Proyecto Cobi (1) Horiz

ITLA
INSTITUTO TECNOLGICO LATINOAMERICANO
MATERIA: OBJETIVOS DE CONTROL
Implementacin de COBIT 5 para Radio y Televisin de Hidalgo

ALUMNAS: LIC. MARGARITA TECORRALCO BETANCOURT LIC. CRISTY ELIZABETH AGUILAR OJEDA ING. AURORA RESENDIZ RAMOS
PROFESOR:
MTRO. FERNANDO SOLARES

PACHUCA DE SOTO, HIDALGO JUNIO 2012
RESUMEN Este proyecto aborda el problema que existe en el Departamento de Informtica de la Direccin de Administracin de Radio y Televisin de Hidalgo. La propuesta se enfoca en realizara el anlisis de estado del rea de TI (Primera parte del proyecto). Se realizara el anlisis y la implementacin de Gobierno y Gestin de TI aplicando COBIT 5 (Segunda parte del proyecto. Y la propuesta de su mesa de servicios para apoyar a su Gestin de Servicios y la implementacin de su propia oficina de TI. (Tercera parte del proyecto). Radio y Televisin de Hidalgo Institucin que tiene como finalidad la de realizar la difusin de la educacin cultural y turstica del territorio estatal con una transmisin de programacin digital y de excelente calidad.
ANTECEDENTES
Radio y Televisin de Hidalgo por ser una Televisora Estatal Per misionada tiene como objetivo principal la educacin, la difusin cultural y turstica del estado. VISIN Ser la Radio y Televisora pblica lder a nivel nacional y modelo a seguir, que se distinga por ser incluyente, respetar la diversidad cultural, promover la informacin y orientacin de actualidad para el beneficio social de las comunidades del estado. MISIN Contribuir al fortalecimiento de la identidad regional y nacional, al difundir la cultura, educacin, ciencia y tecnologa; informar acerca de las acciones, planes y programas que realiza el estado as como mantener actualizada a la ciudadana del acontecer estatal, nacional e internacional, mediante programas reportajes y capsulas que contribuyan a la formacin de una conciencia crtica, participacin democrtica y un espritu creativo en la sociedad. 2
La transmisin se realiza va satelital dentro y fuera de la capital a travs de los sistemas de cable. Cuenta con el Departamento de Informtica adscrita a la Direccin de Administracin. La cual presta servicios de: Soporte Tcnico, Administracin de la Red Local as como la red inalmbrica, Mantenimiento y Actualizacin de la Pgina Web para las reas administrativas y trabaja en conjunto con la Direccin de Ingeniera para darle soporte, mantenimiento y actualizacin de los equipos especializados para realizar del proceso de la transmisin de los programas como son: La Isla de Edicin, Cabina de Video y Control Maestro.
DESCRIPCIN DEL PROBLEMA Como punto de partida se debe considerar que el Departamento de Informtica no cuenta con un manual de procesos no se cuenta con control de las actividades y no se tienen un rol de actividades bien establecido por lo que se pretende implementar el Proyecto de Gobierno de TI conforme a COBIT 5. El departamento de informtica presta los servicios a las diferentes direcciones y departamentos pertenecientes a toda la institucin como son: Direccin General Direccin de Televisin Direccin de Contralora Direccin de Eventos Especiales Direccin Administrativa Direccin de Produccin Direccin de Noticias Direccin de Ingeniera Direccin de Imagen. 3
ARQUITECTURA EMPRESARIAL
UNIDAD DE NEGOCIO PROCESOS DE NEGOCIO
ID
UN01
Nombre Unidad de Negocio

Direccin General
ID PN01
UN02 Direccin de Administracin
Nombre Proceso de Negocio Direccin y Gestin Administracin y Finanzas Gestiona Departamento de Informtica Gestin de Calidad Gestiona Direccin de Produccin Control de Isla de Edicin, Videoteca, Master Contralora Interna Gobierna los eventos especiales Administra y controla Produccin Atencin a Productores y pblico Administra y controla Noticieros Administra y controla imagen Atencin a Productores y Direccin de Televisin Administra, Mantenimiento y Operacin Atencin a Dir. Televisin, Productores, Dir. Eventos Especiales
PN02 PN03
UN03 Direccin de Televisin
PN04 PN05 PN06

UN04 UN05 UN06 Direccin de Contralora Interna
PN07
Direccin Eventos Especiales
PN08
Direccin de Produccin
PN09 PN10
UN07 UN08 Direccin Noticias
PN11
Direccin de Imagen
PN12 PN13
UN09 Direccin de Ingeniera
PN14 PN15 PN16
OBJETIVO ESTRATEGICO Mejorar la calidad del servicio de transmisin de su programacin al Televidente. USUARIOS: 1. 2. 3. 4. Televidentes del Estado de Hidalgo. Trabajadores de Radio y Televisin Directivos de Radio y Televisin Inversionistas de Radio y Televisin
ANLISIS DEL DEPARTAMENTO DE INFORMTICA (REA DE TI)
El departamento presta los servicios a las diferentes direcciones y departamentos pertenecientes a toda la institucin como son: A la Direccin Administrativa, Recursos Humanos, A la Direccin de Televisin, Direccin de Noticias Direccin de Ingeniera Direccin de Imagen. La televisora presenta diversos problemas de tecnologa, como son;
1. 2. 3. 4.
5.
Infeccin de virus informticos en la red de los equipos que se utilizan para el procesamiento del audio y video para los programas generados para la transmisin. E insegura. Problemas de compatibilidad en los Sistemas Problemas de compatibilidad en los Sistemas. No se cuenta con un Programa de mantenimiento a los equipos personales de los trabajadores porque se realiza exclusivamente a los equipos de la institucin pero los usuarios tienen que llevar sus equipos personales por falta de equipos para realizar sus actividades de trabajo. La transferencia es de una velocidad muy lenta e insuficiente. No se pueden hacer ms de dos procesos y si un rea realiza una transferencia otra se tienen que detener ya que si se enva al mismo tiempo se corren los 7
peligros de: que se sature la red, los equipos se bloquen y el ms grave que se daen los archivos de programas tanto audio como video.
Figura 24- Mapeando COBIT 5 .- Objetivos estratgicos a las preguntas de Gobierno y Gestin de la empresa 6.
Se trabaja en tiempo real con las diferentes reas, que requieran de alguna consulta, captura y almacenaje de los programas de televisin y de algn programa en especfico. as como el proceso que se tiene que hacer para la transmisin de los programas como es la complejidad al conectar equipos de diferentes Sistemas Operativos como son los equipos de la isla de edicin en sistemas Mac y los equipos de Control Maestro y de Estudio que son de sistema de Windows. Esta infraestructura debe ser diseada para transferencia de alta velocidad para soportar grandes cantidades de informacin como es el audio y video de los programas ya que hay programas especiales hasta de dos horas. As como la transferencia y comunicacin con las diferentes reas. Sin dejar afuera la responsabilidad de todos y cada uno de los servicios de la unidad de informtica. Logrando as optimizar cada una de las actividades que se realizan en la institucin.
OBJETIVOS DEL NEGOCIO
La informacin basada en toma de decisiones estratgicas
Respuestas giles a un entorno empresarial cambiante
El valor de los interesados a la inversin empresarial
Personal calificado y motivado
Optimizacin de los costos de prestacin de servicios
Gestin de Negocio de riesgo (proteccin de los activos)
Optimizacin de la funcionalidad de procesos de negocio.
Cumplimiento de las polticas internas
Servicio orientado al cliente y la cultura
Continuidad y disponibilidad del negocio de servicio
Optimizacin de costos de procesos de negocio
Productividad de las operaciones y el personal
Cumplimiento con leyes y regulaciones externas
Administradores de los programas de cambio del negocio
Portafolio de productos y servicios competitivos
Transparencia financiera
Necesidades de los interesados Cmo puedo obtener el valor de la utilizacin de TI? Estn satisfechos con la calidad del servicio de TI? Cmo puedo gestionar el rendimiento de las TI? Cmo puedo aprovechar mejor las nuevas tecnologas para las nuevas oportunidades estratgicas? Cmo puedo construir y estructurar mejor mi departamento de IT? El grado de dependencia que estoy en proveedores externos? Qu tan bien estn los acuerdos que estn manejando mis proveedores de TI? Cmo puedo obtener una seguridad sobre los proveedores externos? Cules son los requisitos (de control) para obtener informacin? Tengo direccionados todos los riesgos relacionados con TI? Estoy manejando eficiente y flexiblemente la operacin de TI? Cmo puedo controlar el costo de las TI? Cmo puedo utilizar los recursos de la manera ms eficaz y eficiente? Cules son las opciones ms eficaces y eficientes de abastecimiento? Tengo suficiente gente de TI? Cmo desarrollar y mantener sus habilidades, y cmo gestionar su rendimiento?
4.
10
11
12
13
14
15
16
Productos y cultura de la innovacin empresarial
17
Cmo puedo obtener ms garanta de TI? Es la informacin segura que estoy procesando? Cmo mejorar la agilidad empresarial a travs de un entorno de TI ms flexible? Los proyectos de TI no pueden entregar lo que prometieron, y si es as por qu? Est en el camino la ejecucin de la estrategia de negocio? Cmo es importante TI para mantener la empresa? Qu debo hacer si no est disponible? Qu procesos vitales y concretos de negocio principales son dependientes de TI, y cules son los requisitos de los procesos de negocio? Cul ha sido la superacin media de los presupuestos de operaciones de TI? Con qu frecuencia y cunto los proyectos de TI van por encima del presupuesto? Cunto esfuerzo de TI va a enfrentamientos contra fuegos en lugar de a mejoras comerciales? Son suficientes los recursos de TI y la infraestructura disponible para satisfacer objetivos estratgicos necesarios de la empresa? Cunto tiempo se tarda en tomar importantes decisiones de TI? Es el total esfuerzo de TI la inversin transparentes TI Apoya a la empresa en el cumplimiento con niveles de servicio y regulaciones? Cmo puedo saber si soy compatible con todas las regulaciones aplicables?
Partiendo del objetivo principal = Mejorar la calidad del servicio de transmisin de su programacin al Televidente, y de las necesidades de los stakeholders dentro de la empresa se han obtenido los siguientes objetivos de negocio basndose en el Apndice D del manual de COBIT 5, quedando de la siguiente manera: 10
Figura 24- Mapeando COBIT 5 .- Objetivos estratgicos a las preguntas de Gobierno y Gestin de la empresa Necesidades de los interesados
1 Cmo puedo obtener el valor de la utilizacin de TI? Estn satisfechos con la calidad del servicio de TI? 1 El valor de los interesados a la inversin empresarial 2 Portafolio de productos y servicios competitivos 6 Servicio orientado al cliente y la cultura 7 Continuidad y disponibilidad del negocio de servicio 13 Administradores de los programas de cambio del negocio 16 Personal calificado y motivado 17 Productos y cultura de la innovacin empresarial 3 Cmo puedo aprovechar mejor las nuevas tecnologas para las nuevas oportunidades estratgicas? 1 El valor de los interesados a la inversin empresarial 2 Portafolio de productos y servicios competitivos 8 Respuestas giles a un entorno empresarial cambiante 13 Administradores de los programas de cambio del negocio 16 Personal calificado y motivado 17 Productos y cultura de la innovacin empresarial 4 Cmo puedo construir y estructurar mejor mi departamento de IT? 8 Respuestas giles a un entorno empresarial cambiante 10 Optimizacin de los costos de prestacin de servicios 12 Optimizacin de costos de procesos de negocio 14 Productividad de las operaciones y el personal 15 Cumplimiento de las polticas internas 16 Personal calificado y motivado 6 Cules son los requisitos (de control) para obtener informacin? 4 Cumplimiento con leyes y regulaciones externas
11
10
11
14
15
9 La informacin basada en toma de decisiones estratgicas 15 Cumplimiento de las polticas internas Tengo direccionados todos los riesgos relacionados con TI? 3 Gestin de Negocio de riesgo (proteccin de los activos) 7 Continuidad y disponibilidad del negocio de servicio 9 La informacin basada en toma de decisiones estratgicas 15 Cumplimiento de las polticas internas Estoy manejando eficiente y flexiblemente la operacin de TI? 5 Transparencia financiera 7 Continuidad y disponibilidad del negocio de servicio Tengo suficiente gente de TI? Cmo desarrollar y mantener sus habilidades, y cmo gestionar su rendimiento? 10 Optimizacin de los costos de prestacin de servicios 12 Optimizacin de costos de procesos de negocio 14 Productividad de las operaciones y el personal Cmo puedo obtener ms garanta de TI? 4 Cumplimiento con leyes y regulaciones externas 15 Cumplimiento de las polticas internas Los proyectos de TI no pueden entregar lo que prometieron, y si es as por qu? Est en el camino la ejecucin de la estrategia de negocio? 1 El valor de los interesados a la inversin empresarial 2 Portafolio de productos y servicios competitivos 3 Gestin de Negocio de riesgo (proteccin de los activos) 8 Respuestas giles a un entorno empresarial cambiante 12 Optimizacin de costos de procesos de negocio 13 Administradores de los programas de cambio del negocio Cmo es importante TI para mantener la empresa? Qu debo hacer si no est disponible? 1 El valor de los interesados a la inversin empresarial 2 Portafolio de productos y servicios competitivos 7 Continuidad y disponibilidad del negocio de servicio
12
Son suficientes los recursos de TI y la infraestructura disponible para satisfacer objetivos estratgicos necesarios de la 19 empresa? 2 Portafolio de productos y servicios competitivos 5 Transparencia financiera 10 Optimizacin de los costos de prestacin de servicios 12 Optimizacin de costos de procesos de negocio 20 Cunto tiempo se tarda en tomar importantes decisiones de TI? 1 El valor de los interesados a la inversin empresarial 2 Portafolio de productos y servicios competitivos 5 Transparencia financiera 7 Continuidad y disponibilidad del negocio de servicio
* Objetivos 1 2 3 4 5 6 7 8
*Ocurrencia Necesidades 5 6 2 2 3 1 5 3
Objetivos 9 10 12 13 14 15 16 17
Ocurrencia Necesidades 2 3 4 3 2 4 3 2
* Objetivos: son los objetivos de negocio que implementa COBIT 5 * Ocurrencia de necesidades: son el nmero de veces que segn las necesidades de los stakeholders aparecen repetidas en el anlisis de la tabla: Figura 24- Mapeando COBIT 5 .- Objetivos estratgicos a las preguntas de Gobierno y Gestin de la empresa.
De acuerdo del anlisis anterior los resultados de los objetivos de negocio son: 13
1 2 5 7 12 13 15 16
Objetivos de Negocio El valor de los interesados a la inversin empresarial Portafolio de productos y servicios competitivos Transparencia financiera Continuidad y disponibilidad del negocio de servicio Optimizacin de costos de procesos de negocio Administradores de los programas de cambio del negocio Cumplimiento de las polticas internas Personal calificado y motivado
Unidad de Negocio Procesos de Negocio Objetivos de Negocio
ID
UN01
Nombre Unidad de Negocio

Direccin General
ID PN01
Nombre Proceso de Negocio Direccin y Gestin ID Objetivo de Negocio 1 El valor de los interesados a la inversin empresarial 7 Continuidad y disponibilidad del negocio de servicio 15 Cumplimiento de las polticas internas 16 Personal calificado y motivado
UN02
Direccin de Administracin
PN02
Administracin y Finanzas 2 5 Portafolio de productos y servicios competitivos Transparencia financiera
14
12 13 15 16
UN03 Direccin de Televisin
Optimizacin de costos de procesos de negocio Administradores de los programas de cambio del negocio Cumplimiento de las polticas internas Personal calificado y motivado
PN04 PN05 PN06

UN04 Direccin de Contralora Interna
Gestin de Calidad Gestiona Direccin de Produccin Control de Isla de Edicin, Videoteca, Master
7 Continuidad y disponibilidad del negocio de servicio 16 Personal calificado y motivado
PN07
Contralora Interna
1 5 7 12 15 16
El valor de los interesados a la inversin empresarial Transparencia financiera Continuidad y disponibilidad del negocio de servicio Optimizacin de costos de procesos de negocio Cumplimiento de las polticas internas Personal calificado y motivado
UN05
Direccin Eventos Especiales
PN08
Gobierna Los eventos especiales
2 Portafolio de productos y servicios competitivos 7 Continuidad y disponibilidad del negocio de servicio 16 Personal calificado y motivado
UN06
Direccin de Produccin
PN09 PN10
UN07 Direccin Noticias
Administra y controla Produccin Atencin a Productores y pblico
16 Personal calificado y motivado 7 Continuidad y disponibilidad del negocio de servicio
PN11
Administra y controla Noticieros 16 Personal calificado y motivado
15
7
UN08 Direccin de Imagen
PN12 PN13
Administra y controla imagen Atencin a Productores y Direccin de Televisin 16 Personal calificado y motivado 7 Continuidad y disponibilidad del negocio de servicio
UN09
Direccin de Ingeniera
PN14
Administra, Mantenimiento y Operacin 15 16 2 7 Cumplimiento de las polticas internas Personal calificado y motivado Portafolio de productos y servicios competitivos Continuidad y disponibilidad del negocio de servicio
OBJETIVOS DE TI 16
Figura 22- Mapeando COBIT 5 .- Objetivos de TI relacionados con la Empresa

Servicio orientado al cliente y la cultura Respuestas giles a un entorno empresarial cambiante La informacin basada en toma de decisiones estratgicas Personal calificado y motivado El valor de los interesados a la inversin empresarial Optimizacin de los costos de prestacin de servicios Gestin de Negocio de riesgo (proteccin de los activos) Optimizacin de la funcionalidad de procesos de negocio. Optimizacin de costos de procesos de negocio Cumplimiento de las polticas internas Continuidad y disponibilidad del negocio de servicio
Productividad de las operaciones y el personal
Cumplimiento con leyes y regulaciones externas
Administradores de los programas de cambio del negocio
4.
10
11
12
13
14
15
16
Relacionados con la Meta de TI Financiero 01 02 Financiero 03 04 05 06 07 08 Cliente La alineacin de las TI y las estrategias del negocio Cumplimiento de TI y apoyo para el cumplimiento empresarial con regulaciones y leyes externas. Compromiso de la Direccin ejecutiva de hacer decisiones relacionadas con TI Administrar riesgos del negocio relacionados con TI. Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Transparencia de costos, beneficios y riesgos de TI. Entrega de los servicios de TI en lnea con los requerimientos del negocio Una adecuada utilizacin de las aplicaciones, informacin y soluciones tecnolgicas P P S S P S S P P S P P P S S S P P S P S S P P S S S S S S P S P P S P P S S S P S S S P S Cliente P P S P S Interno P P
Aprendizaje y crecimiento S S
S S
Productos y cultura de la innovacin empresarial
17
S S
17
09 10 11 12 Interno
13
14 15 Aprendizaje y crecimiento 16 17
Agilidad en TI Seguridad de la Informacin, procesos, infraestructura y aplicaciones Optimizacin de los activos, recursos y capacidades de TI. Habilitacin y apoyo de los procesos de negocio mediante la integracin de aplicaciones y tecnologa en los procesos empresariales Ejecucin de los programas de beneficios, a su debido tiempo, sobre el presupuesto, y cumplir con los requisitos y normas de calidad Disponibilidad de informacin confiable y til para la toma de decisiones Cumplimiento de TI con las polticas internas Motivacin empresarial y al personal de TI Conocimiento, experiencia e iniciativas para la innovacin del negocio
S P P
S P
S P
P S
S P S S
S S
P S
S P
P S
S S
S S
S S
P S
S S
S S S S S
S P P
S S
P S S S P S S S P P S S P
S S
S P
Continuando con el desarrollo es de suma importancia obtener los objetivos de TI, aquellos que se encontraran relacionados directamente con el uso de las tecnologas de la informacin y el papel fundamental que desarrollaran dentro de la empresa en la implementacin. Para este punto nos basamos en el Apndice D del manual de COBIT 5
18
Figura 22- Mapeando COBIT 5 .- Objetivos de TI relacionados con la Empresa Relacionados con la Meta de TI 1 El valor de los interesados a la inversin empresarial 1 La alineacin de las TI y las estrategias del negocio Financieras 3 Compromiso de la Direccin ejecutiva de hacer decisiones relacionadas con TI 5 Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Cliente 7 Entrega de los servicios de TI en lnea con los requerimientos del negocio 11 Optimizacin de los activos, recursos y capacidades de TI. Interno Ejecucin de los programas de beneficios, a su debido tiempo, sobre el presupuesto, y cumplir con los 13 requisitos y normas de calidad Portafolio de productos y servicios competitivos 1 La alineacin de las TI y las estrategias del negocio Financieras 5 Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Cliente 7 Entrega de los servicios de TI en lnea con los requerimientos del negocio 9 Agilidad en TI Interno Habilitacin y apoyo de los procesos de negocio mediante la integracin de aplicaciones y tecnologa en 12 los procesos empresariales Aprendizaje y 17 Conocimiento, experiencia e iniciativas para la innovacin del negocio crecimiento Transparencia financiera Financieras 6 Transparencia de costos, beneficios y riesgos de TI. Continuidad y disponibilidad del negocio de servicio Financieras 4 Administrar riesgos del negocio relacionados con TI. 10 Seguridad de la Informacin, procesos, infraestructura y aplicaciones Interno 14 Disponibilidad de informacin confiable y til para la toma de decisiones Optimizacin de costos de procesos de negocio 5 Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Financieras 6 Transparencia de costos, beneficios y riesgos de TI.
5 7
12
19
13
15
16
Interno 11 Optimizacin de los activos, recursos y capacidades de TI. Administradores de los programas de cambio del negocio 1 La alineacin de las TI y las estrategias del negocio Financieras 3 Compromiso de la Direccin ejecutiva de hacer decisiones relacionadas con TI Ejecucin de los programas de beneficios, a su debido tiempo, sobre el presupuesto, y cumplir con los Interno 13 requisitos y normas de calidad Cumplimiento de las polticas internas Financieras 2 Cumplimiento de TI y apoyo para el cumplimiento empresarial con regulaciones y leyes externas. 10 Seguridad de la Informacin, procesos, infraestructura y aplicaciones Interno 15 Cumplimiento de TI con las polticas internas Personal calificado y motivado Aprendizaje y 16 Motivacin empresarial y al personal de TI crecimiento
*Objetivos TI 1 2 3 4 5 6 7 8 9
*Ocurrencia 3 1 2 1 3 2 2 0 1
* Objetivos TI 10 11 12 13 14 15 16 17
*Ocurrencia 2 2 1 2 1 1 1 1
* Objetivos: son los objetivos de TI que implementa COBIT 5 * Ocurrencia de Objetivos TI: son el nmero de veces que segn los objetivos de negocio aparecen repetidos en el anlisis de la tabla: Figura 22- Mapeando COBIT 5.- Objetivos de TI relacionados con la Empresa 20
De acuerdo del anlisis anterior los resultados de los objetivos de TI son: Objetivos de TI La alineacin de las TI y las estrategias del negocio Compromiso de la Direccin ejecutiva de hacer decisiones relacionadas con TI Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Transparencia de costos, beneficios y riesgos de TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Ejecucin de los programas de beneficios, a su debido tiempo, sobre el presupuesto, y cumplir con los requisitos y normas de calidad
1 3 5 6 10 13
21
En la siguiente matriz podremos encontrar la relacin entre las unidades de los procesos, las unidades de negocio con los objetivos de Negocio y los objetivos de TI, estos resultados fueron vaciados en la matriz despus de haber hecho el anlisis pertinente de los objetivos de Negocio y Objetivos TI, su fin es facilitar la interpretacin de las relaciones que existen para la buena implementacin de COBIT 5 en nuestra Empresa.
ID_Proceso Proceso negocio ID_Unidad

PN01 Direccin y Gestin UN01
Unidad
Direccin General Direccin General Direccin General Direccin General Direccin General Direccin General Direccin General
ID-ON
1
Objetivo Negocio
El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial Continuidad y disponibilidad del negocio de servicio
ID-OTI
1
Objetivo TI
La alineacin de las TI y las estrategias del negocio Compromiso de la Direccin ejecutiva de hacer decisiones relacionadas con TI Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Entrega de los servicios de TI en lnea con los requerimientos del negocio Optimizacin de los activos, recursos y capacidades de TI. Ejecucin de los programas de beneficios, a su debido tiempo, sobre el presupuesto, y cumplir con los requisitos y normas de calidad Administrar riesgos del negocio relacionados con TI.
PN01
Direccin y Gestin
UN01
PN01
Direccin y Gestin
UN01
PN01
Direccin y Gestin
UN01
PN01
Direccin y Gestin
UN01
11
PN01
Direccin y Gestin
UN01
13
PN01
Direccin y Gestin
UN01

PN01 Direccin y Gestin UN01
Unidad
Direccin General Direccin General Direccin General Direccin General Direccin General Direccin General Direccin de Administracin Direccin de Administracin Direccin de Administracin Direccin de Administracin Direccin de Administracin
ID-ON
7
Objetivo Negocio
Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Cumplimiento de las polticas internas Cumplimiento de las polticas internas Cumplimiento de las polticas internas Personal calificado y motivado Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos
ID-OTI
10
Objetivo TI
Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Cumplimiento de TI y apoyo para el cumplimiento empresarial con regulaciones y leyes externas. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Cumplimiento de TI con las polticas internas Motivacin empresarial y al personal de TI La alineacin de las TI y las estrategias del negocio Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Entrega de los servicios de TI en lnea con los requerimientos del negocio Agilidad en TI Habilitacin y apoyo de los procesos de negocio mediante la integracin de aplicaciones y tecnologa en los procesos empresariales
PN01
Direccin y Gestin
UN01
14 2 10 15 16 1 5 7 9 12
PN01 PN01 PN01 PN01
Direccin y Gestin Direccin y Gestin Direccin y Gestin Direccin y Gestin Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas
UN01 UN01 UN01 UN01
15 15 15 16 2 2 2 2 2
PN02 PN02 PN02 PN02
UN02 UN02 UN02 UN02
PN02
UN02
23

PN02 PN02 PN02 PN02 PN02 Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas Administracin y Finanzas UN02 UN02 UN02 UN02 UN02
Unidad
Direccin de Administracin Direccin de Administracin Direccin de Administracin Direccin de Administracin Direccin de Administracin Direccin de Administracin
ID-ON
2 5 12 12 12 13
Objetivo Negocio
Portafolio de productos y servicios competitivos Transparencia financiera Optimizacin de costos de procesos de negocio Optimizacin de costos de procesos de negocio Optimizacin de costos de procesos de negocio Administradores de los programas de cambio del negocio Administradores de los programas de cambio del negocio Administradores de los programas de cambio del negocio Cumplimiento de las polticas internas Cumplimiento de las polticas internas Cumplimiento de las polticas internas Personal calificado y motivado
ID-OTI
17 6 5 6 11 1
Objetivo TI
Conocimiento, experiencia e iniciativas para la innovacin del negocio Transparencia de costos, beneficios y riesgos de TI. Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Transparencia de costos, beneficios y riesgos de TI. Optimizacin de los activos, recursos y capacidades de TI. La alineacin de las TI y las estrategias del negocio Compromiso de la Direccin ejecutiva de hacer decisiones relacionadas con TI Ejecucin de los programas de beneficios, a su debido tiempo, sobre el presupuesto, y cumplir con los requisitos y normas de calidad Cumplimiento de TI y apoyo para el cumplimiento empresarial con regulaciones y leyes externas. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Cumplimiento de TI con las polticas internas Motivacin empresarial y al personal de TI
PN02
UN02
13 PN02 UN02 Direccin de Administracin 13 PN02 PN02 PN02 PN02 PN02 UN02 UN02 UN02 UN02 UN02 Direccin de Administracin Direccin de Administracin Direccin de Administracin Direccin de Administracin Direccin de Administracin 15 15 15 16
13 2 10 15 16
24
Unidad
Direccin de Televisin
ID-ON
7
Objetivo Negocio
Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Personal calificado y motivado Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Personal calificado y motivado Continuidad y disponibilidad del negocio de servicio
ID-OTI
4
Objetivo TI
Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Motivacin empresarial y al personal de TI Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Motivacin empresarial y al personal de TI Administrar riesgos del negocio relacionados con TI.
PN04
Gestin de Calidad
UN03
7 PN04 Gestin de Calidad UN03 Direccin de Televisin 7 PN04 PN04 Gestin de Calidad Gestin de Calidad UN03 UN03 Direccin de Televisin Direccin de Televisin Direccin de Televisin 7 PN05 Gestiona Direccin de Produccin UN03 Gestiona Direccin de Produccin UN03 Gestiona Direccin de Produccin UN03 Control de Isla de Edicin, Videoteca, Master Direccin de Televisin 7 PN05 PN05 Direccin de Televisin Direccin de Televisin Direccin de Televisin 16 7 UN03 16 7 PN05 Gestiona Direccin de Produccin UN03
10
14 16 4
10
14 16 4
PN06
25

