成熟度的组织过程提供价值. 有了这些信息,就可以创建自定义模式和工具.
构建成熟度模型
COBIT® 2019框架:治理和管理目标 描述了1202个COBIT活动中每个活动的预期能力级别. 从每项活动获得的分数中, 确定231个实践的成熟度级别是可能的, 构成COBIT 2019框架的40个目标和5个领域.1 图1 给出了治理实践的一个示例, 例子指标, 活动和预期的能力水平.
资料来源:ISACA, COBIT® 2019框架:治理和管理目标,美国,2018; http://5wb7.baileherculane.net/resources/cobit
总共有1202个活动构成了模型的基础. 基于CMMI, COBIT定义了六个能力级别,如下所示 图2.
资料来源:ISACA, COBIT® 2019年框架:治理和管理目标, 美国,2018年, http://5wb7.baileherculane.net/resources/cobit
确定能力水平
基于活动的能力级别, 下一步是确定如何反映实践的能力水平. 对于处于早期成熟阶段的组织, 对活动值进行简单的平均计算可以得到练习分数或水平. 如果一个组织有更大的能力来描述其活动的成熟度级别, 然后是加权平均数, 根据组织的能力, 如何描述这些活动.
确定成熟度级别需要将能力级别与其他因素结合使用,以获得一个分数,该分数不仅反映活动的存在,而且反映组织过程的整体和整体视图, 当与其他指标结合使用时, 向管理层展示. 为了实现这个目标, 有必要将能力级别与其他指标相关联,以便为过程获得更好的描述性分数,从而提供对组织状态的简明方法. 在CMMI通用描述之外,为每个实践创建里程碑也是必要的,以确定每个活动中能力级别的预期证据. 这对于创建修复路线图和测量沿途的结果尤其重要.
构建过程模式由五个步骤组成,如图所示 图3.
所有信息都应该集成到一个工具中,该工具允许对组织进行评估,并以高层管理人员能够理解和支持的语言创建适当的报告. 一旦所有的信息都集成到工具中, 评估记分卡应该类似于 图4.
结论
成熟度模型正在成为组织用来理解其COBIT实现的当前状态的通用语言. 它们还可以作为创建差距分析和改进路线图的指南. 每个组织都是不同的, 因此,不同的道路可以达到不同的组织所期望的结果, 垂直, 行业或地区.
作者的注意
作者谨向ISACA的Mariela Varela和Raúl Rivera表示感谢® 哥斯达黎加章节介绍他们对这一模式的审查和改进建议.
成熟度模型正在成为组织用来理解其代码实现的当前状态的通用语言.
尾注
1 ISACA®, COBIT® 2019框架:治理和管理目标,美国,2018; http://5wb7.baileherculane.net/resources/cobit
Luis Gorgona, CISA CDPSE
是在IT和网络安全领域有20年经验的专业人士吗. Gorgona从2006年到2010年担任哥斯达黎加总统府的首席信息安全官. 在此期间, 他是美洲国家组织泛美反恐委员会网络安全项目的讲师. 从2010年至今, 他曾在信息安全等领域为多家跨国澳门赌场官方下载工作, 网络安全和治理, 风险, 和遵从性. 2021年,他加入RSM哥斯达黎加,担任IT咨询合伙人.