Control de Isla de Edicin, Videoteca, Master Control de Isla de Edicin, Videoteca, Master Control de Isla de Edicin, Videoteca, Master
Unidad
Direccin de Televisin
ID-ON
7
Objetivo Negocio
Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Personal calificado y motivado El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial El valor de los interesados a la inversin empresarial
ID-OTI
10
Objetivo TI
Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Motivacin empresarial y al personal de TI
PN06
UN03
7 UN03 Direccin de Televisin 16 UN03 Direccin de Televisin Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna 1
14
PN06
16
PN06
La alineacin de las TI y las estrategias del negocio Compromiso de la Direccin ejecutiva de hacer decisiones relacionadas con TI Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Entrega de los servicios de TI en lnea con los requerimientos del negocio Optimizacin de los activos, recursos y capacidades de TI. Ejecucin de los programas de beneficios, a su debido tiempo, sobre el presupuesto, y cumplir con los requisitos y normas de calidad 26
PN07
Contralora Interna
UN04
PN07
Contralora Interna
UN04
PN07
Contralora Interna
UN04
PN07
Contralora Interna
UN04
11
PN07
Contralora Interna
UN04
13
PN07
Contralora Interna
UN04

PN07 Contralora Interna UN04
Unidad
Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna Direccin de Contralora Interna
ID-ON
5
Objetivo Negocio
ID-OTI
6
Objetivo TI
Transparencia de costos, beneficios y riesgos de TI. Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Transparencia de costos, beneficios y riesgos de TI. Optimizacin de los activos, recursos y capacidades de TI. Cumplimiento de TI y apoyo para el cumplimiento empresarial con regulaciones y leyes externas. Seguridad de la Informacin, procesos, infraestructura y aplicaciones
Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Optimizacin de costos de procesos de negocio Optimizacin de costos de procesos de negocio Optimizacin de costos de procesos de negocio Cumplimiento de las polticas internas Cumplimiento de las polticas internas
PN07
Contralora Interna
UN04
10
PN07
Contralora Interna
UN04
14
PN07
Contralora Interna
UN04
12
5 6 11 2 10
PN07
Contralora Interna
UN04
12
PN07
Contralora Interna
UN04
12
PN07
Contralora Interna
UN04
15
PN07
Contralora Interna
UN04
15
PN07
Contralora Interna
UN04
27

PN07 Contralora Interna UN04
Unidad
Direccin de Contralora Interna Direccin de Contralora Interna Direccin Eventos Especiales Direccin Eventos Especiales Direccin Eventos Especiales Direccin Eventos Especiales Direccin Eventos Especiales Direccin Eventos Especiales Direccin Eventos Especiales Direccin Eventos Especiales
ID-ON
15
Objetivo Negocio
Cumplimiento de las polticas internas Personal calificado y motivado Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio
ID-OTI
15 16 1 5 7 9
Objetivo TI
Cumplimiento de TI con las polticas internas Motivacin empresarial y al personal de TI La alineacin de las TI y las estrategias del negocio Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Entrega de los servicios de TI en lnea con los requerimientos del negocio Agilidad en TI Habilitacin y apoyo de los procesos de negocio mediante la integracin de aplicaciones y tecnologa en los procesos empresariales Conocimiento, experiencia e iniciativas para la innovacin del negocio Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones
16
PN07
Contralora Interna
UN04
PN08
Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05
PN08
PN08
PN08
12
PN08
17
PN08
PN08
10
PN08
28

Gobierna Los eventos especiales UN05 Gobierna Los eventos especiales UN05 Administra y controla Produccin UN06 Administra y controla Produccin UN06 Administra y controla Produccin UN06 Administra y controla Produccin UN06 Atencin a Productores y pblico UN06 Atencin a Productores y pblico UN06 Atencin a Productores y pblico UN06
Unidad
Direccin Eventos Especiales Direccin Eventos Especiales Direccin de Produccin
ID-ON
7
Objetivo Negocio
Continuidad y disponibilidad del negocio de servicio Personal calificado y motivado Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Personal calificado y motivado Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio
ID-OTI
14
Objetivo TI
Disponibilidad de informacin confiable y til para la toma de decisiones Motivacin empresarial y al personal de TI Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Motivacin empresarial y al personal de TI Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones
PN08
16
16
PN08
7 PN09
7 PN09 Direccin de Produccin 7 PN09 PN09 Direccin de Produccin Direccin de Produccin Direccin de Produccin 7 PN10 Direccin de Produccin 7 PN10 Direccin de Produccin 16 7 PN10
10
14 16 4
10
14
29

PN10 Atencin a Productores y pblico UN06 Administra y controla Noticieros UN07 Administra y controla Noticieros UN07 Administra y controla Noticieros UN07 Administra y controla Noticieros UN07 Administra y controla imagen UN08 Administra y controla imagen UN08 Administra y controla imagen UN08 Administra y controla imagen UN08
Unidad
Direccin de Produccin Direccin Noticias
ID-ON
16 7
Objetivo Negocio
Personal calificado y motivado Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Personal calificado y motivado Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Personal calificado y motivado
ID-OTI
16 4
Objetivo TI
Motivacin empresarial y al personal de TI Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Motivacin empresarial y al personal de TI Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Motivacin empresarial y al personal de TI
PN11
7 PN11 Direccin Noticias 7 PN11 PN11 Direccin Noticias Direccin Noticias Direccin de Imagen 7 PN12 Direccin de Imagen 7 PN12 PN12 Direccin de Imagen Direccin de Imagen 16 16 7 PN12
10
14 16 4
10
14 16
30

Atencin a Productores y Direccin de Televisin Atencin a Productores y Direccin de Televisin Atencin a Productores y Direccin de Televisin Atencin a Productores y Direccin de Televisin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin
Unidad
Direccin de Imagen
ID-ON
7
Objetivo Negocio
ID-OTI
4
Objetivo TI
Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones
PN13
UN08
7 Direccin de Imagen 7 Direccin de Imagen 16 Direccin de Imagen 2 UN09 Direccin de Ingeniera 2 UN09 Direccin de Ingeniera 2 UN09 UN09 Direccin de Ingeniera Direccin de Ingeniera 2
10
PN13
UN08
14
PN13
UN08
Personal calificado y motivado
16
Motivacin empresarial y al personal de TI
PN13
UN08
Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos
1 5 7
La alineacin de las TI y las estrategias del negocio Beneficios realizados para inversiones y portafolio de servicios relacionados con TI. Entrega de los servicios de TI en lnea con los requerimientos del negocio Agilidad en TI
PN14
PN14
PN14
PN14
31

PN14 Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin Administra, Mantenimiento y Operacin UN09
Unidad
Direccin de Ingeniera
ID-ON
2
Objetivo Negocio
Portafolio de productos y servicios competitivos Portafolio de productos y servicios competitivos Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Continuidad y disponibilidad del negocio de servicio Cumplimiento de las polticas internas Cumplimiento de las polticas internas Cumplimiento de las polticas internas Personal calificado y motivado
ID-OTI
12
Objetivo TI
Habilitacin y apoyo de los procesos de negocio mediante la integracin de aplicaciones y tecnologa en los procesos empresariales Conocimiento, experiencia e iniciativas para la innovacin del negocio Administrar riesgos del negocio relacionados con TI. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Disponibilidad de informacin confiable y til para la toma de decisiones Cumplimiento de TI y apoyo para el cumplimiento empresarial con regulaciones y leyes externas. Seguridad de la Informacin, procesos, infraestructura y aplicaciones Cumplimiento de TI con las polticas internas Motivacin empresarial y al personal de TI
2 UN09 Direccin de Ingeniera 7 UN09 Direccin de Ingeniera 7 UN09 Direccin de Ingeniera 7 UN09 Direccin de Ingeniera 15 UN09 Direccin de Ingeniera 15 UN09 Direccin de Ingeniera 15 UN09 Direccin de Ingeniera 16 UN09 Direccin de Ingeniera
17
PN14
PN14
10
PN14
14
PN14
2 10 15 16
PN14
PN14
PN14
PN14
32
Alineacin, Planeacin y Organizacin Evaluacin, Direccin y Monitoreo
EDM05
Procesos COBIT 5
EDM04
EDM03
EDM02
EDM01
APO01
OBJETIVOS FACILITADORES
APO05 Gestin de la Cartera Asegurar la gobernabilidad Marco y mantenimiento Asegurar la entrega de beneficios Asegurar la Optimizacin de Riesgos Asegurar la Optimizacin de Recursos Garantizar la transparencia de los stakeholders Gestionar el marco de gestin de TI 1 S S S S P S S S P P P S P S S S S S S S S S S S S
Financiero
APO02 Gestin de la Estrategia Gestin de la Arquitectura APO03 Empresarial APO04 Gestin de la Innovacin
Para concluir con el proceso de determinacin de objetivos de apoyo para la consecucin de los trabajos de la implementacin de COBIT 5 se han definido los activadores de las metas del proyecto proyectndose en los procesos.
APO07 Gestin de Recursos Humanos APO08 Manejo de las relaciones S S S S S S P S S P S P S S S S P S S S P S S S P P P P S P S P S P S S S S P S S P S S S P S S P S S S S S S S P P S P P S P S S S S S S P P S P P P S S S P P S P S P S S P S S P S S S S P S P P P

Cliente
APO06 Administrar Presupuesto y Costos P P P P P

Alineacin de las estrategias de TI con las del negocio
Figure 23Mapeando COBIT 5 Objetivos de TI relacionados con los procesos
P P S S S S S S S S P S S S S S S S S P S
Interno
2 3 4 5 6 7 8 9 10 11
Cumplimiento de las TI y el apoyo para el cumplimiento empresarial de las leyes y reglamentos externos Compromiso de la direccin ejecutiva para hacer decisiones relacionadas con TI Gestin de TI relacionada con el riesgo empresarial Realizacin de beneficios de TI habilitados para las inversiones y cartera de servicios Transparencia de los costes de TI, los beneficios y riesgos Entrega de servicios de TI en lnea con los requerimientos del negocio El uso adecuado de las soluciones de aplicaciones, informacin y tecnologa Agilidad de TI Seguridad de la infraestructura de procesamiento de la informacin y las aplicaciones
IT-related Goal
12
S S S S S S
13 14 15 16 17
Aprendizaje y crecimiento
Optimizacin de los activos de TI, recursos y capacidades Habilitacin y el apoyo de los procesos de negocio mediante la integracin de aplicaciones y la tecnologa en los procesos empresariales programas de Entrega de los beneficios, a tiempo, dentro del presupuesto, y que cumpla los requisitos y estndares de calidad La disponibilidad de informacin confiable y til para la toma de decisiones El cumplimiento de TI con las polticas internas Personal de TI competente y motivado El conocimiento, la experiencia y las iniciativas de innovacin empresarial
APO09 Gestin de acuerdos de servicios APO10 APO11 APO12 APO13 BAI01 BAI02
Construir, Adquirir e Implementar
S S S S P P S S S
S P S P P P S S S
S S P
S S P P S
P P P S S S P P P S P S
S S S S S S S S S P S P S S
S P S S
S S P P
S S S
S S P P P P S S S S S S P P S S
P S S S P S S P
S S S S S S S S S S S S S S P
BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10
Gestin de Proveedores Gestin de la Calidad Gestin del riesgo Administrar la seguridad Gestin de Programas y Proyectos Gestionar definicin de los requisitos Gestin de soluciones identificacin y construccin Gestin de Disponibilidad y Capacidad Gestin de Habilitacin de Cambio Organizacional Gestin de Cambios Gestionar el cambio y la transicin de aceptacin Gestionar el conocimiento Gestin de Activos Administrar la configuracin
P P S
P S S S S
S S S S S S S S S P S S S S S S S S S S S P S S S S S S S S P S S S S S P P P P P S S
S S P S
S S S P S S
S S S S P S S P P S S
S S S S S S S S S S S P P S S S S S S
S S P P S S S S
S S P S S S P P S S S S P S S S P P S P P P P P P P
S S P P
DSS01 Gestin de Operaciones

Entrega , Servicio, Soporte
S S S S S S S S
DSS02
Gestionar las solicitudes de servicio e incidentes
DSS03 Gestin de Problemas DSS04 Gestin de la Continuidad DSS05 Gestin de Servicios de Seguridad DSS06 MEA01 MEA02 MEA03 Manejar los controles de procesos de negocio Monitorear, evaluar y valorar el desempeo y Conformidad Monitorear, evaluar y valorar el Sistema de Control Interno Monitorear, evaluar y valorar el cumplimiento de los requisitos externos
S S
P P S P
S S
Monitorear, Evaluar y valorar
S S
P S S
S S
34
Figure 23Mapeando COBIT 5 Objetivos de TI relacionados con los procesos

Procesos COBIT 5
Alineacin de las estrategias de TI con las del negocio

Evaluacin, Direccin y Monitoreo
EDM01 EDM02 APO01 APO02 APO03 APO05 APO07 APO08 BAI01 BAI02
Asegurar la gobernabilidad / Marco y mantenimiento Asegurar la entrega de beneficios Gestionar el marco de gestin de TI Gestin de la Estrategia Gestin de la Arquitectura Empresarial Gestin de la Cartera Gestin de Recursos Humanos Manejo de las relaciones Gestin de Programas y Proyectos Gestionar definicin de los requisitos
Alineacin, Planeacin y Organizacin
Compromiso de la direccin ejecutiva para hacer decisiones relacionadas con TI

EDM01 EDM05
Asegurar la gobernabilidad
Marco y mantenimiento
Garantizar la transparencia de los stakeholders
Realizacin de beneficios de TI habilitados para las inversiones y cartera de servicios

EDM02 APO04 APO05 APO06 APO11
Asegurar la entrega de beneficios Gestin de la Innovacin Gestin de la Cartera Administrar Presupuesto y Costos Gestin de la Calidad Gestin de Programas y Proyectos
BAI01
35
Transparencia de los costes de TI, los beneficios y riesgos

EDM02
Asegurar la entrega de beneficios Asegurar la Optimizacin de Riesgos Garantizar la transparencia de los stakeholders Administrar Presupuesto y Costos Gestin del riesgo Administrar la seguridad Gestin de Activos
EDM03 EDM05 APO06
APO12 APO13 BAI09
10 Seguridad de la infraestructura de procesamiento de la informacin y las aplicaciones

Evaluacin, Direccin y Monitoreo Alineacin, Planeacin y Organizacin Construir, Adquirir e Implementar
EDM03 APO12 APO13 BAI06
Asegurar la Optimizacin de Riesgos Gestin del riesgo Administrar la seguridad Gestin de Cambios
13
Entrega de los programas de beneficios, a tiempo, dentro del presupuesto, y que cumpla los requisitos y estndares de calidad
APO05
Gestin de la Cartera Gestin de Recursos Humanos Gestin de la Calidad Gestin del riesgo Gestin de Programas y Proyectos Gestin de Habilitacin de Cambio Organizacional
APO07 APO11 APO12 BAI01 BAI05
36
* Procesos facilitadores
APO01 APO02 APO03 APO04 APO05 APO06 APO07 APO08 APO09 APO10 APO11 APO12 APO13 BAI01
**Ocurrencia
1 1 1 1 3 2 2 1 0 0 2 3 2 3
* Procesos facilitadores
BAI02 BAI03 BAI04 BAI05 BAI06 BAI07 BAI08 BAI09 BAI10 EDM01 EDM02 EDM03 EDM04 EDM05
**Ocurrencia
3 0 0 1 1 0 0 1 0 2 3 2 0 2
* Procesos facilitadores: son los procesos que implementa COBIT 5 ** Ocurrencia: son el nmero de veces que segn los objetivos de TI aparecen repetidos los procesos facilitadores en el anlisis de la tabla: Figure 23Mapeando COBIT 5 Objetivos de TI relacionados con los procesos
37
De acuerdo del anlisis anterior los resultados de los procesos facilitadores son:
EDM01 EDM02 EDM03 APO05 APO07 APO11 APO12 APO13 BAI01
Procesos Facilitadores Asegurar la gobernabilidad / Marco y mantenimiento Asegurar la entrega de beneficios Asegurar la Optimizacin de Riesgos Gestin de la Cartera Gestin de Recursos Humanos Gestin de la Calidad Gestin del riesgo Administrar la seguridad Gestin de Programas y Proyectos
38
DESAROLLO Y ANLISIS Nivel de Capacidad De acuerdo a la siguiente tabla de COBIT se realizara el nivel de capacidad de los procesos y de sus subprocesos Nivel
0 1 2 3 4 5
Concepto
Inexistente Inicial Repetitivo pero intuitivo Proceso definido Gestionado y medible Optimizado
PROCESO
SUBPROCESO
DESCRIPCIN
Analizar y articular los requisitos para la gobernanza de TI de la empresa, y poner en marcha y mantener eficaz que permita las estructuras, principios, procesos y prcticas, con la claridad de las responsabilidades y la autoridad para lograr la empresa de la misin, metas y objetivos. Evaluar el sistema de gobierno. Continuamente identificar y comprometerse con las partes interesadas de la empresa, documentar la comprensin de los requisitos, y hacer en el diseo actual y futuro de la gobernanza de la TI de la empresa.
NIVEL DE CAPACIDAD ACTUAL
Marco de mantenimiento
0.0
0
EDM01
EDM01.01
39
EDM01.02
EDM01.03
Asegurar la entrega de beneficios
EDM02.01
Dirigir el sistema de gobierno. Informar a los lderes y obtener su apoyo, aceptacin y compromiso. Gua de las estructuras, procesos y prcticas para la gobernanza de TI en consonancia con los principios de diseo-en el gobierno, modelos de decisin y los niveles de autoridad. Definir la informacin necesaria para la toma de decisiones informada. Supervisar el sistema de gobierno. Vigilar la eficacia y el rendimiento de la gestin de la empresa de TI. Evaluar si el sistema de gobernanza y los mecanismos implementados(incluidas las estructuras, principios y procesos) que funcionan con eficacia y proporcionar una supervisin adecuada de las TI Optimizarla contribucin de valor a la empresa de los procesos de negocio, servicios de TI y activos de TI que resultan de las inversiones realizadas por TI a un coste aceptable. Evaluarla optimizacin de valor. Evaluar continuamente el portafolio de TI habilitados para las inversiones, servicios y activos para determinarla probabilidad de lograr objetivos de la empresa y entrega de valora un costo razonable. Identificar y poner JUICIO sobre cualquier cambio de direccin que tienen que ser dadas a la administracin para optimizar la creacin de valor. Optimizacin de valor directo. Directos los principios de gestin de valores y prcticas que permitan la realizacin de valor ptimo de las inversiones habilitadas por TI durante todo su ciclocompleto dela vida econmica. Vigilarla optimizacin devalor. Monitorearlas metase indicadores clavepara determinarel grado en queel negocioest generandoel valor esperadoy los beneficios parala empresa deTIy servicioshabilitados paralas inversiones. Identificar los problemasimportantesy considerarlas acciones correctivas.
0.0
EDM02
EDM02.02
EDM02.03
EDM03
asegrese de que elapetito por el riesgode la empresay la toleranciaa Asegurar la optimizacin de riesgos seguirarticuladoycomuniquese yqueel riesgocon el valorde la empresarelacionada con el uso de las tise identifica y selogr.
0.0
40
EDM03.01
EDM03.02
Evaluarla gestin de riesgos. CONTINUAMENTEexaminar y hacersentencia sobre elefecto del riesgoen eluso actual yfuturo de laTI en la empresaconsiderar si elapetitode Riesgo Empresariales adecuado yque el riesgo dequeel valorde la empresarelacionada con el usode las TIse identifica y selogr. La gestin del riesgodirecto. Dirigir elestablecimiento de prcticasde gestin de riesgospara proporcionaruna seguridad razonablede quelos riesgos de TIsonlas prcticas de manejoapropiadas para asegurar queel riesgo quereal no supereLA JUNTA tolerancia al riesgo. Supervisarla gestin del riesgo. Monitorearlos principales objetivosy mtricasde los procesosde gestin de riesgosy establecercmo las desviacioneso problemassern identificados, seguimiento e informespara la remediacin. Ejecutar el conjunto de la direccin estratgica de las inversiones en lnea con la visin de arquitectura empresarial y las caractersticas deseadas de la inversin y las carteras de servicios relacionados, y considerar las diferentes categoras de inversiones y los recursos y las limitaciones de financiacin. Evaluar, priorizar y programas de balance y servicios, gestin de la demanda dentro de las limitaciones de recursos y financiacin, en funcin de su alineacin con los objetivos estratgicos, de la empresa y el riesgo vale la pena. Mueva los programas seleccionados en la cartera de servicios activos para su ejecucin. Supervisar el rendimiento de la cartera global de servicios y programas, proponer los ajustes necesarios en respuesta a los programas y la prestacin del servicio o el cambio de prioridades de la empresa.
EDM03.03
APO05
Gestin de la Cartera
41
APO05.01
APO05.02
APO05.03
APO05.04
APO05.05
Crear Establecer la combinacin de inversiones de destino. Revisar y asegurar la claridad de la empresa y de TI estrategias y servicios actuales. Definir una adecuada mezcla de inversin basada en el precio, la alineacin con la estrategia y las medidas financieras tales como el costo y el retorno de la inversin prevista durante el ciclo de vida econmico completo, grado de riesgo, y el tipo de beneficio para los programas de la cartera. Ajuste de la empresa y las estrategias de TI cuando sea necesario. Determinar la disponibilidad y fuentes de fondos. Determinar posibles fuentes de financiacin, la financiacin de diferentes opciones y las implicaciones de la fuente de financiamiento en las expectativas de retorno de inversin. Evaluar y seleccionar los programas de fondo. Sobre la base de la mezcla de las inversiones de cartera en general requisitos, evaluar y priorizar el programa casos de negocio, y decidir sobre las propuestas de inversin. Asignar fondos e iniciar programas. Monitor, optimizar e informar sobre rendimiento de las inversiones de cartera. Sobre una base regular, supervisar y optimizar el rendimiento de la cartera de inversiones e individual programas en todo el ciclo de inversin toda la vida. Mantener las carteras. Mantenga las carteras de los programas y proyectos de inversin, servicios de TI y los activos de TI. Administrar el logro de beneficios. Monitorear los beneficios de la provisin y mantenimiento de servicios adecuados de TI y capacidades, basadas en los acordados en el caso de negocio
APO05.06
42
Gestin de Recursos Humanos
Proporcionar un enfoque estructurado para garantizar una ptima estructuracin, colocacin, los derechos de decisin y las habilidades de los recursos humanos. Esto incluye la comunicacin de las funciones y responsabilidades definidas, el aprendizaje y planes de crecimiento, y las expectativas de desempeo con el apoyo de gente competente y motivada.
0.0
APO07.01
Mantener la dotacin de personal suficiente y adecuado. Evaluar las necesidades de personal en forma regular o en cambios importantes en la empresa o de funcionamiento o los entornos de TI para asegurar que la empresa tiene suficientes nuevos recursos humanos para apoyar las metas empresariales y objetivos. El personal incluye recursos tanto internos como externos. Identificar personal clave de TI Identificar personal clave de TI y reducir al mnimo la dependencia de una sola persona en la realizacin de una funcin de trabajo crtico a travs de la captura de conocimiento (documentacin), el intercambio de conocimientos, planificacin de la sucesin y la copia de seguridad personal.
Mantener las habilidades y competencias del personal. Define y gestiona las habilidades y competencias requeridas del personal. Verificar regularmente que el personal tenga las competencias necesarias para cumplir con sus funciones sobre la base de su educacin, formacin y / o experiencia, y verificar que estas competencias se mantienen, con capacitacin y programas de certificacin en su caso. Proporcione a los empleados el aprendizaje permanente y las oportunidades para mantener sus conocimientos, habilidades y competencias a un nivel necesario para alcanzar los objetivos de la empresa.
APO07
APO07.02
APO07.03
43
APO07.04
APO07.05
APO07.06
Evaluar el desempeo laboral de los trabajadores. Llevar a cabo evaluaciones de desempeo sobre una base regular contra objetivos individuales derivados de las metas de la empresa, estndares establecidos, responsabilidades especficas del trabajo y el marco de competencia y habilidades. Los empleados deben recibir entrenamiento sobre rendimiento y conducta siempre que sea apropiado. Planificar y realizar un seguimiento del uso de los recursos humanos de TI y de negocios. Comprender y realizar un seguimiento de la demanda actual y futura de recursos humanos de negocio y TI con competencias para las TI corporativas. Identificar las carencias y aportaciones a planes de abastecimiento, planes de abastecimiento de procesos de contratacin de empresa y TI y procesos de contratacin de negocio y TI Gestin del personal contratado. Asegurarse de que los consultores y personal contratado que apoyan a la empresa con capacidades de TI conocen y cumplen con las polticas de la organizacin y conoce los acuerdos sobre los requisitos contractuales.
Definir y comunicar los requisitos de calidad en todos los procesos, procedimientos y los resultados de las empresas relacionadas, incluyendo los controles, la supervisin en curso, y el uso de prcticas probadas y las normas en la mejora continua y esfuerzos de eficiencia.
Gestin de la Calidad
0.0
APO11
APO11.01
Establecer una gestin de calidad sistema de Calidad (SGC). Establecer y mantener un SGC, que proporciona un estndar, enfoque formal y continuo a la gestin de la calidad Para ms informacin, la tecnologa y de negocios que permite procesos que estn alineados con los requerimientos del negocio y la empresa de gestin de calidad.
44
APO11.02
APO11.03
Definir y gestionar los estndares de calidad, prcticas y procedimientos. Identificar y mantener los requisitos, normas, procedimientos y prcticas para los procesos clave para orientar la empresa en el cumplimiento de la intencin del acuerdo sobre SGC. Esto debe estar en consonancia con el control de TI requisitos del marco. Considere la posibilidad de certificacin para la clave, procesos, unidades organizativas, productos o servicios. Enfoque de gestin de calidad a los clientes. Enfoque de gestin de calidad a los clientes por determinar sus necesidades y asegurar la alineacin con las prcticas de gestin de calidad. Realizar monitoreo de la calidad, el control y las revisiones. Monitorear la calidad de los procesos y servicios en una forma continua como se define en el SGC. Definir, planificar y aplicar medidas para controlar cliente satisfaccin con la calidad, as como el valor de la SGC proporciona. La informacin recogida debe ser utilizada por el propietario del proceso para mejorar la calidad. Integrar la gestin de calidad en De soluciones para la prestacin de desarrollo y servicio. Incorporar las prcticas pertinentes de gestin de calidad en la definicin, monitoreo, reporte y en curso gestin de soluciones de desarrollo y servicio ofrendas Mantener la mejora continua. Mantener y se comunican regularmente una calidad global plan que promueve la mejora continua. Este debe incluir la necesidad y beneficios de, continua mejora. Recoger y analizar datos sobre el SGC, y mejorar su eficacia.Corregir las no conformidades para prevenir la recurrencia. Promover una cultura de calidad y la mejora continua
Continuamente identificar, evaluar y reducir los riesgos relacionados con el dentro de los niveles de tolerancia fijados por la direccin.
APO11.04
APO11.05
APO11.06
APO12
Gestn del riesgo
0.0
45
APO12.01
Recopilar datos. Identificar y recopilar los datos pertinentes para facilitar la efectiva Relacionados con la TI la identificacin de riesgos, anlisis e informes. Analizar riesgos Desarrollar informacin til para apoyar las decisiones de riesgo que tener en cuenta la relevancia de negocios de factores de riesgo. Mantener un perfil de riesgo. Mantener un inventario de los riesgos conocidos y relacionados, las capacidades y actividades de control actuales. riesgo articulado. Proporcionar informacin sobre el estado actual de las TI relacionadas con exposiciones y oportunidades de manera oportuna a todas las necesarias para los interesados la respuesta adecuada. Definir una gestin de riesgos la accin de la cartera. Gestionar las oportunidades para reducir el riesgo a un nivel aceptable nivel como una cartera. Responder a los riesgos. Responder de manera oportuna con medidas eficaces para limitar la magnitud de la prdida de TI relacionados con eventos. Definir, operar y controlar un sistema de gestin de seguridad de la informacin Establecer y mantener un sistema de De informacin gestin de la seguridad del sistema (SGSI). Establecer y mantener un SGSI que proporciona un enfoque estndar, formal y contina a la seguridad gestin de la informacin, lo que permite seguridad tecnologa y procesos de negocio que estn alineados con los requisitos empresariales y de seguridad de la empresa gestin.
APO12.02
APO12.03
APO12.04
APO12.05
APO12.06 Gestin de la seguridad
0.0
APO13
APO13.01
46
APO13.02
Definir y gestionar un sistema de informacin riesgo para la seguridad del plan de tratamiento. Mantener un plan de seguridad de la informacin que describe cmo el riesgo de seguridad de la informacin ha de ser gestionado y alineado con la estrategia de la empresa y la empresa arquitectura. Asegrese de que las recomendaciones para la implementacin de mejoras de seguridad se basan en aprob los casos de negocios e implementado como un parte integral de servicios y desarrollo de soluciones, a continuacin, funciona como una parte integral de servicios y desarrollo de soluciones, a continuacin, funciona como una parte integral de la operacin comercial Monitorear y revisar el SGSI. Mantener y se comunican regularmente la necesidad de que, y los beneficios de seguridad de la informacin continua mejora. Recoger y analizar datos sobre el SGSI, y mejorar la eficacia del SGSI. Corregir las no conformidades para prevenir la recurrencia. Promover una cultura de la seguridad y la mejora continua Gestionar todos los programas y proyectos del portafolio de inversiones en la alineacin con la estrategia de la empresa y de una manera coordinada. Iniciar, planificar, controlar y ejecutar programas y proyectos, y cerrar con una revisin posterior a la implementacin Mantenga un acercamiento estndar para el programa y la administracin del proyecto. Mantenga un acercamiento estndar para el programa y la administracin del proyecto que permite gobierno y la revisin administrativa y toma de decisiones y las actividades de la gerencia de la entrega en las que se enfocaron la atencin lograr valor y metas (los requisitos , el riesgo , los costos , el horario , la calidad) para el negocio en una manera coherente Inicie un programa Inicie un programa a confirmar los esperados beneficios y obtener autorizacin a proceder. Esto incluye a convenir en patrocinio de programa , confirmando el mandato de programa a travs de la aprobacin del caso comercial conceptual , nominando junta de programa o los miembros de comisin , produciendo el resumen de programa , revisando y actualizando el caso comercial , desarrollando un plan de
APO13.03
Gestin de programas y proyectos
0.0
BAI01.01
BAI01
BAI01.02
47
realizacin de beneficios , y obteniendo aprobacin a partir de patrocina a proceder
BAI01.03
BAI01.04
BAI01.05
Administre compromiso stakeholders Administre compromiso del tenedor de apuestas para asegurar un cambio en ejecucin de informacin precisa, coherente y oportuna que alcanza a todos los tenedores de apuestas pertinentes. Esto incluye a planificar, identificar y contratar a los tenedores de apuestas y manejar sus expectativas. Desarrolle y mantenga el plan de programa. Formule un programa para yaci el trabajo de base inicial y situarlo a l para la ejecucin exitosa formalizando el alcance del trabajo para estar consumado e identificando lo entregable ese satisfar sus metas y entregar valor. mantenga y actualice el plan de programa y el caso comercial a todo lo largo de lo completo econmico ciclo biolgico del programa , asegurando alineacin con objetivos estratgicos y reflejando el estatus actual y las compenetraciones actualizadas ganados para pasar de moda Emprenda y ejecute el programa. Emprenda y ejecute el programa para adquirir y directo los recursos necesitados para lograr las metas y los beneficios del programa tan definido en el plan de programa. De conformidad con la etapa la portilla o la liberacin revisa criterios, se prepara para revisiones de etapa de taquilla, de iteracin o de liberacin escriban una crnica del progreso del programa y puedan hacer el caso para financiar hasta la siguiente revisin de etapa de la portilla o de liberacin.
48
BAI01.06
BAI01.07
Monitoree, controle y escriba una crnica de los resultados de programa. Monitoree y el programa de control (la entrega de solucin) y la actuacin de la empresa (el valor /resultado) en contra del plan a todo lo largo de la vida econmica completa reciclan del informe inversor. esta actuacin para el comit que timonea programa y los patrocinadores Sobresltese y el iniciado se proyecta dentro de un programa. Defina y documente la naturaleza y alcance del proyecto para confirmar y desarrollar en medio de tenedores de apuestas una comprensin comn de alcance de proyecto y cmo guarda relacin con otros proyectos dentro del en conjunto programa. Inversor permitido en tecnologa de la informacin la definicin deberan ser formalmente aprobados por el programa y patrocinadores de proyecto. Planifique proyectos. Establezca y mantenga un plan formal, aprobado e integrado (cubriendo recursos de negocio y de tecnologa de la informacin) de proyecto para guiar ejecucin de proyecto y controle a todo lo largo de la vida del proyecto. l alcance de proyectos debera estar claramente definido y atado construyendo o realzando capacidad comercial Administre calidad de programa y de proyecto Preprese y ejecute un plan de administracin de calidad, procesos y prcticas, puestas en lnea con los qms eso describen el programa y proyecte acercamiento de calidad y cmo ser implementado. que el plan debera Ser formalmente revisado y convenido en por ah todas las fiestas preocupadas y luego ser incorporado en el programa integrado y proyectar planes. Administre riesgo de programa y de proyecto Elimine o minimice riesgo especfico asociado con programas y proyectos a travs de un proceso sistemtico de planificacin, identificando, analizando, respondiendo para monitorear y controlar las reas o los acontecimientos que tienen el potencial para la causa que el riesgo no deseado de cambio. afront por el programa y la administracin del proyecto debera estar establecida y centralmente grabada
BAI01.08
BAI01.09
BAI01.10.
49
BAI01.11
Monitoree y el control se proyecta. La actuacin de proyecto de medida en contra de los criterios cruciales de actuacin de proyecto como horario, la calidad, el costo y el riesgo. Identifique cualquier desviacin de lo esperado. Evale el impacto de desviaciones en el proyecto y el programa global, y los resultados de informe para teclear a stakeholders. Administre recursos de proyecto y paquetes de trabajo Opere paquetes de trabajo de proyecto colocando requisitos formales en autorizados y aceptando paquetes de trabajo , y asignando y coordinando recursos de negocio apropiado y de tecnologa de la informacin Cerrar un proyecto una iteracin El fin de cada proyecto, cada liberacin o cada iteracin, requiere que los tenedores de apuestas de proyecto averigen si el proyecto, la liberacin o la iteracin dieron los resultados planificados y el valor. Identifique y comunique cualquier actividades sobresalientes requeridas para lograr los planificados resultados del proyecto y los beneficios del programa , e identificar y el documento que las lecciones aprendieron para el uso en el futuro se proyecta , suelta , iteraciones y programas Cerrar un Programa Remover el programa de la cartera de inversiones en ejecucin cuando hay acuerdo que el valor deseado ha sido logrado o cuando es claro no ser logrados dentro de los criterios de valor determinado para el programa
BAI01.12.
BAI01.13
BAI01.14
50
Cumplimiento de Actividades
PROCESO
ACTIVIDAD
EDM01
EDM01.01
1. Analizar y determinar los factores ambientales internos y externos (obligaciones legales, reglamentarias y contractuales) y las tendencias en el ambiente de negocios que pueden influir en el diseo de gobierno. 2. Determinar la importancia de las TI y su papel en relacin con el negocio. 3. Considere la posibilidad de regulaciones externas, las leyes y las obligaciones contractuales y determinar la forma en que deben aplicarse dentro de la gobernanza de las TI corporativas. 4. Alinear el uso tico y el procesamiento de la informacin y su impacto en la sociedad, el medio ambiente natural, y los intereses de las partes interesadas internas y externas con la direccin de la empresa, metas y objetivos. 5. Determinar las implicaciones del entorno empresarial global de control con respecto a ella. 6. Articular los principios que guiarn el diseo de la gobernanza y la toma de decisiones de TI. 7. Entender la empresa la toma de decisiones la cultura y determinar la ptima toma de decisiones modelo de TI. 8. Determinar los niveles apropiados de delegacin de autoridad, incluidas las normas de umbral, de las decisiones de TI.
EDM01.02
1. Comunicar la gobernanza de TI y de acuerdo con los principios de la gestin ejecutiva en la forma de establecer un liderazgo informado y comprometido. 2. Establecer o delegar el establecimiento de estructuras de gobierno, procesos y prcticas de acuerdo con las acordadas en los principios de diseo. 3. Asignar la responsabilidad, autoridad y rendicin de cuentas en consonancia con los principios de diseo-en el gobierno, los modelos de toma de decisiones y la delegacin. 4. Asegrese de que los mecanismos de comunicacin e informacin a los profesionales encargados de la supervisin y toma de decisiones con la informacin apropiada. 5. Dirigir que el personal siga las directrices pertinentes para el comportamiento tico y profesional y velar por que las consecuencias del incumplimiento son conocidas y aplicadas. 6. Dirigir el establecimiento de un sistema de recompensas para promover un cambio cultural deseable.
EDM01.03
51
1. Evaluar la eficacia y el rendimiento de las partes interesadas que tienen la responsabilidad y la autoridad delegada para la gobernanza de las TI corporativas. 2. Evaluar peridicamente si el acuerdo sobre los mecanismos de gobernanza de la TI (estructuras, principios, procesos, etc.) se han establecido y funcionan con eficacia. 3. Evaluar la efectividad del diseo de gobierno e identificar las acciones para corregirlas desviaciones encontradas. 4. Mantener la supervisin de la medida en que satisface las obligaciones (la legislacin reguladora, el derecho consuetudinario y contractual), las polticas internas, normas y directrices profesionales. 5. Ejercer su supervisin respecto de la eficacia y el cumplimiento de la empresa del sistema de control. 6. Supervisarlos mecanismos regulares y de rutina para asegura que el uso de TI cumpla con las obligaciones pertinentes (legislacin reguladora, el derecho consuetudinario y contractual), normas y directrices.
EDM02
EDM02.01
1.Entenderlos requisitos delas partes interesadas; estratgicos los problemas de TI, tales como la dependencia de TI, y conocimientos de
tecnologa y capacidades con respecto a la real y para importancia potencial de la estrategia empresarial
2. Comprender los elementos clave de la gobernanza que se requieren para la entrega confiable, segura y rentable de un valor ptimo de la
utilizacin de nuevos y existentes servicios de TI, activos y recursos.
3. Comprender y analizar peridicamente las oportunidades que puedan surgir por el cambio de empresa habilitada por las tecnologas
actuales, nuevas o emergentes, y optimizar el valor creado a partir de esas oportunidades.
4.Entenderlo que constituye valor para la empresa, y considerar qu tan bien se comunica, entendido y aplicado en todos los procesos de la
empresa
5. Evaluarla eficacia de estrategias de la empresa y de TI se han integrado y alineado dentro de la empresa y con los objetivos de la empresa
para entregar valor.
6.Entender y considerar la forma eficaz los roles, responsabilidades, rendicin de cuentas y los rganos de toma de decisiones son para
garantizarla creacin de valor de la posibilitados por las inversiones, servicios y activos.
7. Considere qu tan bien la gestin de las inversiones habilitadas por TI, servicios y activos se alinea con la gestin del valor de la empresa y
prcticas de gestin financiera. 8. Valorarla cartera de servicios de inversiones y activos para la alineacin con la empres a la empresa objetivos estratgicas por tanto financieros como no financieros, el riesgo, tanto el riesgo como la entrega y el riesgo de los beneficios; la alineacin de procesos de negocio, la eficacia en trminos de usabilidad, disponibilidad y capacidad de respuesta y eficiencia en la trminos de costos de salud, la redundancia y la tcnica.
EDM02.02
1.Definir y comunicarla cartera y los tipos de inversin, categoras, criterios y ponderaciones relativas a los criterios para permitir puntuaciones globales de valor relativo.
2.Definir los requisitos para la etapa de las compuertas y otras revisiones de importancia de la inversin a la empresa y el riesgo asociado, los horarios de programas, planes de financiacin, y la entrega de las principales funciones y beneficios y la contribucin permanente de valor.
3.La gestin directade considerarlos posiblesusos innovadores deTIque permiten ala empresapara responder anuevas oportunidadeso desafos, llevar a cabo nuevos negocios,aumentar la competitividad,o mejorar los procesos.
52
4. Dirigirlos cambios necesarios en la asignacin de responsabilidades y obligaciones para la ejecucin de la cartera de inversiones la entrega de valor a partir de procesos de negocio y servicios. 5. Definir y comunicar los objetivos a nivel de empresa de entrega de valor y medidas de resultado para que un monitoreo efectivo. 7. Recomienda la consideracin de posibles innovaciones, los cambios organizativos y mejoras operativas que podran impulsar un mayor valor para la empresa de TI habilitados para las iniciativas.
EDM02.03
1. definir un conjunto equilibrado de los objetivos indicadores de rendimiento objetivos y referencias. Mtricas deben cubrir actividad y medidas de resultado, incluidos los indicadores principales y secundarios de los resultados, as como un equilibrio adecuado de las medidas financieras y no financieras. Revisar y acordar con ellos con la TI y otras funciones de negocios, y otras partes interesadas. 2. Recoger los datos pertinentes, oportuna, completa, fiable y precisa para informar sobre los avances en la entrega de valora los objetivos.
Obtener una sucinta, de alto nivel, vista de todo alrededor de la cartera, el programa y de la informacin (capacidades tcnicas y operativas) de rendimiento que apoya la toma de decisiones, y asegurarse de que los resultados esperados se estn logrando.
3. programa de obtener cartera regular y pertinente, y de TI informes sobre los resultados tecnolgicos y funcionales revisar el progreso empresa hacia los objetivos identificados y la medida en que se han objetivos previstos obtenidos a entregar los objetivos de desempeo obtenidos y riesgo mitigado. 4. luego de la revisin de los informes, tomar medidas de gestin apropiadas segn sea necesario para asegurar que el valor se ha optimizado. 5. luego de la revisin de los informes, asegrese de que la accin correctiva apropiada gestin se inicia y controla.
EDM03
EDM03.01
1. determinar el nivel de los riesgos relacionados con TI que la empresa est dispuesto a tomar para cumplir los objetivos de su apetito por el riesgo 2. evaluar y aprobar propuso umbrales de riesgo tolerancia contra el riesgo de la empresa y niveles aceptables oportunidad 3. determinar el grado de alineacin de la estrategia de riesgos de TI a la estrategia de riesgos empresariales. 4. Proactiva de TI evaluar los factores de riesgo de avance de espera de las decisiones estratgicas de la empresa y asegurar que las decisiones de la empresa consciente de los riesgos se hacen. 5. determinar que uso est sujeto a evaluacin adecuada del riesgo evaluacin que se expresan en las correspondientes normas internacionales y nacionales 6. evaluar las actividades de gestin de riesgos para asegurar la alineacin con la capacidad de la empresa para materia de prdidas y tolerancia de liderazgo de TI
EDM03.02
1. Promover una TI consciente de los riesgos y la autonoma de la cultura de la empresa de TI a identificar de forma proactiva los riesgos y oportunidades potenciales impactos de negocios. 2. Dirigir la integracin de la estrategia de riesgos de TI y las operaciones de riesgo con las decisiones empresariales estratgicas y operaciones.
53
3. Dirigirla elaboracin de planes de comunicacin de riesgos (que abarca todos los niveles de la empresa), as como los planes de accin de riesgo. 4. La ejecucin directa de los mecanismos adecuados para responder rpidamente a riesgo de cambiar e informar de inmediato a los niveles adecuados de gestin, con el apoyo convenido en los principios de progresividad (qu reportar, cundo, dnde y cmo). 5. Instrucciones para quede riesgo, oportunidades, problemas y preocupaciones pueden ser identificadas y reportadas por cualquier persona en cualquier momento. De riesgos debe ser manejado de acuerdo con polticas y procedimientos publicados y escala los que toman las decisiones pertinentes. 6. Identificar los objetivos e indicadores clave de riesgo de los procesos de gobernabilidad y de gestin a ser monitoreados, y aprobar los enfoques, mtodos, tcnicas y procesos para capturar y reportar la informacin de medicin.
EDM03.03
1. Monitorear la medida en que se gestiona el perfil de riesgo dentro de los umbrales de propensin al riesgo. 2. Monitorear las metas e indicadores clave de gestin del riesgo y los procesos de gestin respecto a los objetivos, analizar las causas de las desviaciones, e iniciar acciones correctivas para abordar las causas subyacentes. 3. Habilite la revisin las partes interesadas de EL PROGRESO DE LA EMPRESA HACIA LOS OBJETIVOS IDENTIFICADOS 4. Reporte cualquier problema de gestin de riesgosa la junta o el comit ejecutivo.
APO05
APO05.01
1. Validar que posibilitados por las inversiones actuales de TI y servicios estn alineados con la visin de la empresa, los principios de la empresa, metas y objetivos estratgicos, visin de arquitectura empresarial, y las prioridades. 2. Obtener un entendimiento comn entre las TI y las otras funciones del negocio en las oportunidades potenciales de TI para conducir y apoyar la Estrategia Empresarial. 3. Crear una combinacin de inversiones que alcanza el justo equilibrio entre una serie de dimensiones, incluyendo un adecuado equilibrio de corto y largo plazo devoluciones, beneficios financieros y no financieros, y las inversiones de alto y bajo riesgo.
4. Identificar las principales categoras de los sistemas de informacin, aplicaciones, datos, servicios de TI, la infraestructura, los activos de TI, recursos, habilidades, prcticas, controles y las relaciones necesarias para apoyar la estrategia de la empresa. 5. Ponerse de acuerdo sobre una estrategia de TI y los objetivos, teniendo en cuenta las interrelaciones entre la estrategia empresarial y los servicios de TI, activos y otros recursos. Identificar y aprovechar las sinergias que pueden lograrse.
APO05.02
1. Comprender la disponibilidad actual y el compromiso de fondos, el gasto corriente aprobado y la cantidad real gastada hasta la fecha.
54
2. Identificar las opciones para la obtencin de fondos adicionales para las inversiones habilitadas por TI, tanto internamente como de fuentes externas. 3. Determinar las implicaciones de la fuente de financiamiento en las expectativas de rendimiento de la inversin.
APO05.03
1. Reconocer las oportunidades de inversin y clasificarlos de acuerdo con las categoras de inversin de cartera. Especificar los resultados esperados de la empresa todas las iniciativas necesarias para lograr los resultados esperados, los costos, las dependencias y el riesgo, y cmo todo se mide. 2. Lleve a cabo evaluaciones detalladas de todos los casos de programas de negocios, evaluacin de la alineacin estratgica, los beneficios empresariales, el riesgo y la disponibilidad de recursos. 3. Evaluar el impacto en la cartera de inversiones global de la adicin de los programas candidatos, incluidos los cambios que pudieran ser necesarias para otros programas. 4. Decidir qu programas candidatos deben ser trasladados a la cartera de inversiones activo. Decidir si los programas rechazados deben ser mantenidos para la consideracin en el futuro o siempre con un poco de capital inicial para determinar si el modelo de negocio puede ser mejorado o desechado. 5. Determinar las etapas requeridas para cada programa seleccionado todo el ciclo de la vida econmica. Asignar y fondos de reserva total del programa por hito. Mueva el programa en la cartera de inversiones activo. 6. Establecer procedimientos para comunicar el costo, beneficio y riesgo relacionados con los aspectos de estas carteras a la priorizacin del presupuesto, gestin de costes y beneficiar a los procesos de gestin.
APO05.04
1. Revise la cartera sobre una base regular para identificar y explotar las sinergias, evitar duplicaciones entre los programas e identificar y mitigar los riesgos. 2. Cuando se producen cambios, vuelva a evaluar y priorizar las de la cartera para asegurarse de que la cartera est alineada con la estrategia de negocio y la mezcla de destino De las inversiones se mantiene por lo que la cartera es la optimizacin de valor general. Esto puede requerir programas a ser modificados, aplazados o retirados, y los nuevos programas para ser iniciado. 3. ajustar los objetivos de la empresa, previsiones, presupuestos y, si es necesario, el grado de seguimiento para reflejar los gastos a ser incurridos y los beneficios empresariales a desarrollar por los programas de la cartera de inversiones de activos. Incorporar los gastos del programa en los mecanismos de reembolso. 4. Proporcionar una visin precisa del rendimiento de la cartera de inversiones a todos los interesados. 5. Presentar informes de gestin para el personal directivo superior de la marcha de la empresa hacia las metas identificadas, indicando lo que todava tiene que ser gastado y lo logrado en los marcos de tiempo. 6. Incluir en la informacin de monitoreo del desempeo regular en la medida en que los objetivos previstos se han alcanzado, el riesgo mitigado, las capacidades de creacin, los resultados obtenidos y se reuni con los objetivos de rendimiento.
55
7. Identificar las desviaciones para: El control del presupuesto entre el real y el presupuesto Beneficios de la gestin: -Objetivos reales frente a las inversiones para las soluciones, posiblemente, expresada en trminos de retorno de la inversin, el VPN o tasa interna de retorno (TIR) - La tendencia actual del costo de cartera de servicios para mejorar el servicio de entrega de la productividad. 8. Desarrollar indicadores para medir la contribucin de TI a la empresa, y establecer objetivos de rendimiento adecuados que reflejen la TI y los objetivos de la empresa requiere de capacidad. Utilice la gua de expertos externos y los datos de referencia para desarrollar sistemas de medicin.
APO05.05
1. Crear y mantener las carteras de los programas de inversiones habilitadas por TI, servicios informticos y los activos de TI, que forman la base para el actual presupuesto de TI y apoyar a las TI planes tcticos y estratgicos. 2. El trabajo con los directores de prestacin de servicios para mantener las carteras de servicios y con los gerentes de operaciones y arquitectos para mantener las carteras de activos. Dar prioridad a las carteras para apoyar las decisiones de inversin. 3. Quite el programa desde la cartera de inversiones activa cuando los beneficios empresariales esperados se han alcanzado, o cuando es evidente que los beneficios no se lograr dentro de los criterios de valor establecidos para el programa.
APO05.06
1. Utilice los parmetros convenidos en la pista y cmo los beneficios se obtienen, cmo se desarrollan durante todo el ciclo de vida de los programas y proyectos, cmo estn siendo entregados a los servicios de TI, y cmo se comparan con los parmetros internos y la industria. Comunicar los resultados a las partes interesadas. 2. Implementar medidas correctivas, cuando se logran los beneficios se desvan significativamente de los beneficios esperados. Actualizar el caso de negocios para nuevas iniciativas e implementar procesos de negocio y mejoras en los servicios segn sea necesario. 3. Considere la posibilidad de obtener asesoramiento de expertos externos, los lderes de la industria y los datos comparativos de evaluacin comparativa para poner a prueba y mejorar los indicadores y metas.
APO07
APO07.01
1. Evaluar los requisitos del personal en forma regular o en los cambios ms importantes para asegurar que: a. La funcin de TI cuente con suficientes recursos para apoyar de manera adecuada y apropiada las metas y objetivos de la empresa. b. La empresa cuente con suficientes recursos para apoyar de manera adecuada y apropiada procesos de negocio y controles, e iniciativas de TI activadas. 2. Mantener el negocio y los procesos de contratacin y retencin de personal de TI en lnea con todas las polticas y procedimientos de personal de la empresa. 3. Incluir controles de antecedentes en el proceso de contratacin de TI para empleados, contratistas y proveedores. El alcance y la frecuencia de estos controles depender de la sensibilidad y / o criticidad de la funcin.
2.

56
4. Establecer mecanismos flexibles de recursos para apoyar a las cambiantes necesidades empresariales, tales como el uso de las transferencias, los contratistas externos y los acuerdos de servicio de terceros. 5. Asegrese de que el entrenamiento cruzado se lleva a cabo y hay copia de seguridad para el personal clave para reducir la dependencia de una sola persona.
APO07.02
1. Minimizar la dependencia en que un solo individuo realice una funcin de trabajo crtico a travs de la captura de conocimiento (documentacin), el intercambio de conocimiento, planificacin de la sucesin, copias de seguridad de personal, formacin transversal y las iniciativas de rotacin en el empleo. 2. Como medida de seguridad, proporcionar directrices sobre un tiempo mnimo de vacaciones anuales que deben adoptar los individuos clave. 3. Tomar las acciones convenientes con respecto a los cambios de trabajo, especialmente las terminaciones de empleo. 4. Probar regularmente los planes de copia de seguridad del personal.
APO07.03
1. Definir las habilidades requeridas y actualmente disponibles de los recursos internos y externos para lograr las metas de la empresa, TI y de procesos. 2. Proporcionar la planificacin formal de la carrera y desarrollo profesional para fomentar el desarrollo de competencias, las oportunidades de progreso personal y una menor dependencia de personas clave. 3. Proporcionar en acceso a repositorios del conocimiento para apoyar el desarrollo de habilidades y competencias. 4. Identificar las brechas entre las competencias necesarias y disponibles y desarrollar planes de accin para abordarlos de forma individual y colectiva, tales como la formacin (tcnica y habilidades de comportamiento), la contratacin, la redistribucin y cambiado estrategias de abastecimiento. 5. Desarrollar y ejecutar programas de capacitacin basados en los requisitos organizativos y de procesos, incluidos los requisitos sobre el conocimiento de la empresa, el control interno, una conducta tica y la seguridad. 6. Llevar a cabo revisiones peridicas para evaluar la evolucin de las habilidades y competencias de los recursos internos y externos. Revisar los planes de sucesin. 7. Revisar los materiales y programas de formacin sobre una base regular para asegurarse de la idoneidad con respecto a los requisitos cambiantes de la empresa y su impacto en el conocimiento, las aptitudes y habilidades.
APO07.04
1. Tener en cuenta las metas funcionales/empresa como el contexto para establecer metas individuales. 2. Establecer metas individuales alineadas con las metas de los procesos pertinentes, de modo que hay una clara contribucin a las metas de TI y de la empresa. Basar metas en objetivos inteligentes (especficos, mensurables, realizables, pertinentes y de duracin determinada) que reflejan las competencias bsicas, los valores de la empresa y las habilidades necesarios para la funcin(es). 3. Compilar resultados de evaluaciones de desempeo 360 grados.
57
4. Poner en prctica y comunicar un proceso disciplinario. 5. Proporcionar instrucciones especficas para el uso y almacenamiento de informacin personal en el proceso de evaluacin, de acuerdo con los datos personales aplicables y la legislacin laboral. 6. Proporcionar retroalimentacin oportuna sobre el desempeo contra las metas de la persona 7. Implementar un proceso de remuneracin/reconocimiento que recompense el compromiso competencias y el logro exitoso de las metas de desempeo. adecuado, desarrollo de
8. Desarrollar planes de mejora del rendimiento basado en los resultados del proceso de evaluacin y requisitos de entrenamiento y desarrollo de habilidades identificados.
APO07.05
1. Crear y mantener un inventario de los negocios y recursos humanos de TI. 2. Entender la demanda actual y futura de los recursos humanos para apoyar el logro de los Objetivos de TI y ofrecer servicios y soluciones basados en la cartera de las actuales iniciativas relacionadas con TI, las iniciativas de la cartera de inversiones futuras y el da a da las necesidades operacionales. 3. Identificar las carencias y aportaciones a planes de abastecimiento, as como los procesos de contratacin de la empresa y de TI. Crear y revisar el plan de dotacin de personal, hacer el seguimiento del uso real. 4. Mantener informacin adecuada del tiempo dedicado a diferentes tareas, trabajos, servicios o proyectos.
APO07.06
1. Implementar polticas y procedimientos que describan cundo, cmo y qu tipo de trabajo puede ser realizado o aumentado por consultores y/o contratistas, en coordinacin con la poltica de contratacin de TI de la organizacin de toda la empresa y el marco de control de TI. 2. Obtener un acuerdo formal por parte de los contratistas en el inicio del contrato que estn obligados a cumplir con el marco de control de TI de la empresa, tal como las polticas de control de seguridad, control de acceso fsico y lgico, el uso de las instalaciones, los requisitos de confidencialidad de la informacin y los acuerdos de no divulgacin. 3. Informar a los contratistas que la administracin se reserva el derecho de supervisar e inspeccionar todo el uso de los recursos de TI, incluyendo correo electrnico, las comunicaciones de voz, y todos los programas y archivos de datos. 4. Proveer a los contratistas con una definicin clara de sus funciones y responsabilidades como parte de sus contratos, incluidos los requisitos explcitos para documentar su trabajo de acuerdo sobre las normas y formatos. 5. Trabajo de revisin de los contratistas y la base de la aprobacin de los pagos de los resultados. 6. Definir todo el trabajo realizado por las partes externas de los contratos formales y sin ambigedades. 7. Llevar a cabo revisiones peridicas para asegurar que el personal de contrato han firmado y aceptado en todos los acuerdos necesarios. 8. Llevar a cabo revisiones peridicas para asegurar que las funciones de los contratistas y los derechos de acceso son adecuados y acordes con los acuerdos.
APO11
APO11.01
58
1. Asegrese de que el sistema de control de TI y el negocio y los procesos de TI incluyen un enfoque estndar, formal y continuo a la gestin de la calidad que est alineado con las necesidades de la empresa. Dentro del marco de control de TI y el negocio y los procesos de TI, identificar los requisitos de calidad y criterios (por ejemplo, sobre la base de los requisitos legales y los requisitos de los clientes). 2. Definir las funciones, tareas, los derechos de decisin y responsabilidades para la gestin de la calidad en la estructura organizativa. 3. Polticas. Registro de datos de calidad. 4. Monitorear y evaluar la eficacia y la aceptacin de la gestin de calidad, y mejorar cuando sea necesario. 5. Alinear la gestin de la calidad con un sistema de calidad para toda la empresa para fomentar un enfoque normalizado y continuo con la calidad. 6. Obtener informacin de gestin y grupos de inters externos e internos en la definicin de los requisitos de calidad y criterios de gestin de calidad. 7. Comunicar de manera efectiva el enfoque (por ejemplo, a travs de programas regulares y formales de formacin de calidad). 8. Revisar peridicamente la pertinencia, la eficiencia y la eficacia de los procesos especficos de gestin de calidad. Supervisar el cumplimiento.
APO11.02
1. Defina los estndares de direccin de calidad, prcticas y procedimientos de acuerdo con el IT controla las exigencias del marco. Industria de uso las mejores prcticas para referencia mejorando y adaptando las prcticas de calidad de la empresa. 2. Tenga en cuenta los beneficios y costos de certificaciones de calidad.
APO11.03
1. Enfoque de gestin de calidad en los clientes mediante la determinacin de necesidades de los clientes internos y externos y asegurar la alineacin de los estndares de TI 2. Gestionar las necesidades del negocio y las expectativas para cada proceso de negocio, servicios de TI operacional y nuevas soluciones, y mantener su calidad criterios de aceptacin. Captura de los criterios de calidad de aceptacin para su inclusin en los SLA. 3. Comunicar los requisitos y expectativas del cliente en toda la empresa y la organizacin de TI. 4. Peridicamente obtener puntos de vista de los clientes en procesos de negocio y la prestacin de servicios de TI y la entrega de la solucin, para determinar el impacto en los estndares de TI y prcticas y para garantizar que se cumplen las expectativas del cliente y se acte en consecuencia. 5. Controlar y revisar regularmente el SGC contra el acuerdo sobre los criterios de aceptacin. Incluye comentarios de los clientes, usuarios y de gestin. Responder a las discrepancias en los resultados de la revisin para la mejora continua del SGC. 6. Captura de los criterios de calidad de aceptacin para su inclusin en los SLA.
APO11.04
59
1. Supervise la calidad de procesos y servicios en una base en curso mejoramiento/ingeniera y control de los procesos. 2. Preparar y llevar a cabo revisiones de calidad. 3. Informar de los resultados de la revisin y poner en marcha mejoras en su caso.
y sistemtica describiendo, midiendo, analizando,
4. Controlar la calidad de los procesos, as como la calidad proporciona valor. Asegrese de que la medicin, control y registro de informacin es utilizada por el procesar propietario a tomar las acciones correctivas y preventivas. 5. Supervise la mtrica de calidad conducida por el objetivo alineada a objetivos de calidad totales de cubrir la calidad de proyectos
6. Asegrese de que los propietarios de la gestin y el proceso de revisar peridicamente el rendimiento de gestin de calidad. 7. Analizar los resultados globales de la calidad de gestin del rendimiento.
APO11.05
1. Integrar las prcticas de gestin de calidad en los procesos de soluciones y prcticas de desarrollo. 2. Un seguimiento contino de los niveles de servicio e incorporar prcticas de gestin de calidad en los procesos de prestacin de servicios y prcticas. 3. Identificar y documentar las causas de no conformidad, y comunicar los resultados de la gestin de TI y otras partes interesadas de manera oportuna a los permitir que las medidas correctivas que deban adoptarse. En su caso, realizar el seguimiento de revisiones.
APO11.06
1. Mantener y se comunican regularmente la necesidad de, y los beneficios de la mejora continua. 2. Establecer una plataforma para compartir las mejores prcticas y para capturar la informacin sobre los defectos y errores que permitan aprender. 3. Identificar ejemplos recurrentes de los defectos de calidad, determinar su causa raz, evaluar su impacto y resultado, y acordar acciones de mejora. 4. Identifique ejemplos de procesos de entrega de calidad excelentes que pueden beneficiar otros servicios o proyectos, y como partir stos con los equipos de entrega para fomentar la mejora. 5. Promover una cultura de mejora de la calidad y continuo. 6. Establecer un circuito de retroalimentacin entre la gestin de la calidad y la gestin de problemas. 7. Proporcionar a los empleados con la formacin en los mtodos y herramientas de mejora continua. 8. Punto de referencia de las revisiones de calidad internas contra los datos histricos, las directrices de la industria, las normas y los datos.
APO12
APO12.01
60
1. Establecer y mantener un mtodo para la recoleccin, clasificacin y anlisis de riesgos de TI relacionados con los datos, con capacidad para mltiples tipos de eventos, mltiples categoras de factores de riesgo de riesgo de TI y mltiples. 2. Registre datos relevantes en el ambiente de operaciones interno y externo de la empresa que podra la playa papel significativo en la direccin de IT riesgo. 3. Encuesta y analizar los datos histricos de TI de riesgo y la experiencia de la prdida de los datos disponibles externamente y tendencias, a travs de colegas de la industria basado en la industria registros de eventos, bases de datos, y los acuerdos de la industria. 4. Operaciones y la prestacin de servicios. Captura de los datos relevantes de los problemas, incidentes, problemas e investigaciones. 5. Para las clases de eventos similares, organizar los datos y poner de relieve los factores que contribuyen. Determinar factores contribuyentes a travs de varios eventos. 6. Determinar las condiciones especficas que existan o estaban ausentes cuando los eventos de riesgo se produjo y la manera en las condiciones afectada la frecuencia de eventos y la prdida de magnitud. 7. Realizar eventos y anlisis peridicos factor de riesgo para identificar los problemas de riesgos nuevos o emergentes y ganar una comprensin de la interna y asociados los factores externos de riesgo
APO12.02
1. Definir el alcance y la profundidad adecuada de los esfuerzos de anlisis de riesgos, teniendo en cuenta todos los factores de riesgo y la criticidad de los activos de negocio. Establecer el anlisis de riesgos, mbito de aplicacin despus de realizar un anlisis de costobeneficio. 2. Actividades especficas de control, las capacidades de deteccin y otras medidas de respuesta. 3. Estimar la frecuencia y la magnitud de la prdida o ganancia asociada a los escenarios de riesgo de TI. Tener en cuenta todos los factores de riesgo aplicables, evaluar conocida controles operacionales y los niveles de estimacin de riesgo residual. 4 Comparar el riesgo residual de la tolerancia al riesgo aceptable y determinacin de las exposiciones que pueden requerir una respuesta. 5. Respuesta ptima del riesgo. 6. Un control adecuado y clave para las respuestas de mitigacin de riesgos. 7. Que las estimaciones fueron calibrados correctamente y escrutinio de sesgo.
APO12.03
1. Los procesos de inventario de negocios, incluido el personal de apoyo, aplicaciones, infraestructura, instalaciones, crticos registros manuales, vendedores, proveedores y subcontratistas, y el documento de la dependencia de los procesos de TI de gestin de servicios de TI 2. Determinar y estoy de acuerdo en que los servicios de TI y los recursos de TI de infraestructura son esenciales para sostener el funcionamiento de los procesos de negocio. Analizar dependencias e identificar los puntos dbiles. 3. Agregado escenarios de riesgo actuales por lnea de negocio, categora y rea funcional.

61
4. Sobre una base regular, la captura de toda la informacin de perfil de riesgo y consolidarla en un perfil de riesgo agregado. 5. Sobre la base de todos los datos del perfil de riesgo, definir un conjunto de indicadores de riesgo que permitan la rpida identificacin y seguimiento del riesgo actual y las tendencias de riesgo. 6. Captura de informacin sobre los riesgos de TI eventos que se han materializado, para su inclusin en el perfil de riesgos de TI de la empresa. 7. Captura de informacin sobre el estado del plan de accin de riesgo, para su inclusin en el perfil de riesgos de TI de la empresa.
APO12.04
1. Informar los resultados de anlisis de riesgos a todos los interesados afectados en los trminos y formatos tiles para apoyar las decisiones de la empresa. Siempre que sea posible, incluya y rangos de probabilidades de prdida o ganancia, junto con los niveles de confianza que permiten la gestin de equilibrar el riesgo-retorno. 2. Proporcionar los tomadores de decisiones con un conocimiento de los peores escenarios posibles y lo ms probable-, la exposicin y la reputacin considerable, legales o por consideraciones regulatorias. 3. Informe del perfil de riesgo actual a todas las partes interesadas, incluida la eficacia del proceso de gestin de riesgos, la efectividad del control, las lagunas, inconsistencias, los despidos, el estado de remediacin, y su impacto en el perfil de riesgo. 4. Identificado de deficiencias y exposiciones para determinar la necesidad de un anlisis de riesgo adicional. 5. De forma peridica, para zonas con riesgo relativo y la paridad de capacidad de riesgo, identificar oportunidades relacionados con las TI que permitan la aceptacin de un mayor riesgo y un mayor crecimiento y rentabilidad.
APO12.05
1. Mantener un inventario de las actividades de control que estn en marcha para gestionar el riesgo y que el riesgo de habilitacin que deben adoptarse de acuerdo con el apetito de riesgo y la tolerancia. Clasificar las actividades de control y asignarlos a determinadas declaraciones de riesgo de TI y las agregaciones de los riesgos de TI. 2. Determina si cada entidad organizativa controla el riesgo y acepta la rendicin de cuentas para operar dentro de su nivel individual y de la cartera de tolerancia. 3. Defina un juego equilibrado de ofertas de proyecto diseadas para reducir riesgo y/o proyectos que permiten oportunidades de empresa estratgicas, considerando
APO12.06
1. Preparar, mantener y poner a prueba los planes que documentan los pasos especficos a seguir cuando un evento de riesgo puede causar una operacin o hecho significativo incidente con impacto en el negocio serio. Asegrese de que los planes incluyen las vas de escalada en toda la empresa. 2. Clasifique los incidentes, y comparar la exposicin real contra los umbrales de tolerancia al riesgo. Comunicar los impactos de negocio para los tomadores de decisiones como parte de presentacin de informes, y actualizar el perfil de riesgo. 3. Aplicar el plan de respuesta adecuada para minimizar el impacto que los incidentes de riesgo se producen.
62
4. Requisitos y las mejoras en los procesos a los tomadores de decisiones adecuadas y asegurarse de que la causa, los requisitos de respuesta y mejora de procesos se incluyen en los procesos de gestin del riesgo.
APO13
APO13.01
1. Definir el alcance y los lmites del SGSI en trminos de las caractersticas de la empresa, la organizacin, su ubicacin, los activos y la tecnologa. 2. Definir un SGSI de acuerdo con la poltica de empresa y se alinea con la empresa, la organizacin, su ubicacin, los activos y la tecnologa. 3. Alinear el SGSI con el enfoque general de la empresa a la gestin de la seguridad. 4. Obtener autorizacin de la administracin para implementar y operar o cambiar el ISMS. 5. Preparar y mantener una declaracin de aplicabilidad que describe el alcance del SGSI. 6. Definir y comunicar informacin de las funciones de gestin de seguridad y responsabilidades. 7. Comunicar el enfoque del SGSI.
APO13.02
1. Plan para identificar las prcticas de gestin adecuadas y ptimas y soluciones de seguridad, con los consiguientes recursos, responsabilidades y prioridades para la Administracin del riesgo identificado en la seguridad de la informacin. 2. Mantener como parte de la arquitectura de la empresa un inventario de los componentes de la solucin que se encuentran en el lugar para administrar la seguridad relacionada con el riesgo. 3. Desarrollar propuestas para aplicar la seguridad de la informacin de riesgo el plan de tratamiento, con el apoyo de casos de negocios adecuados, que incluyen la consideracin de financiacin y asignacin de roles y responsabilidades. 4. Proporcionar informacin para el diseo y desarrollo de las prcticas de gestin y soluciones seleccionadas de entre el plan de seguridad de la informacin del tratamiento del riesgo. 5. Definir cmo medir la efectividad de las prcticas de gestin seleccionados y especificar cmo estas medidas se van a utilizar para evaluar eficacia para producir resultados comparables y reproducibles. 6. Recomienda formacin en seguridad y concientizacin. 7. Integrar la planificacin, diseo, ejecucin y seguimiento de los procedimientos de seguridad de la informacin y otros controles capaces de permitir rpida prevencin, la deteccin de eventos de seguridad y de respuesta a incidentes de seguridad.
APO13.03
1. Cuenta los resultados de las auditoras de seguridad, los incidentes, los resultados de las mediciones de eficacia, sugerencias y comentarios de todas las partes interesadas. 2. Llevar a cabo auditoras internas del SGSI a intervalos planificados.
63
3. Llevar a cabo un examen de la gestin del SGSI en una base regular para asegurarse de que el mbito de aplicacin siga siendo adecuado y las mejoras en el proceso de SGSI se identifican. 4. Proporcionar informacin para el mantenimiento de los planes de proteccin a tener en cuenta los resultados de seguimiento y revisin de las actividades. 5. Grabar acciones y eventos que podran tener un impacto sobre la eficacia o el rendimiento del SGSI.
BAI01
BAI01.01
1. Mantenga e implemente que un acercamiento estndar para programar y proyectar a la gerencia aliado para el ambiente especfico de la empresa y con buena prctica basada en el uso y proceso definido de tecnologa. apropiada asegure que el acercamiento cubre el ciclo biolgico completo y las disciplinas para ser siguieron , incluyndole a la gerencia de alcance , recursos , riesgo , costo , calidad , tiempo , comunicacin , envolvimiento del tenedor de apuestas , adquisicin , control de cambio , integracin y realizacin de beneficio 2. Actualice el programa y el acercamiento de administracin del proyecto basado en las lecciones aprendi de su uso
BAI01.02
1. Acuerde en el patrocinio de programa y nomine una junta /comit de programa con miembros que tienen inters estratgico en el programa , tenga a cargo la decisin de invertir haciendo , ser significativamente pegado con una cua por el programa y estar obligado a permitir entrega del cambio 2. Confirme el mandato de programa con patrocinadores y tenedores de apuestas. Estructure los objetivos estratgicos para el programa , estrategias potenciales para entrega , mejora y beneficios que se esperan para resultar , y cmo calza el programa con otras iniciativas 3. Desarrolle un caso comercial detallado para un programa, si sea garantizado. Involucre a todos los stakeholders cruciales a desarrollar y documentar una comprensin completa de los esperados resultados de la empresa, cmo estarn medidos, el alcance completo de iniciativas requerido, el riesgo complejo y el impacto en todos los aspectos de la empresa. Identifique y evale cursos de la accin alternativos para lograr los resultados deseados de la empresa. 4. Desarrolle una realizacin de beneficios plan que se manej a todo lo largo del programa para asegurar eso planific que los beneficios siempre tengan a los dueos y sean logrados , sostenidos y optimizados 5. Preprese y somtase para en la aprobacin de principio el caso inicial de negocio de programa (conceptual) , proveyendo informacin de toma de decisiones esencial estimando propsito , la contribucin para los objetivos comerciales , esper el valor creado , los lmites de tiempo , etc. 6. Comisione a un gerente dedicado para el programa, con las habilidades y aptitudes conmensurativas a manejar el programa eficazmente y eficazmente.
BAI01.03
1. Planifique cmo los tenedores de apuestas adentro y afuera la empresa sern identificados , analizados , comprometidos y maniobrados a travs del ciclo biolgico de los proyectos 2. Identifique , contrate y maneje a los tenedores de apuestas estableciendo y manteniendo niveles apropiados de coordinacin , comunicacin y enlace para asegurar que estn involucrados en el programa /proyecto 3. Cuantifique la efectividad de compromiso stakeholder y tome acciones de indemnizacin segn se requiera
64
4. Analice intereses stakeholders y requisitos
BAI01.04
1. Defina y documente el programa el plan cubriendo todos los proyectos, incluyendo lo que es necesario para traer acerca de cambios para la empresa; Su imagen, productos y servicios; El negocio va en procesin; Las habilidades de personas y los nmeros; Las relaciones con tenedores de apuestas, clientes, proveedores y los otros; Las necesidades de tecnologa; Y administrativo reestructurar requiri lograr los esperados resultados de la empresa del programa.
2. Especifique habilidades y recursos requeridos para ejecutar el proyecto, incluyendo a administradores de proyecto y proyecte parejas as como tambin recursos comerciales. Especifique financiacin, cueste, programe e interdependencias de proyectos mltiples. Especifique la base para adquirir y asignando miembros de la administracin competentes y / o los contratistas a los proyectos. Defina los papeles y las responsabilidades para todos los miembros del equipo y otras partes interesadas. 3. Asigne responsabilidad claramente y sin ambigedades para cada proyecto , incluyendo logrando los beneficios , controlando los costos , manejando el riesgo y coordinacin las actividades de proyecto 4. Asegure que hay comunicacin efectiva de programa planifica e informes sobre la marcha en medio de todos los proyectos y con el programa. global asegure que cualquier cambios hicieron para los planes individuales est reflejado en la otra empresa que el programa planifica 5. Mantenga el plan de programa para asegurar que trae entre manos fechar y reflexiona alineacin con objetivos estratgicos actuales, progreso real y las alteraciones sustanciales para los resultados, los beneficios, los costos y el riesgo. Haga el negocio conducir los objetivos y las prioridades el trabajo de completamente para asegurar que el programa tan diseado encontrarn requisitos de la empresa. El progreso retrospectivo de individuo proyecta y ajustan los proyectos tan necesarios para encontrar liberaciones programadas de hitos. 6. Actualice y mantenga a todo lo largo de la vida econmica del programa que el caso comercial y un registro de beneficios a identificar y definir teclean beneficios proviniendo de emprendiendo el programa 7. Prepare un presupuesto de programa que refleja lo lleno el ciclo biolgico econmico cuesta y los asociados beneficios financieros y no financieros
BAI01.05
1. El plan , el recurso y la comisin los proyectos necesarios requirieron lograr el programa resulta , basaron al financiar revisin y aprobaciones en cada revisin de la portilla de etapa 2. Establezca de acuerdo en las etapas del proceso de desarrollo (los puntos de inspeccin de desarrollo). Al final de cada etapa, facilite debates formales de criterios aprobados con los stakeholders despus de la terminacin exitosa de funcionabilidad, actuacin y revisiones de calidad, y antes de actividades de etapa que da los ltimos toques a, obtenga aprobacin formal y el cierre de emisin de todos los tenedores de apuestas y el patrocinador /negocio procesan al dueo. 3. Emprenda un proceso de realizacin de beneficios a todo lo largo del programa a asegurar que los planificados beneficios siempre tienen dueos y tiene probabilidad de ser logrado, sostenido y optimizado. El monitor beneficia entrega e informe en contra de blancos de actuacin en las revisiones de etapa de la portilla o de iteracin y de liberacin. Realice anlisis de causa de fondo para desviaciones del plan e identifique y ocpese de cualquier accin de indemnizacin necesaria.
65
4. Administre cada programa o el proyecto para asegurar esa toma de decisiones y las actividades de la entrega son canalizados a valor logrando beneficios para el negocio y las metas en una manera coherente , ocupndose de riesgo y logrando requisitos del tenedor de apuestas 5.. Establezca oficina de la gerencia de programa /proyecto (s) y el plan revisa cuentas , revisiones de calidad , revisiones la portilla - fase /etapa y revisiones de beneficios de los que se dio cuenta
BAI01.06
1. Monitoree y controle la actuacin del programa global y los proyectos dentro del programa, incluyendo contribuciones del negocio y TI a los proyectos, y reporte en una moda oportuna, completa y precisa. La informacin puede incluir la satisfaccin de horario, de financiacin, de funcionabilidad, del usuario, los controles internos y la aceptacin de responsabilidades. Las expectativas de rentabilidad de inversin 2. Monitoree y controle actuacin en contra de las estrategias de empresa y TI y las metas , y d parte a la gerencia en empresa que los cambios implementaron , se beneficia dado cuenta de en contra del plan de realizacin de beneficios , y la suficiencia del proceso de realizacin de beneficios 3. Monitoree y controle servicios TI, activos y recursos creados o cambi como resultado de la implementacin de la nota de programa. E informe de fechas. a cargo de la empresa para gerencia en niveles de actuacin , sostuvo entrega de servicio y contribucin para apreciar 4. Administre actuacin de programa en contra de los criterios cruciales (ej. El alcance , el horario , la calidad , la realizacin de beneficios , los costos , el riesgo , la velocidad) , identifique desviaciones del plan y tome accin de indemnizacin oportuna en caso de necesidad 5. Monitoree actuacin de proyecto individual relacionar con entrega de las esperadas capacidades, horario, la realizacin de beneficios, los costos, el riesgo u otra mtrica para identificar potencial afecta en toma de actuacin. de programa accin de indemnizacin oportuna en caso de necesidad 6. Actualice operacional eso los portafolios reflexionando cambia ese resultado del programa en lo pertinente eso portafolios de servicio , del activo o del recurso 7. Conforme la etapa la entrada , la liberacin o la iteracin revisa criterios , emprende revisiones a escribir una crnica del progreso del programa a fin de que la gerencia puede hacer decisiones de empuje /no de empuje o de ajuste y puede aprobar ms financiacin hasta la siguiente portilla de etapa , liberacin o iteracin
BAI01.07
1. Para crear una comprensin comn de alcance de proyecto en medio de tenedores de apuestas , provea para los tenedores de apuestas una declaracin real clara definiendo la naturaleza , el alcance y el beneficio de cada proyecto 2. Asegure que cada proyecto tiene uno o ms patrocinadores con suficiente autoridad para manejar ejecucin del proyecto dentro del programa del mono 3. Asegure que los patrocinadores y tenedores de apuestas cruciales dentro de la empresa y la tecnologa de la informacin estn de acuerdo adelante y aceptan los requisitos para el proyecto , incluyendo definicin de criterios de xito de proyecto (la aceptacin) y sealizadores cruciales (KPLs) de actuacin 4. Asegure que la definicin de proyecto describe los requisitos para una comunicacin de proyecto el plan que identifica comunicaciones internas y externas de proyecto 5. Con la aprobacin de tenedores de apuestas , mantenga la definicin de proyecto a todo lo largo del proyecto , reflexionando cambiando requisitos
66
6. Para rastrear la ejecucin de un proyecto , eche mecanismos del lugar como cliente habitual reportando y la portilla de etapa , la liberacin o la fase repasa en una manera oportuna con aprobacin apropiada
BAI01.08
1. Desarrolle un proyecto plan que provee la informacin para permitirle a la gerencia controlar progreso de proyecto progresivamente. El plan debera incluir detalles de proyecto entregable y los criterios de aceptacin, los requeridos recursos internos y externos y las responsabilidades, debera limpiar estructuras de falla de trabajo y paquetes de trabajo, estimaciones de recursos requeridos, plan /fases de hito /liberacin, teclee dependencias, e identificacin de una va crtica. 2. Mantenga el plan de proyecto y cualquier plan dependiente (ej. El plan de riesgo de plan, de calidad, beneficia plan de realizacin) para asegurar que traigan entre manos fechar y reflejar progreso real y alteraciones sustanciales aprobadas. 3. Asegure que hay comunicacin efectiva de proyecto planifica e informes sobre la marcha en medio de todos los proyectos y con el programa. global asegure que cualquier cambios hicieron para los planes individuales est reflejado en los otros planes 4 Determine las actividades , las interdependencias y la comunicacin y colaboracin requerida entre los proyectos mltiples dentro de un programa 5. Asegure que cada hito es acompaado por una revisin requeridora entregable significativa y un cierre de emisin 6. Establezco una lnea de fondo de proyecto (ej., cueste, programe, alcance, calidad) que el sistema intermedio apropiadamente revis, aprob el operador booleano and se incorpor en el plan integrado de proyecto.
BAI01.09
1. Identifique tareas de seguridad y las prcticas requirieron soportar la acreditacin de sistemas nuevos o modificados durante el programa y la planificacin de proyecto, e incluirlas en los planes. integrados asegure que las tareas proveen a la seguridad que los controles internos y las soluciones prendarias encuentran los requisitos definidos 2. Para proveer comprobacin de calidad para el proyecto de liberables , identifique propiedad y responsabilidades , procesos de revisin de calidad , criterios de xito y mtrica de actuacin 3. Defina cualquier requisitos para la verificacin y validacin independiente de la calidad de de liberables en el plan 4. Desempee actividades de comprobacin de calidad y de control de conformidad con el plan de administracin de calidad y QMS
BAI01.10.
1. Establezco un acercamiento de administracin de riesgos de proyecto formal aliado con el armazn. de MAC asegure que el acercamiento incluye a identificar , analizar , responder para , mitigar , monitorear y controlar riesgo 2. Asigne para el personal apropiadamente experto la responsabilidad para ejecutar el proceso de administracin de riesgos de proyecto de la empresa dentro de un proyecto y asegurar que esto est incorporado en el desarrollo de solucin practique. considere asignarle este papel a un equipo independiente , especialmente si un punto de vista objetivo es requerido o un proyecto es considerado crtico 3. Realice la valoracin de riesgo de un proyecto de identificar y cuantificando riesgo continuamente a todo lo largo del proyecto. Administre y comunique riesgo apropiadamente dentro de la estructura de gobierno de proyecto
67
4. Reconsidere riesgo de proyecto peridicamente , incluyendo en la iniciacin de cada fase principal de proyecto y como parte de valoraciones principales de peticin de cambio 5. Identifique a los dueos para acciones para evitar , aceptar o mitigar riesgo 6. - Mantenga y revise un registro de riesgo de proyecto de todo riesgo potencial de proyecto, y un leo de mitigacin de riesgo de todos los asuntos de proyecto y su resolucin. analiza el leo peridicamente para las tendencias y los problemas para recurrentes para asegurar que las causas de fondo son corregidas
BAI01.11
1. Establezca y use un set de criterios de proyecto incluyendo , pero no limitado para , el alcance , el horario , la calidad , el costo y ras con ras de riesgo 2. La actuacin de proyecto de medida en contra de los criterios cruciales de actuacin de proyecto. Analice desviaciones de criterios cruciales establecidos de actuacin de proyecto por motivo justificado , y evale positivo y efectos negativos en el programa y sus proyectos componentes 3. Reprtese a los stakeholders identificado, proyectan progreso dentro del programa , desviaciones de criterios cruciales establecidos de actuacin de proyecto , y los potenciales efectos positivos y negativos en el programa y sus proyectos componentes 4. Los cambios del monitor para el programa y la retrospectiva clave existente proyectan criterios de actuacin para determinar si todava representan medidas vlidas de progreso 5. Documntele y envele cualquier cambios necesarios a los tenedores de apuestas cruciales del programa para su aprobacin antes de la adopcin. Comunique criterios revisados para proyectar a los gerentes para el uso en los informes de rendimiento futuros 6. Recomiende y monitoree accin de indemnizacin , en caso de necesidad , en conformidad con el programa y armazn de gobierno de proyecto 7. Obtenga aprobacin y cierre de emisin en lo entregable producido en cada iteracin , liberacin o la fase de proyecto de usuarios y gerentes llamados en el negocio afectado y las funciones de tecnologa de la informacin 8. Base el proceso de aprobacin en los criterios de aceptacin claramente definidos en los que se convino por tenedores de apuestas cruciales antes de surtir efecto comenzando en la fase de proyecto o la iteracin entregable 9. Evale el proyecto en portillas principales de etapa convenida , liberaciones o iteraciones y formalice las decisiones de empuje de empuje /no basadas de adelante predeterminaron criterios crticos de xito 10. Establezca y maneje un sistema de control de cambio para el proyecto tan todos los cambios para la lnea de fondo de proyecto (ej. El costo , el horario , el alcance , la calidad) es apropiadamente revisado , aprobado y es incorporado en el plan integrado de proyecto en conformidad con el programa y proyecta armazn de gobierno
BAI01.12.
1. Identifique negocio y las necesidades del recurso de tecnologa de la informacin para el proyecto y claramente el mapa asignan papeles y responsabilidades , con escalamiento y las autoridades de tomas de decisiones estuvieron de acuerdo adelante y entendieron
68
2. Identifique habilidades requeridas y requisitos de tiempo para todos los individuos que el proyecto pone en fase en la relacin los papeles definidos. Provea de personal los papeles basados en informacin disponible de habilidades (ej., La matriz de habilidades de tecnologa de la informacin). 3. Utilice recursos de administracin del proyecto experimentada y del jefe de equipo con habilidades apropiadas para el tamao, la complejidad y el riesgo del proyecto. 4. Considere y claramente defina los papeles y las responsabilidades de otras fiestas complejas , otras finanzas inclusivas , legal , otra adquisicin , RH , auditora privada y otra conformidad 5. Claramente defina y convenga en la responsabilidad para la adquisicin y la gerencia de servicios y productos de terceros , y maneje las relaciones 6. Identifquele y autoric la ejecucin del trabajo segn el plan de proyecto 7. Identifique aberturas de plan de proyecto y provale la informacin retroactiva al administrador de proyecto remediar
BAI01.13
1. Defina y aplique pasos cruciales para el cierre de proyecto , incluyendo revisiones de post-implementacin que evalan ya sea un proyecto resultados deseados logrados y beneficios 2. Planifique y ejecute revisiones de pos-implementacin para determinar si los proyectos dieron esperado beneficios y mejorar la administracin del proyecto y el desarrollo de sistema tramitan metodologa 3. Identifique , asigne , comunique y rastree cualquier actividades incompletas requeridas para lograr planificados resultados de proyecto de programa y beneficios 4. Regularmente, y en la terminacin del proyecto, recolecte de los participantes de proyecte las lecciones aprendieron. Revselos y las actividades cruciales que condujeron y dieron beneficios y valor. Analice los datos y haga recomendaciones para mejorar el mtodo de proyecto actual as como tambin de administracin del proyecto para los proyectos futuros. 5. Lograr aceptacin del stakeholders de la propiedad de proyecto deliberarlos y de reembarque.
BAI01.14
1. Elaborar el programa para un cierre ordenado , incluyendo aprobacin formal , dispersin de la organizacin de programa y soportando funcin , validacin de delibrales y la comunicacin de jubilacin 2. Revise y documente lecciones aprendidas. Una vez que el programa es retirado , remuvalo de la cartera de inversiones en ejecucin 3. Ponga responsabilidad y procesos en el lugar a asegurar que la empresa contina para el valor del optimice del servicio, activo o recursos. Las inversiones adicionales pueden ser requeridas en algunos el tiempo futuro para asegurar que sta ocurre
BAI02
BAI02.01
1. Definir y aplicar una definicin de los requisitos y el procedimiento de mantenimiento y un repositorio de requisitos que son apropiados para el tamao, complejidad, objetivos y riesgos de la iniciativa que la empresa se considerando empresa.
69
2. Requerimientos expresos de negocios en trminos de cmo la brecha entre las capacidades de negocio actual y el deseado es necesario abordar y cmo un papel va a interactuar con y utilizar la solucin. 3. En todo el proyecto, obtener, verificar y confirmar que todas necesidades de los interesados, incluyendo criterios pertinentes de admisin, se consideran, capturado, prioridad y se registran en una forma que sea comprensible para los interesados, empresas patrocinadoras y personal tcnico de aplicacin, reconociendo que los requisitos pueden cambiar y ser ms detallada a medida que se implementan. 4. Especificar y priorizar la informacin, los requisitos funcionales y tcnicas basadas en las necesidades de los interesados confirmados. Incluye los requisitos de informacin de control en los procesos de negocio, procesos automatizados y los entornos de TI para hacer frente a los riesgos de la informacin y cumplir con las leyes, reglamentos y contratos comerciales. 5. validar todos los requerimientos a travs enfoques como una revisin, validacin de modelos o prototipos operativos. 6. Confirmar la aceptacin de los aspectos clave de los requisitos, incluidas las normas de la empresa, los controles de la informacin, continuidad del negocio, cumplimiento legal y reglamentario, adaptabilidad, la ergonoma, operabilidad y facilidad de uso, seguridad y documentacin de apoyo. 7. mbito de aplicacin y controlar, requisitos y cambios a travs del ciclo de vida de la solucin en todo el proyecto como la comprensin de la solucin evoluciona. 8. Tenga en cuenta los requisitos relativos a las polticas de empresa y los estndares, arquitectura empresarial, estratgicas y tcticas que tiene previsto, en la casa y de terceros de negocios y procesos de TI, los requisitos de seguridad, los requisitos reglamentarios, las competencias de las personas, estructura organizacional, de casos de negocios y la tecnologa que permite.
BAI02.02
1. Definir y ejecutar un estudio de viabilidad, el piloto o la solucin bsica de trabajo que de manera clara y concisa describe las soluciones alternativas que satisfagan los requerimientos de negocio y funcional. Incluya una evaluacin de su viabilidad tecnolgica y econmica. 2. Determinar las medidas necesarias solucin para la adquisicin o de desarrollo basado en la arquitectura de la empresa, y tener en cuenta alcance y / o tiempo y / o las limitaciones presupuestarias. 3. Revise las alternativas de solucin con todos los interesados y seleccionar el ms apropiado basado en criterios de factibilidad, incluyendo el riesgo y costo. 4. Traducir el curso de accin preferido en un alto nivel de adquisicin / plan de desarrollo identificacin de recursos para utilizar y etapas que requieran un una decisin o no decisin.
BAI02.03
1. Involucrar a las partes interesadas para crear una lista de la potencial calidad, los requisitos funcionales y tcnicos y de riesgo relacionado con el procesamiento de la informacin (debido, por ejemplo, la falta de participacin de los usuarios, las expectativas poco realistas, los desarrolladores agregar funcionalidades innecesarias). 2. Analizar y priorizar las necesidades de riesgo de acuerdo a la probabilidad e impacto. En su caso, determine el presupuesto y los impactos de horario. 3. Identificar las formas de controlar, evitar o mitigar el riesgo de los requisitos en orden de prioridad.
BAI02.04
70
1. Asegrese de que el patrocinador del negocio o propietario de un producto toma la decisin final con respecto a la eleccin del mtodo de adquisicin solucin, y el diseo de alto nivel, de acuerdo con el modelo de negocio. Coordinar a las partes interesadas afectadas y obtener el cierre de sesin de las autoridades apropiadas de negocios y tcnicos (por ejemplo, el propietario de procesos de negocios, arquitecto de la empresa, gerente de operaciones, seguridad) para el enfoque propuesto. 2. Obtener estudios sobre la calidad en todo, y al final de, cada etapa clave del proyecto, iteracin o aptitud para evaluar los resultados en contra de la aceptacin de original criterios. ha patrocinadores empresariales y otros interesados firmen en cada revisin de la calidad con xito
BAI06
BAI06.01
1. el uso el cambio formal pide permitirle dueos comerciales de proceso y tecnologa de la informacin pedir cambios para el proceso comercial, la infraestructura, los sistemas o las aplicaciones. Asegrese tan todo tales cambios surgen slo a travs del proceso administrativo de peticin de cambio. 2. el #ategorise todo pidi cambios (e.g., proceso comercial, infraestructura, manejando sistemas, se conecte, sistemas aplicativos, purchase/package la aplicacin) y relaciona artculos afectados de configuracin. 3. dar prioridad a todo pidi cambios basados en los requisitos comerciales y tcnicos, recursos requeridos, y las razones legales, reguladoras y contractuales para el cambio pedido.
4. planifique y evale todas las peticiones en una moda estructurada. incluya un anlisis de impacto en el proceso comercial, la infraestructura, los sistemas y las aplicaciones, los planes comerciales (bcps) de continuidad y los pases proveedores de servicios para asegurar que todos los componentes afectados han sido identificados. evale la probabilidad de adversamente afectando el ambiente operacional y el riesgo de implementando el cambio. considere implicaciones prendarias, legales, contractuales de conformidad y del cambio pedido. considere tambin interdependencias en medio de los cambios. involucre a dueos comerciales de proceso en el proceso de valoracin, segn el caso. 5. formalmente apruebe cada cambio por dueos comerciales de proceso, jefes de servicio y tecnologa de la informacin tenedores de apuestas tcnicos, segn el caso. los cambios que son de poco riesgo y relativamente frecuentan deberan ser pre-aprobados como el estndar cambia. 6. el plan y el horario todo aprobaron cambios. 7. considere el impacto de proveedores contractos de servicios (e.g., de subcontratada infraestructura comercial y procesadora,, el desarrollo aplicativo y los servicios compartidos) en la gerencia de cambio van en procesin, incluyendo integracin de procesos administrativos de cambio con procesos administrativos de cambio de pases proveedores de servicios y el impacto en lo slas y trminos contractuales.
BAI06.02
1. asegure que un procedimiento documentado existe declarar, evaluar, dar a la aprobacin preliminar, autorizar despus del cambio y registrar un cambio de emergencia. 2. el 6erify que todos los acomodamientos de acceso de emergencia para los cambios son appropriately authorised, el operador booleano and documentado abolido despus de que el cambio haya sido aplicado.
71
3. monitoree todo lo que los cambios de emergencia, y la post-implementacin de conducta revisan envolvente todas las fiestas concernidas. la revisin debera considerar y las medidas correctivas del iniciado basaron en las causas de fondo como los problemas con proceso comercial, desarrollo aplicativo de sistema y mantenimiento, desarrollo y ambientes experimentales, documentacin y manuales, e integridad de los datos. 4. defina lo que constituye un cambio de emergencia.
BAI06.03
1. El cambio del #ategorise pide indiana el proceso rastreador (e.g., denegado, aprobado sino no an operador booleano and iniciado, aprobado en proceso, operador booleano and cerrado). 2. implemente informes de situacin de cambio con mtrica de actuacin para permitir revisin administrativa y monitoreando de ambos el estatus detallado de cambios y el estado global (e.g., el anlisis de vencimientos de cambio pide). asegure que los informes de situacin forman una pista de auditora tanto cambia subsiguientemente puede ser rastreado de principio para la disposicin eventual. 3. el claro del monitor cambia para asegurar que todos los cambios aprobados estn cerrados en una moda oportuna, a merced de la prioridad. 4. Mantenga un rastreo y un sistema ponente para todas las peticiones de cambio.
BAI06.04
1. incluya cambios a la documentacin (e.g., el negocio y la tecnologa de la informacin los procedimientos operacionales, la continuidad comercial y la documentacin de recuperacin de desastre, la informacin de configuracin, la documentacin aplicativa, las pantallas de ayuda, y entrenando materiales) dentro del procedimiento de la gerencia de cambio como una parte integral del cambio. 2. defina un perodo de retencin apropiado para la documentacin de cambio de la documentacin y de post-cambio de sistema y del usuario. 3. la documentacin del 3ubject para el mismo nivel de revisin como el cambio real.
DSS01
DSS01.01
1. Desarrollar y mantener los procedimientos operativos y apoyo a las actividades relacionadas con los servicios prestados. 2. Mantener un calendario de las actividades operacionales, realizar las actividades y la gestin del rendimiento y del rendimiento de las actividades programadas. 3. Compruebe que todos los datos previstos para su elaboracin son recibidas y procesadas por completo, con exactitud y en forma oportuna. Generan resultados fijarn con requisitos de la empresa. Apoyo reiniciar y reprocesamiento necesidades. Asegurar que los usuarios estn recibiendo el derecho los resultados en una forma segura y oportuna. 4. Garantizar que las normas aplicables en materia de seguridad se han reunido para la recepcin, procesamiento, almacenamiento y salida de datos de manera que se cumplan los objetivos de las empresas de seguridad y los requisitos normativos 5. Horario y copias de seguridad de registro de conformidad con las polticas y procedimientos establecidos.
72
DSS01.02
1. Asegurarse de que las necesidades de la empresa para la seguridad de los procesos de la informacin se respete en conformidad con los contratos y los contratos con terceros hosting o prestar servicios. 2.Asegurarse de que la actividad de explotacin de la empresa y requisitos para el procesamiento y las prioridades para la prestacin de servicios estn adheridas a de acuerdo con los contratos y los contratos con terceros hosting o prestar servicios. 3. Integrar interna crtica que los procesos de gestin con los proveedores de servicios de internalizacin, que abarcan, por ejemplo, rendimiento y capacidad de planificacin, la gestin del cambio, gestin de la configuracin, solicitud de servicio y administracin de incidentes, problemas de gestin, gestin de la seguridad, continuidad de los negocios, y el seguimiento del proceso y la presentacin de informes. 4. Plan de auditora independiente y garanta de los entornos operativos de los proveedores externos para confirmar que de acuerdo a los requisitos son tratados adecuadamente.
DSS01.03
1. Registrar eventos, identificando el nivel de informacin que se asientan sobre la base de una consideracin del riesgo y el rendimiento. 2. Identificar y mantener una lista de los activos de infraestructura que deben ser controlados basados en criticidad servicio y la relacin entre elementos de configuracin y los servicios que dependen de ellos. 3. Definir y aplicar reglas que identifiquen y registren las infracciones y las condiciones para el evento. Encontrar un equilibrio entre la produccin y eventos menores falsos hechos significativos para registros de eventos que no estn sobrecargados con informacin innecesaria. 4. Elaborar registros de eventos y mantenerlas durante un periodo adecuado para ayudar en futuras investigaciones. 5. Establecer procedimientos de monitorizacin de registros y revisiones peridicas. 6. Asegurar que ese incidente los boletos no son creados de manera oportuna cuando vigilancia identifica las desviaciones con respecto a los umbrales definidos.
DSS01.04
1. Identificar naturales y desastres provocados por el hombre que podran ocurrir en el rea en la que los que se ubican las instalaciones. Evaluar el efecto potencial de las instalaciones de tecnologa. 2. Identificar qu equipos, incluidos los servicios mviles y equipos fuera de las instalaciones, estn protegidos contra las amenazas ambientales. Asegurarse de que los lmites de la pliza o excluye el comer, beber y fumar en las reas sensibles, y prohbe el almacenamiento de material de papelera y otros suministros presentando un riesgo de incendio en las salas de ordenadores. 3. Situar y construir instalaciones para minimizar y mitigar susceptibilidad ante las amenazas medioambientales. 4. Supervisar peridicamente y mantener los dispositivos que detectar de manera proactiva las amenazas ambientales (por ejemplo, fuego, agua, humo, humedad). 5. Responder a las alarmas ambientales y otras notificaciones. Documento y procedimientos de ensayo, el cual debera incluir prioridades de alarmas y el contacto con las autoridades de respuesta de emergencia locales y capacitar a personal en estos procedimientos.
73
6. Comparar las medidas y planes de contingencia contra pliza de seguros requisitos y reportar los resultados. Abordar los puntos de incumplimiento en el momento oportuno. 7. Asegurarse de que los sitios estn construidos y diseados para minimizar el impacto de riesgos ambientales (por ejemplo, por robo, aire, fuego, el humo, el agua, la vibracin, el terror, el vandalismo, Sustancias qumicas, explosivos) .considerar comunes9 las zonas de seguridad y /o ignifugaos clulas (por ej., la produccin y desarrollo cisco/servidores de distancia unos de otros) 8. Mantener los sitios y las salas de servidores limpia y en condiciones seguras en todo momento (es decir, sin ensuciar, el papel o cajas de cartn, no llena cubos de basura, no productos qumicos inflamables o materiales).
DSS01.05
1. Examinar el requisito de que las instalaciones de proteccin contra las fluctuaciones de energa y apagones, en conjuncin con otros requisitos de planificacin de continuidad. Adquirir equipos de abastecimiento ininterrumpible (Por ejemplo las pilas, generadores) adecuados para apoyar planes de continuidad operacional. 2. Prueba con regularidad la fuente de alimentacin ininterrumpible de mecanismos, y asegurar que la energa pueda ser transferido a la oferta sin producir ningn efecto significativo en las operaciones empresariales. 3. Garantizar que las instalaciones donde se ubica el rea de los sistemas tenga ms de una fuente de utilidades dependiente (p. ej., de energa, telecomunicaciones, agua, gas). La entrada fsica de cada utilidad separada. 4. Confirmar el cableado externo al que se encuentra bajo tierra o tiene adecuada proteccin. Determinar que cableado dentro de dicho sitio est contenido dentro de conductos restringidos, y cajas de conexionado tienen acceso restringido al personal autorizado. Proteger adecuadamente cableado contra los daos causados por el fuego, el humo, el agua, la intercepcin y la injerencia. 5. Cableado y garantizar que parcheo fsica (datos y telfono) estn estructurados y organizados. Cableado y conducto las estructuras deben estar documentados (ejemplo, plan de consolidacin y diagramas de cableado). 6.Analizar las instalaciones de sistemas de vivienda de alta disponibilidad para redundancia y fail-over cable requisitos (externa e interna) 7.Asegurarse de que universidades y centros de TI estn en cumplimiento en curso con la legislacin sobre salud y seguridad, de reglamentos, directrices, y especificaciones del fabricante. 8. Educar al personal de forma peridica sobre la salud y la seguridad las leyes, reglamentos y directrices pertinentes. Educar al personal de bomberos y rescate para asegurar los conocimientos y las medidas adoptadas en caso de incendio o de incidentes similares. 9. Registrar, controlar, gestionar y resolver incidentes instalaciones en lnea con el proceso de administracin de incidentes. Realizar informes disponibles sobre instalaciones incidentes en los que es necesaria la informacin en trminos de las leyes y reglamentos. 10.Asegurarse de que los espacios y equipo de TI se mantienen de acuerdo a los intervalos de servicio y especificaciones de los proveedores. El mantenimiento debe realizarse slo por personal autorizado. 11. Analizar modificaciones fsicas, sitios o lugares para evaluar los riesgos ambientales (p. ej., los incendios o daos causados por el agua). Informan de los resultados de este anlisis de continuidad de negocio y gestin de las instalaciones.
74
DSS02
DSS02.01
1. Definir incidente y solicitud de servicio planes de clasificacin y determinacin de prioridades y criterios para la solucin de registro, que se apliquen enfoques coherentes para la manipulacin, informando a los usuarios acerca de y realizar anlisis de tendencias. 2. Definir modelos incidente de errores conocidos para facilitar una eficiente y eficaz de resolucin. 3. Solicitud de servicio definir modelos segn solicitud de servicio tipo para habilitar la autoayuda y eficiente servicio estndar de solicitudes. 4. Definir incidente escalada normas y procedimientos, especialmente para casos de accidentes e incidentes de seguridad 5. Definir incidente y solicitarn fuentes de conocimiento y su utilizacin
DSS02.02
2. Registrar todas las solicitudes de servicio e incidentes, registrar toda la informacin pertinente para que puedan ser aprovechados y un completo registro histrico puede ser mantenida. 3. Para poder analizar las tendencias, clasificar las solicitudes de servicio e incidentes de identificacin del tipo y categora.
4. Priorizar las solicitudes de servicio e incidentes basada en SLA definicin del servicio de impacto en la empresa y la urgencia.
DSS02.03
1.- Comprobar el derecho para las solicitudes de servicio utilizando, cuando sea posible, un flujo de proceso predefinido y cambios estndar. 2.- Acceder a la financiacin y funcionalidad aprobacin si requiere predefinidos para las aprobaciones expedido favorablemente en estndar cambios 3.- Obtener aprobacin financieras y funcionales si requiere predefinidos para expedido favorablemente las aprobaciones de los cambios en estndar
DSS02.04
1. Identificar y describir los sntomas para establecer las causas ms probables de los incidentes. Referencia conocimientos disponibles funcionario auxiliar (incluyendo errores conocidos y problemas) para identificar las posibles resoluciones incidentes (soluciones temporales y/o soluciones permanentes) 2. Si un problema relacionado o error conocido ya no existe y si el incidente cumple criterios acordados para problema registro, registro un nuevo problema. 3. Asignar funciones a los especialistas incidentes ms profundo si se necesitan conocimientos especializados, y activar el nivel adecuado de gestin, en caso de ser necesario
DSS02.05
1. Seleccionar y aplicar las resoluciones ms apropiadas al incidente 2. Graba y organiza las soluciones que fueron utilizados para la resolucin de incidentes
75
3. Realizar acciones de recuperacin, si es necesario 4. Documente los incidentes y la resolucin para evaluar si la resolucin puede ser utilizado en un futuro.
DSS02.06
1. Compruebe con el afectado (si as se acuerda en) que la solicitud de servicio ha sido satisfactorio cumplido o el incidente ha sido resueltas de forma satisfactoria. 2. Cerrar las solicitudes de servicio e incidentes.
DSS02.07
1. Vigilar y rastrear incidente escaladas y resoluciones, y pedir los procedimientos de manipulacin para avanzar hacia una solucin o conclusin. 2. Identificar la informacin interesados y sus necesidades de datos o informes. Identificar informacin La frecuencia y medio. 3. Analizar los incidentes y las solicitudes de servicio por categora y tipo de tendencias e identificar patrones de las cuestiones recurrentes, SLA las infracciones o las ineficiencias. Utilizar la informacin como contribucin a la mejora contina planificacin. 4. Producir y distribuir informes oportunos o proporcionar un acceso controlado a los datos en lnea.
DSS03
DSS03.01
1. Identificar los problemas a travs de la correlacin de los informes de incidentes, registros de errores y otros recursos de identificacin del problema. Determinar los niveles de prioridad y categorizacin para abordar los problemas de manera oportuna sobre la base de riesgo del negocio y la definicin de servicio. 2. Manejar todos los problemas formalmente con el acceso a todos los datos relevantes, incluida la informacin del sistema de gestin del cambio y configuracin de TI / activos y detalles del incidente. 3. Definir los grupos de apoyo adecuados para ayudar en la identificacin de problemas, anlisis de causa raz y determinacin para apoyar la solucin de problemas gestin. Determinar los grupos de apoyo basados en categoras predefinidas, tales como hardware, red, software, aplicaciones y software de apoyo. 4. Definir los niveles de prioridad a travs de consultas con la empresa para asegurarse de que la identificacin de problemas y anlisis de las causas se tratan de manera oportuna forma de acuerdo con los SLAs acordados en el. Los niveles de base prioritarios de impacto en el negocio y la urgencia. 5. Informar sobre el estado de los problemas identificados en el centro de servicio para que los clientes y la gestin de TI puede estar informado. 6. Mantener un catlogo de problemas de gestin nica para registrar y reportar los problemas identificados y establecer pistas de auditora de la gestin de problemas procesos, incluyendo el estado de cada problema (es decir, abrir, abrir de nuevo, en curso o cerrada).
DSS03.02
76
1. Identificar los problemas que pueden ser conocidos los errores mediante la comparacin de datos de incidentes con la base de datos de errores conocidos y sospechosos (por ejemplo, los comunicados por los proveedores externos) y la clasificacin de los problemas como un error conocido. 2. Asociar los elementos de configuracin afectados por el error sealado/conocido 3. Elaboracin de informes para comunicar los avances en la resolucin de problemas y controlar el impacto continuo de los problemas no resueltos. Supervisar el estado del proceso de manejo de problemas a lo largo de su ciclo de vida, incluyendo el aporte de gestin de cambios y configuracin.
DSS03.03
1. Tan pronto como las causas de los problemas se identifican, crear registros de error conocido, y desarrollar una solucin adecuada. 2. Identificar, evaluar, priorizar y procesar (a travs de la gestin del cambio) las soluciones a los errores conocidos sobre la base de un modelo de negocio de costo-beneficio y el impacto en el negocio y la urgencia.
DSS03.04
1. Cierre los registros de problemas ya sea despus de la confirmacin de la eliminacin exitosa del error conocido o despus de un acuerdo con la empresa sobre cmo manejar el problema como alternativa. 2. Informar a la oficina de servicio del programa de cierre de problema, por ejemplo, el horario para la fijacin de los errores conocidos, la posible solucin o el hecho de que el problema se mantendr hasta que el cambio se lleva a cabo, y las consecuencias del enfoque adoptado. Mantener a los usuarios afectados y clientes potenciales informados segn corresponda. 3. A lo largo del proceso de resolucin, obtener informes peridicos de gestin del cambio sobre los avances en la resolucin de problemas y errores. 4. Monitorear el impacto continuo de los problemas y errores conocidos en los servicios. 5. Revisar y confirmar el XITO de las resoluciones de los principales problemas 6. Asegrese de que el conocimiento aprendido de la revisin se incorpora a una reunin de revisin del servicio con el cliente de negocios.
DSS03.05
1. Captura de informacin del problema relacionado con los cambios de TI y los incidentes y la comunicar a los interesados clave. Esta comunicacin podra adoptar la forma de informes y reuniones peridicas a entre incidentes, problemas, cambios y los propietarios de configuracin de gestin de procesos para examinar los problemas recientes y las posibles acciones correctivas. 2. Asegrese de que los dueos de procesos y gerentes de incidentes, problemas, cambios y configuracin se renen regularmente para discutir los problemas conocidos y los futuros cambios previstos. 3. Para permitir a la empresa para controlar los costos totales de los problemas, la captura de los esfuerzos de cambio que resultan de las actividades de los problemas de gestin de procesos (por ejemplo, las correcciones a los problemas y errores conocidos) e informar sobre ellos.
77
4. Elaborar informes de seguimiento de la resolucin de problemas en contra de los REQUISITOS de negocios y SLAs. Asegrese de que la escalada adecuada de los problemas, por ejemplo, la escalada a un nivel de gestin superior, conforme a los criterios convenidos, ponerse en contacto con proveedores externos, o se refieran a la junta el cambio de asesoramiento para aumentar la prioridad de una solicitud urgente de cambio (RFC) para implementar un temporal solucin. 5. Para optimizar el uso de los recursos y reducir soluciones, realizar un seguimiento de las tendencias problemticas. 6. Identificar e iniciar soluciones sostenibles (solucin permanente) que abordan la raz del problema, y elevar las solicitudes de cambio a travs de los procesos de gestin establecidos cambio.
DSS04
DSS04.01
1. Identificar los procesos de negocio internos y de terceros y actividades de servicios que son crticos son a las operaciones de la empresa o necesarios para cumplir con las obligaciones legales y / o contractual 2. Identificar los stakeholders, los roles y responsabilidades para definir y acordar la continuidad de la poltica y el alcance 3. Definir y documentar la cultura de acuerdo sobre los objetivos polticos mnimos y las posibilidades de continuidad del negocio y la necesidad de integrar la planificacin de la continuidad en la empresa 4. Identificar procesos esenciales en apoyo del negocio relacionados servicios de TI
DSS04.02
1. Elaboracin de supuestos que puedan dar lugar a hechos que podran tener incidentes importantes que interrumpen. 2. Llevar a cabo un anlisis del impacto empresarial para evaluar el impacto en el tiempo de una interrupcin de las funciones crticas del negocio y el efecto que una interrupcin podra tener en ellos. 3. Establecer el tiempo mnimo necesario para recuperar un proceso de negocio y el apoyo de TI basada en una distancia aceptable de la interrupcin del negocio y la corte de mxima tolerable. 4. Evaluar la probabilidad de las amenazas que podran causar la prdida de la continuidad del negocio e identificar las medidas que reduzcan la probabilidad y el impacto a travs de una mejor prevencin y una mayor capacidad de recuperacin 5. Analizar los requisitos de continuidad del negocio para identificar posibles opciones estratgicas y tcnicas. 6. Identificar los posibles escenarios que puedan dar lugar a acontecimientos que puedan tener importantes incidentes perturbadores 7. Determinar las condiciones y los propietarios de las decisiones clave que harn que la continuidad planeada se invoque 8. Identificar las necesidades de recursos y costos de cada opcin tcnica y estratgica y hacer recomendaciones estratgicas 9. Obtener la aprobacin del ejecutivo de negocios para determinadas opciones estratgicas.
DSS04.03
78
1. Definir las acciones de respuesta a incidentes y las comunicaciones que deben adoptarse en caso de interrupcin. Definir funciones y responsabilidades conexas, incluyendo la rendicin de cuentas y aplicacin de polticas. 2. Desarrollar y mantener los pasos fronterizos de operacin que contienen los procedimientos a seguir para permitir la operacin continua de los procesos de negocio crticos y / o temporales preparativos de procesamiento, incluyendo enlaces a los planes de los proveedores de servicios a terceros. 3. Asegrese de que los principales proveedores y socios subcontratados tienen planes efectivos de continuidad in-situ. Obtener evidencia de auditora segn sea necesario. 4. Definir las condiciones y procedimientos de recuperacin que permitan la reanudacin de los procesos de negocio, incluida la actualizacin y la reconciliacin de bases de datos de informacin para preservar la integridad de la informacin. 5. Definir y documentar los recursos necesarios para admitir el procedimiento de continuidad y recuperacin, teniendo en cuenta las personas, instalaciones y TI Infraestructura. 6. Definir y documentar los requisitos de copia de seguridad de informacin necesarios para apoyar los planes, incluyendo los planes y documentos en papel, as como archivos de datos, como considerar la necesidad de la seguridad y el almacenamiento fuera de la SIE 7. Determinar las habilidades requeridas para los individuos involucrados en la ejecucin del plan y los procedimientos. 8. Distribuir los planes y la documentacin de forma segura a las partes interesadas debidamente autorizados y asegurarse de que son accesibles en todos los escenarios de desastre.
DSS04.04
1. Definir los objetivos para el ejercicio y comprobacin de la empresa, tcnicos, logsticos, sistemas administrativos, de procedimiento y funcionamiento del plan para verificar la integridad del BCP en el riesgo de reunin de negocios. 2. Definir y acordar con los ejercicios de las partes interesadas que sean realistas, validar los procedimientos de continuidad, e incluyen las funciones y responsabilidades y los acuerdos de retencin de datos que causan la interrupcin mnima a los procesos de negocio. 3. Asignar funciones y responsabilidades para la realizacin de ejercicios y pruebas de continuidad del plan. 4. Programe ejercicios y actividades de prueba tal como se definen en el plan de continuidad. 5. Llevar a cabo una sesin informativa posterior a ejercicio y el anlisis para considerar el logro. 6. Desarrollar recomendaciones para mejorar el plan de continuidad del actual, basado en los resultados de la revisin.
DSS04.05
1. Revisar el plan de continuidad y la capacidad sobre una base regular en contra de cualquier hiptesis u objetivos de negocios actuales tanto operativos como estratgicos. 2. Considerar si una evaluacin impacto comercial revisada puede ser necesario, dependiendo de la naturaleza del cambio. 3. Recomendar y comunicar los cambios en las polticas, planes, procedimientos, infraestructura, y los roles y responsabilidades para la aprobacin de la administracin y el procesamiento a travs del proceso de gestin del cambio.
79
4. Revisar el plan de continuidad sobre una base regular para considerar el impacto de los cambios nuevos o mayores a: organizacin empresarial, los procesos de negocio, acuerdos de subcontratacin, tecnologas, infraestructura, sistemas operativos y sistemas de aplicacin.
DSS04.06
1. Definir y mantener los requisitos de formacin y los planes para los planes de continuidad desempeo, evaluaciones de impacto, las evaluaciones de riesgos, los medios de comunicacin y respuesta a incidentes. Asegrese de que los planes de formacin en cuenta la frecuencia del entrenamiento y los mecanismos de formacin de entrega. 2. Desarrollar las competencias sobre la base de la formacin prctica incluida la participacin en ejercicios y pruebas. 3. Monitorear las habilidades y competencias basadas en el ejercicio y resultados de la prueba.
DSS04.07
1. Copia de seguridad de sistemas, aplicaciones, datos y documentacin de acuerdo con un cronograma definido, teniendo en cuenta: Frecuencia (mensual, semanal, diaria, etc.) El modo de copia de seguridad (por ejemplo, la duplicacin de discos de copias de seguridad en tiempo real vs DVD-ROM para la retencin a largo plazo) Tipo de copia de seguridad (por ejemplo, llena vs incremental) Tipo de medio Automatizar las copias de seguridad de lnea Tipos de datos (por ejemplo, voz, ptico) Creacin de registros Crticos de los usuarios finales de datos informticos (por ejemplo, Hojas de clculo) Locacin fsica y lgica de las fuentes de datos Seguridad y derechos de acceso Cifrado 2. Asegrese de que los sistemas, aplicaciones, datos y documentacin mantenidos o procesados por terceros estn suficientemente apoyadas o aseguradas. Considere la posibilidad de exigir devolucin de las copias de seguridad de terceros. Considere la posibilidad de acuerdos de custodia o depsito. 3. Definir los requisitos para la in-situ y fuera del sitio de almacenamiento de datos de copia de seguridad que cumplan con los requerimientos del negocio. Tenga en cuenta la accesibilidad necesaria para realizar copias de seguridad de datos. 4. Extender la conciencia BCP y la formacin. 5. Peridicamente, probar y actualizar los datos archivados y de copia de seguridad.
DSS04.08
1. Evaluar el cumplimiento del BCP documentado. 2. Determinar la eficacia del plan, las capacidades de continuidad, las funciones y responsabilidades, habilidades y competencias, capacidad de recuperacin del incidente, la infraestructura tcnica, y las estructuras organizativas y las relaciones.
80
3. Identifique las debilidades u omisiones en el plan y las capacidades y hacer recomendaciones para la mejora. 4. Obtener la aprobacin de la gestin de cualquier cambio en el plan y solicitar a travs del proceso de la empresa de control de cambios.
DSS06
DSS06.01
1. Identificar y documentarlas actividades de control de procesos de negocio clave para satisfacerlos requisitos de control para los objetivos estratgicos, operativos, de informacin y el cumplimiento 2. 3. 4. 5. Dar prioridad a las actividades de control basadas en el riesgo inherente al negocio e identificarlos controles clave. Garantizar la propiedad de las actividades de control clave. Monitorear continuamente las actividades de control de extremo a extremo para identificar oportunidades de mejora. Mejorar continuamente el diseo y operacin de los controles de procesos de negocio.
DSS06.02
1. Crearlas transacciones por las personas autorizadas siguiendo los procedimientos establecidos, incluyendo, en su caso, adecuada segregacin de funciones con respecto al origen y la aprobacin de estas operaciones. 2. Autenticar el autor de las transacciones y comprobar que l / ella tiene la autoridad de origen de la transaccin. 3. Las transacciones de entrada de manera oportuna. Verificar que las transacciones sean exactas, completas y vlidas. Validar los datos de entrada y de corregir o, en su caso, enviar de vuelta para la correccin lo ms cerca posible del punto de origen como sea posible. 4. Datos correctos y reenviados que fueron errneamente ingresados, sin comprometer los originales con los niveles de autorizacin de la transaccin. Cuando proceda, para la reconstruccin, retener documentos originales por la cantidad adecuada de tiempo. 5. Mantener la integridad y validez de los datos durante todo el ciclo de procesamiento. Asegrese de que la deteccin de transacciones errneas no interrumpe el procesamiento de las transacciones vlidas. 6. Mantener la integridad de los datos durante las interrupciones inesperadas en el procesamiento de los negocios y confirmar la integridad de los datos despus de errores de procesamiento. 7. Manejar la salida en la forma autorizada, entregar al destinatario adecuado y proteger la informacin durante la transmisin. Verificarla exactitud e integridad de la salida. 8. Antes de pasar datos de las transacciones entre las aplicaciones internas y funciones de negocios/operaciones (dentro o fuera de la empresa), compruebe para tratar adecuada, la autenticidad del origen e integridad del contenido. Mantener la autenticidad e integridad en la transmisin o transporte.
DSS06.03
1. Asignar funciones y responsabilidades sobre la base de las descripciones de puestos aprobados y asignados actividades de procesos de negocio. 2. Asignar niveles de autoridad para la aprobacin de las transacciones, los lmites y cualesquiera otras decisiones relativas al proceso de negocio, basados en roles de trabajo aprobados.
81
3. Asignar los derechos de acceso y privilegios sobre la base de slo lo que se requiere para llevar a cabo actividades de trabajo, basados en roles de trabajo pre-definidos. Eliminar o modificar los derechos de acceso inmediato si los cambios de roles de trabajo o un miembro del personal abandona el rea de proceso de negocio. Revise peridicamente para asegurarse de que el acceso es adecuado para las actuales amenazas, el riesgo, la tecnologa y la necesidad de negocios. 4. Asignarlas funciones para las actividades sensibles, de modo que existe una clara segregacin defunciones.
5. Proporcionar sensibilizacin y capacitacin sobre las funciones y responsabilidades de forma regular para que todos entiendan sus responsabilidades, la importancia de los controles y la integridad, confidencialidad y privacidad de informacin de la compaa en todas sus formas. 6. Revisar peridicamente las definiciones de control de acceso, los registros e informes de excepcin para asegurar que todos los privilegios de acceso son vlidos y estn alineados con los funcionarios actuales y sus roles asignados.
DSS06.04
1. Definir y mantener procedimientos para asignar la propiedad, corregir errores, remplazar errores y manejarlas condiciones fuera de balance. 2. 3. 4. Errores de revisin, excepciones y desviaciones. Seguimiento, corregir, aprobar y volver a presentarlos documentos de origen y las transacciones. Mantenerla evidencia de las medidas correctivas.
5. Reporte de errores de proceso relevantes de negocio de la informacin en una manera oportuna analizar la causa de origen y el anlisis de tendencias.
DSS06.05
1. Definirlos requisitos de retencin, en base a los requerimientos del negocio, para cumplir con la informacin operativa, financiera y de cumplimiento de las necesidades. 2. 3. Capturar informacin de la fuente, las pruebas correspondientes y el registro de las transacciones. Deshgase de las fuentes de informacin, pruebas, as como el registro de las transacciones de acuerdo con la directiva de retencin.
DSS06.06.
1. Aplicarla clasificacin de datos, el uso aceptable, las polticas y procedimientos de seguridad para protegerlos activos de informacin bajo el control de la empresa. 2. 3. 4. 5. Proporcionar un conocimiento de uso aceptable y la formacin. Restringir el uso, la distribucin y el acceso fsico de la informacin de acuerdo a su clasificacin. Identificar e implementarlos procesos, herramientas y tcnicas para verificar el cumplimiento razonable. Informara las empresas y otras partes interesadas sobre violaciones y desviaciones.
MEA01
82
MEA01.01
1. Identificar las partes interesadas (por ejemplo, gestin, los proceso). 2. Comprometerse con las partes interesadas y comunicar los requisitos de la empresa y los objetivos para el monitoreo, las agregacin y la presentacin de informes, utilizando Definiciones comunes. 3. Alinear y continuamente la vigilancia y el enfoque de la evaluacin con el enfoque de la empresa y las herramientas que se utilizan para la recoleccin de datos y la informacin de la empresa. 4. Ponerse de acuerdo sobre las metas y mtricas (por ejemplo, la conformidad, rendimiento, valor, riesgo) la taxonoma (clasificacin y las relaciones) entre las metas. 5. Ponerse de acuerdo sobre un sistema de gestin del ciclo de vida y el proceso de cambio de control para supervisor e informar. Incluya las oportunidades de mejora para la presentacin. 6. Solicitud, priorizar y asignar recursos para la vigilancia (cuenta la idoneidad, eficiencia y confidencialidad). 7. Peridicamente validar el mtodo utilizado e identificar nuevas o modificadas las partes interesadas.
MEA01.02
1. Definir y revisar peridicamente con los interesados los objetivos y mtricas para identificar cualquier significativa falta definir la razonabilidad de los objetivos y las tolerancias. 2. Comunicar los cambios propuestos en los objetivos de rendimiento y de la conformidad y tolerancias (en relacin con mtricas) con actores
relevantes de la debida diligencia (por ejemplo, legal, auditora, recursos humanos, la tica, el cumplimiento, finanzas).
3. Publicar los objetivos cambiaron y las tolerancias para los usuarios de esta informacin. 4. Evaluar si las metas y las mtricas son adecuados, es decir, especficos, mensurables, realizables, pertinentes y de duracin
MEA01.03
1. Recopilar datos de procesos definidos automatizado, siempre que sea posible. 2. Evaluar la eficiencia (esfuerzo en relacin con la visin siempre) y la conveniencia (utilidad y el significado) y validar la integridad (exactitud e integridad) de los datos recogidos. 3. Los datos agregados para apoyar la medicin de los acordados en los indicadores.. 4. Alinear los datos agregados al enfoque de informes de la empresa y objetivos 5. Utilice las herramientas adecuadas y sistemas para el procesamiento y el formato de datos para el anlisis.
MEA01.04
1.Diseo de informes de desempeo de procesos que sean concisas y fciles de entender y adaptarse a las necesidades de gestin diferentes y el pblico. Facilitar la toma efectiva, toma de decisiones oportunas (por ejemplo, cuadros de mandos, informes de trfico de luz) y asegurarse de que la causa y efecto entre los objetivos y las mtricas se comunican de una manera comprensible.
83
2.Comparar los valores de rendimiento a los objetivos internos y puntos de referencia y, cuando sea posible, a los puntos de referencia externos (industria y los principales competidores). 3.Recomendar cambios a las metas y mtricas, en su caso. 4.Distribucin de informes a las partes interesadas. 5. Analizar la causa de las desviaciones en contra de blancos, iniciar las acciones correctivas, asignar responsabilidades para la rehabilitacin y el seguimiento. En el momento oportuno, revisar todas las desviaciones y la bsqueda de causas, cuando sea necesario. 6.Cuando sea posible, el logro de enlace de los objetivos de rendimiento en el sistema de recompensa de compensacin de la organizacin.
MEA01.05
1.Revisar respuestas de la administracin, las opciones y recomendaciones para abordar los problemas y desviaciones importantes 2.Asegrese de que la asignacin de responsabilidades para la accin correctiva se mantiene. 3.Sigue los resultados de las acciones cometidas. 4.Informar los resultados a las partes interesadas.
84
De acuerdo al anlisis anterior se proponen las siguientes recomendaciones
PROCESO
ACTIVIDAD
EDM01
EDM01.01
2. Determinar la importancia de las TI y su papel en relacin con el negocio. 5. Determinar las implicaciones del entorno empresarial global de control con respecto a ella. 6. Articular los principios que guiarn el diseo de la gobernanza y la toma de decisiones de TI. 7. Entender la empresa la toma de decisiones la cultura y determinar la ptima toma de decisiones modelo de TI. 8. Determinar los niveles apropiados de delegacin de autoridad, incluidas las normas de umbral, de las decisiones de TI.
EDM01.02
1. Comunicar la gobernanza de TI y de acuerdo con los principios de la gestin ejecutiva en la forma de establecer un liderazgo informado y comprometido. 2. Establecer o delegar el establecimiento de estructuras de gobierno, procesos y prcticas de acuerdo con las acordadas en los principios de diseo. 3. Asignar la responsabilidad, autoridad y rendicin de cuentas en consonancia con los principios de diseo-en el gobierno, los modelos de toma de decisiones y la delegacin. 4. Asegrese de que los mecanismos de comunicacin e informacin a los profesionales encargados de la supervisin y toma de decisiones con la informacin apropiada. 6. Dirigir el establecimiento de un sistema de recompensas para promover un cambio cultural deseable.
EDM01.03
1. Evaluar la eficacia y el rendimiento de las partes interesadas que tienen la responsabilidad y la autoridad delegada para la gobernanza de las TI corporativas. 2. Evaluar peridicamente si el acuerdo sobre los mecanismos de gobernanza de la TI (estructuras, principios, procesos, etc.) se han establecido y funcionan con eficacia.
85
3. Evaluar la efectividad del diseo de gobierno e identificar las acciones para corregirlas desviaciones encontradas. 5. Ejercer su supervisin respecto de la eficacia y el cumplimiento de la empresa del sistema de control. 6. Supervisarlos mecanismos regulares y de rutina para asegura que el uso de TI cumpla con las obligaciones pertinentes (legislacin reguladora, el derecho consuetudinario y contractual), normas y directrices.
EDM02
EDM02.01
1.Entenderlos requisitos delas partes interesadas; estratgicos los problemas de TI, tales como la dependencia de TI, y conocimientos de
tecnologa y capacidades con respecto a la real y para importancia potencial de la estrategia empresarial
2. Comprender los elementos clave de la gobernanza que se requieren para la entrega confiable, segura y rentable de un valor ptimo de la
utilizacin de nuevos y existentes servicios de TI, activos y recursos.
3. Comprender y analizar peridicamente las oportunidades que puedan surgir por el cambio de empresa habilitada por las tecnologas
actuales, nuevas o emergentes, y optimizar el valor creado a partir de esas oportunidades.
4.Entenderlo que constituye valor para la empresa, y considerar qu tan bien se comunica, entendido y aplicado en todos los procesos de la
empresa
5. Evaluarla eficacia de estrategias de la empresa y de TI se han integrado y alineado dentro de la empresa y con los objetivos de la empresa
para entregar valor.
6.Entender y considerar la forma eficaz los roles, responsabilidades, rendicin de cuentas y los rganos de toma de decisiones son para
garantizarla creacin de valor de la posibilitados por las inversiones, servicios y activos.
7. Considere qu tan bien la gestin de las inversiones habilitadas por TI, servicios y activos se alinea con la gestin del valor de la empresa y
prcticas de gestin financiera. 8. Valorarla cartera de servicios de inversiones y activos para la alineacin con la empres a la empresa objetivos estratgicas por tanto financieros como no financieros, el riesgo, tanto el riesgo como la entrega y el riesgo de los beneficios; la alineacin de procesos de negocio, la eficacia en trminos de usabilidad, disponibilidad y capacidad de respuesta y eficiencia en la trminos de costos de salud, la redundancia y la tcnica.
EDM02.02
1.Definir y comunicarla cartera y los tipos de inversin, categoras, criterios y ponderaciones relativas a los criterios para permitir puntuaciones globales de valor relativo.
3.La gestin directa de considerarlos posibles usos innovadores de TI que permiten a la empresa para responder a nuevas oportunidades o desafos, llevar a cabo nuevos negocios, aumentar la competitividad, o mejorar los procesos. 5. Definir y comunicar los objetivos a nivel de empresa de entrega de valor y medidas de resultado para que un monitoreo efectivo. 7. Recomienda la consideracin de posibles innovaciones, los cambios organizativos y mejoras operativas que podran impulsar un mayor valor para la empresa de TI habilitados para las iniciativas.
EDM02.03
1. definir un conjunto equilibrado de los objetivos indicadores de rendimiento objetivos y referencias. Mtricas deben cubrir actividad y medidas de resultado, incluidos los indicadores principales y secundarios de los resultados, as como un equilibrio adecuado de las medidas financieras y no financieras. Revisar y acordar con ellos con la TI y otras funciones de negocios, y otras partes interesadas.
86
2. Recoger los datos pertinentes, oportuna, completa, fiable y precisa para informar sobre los avances en la entrega de valora los objetivos.
Obtener una sucinta, de alto nivel, vista de todo alrededor de la cartera, el programa y de la informacin (capacidades tcnicas y operativas) de rendimiento que apoya la toma de decisiones, y asegurarse de que los resultados esperados se estn logrando.
3. programa de obtener cartera regular y pertinente, y de TI informes sobre los resultados tecnolgicos y funcionales revisar el progreso empresa hacia los objetivos identificados y la medida en que se han objetivos previstos obtenidos a entregar los objetivos de desempeo obtenidos y riesgo mitigado. 4. luego de la revisin de los informes, tomar medidas de gestin apropiadas segn sea necesario para asegurar que el valor se ha optimizado. 5. luego de la revisin de los informes, asegrese de que la accin correctiva apropiada gestin se inicia y controla.
EDM03
EDM03.01
1. determinar el nivel de los riesgos relacionados con TI que la empresa est dispuesto a tomar para cumplir los objetivos de su apetito por el riesgo 2. evaluar y aprobar propuso umbrales de riesgo tolerancia contra el riesgo de la empresa y niveles aceptables oportunidad 3. determinar el grado de alineacin de la estrategia de riesgos de TI a la estrategia de riesgos empresariales. 4. Proactiva de TI evaluar los factores de riesgo de avance de espera de las decisiones estratgicas de la empresa y asegurar que las decisiones de la empresa consciente de los riesgos se hacen. 5. determinar que uso est sujeto a evaluacin adecuada del riesgo evaluacin que se expresan en las correspondientes normas internacionales y nacionales 6. evaluar las actividades de gestin de riesgos para asegurar la alineacin con la capacidad de la empresa para materia de prdidas y tolerancia de liderazgo de TI
EDM03.02
1. Promover una TI consciente de los riesgos y la autonoma de la cultura de la empresa de TI a identificar de forma proactiva los riesgos y oportunidades potenciales impactos de negocios. 2. Dirigir la integracin de la estrategia de riesgos de TI y las operaciones de riesgo con las decisiones empresariales estratgicas y operaciones. 3. Dirigirla elaboracin de planes de comunicacin de riesgos (que abarca todos los niveles de la empresa), as como los planes de accin de riesgo. 4. La ejecucin directa de los mecanismos adecuados para responder rpidamente a riesgo de cambiar e informar de inmediato a los niveles adecuados de gestin, con el apoyo convenido en los principios de progresividad (qu reportar, cundo, dnde y cmo). 5. Instrucciones para quede riesgo, oportunidades, problemas y preocupaciones pueden ser identificadas y reportadas por cualquier persona en cualquier momento. De riesgos debe ser manejado de acuerdo con polticas y procedimientos publicados y escala los que toman las decisiones pertinentes. 6. Identificar los objetivos e indicadores clave de riesgo de los procesos de gobernabilidad y de gestin a ser monitoreados, y aprobar los enfoques, mtodos, tcnicas y procesos para capturar y reportar la informacin de medicin.
87
EDM03.03
1. Monitorear la medida en que se gestiona el perfil de riesgo dentro de los umbrales de propensin al riesgo. 2. Monitorear las metas e indicadores clave de gestin del riesgo y los procesos de gestin respecto a los objetivos, analizar las causas de las desviaciones, e iniciar acciones correctivas para abordar las causas subyacentes. 3. Habilite la revisin las partes interesadas de EL PROGRESO DE LA EMPRESA HACIA LOS OBJETIVOS IDENTIFICADOS 4. Reporte cualquier problema de gestin de riesgosa la junta o el comit ejecutivo.
APO05
APO05.01
1. Validar que posibilitados por las inversiones actuales de TI y servicios estn alineados con la visin de la empresa, los principios de la empresa, metas y objetivos estratgicos, visin de arquitectura empresarial, y las prioridades. 2. Obtener un entendimiento comn entre las TI y las otras funciones del negocio en las oportunidades potenciales de TI para conducir y apoyar la Estrategia Empresarial. 4. Identificar las principales categoras de los sistemas de informacin, aplicaciones, datos, servicios de TI, la infraestructura, los activos de TI, recursos, habilidades, prcticas, controles y las relaciones necesarias para apoyar la estrategia de la empresa. 5. Ponerse de acuerdo sobre una estrategia de TI y los objetivos, teniendo en cuenta las interrelaciones entre la estrategia empresarial y los servicios de TI, activos y otros recursos. Identificar y aprovechar las sinergias que pueden lograrse.
APO05.02
2. Identificar las opciones para la obtencin de fondos adicionales para las inversiones habilitadas por TI, tanto internamente como de fuentes externas.
APO05.03
2. Lleve a cabo evaluaciones detalladas de todos los casos de programas de negocios, evaluacin de la alineacin estratgica, los beneficios empresariales, el riesgo y la disponibilidad de recursos. 3. Evaluar el impacto en la cartera de inversiones global de la adicin de los programas candidatos, incluidos los cambios que pudieran ser necesarias para otros programas. 4. Decidir qu programas candidatos deben ser trasladados a la cartera de inversiones activo. Decidir si los programas rechazados deben ser mantenidos para la consideracin en el futuro o siempre con un poco de capital inicial para determinar si el modelo de negocio puede ser mejorado o desechado. 5. Determinar las etapas requeridas para cada programa seleccionado todo el ciclo de la vida econmica. Asignar y fondos de reserva total del programa por hito. Mueva el programa en la cartera de inversiones activo. 6. Establecer procedimientos para comunicar el costo, beneficio y riesgo relacionados con los aspectos de estas carteras a la priorizacin del presupuesto, gestin de costes y beneficiar a los procesos de gestin.
APO05.04
88
2. Cuando se producen cambios, vuelva a evaluar y priorizar las de la cartera para asegurarse de que la cartera est alineada con la estrategia de negocio y la mezcla de destino De las inversiones se mantiene por lo que la cartera es la optimizacin de valor general. Esto puede requerir programas a ser modificados, aplazados o retirados, y los nuevos programas para ser iniciado. 4. Proporcionar una visin precisa del rendimiento de la cartera de inversiones a todos los interesados. 5. Presentar informes de gestin para el personal directivo superior de la marcha de la empresa hacia las metas identificadas, indicando lo que todava tiene que ser gastado y lo logrado en los marcos de tiempo. 6. Incluir en la informacin de monitoreo del desempeo regular en la medida en que los objetivos previstos se han alcanzado, el riesgo mitigado, las capacidades de creacin, los resultados obtenidos y se reuni con los objetivos de rendimiento. 8. Desarrollar indicadores para medir la contribucin de TI a la empresa, y establecer objetivos de rendimiento adecuados que reflejen la TI y los objetivos de la empresa requiere de capacidad. Utilice la gua de expertos externos y los datos de referencia para desarrollar sistemas de medicin.
APO05.05
1. Crear y mantener las carteras de los programas de inversiones habilitadas por TI, servicios informticos y los activos de TI, que forman la base para el actual presupuesto de TI y apoyar a las TI planes tcticos y estratgicos. 2. El trabajo con los directores de prestacin de servicios para mantener las carteras de servicios y con los gerentes de operaciones y arquitectos para mantener las carteras de activos. Dar prioridad a las carteras para apoyar las decisiones de inversin. 3. Quite el programa desde la cartera de inversiones activa cuando los beneficios empresariales esperados se han alcanzado, o cuando es evidente que los beneficios no se lograr dentro de los criterios de valor establecidos para el programa.
APO05.06
1. Utilice los parmetros convenidos en la pista y cmo los beneficios se obtienen, cmo se desarrollan durante todo el ciclo de vida de los programas y proyectos, cmo estn siendo entregados a los servicios de TI, y cmo se comparan con los parmetros internos y la industria. Comunicar los resultados a las partes interesadas. 2. Implementar medidas correctivas, cuando se logran los beneficios se desvan significativamente de los beneficios esperados. Actualizar el caso de negocios para nuevas iniciativas e implementar procesos de negocio y mejoras en los servicios segn sea necesario. 3. Considere la posibilidad de obtener asesoramiento de expertos externos, los lderes de la industria y los datos comparativos de evaluacin comparativa para poner a prueba y mejorar los indicadores y metas.
APO07
APO07.01
4. Evaluar los requisitos del personal en forma regular o en los cambios ms importantes para asegurar que: a. La funcin de TI cuente con suficientes recursos para apoyar de manera adecuada y apropiada las metas y objetivos de la empresa. b. La empresa cuente con suficientes recursos para apoyar de manera adecuada y apropiada procesos de negocio y controles, e iniciativas de TI activadas.
5.
89
2. Mantener el negocio y los procesos de contratacin y retencin de personal de TI en lnea con todas las polticas y procedimientos de personal de la empresa. 3. Incluir controles de antecedentes en el proceso de contratacin de TI para empleados, contratistas y proveedores. El alcance y la frecuencia de estos controles depender de la sensibilidad y / o criticidad de la funcin. 5. Asegrese de que el entrenamiento cruzado se lleva a cabo y hay copia de seguridad para el personal clave para reducir la dependencia de una sola persona.
APO07.02
1. Minimizar la dependencia en que un solo individuo realice una funcin de trabajo crtico a travs de la captura de conocimiento (documentacin), el intercambio de conocimiento, planificacin de la sucesin, copias de seguridad de personal, formacin transversal y las iniciativas de rotacin en el empleo. 4. Probar regularmente los planes de copia de seguridad del personal.
APO07.03
1. Definir las habilidades requeridas y actualmente disponibles de los recursos internos y externos para lograr las metas de la empresa, TI y de procesos. 2. Proporcionar la planificacin formal de la carrera y desarrollo profesional para fomentar el desarrollo de competencias, las oportunidades de progreso personal y una menor dependencia de personas clave. 3. Proporcionar en acceso a repositorios del conocimiento para apoyar el desarrollo de habilidades y competencias. 4. Identificar las brechas entre las competencias necesarias y disponibles y desarrollar planes de accin para abordarlos de forma individual y colectiva, tales como la formacin (tcnica y habilidades de comportamiento), la contratacin, la redistribucin y cambiado estrategias de abastecimiento. 5. Desarrollar y ejecutar programas de capacitacin basados en los requisitos organizativos y de procesos, incluidos los requisitos sobre el conocimiento de la empresa, el control interno, una conducta tica y la seguridad. 6. Llevar a cabo revisiones peridicas para evaluar la evolucin de las habilidades y competencias de los recursos internos y externos. Revisar los planes de sucesin. 7. Revisar los materiales y programas de formacin sobre una base regular para asegurarse de la idoneidad con respecto a los requisitos cambiantes de la empresa y su impacto en el conocimiento, las aptitudes y habilidades.
APO07.04
2. Establecer metas individuales alineadas con las metas de los procesos pertinentes, de modo que hay una clara contribucin a las metas de TI y de la empresa. Basar metas en objetivos inteligentes (especficos, mensurables, realizables, pertinentes y de duracin determinada) que reflejan las competencias bsicas, los valores de la empresa y las habilidades necesarios para la funcin(es).
90
3. Compilar resultados de evaluaciones de desempeo 360 grados. 4. Poner en prctica y comunicar un proceso disciplinario. 6. Proporcionar retroalimentacin oportuna sobre el desempeo contra las metas de la persona
7. Implementar un proceso de remuneracin/reconocimiento que recompense el compromiso competencias y el logro exitoso de las metas de desempeo.
adecuado, desarrollo de
8. Desarrollar planes de mejora del rendimiento basado en los resultados del proceso de evaluacin y requisitos de entrenamiento y desarrollo de habilidades identificados.
APO07.05
1. Crear y mantener un inventario de los negocios y recursos humanos de TI. 2. Entender la demanda actual y futura de los recursos humanos para apoyar el logro de los Objetivos de TI y ofrecer servicios y soluciones basados en la cartera de las actuales iniciativas relacionadas con TI, las iniciativas de la cartera de inversiones futuras y el da a da las necesidades operacionales. 3. Identificar las carencias y aportaciones a planes de abastecimiento, as como los procesos de contratacin de la empresa y de TI. Crear y revisar el plan de dotacin de personal, hacer el seguimiento del uso real. 4. Mantener informacin adecuada del tiempo dedicado a diferentes tareas, trabajos, servicios o proyectos.
APO07.06
1. Implementar polticas y procedimientos que describan cundo, cmo y qu tipo de trabajo puede ser realizado o aumentado por consultores y/o contratistas, en coordinacin con la poltica de contratacin de TI de la organizacin de toda la empresa y el marco de control de TI.
APO11
APO11.01
1. Asegrese de que el sistema de control de TI y el negocio y los procesos de TI incluyen un enfoque estndar, formal y continuo a la gestin de la calidad que est alineado con las necesidades de la empresa. Dentro del marco de control de TI y el negocio y los procesos de TI, identificar los requisitos de calidad y criterios (por ejemplo, sobre la base de los requisitos legales y los requisitos de los clientes). 2. Definir las funciones, tareas, los derechos de decisin y responsabilidades para la gestin de la calidad en la estructura organizativa. 4. Monitorear y evaluar la eficacia y la aceptacin de la gestin de calidad, y mejorar cuando sea necesario. 5. Alinear la gestin de la calidad con un sistema de calidad para toda la empresa para fomentar un enfoque normalizado y continuo con la calidad. 6. Obtener informacin de gestin y grupos de inters externos e internos en la definicin de los requisitos de calidad y criterios de gestin de calidad. 7. Comunicar de manera efectiva el enfoque (por ejemplo, a travs de programas regulares y formales de formacin de calidad). 8. Revisar peridicamente la pertinencia, la eficiencia y la eficacia de los procesos especficos de gestin de calidad. Supervisar el cumplimiento.
APO11.02
1. Defina los estndares de direccin de calidad, prcticas y procedimientos de acuerdo con el IT controla las exigencias del marco. Industria de uso las mejores prcticas para referencia mejorando y adaptando las prcticas de calidad de la empresa.
91
2. Tenga en cuenta los beneficios y costos de certificaciones de calidad.
APO11.03
1. Enfoque de gestin de calidad en los clientes mediante la determinacin de necesidades de los clientes internos y externos y asegurar la alineacin de los estndares de TI 2. Gestionar las necesidades del negocio y las expectativas para cada proceso de negocio, servicios de TI operacional y nuevas soluciones, y mantener su calidad criterios de aceptacin. Captura de los criterios de calidad de aceptacin para su inclusin en los SLA. 3. Comunicar los requisitos y expectativas del cliente en toda la empresa y la organizacin de TI. 4. Peridicamente obtener puntos de vista de los clientes en procesos de negocio y la prestacin de servicios de TI y la entrega de la solucin, para determinar el impacto en los estndares de TI y prcticas y para garantizar que se cumplen las expectativas del cliente y se acte en consecuencia. 5. Controlar y revisar regularmente el SGC contra el acuerdo sobre los criterios de aceptacin. Incluye comentarios de los clientes, usuarios y de gestin. Responder a las discrepancias en los resultados de la revisin para la mejora continua del SGC. 6. Captura de los criterios de calidad de aceptacin para su inclusin en los SLA.

y sistemtica describiendo, midiendo, analizando,
APO11.04
1. Supervise la calidad de procesos y servicios en una base en curso mejoramiento/ingeniera y control de los procesos. 2. Preparar y llevar a cabo revisiones de calidad. 3. Informar de los resultados de la revisin y poner en marcha mejoras en su caso. 4. Controlar la calidad de los procesos, as como la calidad proporciona valor. Asegrese de que la medicin, control y registro de informacin es utilizada por el procesar propietario a tomar las acciones correctivas y preventivas. 5. Supervise la mtrica de calidad conducida por el objetivo alineada a objetivos de calidad totales de cubrir la calidad de proyectos
6. Asegrese de que los propietarios de la gestin y el proceso de revisar peridicamente el rendimiento de gestin de calidad. 7. Analizar los resultados globales de la calidad de gestin del rendimiento.
APO11.05
1. Integrar las prcticas de gestin de calidad en los procesos de soluciones y prcticas de desarrollo. 2. Un seguimiento contino de los niveles de servicio e incorporar prcticas de gestin de calidad en los procesos de prestacin de servicios y prcticas. 3. Identificar y documentar las causas de no conformidad, y comunicar los resultados de la gestin de TI y otras partes interesadas de manera oportuna a los permitir que las medidas correctivas que deban adoptarse. En su caso, realizar el seguimiento de revisiones.
APO11.06
92
1. Mantener y se comunican regularmente la necesidad de, y los beneficios de la mejora continua. 2. Establecer una plataforma para compartir las mejores prcticas y para capturar la informacin sobre los defectos y errores que permitan aprender. 3. Identificar ejemplos recurrentes de los defectos de calidad, determinar su causa raz, evaluar su impacto y resultado, y acordar acciones de mejora. 4. Identifique ejemplos de procesos de entrega de calidad excelentes que pueden beneficiar otros servicios o proyectos, y como partir stos con los equipos de entrega para fomentar la mejora. 5. Promover una cultura de mejora de la calidad y continuo. 6. Establecer un circuito de retroalimentacin entre la gestin de la calidad y la gestin de problemas. 7. Proporcionar a los empleados con la formacin en los mtodos y herramientas de mejora continua. 8. Punto de referencia de las revisiones de calidad internas contra los datos histricos, las directrices de la industria, las normas y los datos.
APO12
APO12.01
1. Establecer y mantener un mtodo para la recoleccin, clasificacin y anlisis de riesgos de TI relacionados con los datos, con capacidad para mltiples tipos de eventos, mltiples categoras de factores de riesgo de riesgo de TI y mltiples. 2. Registre datos relevantes en el ambiente de operaciones interno y externo de la empresa que podra la playa papel significativo en la direccin de IT riesgo. 3. Encuesta y analizar los datos histricos de TI de riesgo y la experiencia de la prdida de los datos disponibles externamente y tendencias, a travs de colegas de la industria basado en la industria registros de eventos, bases de datos, y los acuerdos de la industria. 5. Para las clases de eventos similares, organizar los datos y poner de relieve los factores que contribuyen. Determinar factores contribuyentes a travs de varios eventos. 7. Realizar eventos y anlisis peridicos factor de riesgo para identificar los problemas de riesgos nuevos o emergentes y ganar una comprensin de la interna y asociados los factores externos de riesgo
APO12.02
1. Definir el alcance y la profundidad adecuada de los esfuerzos de anlisis de riesgos, teniendo en cuenta todos los factores de riesgo y la criticidad de los activos de negocio. Establecer el anlisis de riesgos, mbito de aplicacin despus de realizar un anlisis de costobeneficio. 3. Estimar la frecuencia y la magnitud de la prdida o ganancia asociada a los escenarios de riesgo de TI. Tener en cuenta todos los factores de riesgo aplicables, evaluar conocida controles operacionales y los niveles de estimacin de riesgo residual. 4 Comparar el riesgo residual de la tolerancia al riesgo aceptable y determinacin de las exposiciones que pueden requerir una respuesta. 7. Que las estimaciones fueron calibrados correctamente y escrutinio de sesgo.

93
APO12.03
1. Los procesos de inventario de negocios, incluido el personal de apoyo, aplicaciones, infraestructura, instalaciones, crticos registros manuales, vendedores, proveedores y subcontratistas, y el documento de la dependencia de los procesos de TI de gestin de servicios de TI 3. Agregado escenarios de riesgo actuales por lnea de negocio, categora y rea funcional. 4. Sobre una base regular, la captura de toda la informacin de perfil de riesgo y consolidarla en un perfil de riesgo agregado. 6. Captura de informacin sobre los riesgos de TI eventos que se han materializado, para su inclusin en el perfil de riesgos de TI de la empresa. 7. Captura de informacin sobre el estado del plan de accin de riesgo, para su inclusin en el perfil de riesgos de TI de la empresa.
APO12.04
1. Informar los resultados de anlisis de riesgos a todos los interesados afectados en los trminos y formatos tiles para apoyar las decisiones de la empresa. Siempre que sea posible, incluya y rangos de probabilidades de prdida o ganancia, junto con los niveles de confianza que permiten la gestin de equilibrar el riesgo-retorno. 2. Proporcionar los tomadores de decisiones con un conocimiento de los peores escenarios posibles y lo ms probable-, la exposicin y la reputacin considerable, legales o por consideraciones regulatorias. 3. Informe del perfil de riesgo actual a todas las partes interesadas, incluida la eficacia del proceso de gestin de riesgos, la efectividad del control, las lagunas, inconsistencias, los despidos, el estado de remediacin, y su impacto en el perfil de riesgo.
APO12.05
2. Determina si cada entidad organizativa controla el riesgo y acepta la rendicin de cuentas para operar dentro de su nivel individual y de la cartera de tolerancia. 3. Defina un juego equilibrado de ofertas de proyecto diseadas para reducir riesgo y/o proyectos que permiten oportunidades de empresa estratgicas, considerando
APO12.06
2Clasifique los incidentes, y comparar la exposicin real contra los umbrales de tolerancia al riesgo. Comunicar los impactos de negocio para los tomadores de decisiones como parte de presentacin de informes, y actualizar el perfil de riesgo. 3. Aplicar el plan de respuesta adecuada para minimizar el impacto que los incidentes de riesgo se producen. 4. Requisitos y las mejoras en los procesos a los tomadores de decisiones adecuadas y asegurarse de que la causa, los requisitos de respuesta y mejora de procesos se incluyen en los procesos de gestin del riesgo.
APO13
APO13.01
1. Definir el alcance y los lmites del SGSI en trminos de las caractersticas de la empresa, la organizacin, su ubicacin, los activos y la tecnologa.
94
2. Definir un SGSI de acuerdo con la poltica de empresa y se alinea con la empresa, la organizacin, su ubicacin, los activos y la tecnologa. 3. Alinear el SGSI con el enfoque general de la empresa a la gestin de la seguridad. 4. Obtener autorizacin de la administracin para implementar y operar o cambiar el ISMS. 5. Preparar y mantener una declaracin de aplicabilidad que describe el alcance del SGSI. 6. Definir y comunicar informacin de las funciones de gestin de seguridad y responsabilidades. 7. Comunicar el enfoque del SGSI.
APO13.02
1. Plan para identificar las prcticas de gestin adecuadas y ptimas y soluciones de seguridad, con los consiguientes recursos, responsabilidades y prioridades para la Administracin del riesgo identificado en la seguridad de la informacin. 3. Desarrollar propuestas para aplicar la seguridad de la informacin de riesgo el plan de tratamiento, con el apoyo de casos de negocios adecuados, que incluyen la consideracin de financiacin y asignacin de roles y responsabilidades. 4. Proporcionar informacin para el diseo y desarrollo de las prcticas de gestin y soluciones seleccionadas de entre el plan de seguridad de la informacin del tratamiento del riesgo. 5. Definir cmo medir la efectividad de las prcticas de gestin seleccionados y especificar cmo estas medidas se van a utilizar para evaluar eficacia para producir resultados comparables y reproducibles. 7. Integrar la planificacin, diseo, ejecucin y seguimiento de los procedimientos de seguridad de la informacin y otros controles capaces de permitir rpida prevencin, la deteccin de eventos de seguridad y de respuesta a incidentes de seguridad.
APO13.03
1. Cuenta los resultados de las auditoras de seguridad, los incidentes, los resultados de las mediciones de eficacia, sugerencias y comentarios de todas las partes interesadas. 3. Llevar a cabo un examen de la gestin del SGSI en una base regular para asegurarse de que el mbito de aplicacin siga siendo adecuado y las mejoras en el proceso de SGSI se identifican. 4. Proporcionar informacin para el mantenimiento de los planes de proteccin a tener en cuenta los resultados de seguimiento y revisin de las actividades.
BAI01
BAI01.01
1. Mantenga e implemente que un acercamiento estndar para programar y proyectar a la gerencia aliado para el ambiente especfico de la empresa y con buena prctica basada en el uso y proceso definido de tecnologa. apropiada asegure que el acercamiento cubre el ciclo biolgico completo y las disciplinas para ser siguieron , incluyndole a la gerencia de alcance , recursos , riesgo , costo , calidad , tiempo , comunicacin , envolvimiento del tenedor de apuestas , adquisicin , control de cambio , integracin y realizacin de beneficio 2. Actualice el programa y el acercamiento de administracin del proyecto basado en las lecciones aprendi de su uso
95
BAI01.02
1. Acuerde en el patrocinio de programa y nomine una junta /comit de programa con miembros que tienen inters estratgico en el programa , tenga a cargo la decisin de invertir haciendo , ser significativamente pegado con una cua por el programa y estar obligado a permitir entrega del cambio 2. Confirme el mandato de programa con patrocinadores y tenedores de apuestas. Estructure los objetivos estratgicos para el programa , estrategias potenciales para entrega , mejora y beneficios que se esperan para resultar , y cmo calza el programa con otras iniciativas 3. Desarrolle un caso comercial detallado para un programa, si sea garantizado. Involucre a todos los stakeholders cruciales a desarrollar y documentar una comprensin completa de los esperados resultados de la empresa, cmo estarn medidos, el alcance completo de iniciativas requerido, el riesgo complejo y el impacto en todos los aspectos de la empresa. Identifique y evale cursos de la accin alternativos para lograr los resultados deseados de la empresa. 4. Desarrolle una realizacin de beneficios plan que se manej a todo lo largo del programa para asegurar eso planific que los beneficios siempre tengan a los dueos y sean logrados , sostenidos y optimizados 5. Preprese y somtase para en la aprobacin de principio el caso inicial de negocio de programa (conceptual) , proveyendo informacin de toma de decisiones esencial estimando propsito , la contribucin para los objetivos comerciales , esper el valor creado , los lmites de tiempo , etc. 6. Comisione a un gerente dedicado para el programa, con las habilidades y aptitudes conmensurativas a manejar el programa eficazmente y eficazmente.
BAI01.03
1. Planifique cmo los tenedores de apuestas adentro y afuera la empresa sern identificados , analizados , comprometidos y maniobrados a travs del ciclo biolgico de los proyectos 2. Identifique , contrate y maneje a los tenedores de apuestas estableciendo y manteniendo niveles apropiados de coordinacin , comunicacin y enlace para asegurar que estn involucrados en el programa /proyecto 3. Cuantifique la efectividad de compromiso stakeholder y tome acciones de indemnizacin segn se requiera 4. Analice intereses stakeholders y requisitos
BAI01.04
1. Defina y documente el programa el plan cubriendo todos los proyectos, incluyendo lo que es necesario para traer acerca de cambios para la empresa; Su imagen, productos y servicios; El negocio va en procesin; Las habilidades de personas y los nmeros; Las relaciones con tenedores de apuestas, clientes, proveedores y los otros; Las necesidades de tecnologa; Y administrativo reestructurar requiri lograr los esperados resultados de la empresa del programa.
2. Especifique habilidades y recursos requeridos para ejecutar el proyecto, incluyendo a administradores de proyecto y proyecte parejas as como tambin recursos comerciales. Especifique financiacin, cueste, programe e interdependencias de proyectos mltiples. Especifique la base para adquirir y asignando miembros de la administracin competentes y / o los contratistas a los proyectos. Defina los papeles y las responsabilidades para todos los miembros del equipo y otras partes interesadas. 3. Asigne responsabilidad claramente y sin ambigedades para cada proyecto , incluyendo logrando los beneficios , controlando los costos , manejando el riesgo y coordinacin las actividades de proyecto
96
4. Asegure que hay comunicacin efectiva de programa planifica e informes sobre la marcha en medio de todos los proyectos y con el programa. global asegure que cualquier cambios hicieron para los planes individuales est reflejado en la otra empresa que el programa planifica 5. Mantenga el plan de programa para asegurar que trae entre manos fechar y reflexiona alineacin con objetivos estratgicos actuales, progreso real y las alteraciones sustanciales para los resultados, los beneficios, los costos y el riesgo. Haga el negocio conducir los objetivos y las prioridades el trabajo de completamente para asegurar que el programa tan diseado encontrarn requisitos de la empresa. El progreso retrospectivo de individuo proyecta y ajustan los proyectos tan necesarios para encontrar liberaciones programadas de hitos. 6. Actualice y mantenga a todo lo largo de la vida econmica del programa que el caso comercial y un registro de beneficios a identificar y definir teclean beneficios proviniendo de emprendiendo el programa
BAI01.05
2. Establezca de acuerdo en las etapas del proceso de desarrollo (los puntos de inspeccin de desarrollo). Al final de cada etapa, facilite debates formales de criterios aprobados con los stakeholders despus de la terminacin exitosa de funcionabilidad, actuacin y revisiones de calidad, y antes de actividades de etapa que da los ltimos toques a, obtenga aprobacin formal y el cierre de emisin de todos los tenedores de apuestas y el patrocinador /negocio procesan al dueo. 3. Emprenda un proceso de realizacin de beneficios a todo lo largo del programa a asegurar que los planificados beneficios siempre tienen dueos y tiene probabilidad de ser logrado, sostenido y optimizado. El monitor beneficia entrega e informe en contra de blancos de actuacin en las revisiones de etapa de la portilla o de iteracin y de liberacin. Realice anlisis de causa de fondo para desviaciones del plan e identifique y ocpese de cualquier accin de indemnizacin necesaria. 4. Administre cada programa o el proyecto para asegurar esa toma de decisiones y las actividades de la entrega son canalizados a valor logrando beneficios para el negocio y las metas en una manera coherente , ocupndose de riesgo y logrando requisitos del tenedor de apuestas 5.. Establezca oficina de la gerencia de programa /proyecto (s) y el plan revisa cuentas , revisiones de calidad , revisiones la portilla - fase /etapa y revisiones de beneficios de los que se dio cuenta
BAI01.06
1. Monitoree y controle la actuacin del programa global y los proyectos dentro del programa, incluyendo contribuciones del negocio y TI a los proyectos, y reporte en una moda oportuna, completa y precisa. La informacin puede incluir la satisfaccin de horario, de financiacin, de funcionabilidad, del usuario, los controles internos y la aceptacin de responsabilidades. Las expectativas de rentabilidad de inversin 2. Monitoree y controle actuacin en contra de las estrategias de empresa y TI y las metas , y d parte a la gerencia en empresa que los cambios implementaron , se beneficia dado cuenta de en contra del plan de realizacin de beneficios , y la suficiencia del proceso de realizacin de beneficios 3. Monitoree y controle servicios TI, activos y recursos creados o cambi como resultado de la implementacin de la nota de programa. E informe de fechas. a cargo de la empresa para gerencia en niveles de actuacin , sostuvo entrega de servicio y contribucin para apreciar 4. Administre actuacin de programa en contra de los criterios cruciales (ej. El alcance , el horario , la calidad , la realizacin de beneficios , los costos , el riesgo , la velocidad) , identifique desviaciones del plan y tome accin de indemnizacin oportuna en caso de necesidad
97
5. Monitoree actuacin de proyecto individual relacionar con entrega de las esperadas capacidades, horario, la realizacin de beneficios, los costos, el riesgo u otra mtrica para identificar potencial afecta en toma de actuacin. de programa accin de indemnizacin oportuna en caso de necesidad 6. Actualice operacional eso los portafolios reflexionando cambia ese resultado del programa en lo pertinente eso portafolios de servicio , del activo o del recurso 7. Conforme la etapa la entrada , la liberacin o la iteracin revisa criterios , emprende revisiones a escribir una crnica del progreso del programa a fin de que la gerencia puede hacer decisiones de empuje /no de empuje o de ajuste y puede aprobar ms financiacin hasta la siguiente portilla de etapa , liberacin o iteracin
BAI01.07
1. Para crear una comprensin comn de alcance de proyecto en medio de tenedores de apuestas , provea para los tenedores de apuestas una declaracin real clara definiendo la naturaleza , el alcance y el beneficio de cada proyecto 2. Asegure que cada proyecto tiene uno o ms patrocinadores con suficiente autoridad para manejar ejecucin del proyecto dentro del programa del mono 3. Asegure que los patrocinadores y tenedores de apuestas cruciales dentro de la empresa y la tecnologa de la informacin estn de acuerdo adelante y aceptan los requisitos para el proyecto , incluyendo definicin de criterios de xito de proyecto (la aceptacin) y sealizadores cruciales (KPLs) de actuacin 4. Asegure que la definicin de proyecto describe los requisitos para una comunicacin de proyecto el plan que identifica comunicaciones internas y externas de proyecto 5. Con la aprobacin de tenedores de apuestas , mantenga la definicin de proyecto a todo lo largo del proyecto , reflexionando cambiando requisitos 6. Para rastrear la ejecucin de un proyecto , eche mecanismos del lugar como cliente habitual reportando y la portilla de etapa , la liberacin o la fase repasa en una manera oportuna con aprobacin apropiada
BAI01.08
1. Desarrolle un proyecto plan que provee la informacin para permitirle a la gerencia controlar progreso de proyecto progresivamente. El plan debera incluir detalles de proyecto entregable y los criterios de aceptacin, los requeridos recursos internos y externos y las responsabilidades, debera limpiar estructuras de falla de trabajo y paquetes de trabajo, estimaciones de recursos requeridos, plan /fases de hito /liberacin, teclee dependencias, e identificacin de una va crtica. 2. Mantenga el plan de proyecto y cualquier plan dependiente (ej. El plan de riesgo de plan, de calidad, beneficia plan de realizacin) para asegurar que traigan entre manos fechar y reflejar progreso real y alteraciones sustanciales aprobadas. 3. Asegure que hay comunicacin efectiva de proyecto planifica e informes sobre la marcha en medio de todos los proyectos y con el programa. global asegure que cualquier cambios hicieron para los planes individuales est reflejado en los otros planes 4 Determine las actividades , las interdependencias y la comunicacin y colaboracin requerida entre los proyectos mltiples dentro de un programa 5. Asegure que cada hito es acompaado por una revisin requeridora entregable significativa y un cierre de emisin 6. Establezco una lnea de fondo de proyecto (ej., cueste, programe, alcance, calidad) que el sistema intermedio apropiadamente revis, aprob el operador booleano and se incorpor en el plan integrado de proyecto.
98
BAI01.09
1. Identifique tareas de seguridad y las prcticas requirieron soportar la acreditacin de sistemas nuevos o modificados durante el programa y la planificacin de proyecto, e incluirlas en los planes. integrados asegure que las tareas proveen a la seguridad que los controles internos y las soluciones prendarias encuentran los requisitos definidos 2. Para proveer comprobacin de calidad para el proyecto de liberables , identifique propiedad y responsabilidades , procesos de revisin de calidad , criterios de xito y mtrica de actuacin 3. Defina cualquier requisitos para la verificacin y validacin independiente de la calidad de de liberables en el plan 4. Desempee actividades de comprobacin de calidad y de control de conformidad con el plan de administracin de calidad y QMS
BAI01.10.
1. Establezco un acercamiento de administracin de riesgos de proyecto formal aliado con el armazn. de MAC asegure que el acercamiento incluye a identificar , analizar , responder para , mitigar , monitorear y controlar riesgo 2. Asigne para el personal apropiadamente experto la responsabilidad para ejecutar el proceso de administracin de riesgos de proyecto de la empresa dentro de un proyecto y asegurar que esto est incorporado en el desarrollo de solucin practique. considere asignarle este papel a un equipo independiente , especialmente si un punto de vista objetivo es requerido o un proyecto es considerado crtico 3. Realice la valoracin de riesgo de un proyecto de identificar y cuantificando riesgo continuamente a todo lo largo del proyecto. Administre y comunique riesgo apropiadamente dentro de la estructura de gobierno de proyecto 4. Reconsidere riesgo de proyecto peridicamente , incluyendo en la iniciacin de cada fase principal de proyecto y como parte de valoraciones principales de peticin de cambio 5. Identifique a los dueos para acciones para evitar , aceptar o mitigar riesgo 6. - Mantenga y revise un registro de riesgo de proyecto de todo riesgo potencial de proyecto, y un leo de mitigacin de riesgo de todos los asuntos de proyecto y su resolucin. analiza el leo peridicamente para las tendencias y los problemas para recurrentes para asegurar que las causas de fondo son corregidas
BAI01.11
1. Establezca y use un set de criterios de proyecto incluyendo , pero no limitado para , el alcance , el horario , la calidad , el costo y ras con ras de riesgo 2. La actuacin de proyecto de medida en contra de los criterios cruciales de actuacin de proyecto. Analice desviaciones de criterios cruciales establecidos de actuacin de proyecto por motivo justificado , y evale positivo y efectos negativos en el programa y sus proyectos componentes 3. Reprtese a los stakeholders identificado, proyectan progreso dentro del programa , desviaciones de criterios cruciales establecidos de actuacin de proyecto , y los potenciales efectos positivos y negativos en el programa y sus proyectos componentes 4. Los cambios del monitor para el programa y la retrospectiva clave existente proyectan criterios de actuacin para determinar si todava representan medidas vlidas de progreso
99
5. Documntele y envele cualquier cambios necesarios a los tenedores de apuestas cruciales del programa para su aprobacin antes de la adopcin. Comunique criterios revisados para proyectar a los gerentes para el uso en los informes de rendimiento futuros 6. Recomiende y monitoree accin de indemnizacin , en caso de necesidad , en conformidad con el programa y armazn de gobierno de proyecto 7. Obtenga aprobacin y cierre de emisin en lo entregable producido en cada iteracin , liberacin o la fase de proyecto de usuarios y gerentes llamados en el negocio afectado y las funciones de tecnologa de la informacin 8. Base el proceso de aprobacin en los criterios de aceptacin claramente definidos en los que se convino por tenedores de apuestas cruciales antes de surtir efecto comenzando en la fase de proyecto o la iteracin entregable 9. Evale el proyecto en portillas principales de etapa convenida , liberaciones o iteraciones y formalice las decisiones de empuje de empuje /no basadas de adelante predeterminaron criterios crticos de xito 10. Establezca y maneje un sistema de control de cambio para el proyecto tan todos los cambios para la lnea de fondo de proyecto (ej. El costo , el horario , el alcance , la calidad) es apropiadamente revisado , aprobado y es incorporado en el plan integrado de proyecto en conformidad con el programa y proyecta armazn de gobierno
BAI01.12.
1. Identifique negocio y las necesidades del recurso de tecnologa de la informacin para el proyecto y claramente el mapa asignan papeles y responsabilidades , con escalamiento y las autoridades de tomas de decisiones estuvieron de acuerdo adelante y entendieron 2. Identifique habilidades requeridas y requisitos de tiempo para todos los individuos que el proyecto pone en fase en la relacin los papeles definidos. Provea de personal los papeles basados en informacin disponible de habilidades (ej., La matriz de habilidades de tecnologa de la informacin). 3. Utilice recursos de administracin del proyecto experimentada y del jefe de equipo con habilidades apropiadas para el tamao, la complejidad y el riesgo del proyecto. 4. Considere y claramente defina los papeles y las responsabilidades de otras fiestas complejas , otras finanzas inclusivas , legal , otra adquisicin , RH , auditora privada y otra conformidad 5. Claramente defina y convenga en la responsabilidad para la adquisicin y la gerencia de servicios y productos de terceros , y maneje las relaciones 6. Identifquele y autoric la ejecucin del trabajo segn el plan de proyecto 7. Identifique aberturas de plan de proyecto y provale la informacin retroactiva al administrador de proyecto remediar
BAI01.13
1. Defina y aplique pasos cruciales para el cierre de proyecto , incluyendo revisiones de post-implementacin que evalan ya sea un proyecto resultados deseados logrados y beneficios 2. Planifique y ejecute revisiones de pos-implementacin para determinar si los proyectos dieron esperado beneficios y mejorar la administracin del proyecto y el desarrollo de sistema tramitan metodologa 3. Identifique , asigne , comunique y rastree cualquier actividades incompletas requeridas para lograr planificados resultados de proyecto de programa y beneficios
100
4. Regularmente, y en la terminacin del proyecto, recolecte de los participantes de proyecte las lecciones aprendieron. Revselos y las actividades cruciales que condujeron y dieron beneficios y valor. Analice los datos y haga recomendaciones para mejorar el mtodo de proyecto actual as como tambin de administracin del proyecto para los proyectos futuros. 5. Lograr aceptacin del stakeholders de la propiedad de proyecto deliberarlos y de reembarque.
BAI01.14
1. Elaborar el programa para un cierre ordenado , incluyendo aprobacin formal , dispersin de la organizacin de programa y soportando funcin , validacin de delibrales y la comunicacin de jubilacin 2. Revise y documente lecciones aprendidas. Una vez que el programa es retirado , remuvalo de la cartera de inversiones en ejecucin 3. Ponga responsabilidad y procesos en el lugar a asegurar que la empresa contina para el valor del optimice del servicio, activo o recursos. Las inversiones adicionales pueden ser requeridas en algunos el tiempo futuro para asegurar que sta ocurre
BAI02
BAI02.01
1. Definir y aplicar una definicin de los requisitos y el procedimiento de mantenimiento y un repositorio de requisitos que son apropiados para el tamao, complejidad, objetivos y riesgos de la iniciativa que la empresa se considerando empresa. 2. Requerimientos expresos de negocios en trminos de cmo la brecha entre las capacidades de negocio actual y el deseado es necesario abordar y cmo un papel va a interactuar con y utilizar la solucin. 3. En todo el proyecto, obtener, verificar y confirmar que todas necesidades de los interesados, incluyendo criterios pertinentes de admisin, se consideran, capturado, prioridad y se registran en una forma que sea comprensible para los interesados, empresas patrocinadoras y personal tcnico de aplicacin, reconociendo que los requisitos pueden cambiar y ser ms detallada a medida que se implementan. 4. Especificar y priorizar la informacin, los requisitos funcionales y tcnicas basadas en las necesidades de los interesados confirmados. Incluye los requisitos de informacin de control en los procesos de negocio, procesos automatizados y los entornos de TI para hacer frente a los riesgos de la informacin y cumplir con las leyes, reglamentos y contratos comerciales. 5. validar todos los requerimientos a travs enfoques como una revisin, validacin de modelos o prototipos operativos. 6. Confirmar la aceptacin de los aspectos clave de los requisitos, incluidas las normas de la empresa, los controles de la informacin, continuidad del negocio, cumplimiento legal y reglamentario, adaptabilidad, la ergonoma, operabilidad y facilidad de uso, seguridad y documentacin de apoyo. 7. mbito de aplicacin y controlar, requisitos y cambios a travs del ciclo de vida de la solucin en todo el proyecto como la comprensin de la solucin evoluciona. 8. Tenga en cuenta los requisitos relativos a las polticas de empresa y los estndares, arquitectura empresarial, estratgicas y tcticas que tiene previsto, en la casa y de terceros de negocios y procesos de TI, los requisitos de seguridad, los requisitos reglamentarios, las competencias de las personas, estructura organizacional, de casos de negocios y la tecnologa que permite.
BAI02.02
101
1. Definir y ejecutar un estudio de viabilidad, el piloto o la solucin bsica de trabajo que de manera clara y concisa describe las soluciones alternativas que satisfagan los requerimientos de negocio y funcional. Incluya una evaluacin de su viabilidad tecnolgica y econmica. 2. Determinar las medidas necesarias solucin para la adquisicin o de desarrollo basado en la arquitectura de la empresa, y tener en cuenta alcance y / o tiempo y / o las limitaciones presupuestarias. 3. Revise las alternativas de solucin con todos los interesados y seleccionar el ms apropiado basado en criterios de factibilidad, incluyendo el riesgo y costo. 4. Traducir el curso de accin preferido en un alto nivel de adquisicin / plan de desarrollo identificacin de recursos para utilizar y etapas que requieran un una decisin o no decisin.
BAI02.03
1. Involucrar a las partes interesadas para crear una lista de la potencial calidad, los requisitos funcionales y tcnicos y de riesgo relacionado con el procesamiento de la informacin (debido, por ejemplo, la falta de participacin de los usuarios, las expectativas poco realistas, los desarrolladores agregar funcionalidades innecesarias). 2. Analizar y priorizar las necesidades de riesgo de acuerdo a la probabilidad e impacto. En su caso, determine el presupuesto y los impactos de horario. 3. Identificar las formas de controlar, evitar o mitigar el riesgo de los requisitos en orden de prioridad.
BAI02.04
2. Obtener estudios sobre la calidad en todo, y al final de, cada etapa clave del proyecto, iteracin o aptitud para evaluar los resultados en contra de la aceptacin de original criterios. ha patrocinadores empresariales y otros interesados firmen en cada revisin de la calidad con xito
BAI06
BAI06.01
4. planifique y evale todas las peticiones en una moda estructurada. incluya un anlisis de impacto en el proceso comercial, la infraestructura, los sistemas y las aplicaciones, los planes comerciales (bcps) de continuidad y los pases proveedores de servicios para asegurar que todos los componentes afectados han sido identificados. evale la probabilidad de adversamente afectando el ambiente operacional y el riesgo de implementando el cambio. considere implicaciones prendarias, legales, contractuales de conformidad y del cambio pedido. considere tambin interdependencias en medio de los cambios. involucre a dueos comerciales de proceso en el proceso de valoracin, segn el caso. 5. formalmente apruebe cada cambio por dueos comerciales de proceso, jefes de servicio y tecnologa de la informacin tenedores de apuestas tcnicos, segn el caso. los cambios que son de poco riesgo y relativamente frecuentan deberan ser pre-aprobados como el estndar cambia. 6. el plan y el horario todo aprobaron cambios.
102
BAI06.02
1. asegure que un procedimiento documentado existe declarar, evaluar, dar a la aprobacin preliminar, autorizar despus del cambio y registrar un cambio de emergencia.
2. el 6erify que todos los acomodamientos de acceso de emergencia para los cambios son appropriately authorised, el operador booleano and documentado abolido despus de que el cambio haya sido aplicado. 3. monitoree todo lo que los cambios de emergencia, y la post-implementacin de conducta revisan envolvente todas las fiestas concernidas. la revisin debera considerar y las medidas correctivas del iniciado basaron en las causas de fondo como los problemas con proceso comercial, desarrollo aplicativo de sistema y mantenimiento, desarrollo y ambientes experimentales, documentacin y manuales, e integridad de los datos.
BAI06.03
1. El cambio del #ategorise pide indiana el proceso rastreador (e.g., denegado, aprobado sino no an operador booleano and iniciado, aprobado en proceso, operador booleano and cerrado). 2. implemente informes de situacin de cambio con mtrica de actuacin para permitir revisin administrativa y monitoreando de ambos el estatus detallado de cambios y el estado global (e.g., el anlisis de vencimientos de cambio pide). asegure que los informes de situacin forman una pista de auditora tanto cambia subsiguientemente puede ser rastreado de principio para la disposicin eventual. 3. el claro del monitor cambia para asegurar que todos los cambios aprobados estn cerrados en una moda oportuna, a merced de la prioridad. 4. Mantenga un rastreo y un sistema ponente para todas las peticiones de cambio.
BAI06.04
1. incluya cambios a la documentacin (e.g., el negocio y la tecnologa de la informacin los procedimientos operacionales, la continuidad comercial y la documentacin de recuperacin de desastre, la informacin de configuracin, la documentacin aplicativa, las pantallas de ayuda, y entrenando materiales) dentro del procedimiento de la gerencia de cambio como una parte integral del cambio. 2. defina un perodo de retencin apropiado para la documentacin de cambio de la documentacin y de post-cambio de sistema y del usuario. 3. la documentacin del 3ubject para el mismo nivel de revisin como el cambio real.
DSS01
DSS01.01
2. Mantener un calendario de las actividades operacionales, realizar las actividades y la gestin del rendimiento y del rendimiento de las actividades programadas. 3. Compruebe que todos los datos previstos para su elaboracin son recibidas y procesadas por completo, con exactitud y en forma oportuna. Generan resultados fijarn con requisitos de la empresa. Apoyo reiniciar y reprocesamiento necesidades. Asegurar que los usuarios estn recibiendo el derecho los resultados en una forma segura y oportuna. 5. Horario y copias de seguridad de registro de conformidad con las polticas y procedimientos establecidos.
DSS01.02
1. Asegurarse de que las necesidades de la empresa para la seguridad de los procesos de la informacin se respete en conformidad con los contratos y los contratos con terceros hosting o prestar servicios.
103
2.Asegurarse de que la actividad de explotacin de la empresa y requisitos para el procesamiento y las prioridades para la prestacin de servicios estn adheridas a de acuerdo con los contratos y los contratos con terceros hosting o prestar servicios. 3. Integrar interna crtica que los procesos de gestin con los proveedores de servicios de internalizacin, que abarcan, por ejemplo, rendimiento y capacidad de planificacin, la gestin del cambio, gestin de la configuracin, solicitud de servicio y administracin de incidentes, problemas de gestin, gestin de la seguridad, continuidad de los negocios, y el seguimiento del proceso y la presentacin de informes.
DSS01.03
1. Registrar eventos, identificando el nivel de informacin que se asientan sobre la base de una consideracin del riesgo y el rendimiento. 3. Definir y aplicar reglas que identifiquen y registren las infracciones y las condiciones para el evento. Encontrar un equilibrio entre la produccin y eventos menores falsos hechos significativos para registros de eventos que no estn sobrecargados con informacin innecesaria. 4. Elaborar registros de eventos y mantenerlas durante un periodo adecuado para ayudar en futuras investigaciones. 5. Establecer procedimientos de monitorizacin de registros y revisiones peridicas. 6. Asegurar que ese incidente los boletos no son creados de manera oportuna cuando vigilancia identifica las desviaciones con respecto a los umbrales definidos.
DSS01.04
3. Situar y construir instalaciones para minimizar y mitigar susceptibilidad ante las amenazas medioambientales. 5. Responder a las alarmas ambientales y otras notificaciones. Documento y procedimientos de ensayo, el cual debera incluir prioridades de alarmas y el contacto con las autoridades de respuesta de emergencia locales y capacitar a personal en estos procedimientos. 7. Asegurarse de que los sitios estn construidos y diseados para minimizar el impacto de riesgos ambientales (por ejemplo, por robo, aire, fuego, el humo, el agua, la vibracin, el terror, el vandalismo, Sustancias qumicas, explosivos) .considerar comunes9 las zonas de seguridad y /o ignifugaos clulas (por ej., la produccin y desarrollo cisco/servidores de distancia unos de otros) 8. Mantener los sitios y las salas de servidores limpia y en condiciones seguras en todo momento (es decir, sin ensuciar, el papel o cajas de cartn, no llena cubos de basura, no productos qumicos inflamables o materiales).
DSS01.05
2. Prueba con regularidad la fuente de alimentacin ininterrumpible de mecanismos, y asegurar que la energa pueda ser transferido a la oferta sin producir ningn efecto significativo en las operaciones empresariales. 3. Garantizar que las instalaciones donde se ubica el rea de los sistemas tenga ms de una fuente de utilidades dependiente (p. ej., de energa, telecomunicaciones, agua, gas). La entrada fsica de cada utilidad separada. 4. Confirmar el cableado externo al que se encuentra bajo tierra o tiene adecuada proteccin. Determinar que cableado dentro de dicho sitio est contenido dentro de conductos restringidos, y cajas de conexionado tienen acceso restringido al personal autorizado. Proteger adecuadamente cableado contra los daos causados por el fuego, el humo, el agua, la intercepcin y la injerencia.
104
6.Analizar las instalaciones de sistemas de vivienda de alta disponibilidad para redundancia y fail-over cable requisitos (externa e interna) 7.Asegurarse de que universidades y centros de TI estn en cumplimiento en curso con la legislacin sobre salud y seguridad, de reglamentos, directrices, y especificaciones del fabricante. 8. Educar al personal de forma peridica sobre la salud y la seguridad las leyes, reglamentos y directrices pertinentes. Educar al personal de bomberos y rescate para asegurar los conocimientos y las medidas adoptadas en caso de incendio o de incidentes similares. 9. Registrar, controlar, gestionar y resolver incidentes instalaciones en lnea con el proceso de administracin de incidentes. Realizar informes disponibles sobre instalaciones incidentes en los que es necesaria la informacin en trminos de las leyes y reglamentos. 11. Analizar modificaciones fsicas, sitios o lugares para evaluar los riesgos ambientales (p. ej., los incendios o daos causados por el agua). Informan de los resultados de este anlisis de continuidad de negocio y gestin de las instalaciones.
DSS02
DSS02.01
1. Definir incidente y solicitud de servicio planes de clasificacin y determinacin de prioridades y criterios para la solucin de registro, que se apliquen enfoques coherentes para la manipulacin, informando a los usuarios acerca de y realizar anlisis de tendencias. 2. Definir modelos incidente de errores conocidos para facilitar una eficiente y eficaz de resolucin. 3. Solicitud de servicio definir modelos segn solicitud de servicio tipo para habilitar la autoayuda y eficiente servicio estndar de solicitudes. 5. Definir incidente y solicitarn fuentes de conocimiento y su utilizacin
DSS02.02
2. Registrar todas las solicitudes de servicio e incidentes, registrar toda la informacin pertinente para que puedan ser aprovechados y un completo registro histrico puede ser mantenida. 3Para poder analizar las tendencias, clasificar las solicitudes de servicio e incidentes de identificacin del tipo y categora.
4. Priorizar las solicitudes de servicio e incidentes basada en SLA definicin del servicio de impacto en la empresa y la urgencia.
DSS02.03
1.- Comprobar el derecho para las solicitudes de servicio utilizando, cuando sea posible, un flujo de proceso predefinido y cambios estndar.
DSS02.04
1. Identificar y describir los sntomas para establecer las causas ms probables de los incidentes. Referencia conocimientos disponibles funcionario auxiliar (incluyendo errores conocidos y problemas) para identificar las posibles resoluciones incidentes (soluciones temporales y/o soluciones permanentes)
105
2. Si un problema relacionado o error conocido ya no existe y si el incidente cumple criterios acordados para problema registro, registro un nuevo problema. 3. Asignar funciones a los especialistas incidentes ms profundo si se necesitan conocimientos especializados, y activar el nivel adecuado de gestin, en caso de ser necesario
DSS02.05
1. Seleccionar y aplicar las resoluciones ms apropiadas al incidente 2. Graba y organiza las soluciones que fueron utilizados para la resolucin de incidentes 3. Realizar acciones de recuperacin, si es necesario 4. Documente los incidentes y la resolucin para evaluar si la resolucin puede ser utilizado en un futuro.
DSS02.06
1. Compruebe con el afectado (si as se acuerda en) que la solicitud de servicio ha sido satisfactorio cumplido o el incidente ha sido resueltas de forma satisfactoria. 2. Cerrar las solicitudes de servicio e incidentes.
DSS02.07
1. Vigilar y rastrear incidente escaladas y resoluciones, y pedir los procedimientos de manipulacin para avanzar hacia una solucin o conclusin. 2. Identificar la informacin interesados y sus necesidades de datos o informes. Identificar informacin La frecuencia y medio. 3. Analizar los incidentes y las solicitudes de servicio por categora y tipo de tendencias e identificar patrones de las cuestiones recurrentes, SLA las infracciones o las ineficiencias. Utilizar la informacin como contribucin a la mejora contina planificacin. 4. Producir y distribuir informes oportunos o proporcionar un acceso controlado a los datos en lnea.
DSS03
DSS03.01
1. Identificar los problemas a travs de la correlacin de los informes de incidentes, registros de errores y otros recursos de identificacin del problema. Determinar los niveles de prioridad y categorizacin para abordar los problemas de manera oportuna sobre la base de riesgo del negocio y la definicin de servicio. 2. Manejar todos los problemas formalmente con el acceso a todos los datos relevantes, incluida la informacin del sistema de gestin del cambio y configuracin de TI / activos y detalles del incidente. 3. Definir los grupos de apoyo adecuados para ayudar en la identificacin de problemas, anlisis de causa raz y determinacin para apoyar la solucin de problemas gestin. Determinar los grupos de apoyo basados en categoras predefinidas, tales como hardware, red, software, aplicaciones y software de apoyo. 4. Definir los niveles de prioridad a travs de consultas con la empresa para asegurarse de que la identificacin de problemas y anlisis de las causas se tratan de manera oportuna forma de acuerdo con los SLAs acordados en el. Los niveles de base prioritarios de impacto en el negocio y la urgencia.
106
5. Informar sobre el estado de los problemas identificados en el centro de servicio para que los clientes y la gestin de TI puede estar informado. 6. Mantener un catlogo de problemas de gestin nica para registrar y reportar los problemas identificados y establecer pistas de auditora de la gestin de problemas procesos, incluyendo el estado de cada problema (es decir, abrir, abrir de nuevo, en curso o cerrada).
DSS03.02
1. Identificar los problemas que pueden ser conocidos los errores mediante la comparacin de datos de incidentes con la base de datos de errores conocidos y sospechosos (por ejemplo, los comunicados por los proveedores externos) y la clasificacin de los problemas como un error conocido. 2. Asociar los elementos de configuracin afectados por el error sealado/conocido 3. Elaboracin de informes para comunicar los avances en la resolucin de problemas y controlar el impacto continuo de los problemas no resueltos. Supervisar el estado del proceso de manejo de problemas a lo largo de su ciclo de vida, incluyendo el aporte de gestin de cambios y configuracin.
DSS03.03
1. Tan pronto como las causas de los problemas se identifican, crear registros de error conocido, y desarrollar una solucin adecuada. 2. Identificar, evaluar, priorizar y procesar (a travs de la gestin del cambio) las soluciones a los errores conocidos sobre la base de un modelo de negocio de costo-beneficio y el impacto en el negocio y la urgencia.
DSS03.04
1. Cierre los registros de problemas ya sea despus de la confirmacin de la eliminacin exitosa del error conocido o despus de un acuerdo con la empresa sobre cmo manejar el problema como alternativa. 2. Informar a la oficina de servicio del programa de cierre de problema, por ejemplo, el horario para la fijacin de los errores conocidos, la posible solucin o el hecho de que el problema se mantendr hasta que el cambio se lleva a cabo, y las consecuencias del enfoque adoptado. Mantener a los usuarios afectados y clientes potenciales informados segn corresponda. 3. A lo largo del proceso de resolucin, obtener informes peridicos de gestin del cambio sobre los avances en la resolucin de problemas y errores. 4. Monitorear el impacto continuo de los problemas y errores conocidos en los servicios. 5. Revisar y confirmar el XITO de las resoluciones de los principales problemas 6. Asegrese de que el conocimiento aprendido de la revisin se incorpora a una reunin de revisin del servicio con el cliente de negocios.
DSS03.05
1. Captura de informacin del problema relacionado con los cambios de TI y los incidentes y la comunicar a los interesados clave. Esta comunicacin podra adoptar la forma de informes y reuniones peridicas a entre incidentes, problemas, cambios y los propietarios de configuracin de gestin de procesos para examinar los problemas recientes y las posibles acciones correctivas.
107
2. Asegrese de que los dueos de procesos y gerentes de incidentes, problemas, cambios y configuracin se renen regularmente para discutir los problemas conocidos y los futuros cambios previstos. 3. Para permitir a la empresa para controlar los costos totales de los problemas, la captura de los esfuerzos de cambio que resultan de las actividades de los problemas de gestin de procesos (por ejemplo, las correcciones a los problemas y errores conocidos) e informar sobre ellos. 4. Elaborar informes de seguimiento de la resolucin de problemas en contra de los REQUISITOS de negocios y SLAs. Asegrese de que la escalada adecuada de los problemas, por ejemplo, la escalada a un nivel de gestin superior, conforme a los criterios convenidos, ponerse en contacto con proveedores externos, o se refieran a la junta el cambio de asesoramiento para aumentar la prioridad de una solicitud urgente de cambio (RFC) para implementar un temporal solucin. 5. Para optimizar el uso de los recursos y reducir soluciones, realizar un seguimiento de las tendencias problemticas. 6. Identificar e iniciar soluciones sostenibles (solucin permanente) que abordan la raz del problema, y elevar las solicitudes de cambio a travs de los procesos de gestin establecidos cambio.
DSS04
DSS04.01
1. Identificar los procesos de negocio internos y de terceros y actividades de servicios que son crticos son a las operaciones de la empresa o necesarios para cumplir con las obligaciones legales y / o contractual 2. Identificar los stakeholders, los roles y responsabilidades para definir y acordar la continuidad de la poltica y el alcance 3. Definir y documentar la cultura de acuerdo sobre los objetivos polticos mnimos y las posibilidades de continuidad del negocio y la necesidad de integrar la planificacin de la continuidad en la empresa 4. Identificar procesos esenciales en apoyo del negocio relacionados servicios de TI
DSS04.02
3. Establecer el tiempo mnimo necesario para recuperar un proceso de negocio y el apoyo de TI basada en una distancia aceptable de la interrupcin del negocio y la corte de mxima tolerable. 4. Evaluar la probabilidad de las amenazas que podran causar la prdida de la continuidad del negocio e identificar las medidas que reduzcan la probabilidad y el impacto a travs de una mejor prevencin y una mayor capacidad de recuperacin 7. Determinar las condiciones y los propietarios de las decisiones clave que harn que la continuidad planeada se invoque 9. Obtener la aprobacin del ejecutivo de negocios para determinadas opciones estratgicas.
DSS04.03
3. Asegrese de que los principales proveedores y socios subcontratados tienen planes efectivos de continuidad in-situ. Obtener evidencia de auditora segn sea necesario. 5. Definir y documentar los recursos necesarios para admitir el procedimiento de continuidad y recuperacin, teniendo en cuenta las personas, instalaciones y TI Infraestructura.
108
6. Definir y documentar los requisitos de copia de seguridad de informacin necesarios para apoyar los planes, incluyendo los planes y documentos en papel, as como archivos de datos, como considerar la necesidad de la seguridad y el almacenamiento fuera de la SIE 7. Determinar las habilidades requeridas para los individuos involucrados en la ejecucin del plan y los procedimientos. 8. Distribuir los planes y la documentacin de forma segura a las partes interesadas debidamente autorizados y asegurarse de que son accesibles en todos los escenarios de desastre.
DSS04.04
1. Definir los objetivos para el ejercicio y comprobacin de la empresa, tcnicos, logsticos, sistemas administrativos, de procedimiento y funcionamiento del plan para verificar la integridad del BCP en el riesgo de reunin de negocios. 2. Definir y acordar con los ejercicios de las partes interesadas que sean realistas, validar los procedimientos de continuidad, e incluyen las funciones y responsabilidades y los acuerdos de retencin de datos que causan la interrupcin mnima a los procesos de negocio. 3. Asignar funciones y responsabilidades para la realizacin de ejercicios y pruebas de continuidad del plan. 4. Programe ejercicios y actividades de prueba tal como se definen en el plan de continuidad. 5. Llevar a cabo una sesin informativa posterior a ejercicio y el anlisis para considerar el logro. 6. Desarrollar recomendaciones para mejorar el plan de continuidad del actual, basado en los resultados de la revisin.
DSS04.05
1. Revisar el plan de continuidad y la capacidad sobre una base regular en contra de cualquier hiptesis u objetivos de negocios actuales tanto operativos como estratgicos. 2. Considerar si una evaluacin impacto comercial revisada puede ser necesario, dependiendo de la naturaleza del cambio. 3. Recomendar y comunicar los cambios en las polticas, planes, procedimientos, infraestructura, y los roles y responsabilidades para la aprobacin de la administracin y el procesamiento a travs del proceso de gestin del cambio. 4. Revisar el plan de continuidad sobre una base regular para considerar el impacto de los cambios nuevos o mayores a: organizacin empresarial, los procesos de negocio, acuerdos de subcontratacin, tecnologas, infraestructura, sistemas operativos y sistemas de aplicacin.
DSS04.06
1. Definir y mantener los requisitos de formacin y los planes para los planes de continuidad desempeo, evaluaciones de impacto, las evaluaciones de riesgos, los medios de comunicacin y respuesta a incidentes. Asegrese de que los planes de formacin en cuenta la frecuencia del entrenamiento y los mecanismos de formacin de entrega. 2. Desarrollar las competencias sobre la base de la formacin prctica incluida la participacin en ejercicios y pruebas. 3. Monitorear las habilidades y competencias basadas en el ejercicio y resultados de la prueba.
DSS04.07
109
1. Copia de seguridad de sistemas, aplicaciones, datos y documentacin de acuerdo con un cronograma definido, teniendo en cuenta: Frecuencia (mensual, semanal, diaria, etc.) El modo de copia de seguridad (por ejemplo, la duplicacin de discos de copias de seguridad en tiempo real vs DVD-ROM para la retencin a largo plazo) Tipo de copia de seguridad (por ejemplo, llena vs incremental) Tipo de medio Automatizar las copias de seguridad de lnea Tipos de datos (por ejemplo, voz, ptico) Creacin de registros Crticos de los usuarios finales de datos informticos (por ejemplo, Hojas de clculo) Locacin fsica y lgica de las fuentes de datos Seguridad y derechos de acceso Cifrado 2. Asegrese de que los sistemas, aplicaciones, datos y documentacin mantenidos o procesados por terceros estn suficientemente apoyadas o aseguradas. Considere la posibilidad de exigir devolucin de las copias de seguridad de terceros. Considere la posibilidad de acuerdos de custodia o depsito. 3. Definir los requisitos para la in-situ y fuera del sitio de almacenamiento de datos de copia de seguridad que cumplan con los requerimientos del negocio. Tenga en cuenta la accesibilidad necesaria para realizar copias de seguridad de datos. 4. Extender la conciencia BCP y la formacin. 5. Peridicamente, probar y actualizar los datos archivados y de copia de seguridad.
DSS04.08
1. Evaluar el cumplimiento del BCP documentado. 2. Determinar la eficacia del plan, las capacidades de continuidad, las funciones y responsabilidades, habilidades y competencias, capacidad de recuperacin del incidente, la infraestructura tcnica, y las estructuras organizativas y las relaciones. 3. Identifique las debilidades u omisiones en el plan y las capacidades y hacer recomendaciones para la mejora. 4. Obtener la aprobacin de la gestin de cualquier cambio en el plan y solicitar a travs del proceso de la empresa de control de cambios.
DSS06
DSS06.01
1. Identificar y documentarlas actividades de control de procesos de negocio clave para satisfacerlos requisitos de control para los objetivos estratgicos, operativos, de informacin y el cumplimiento 2. 3. Dar prioridad a las actividades de control basadas en el riesgo inherente al negocio e identificarlos controles clave. Garantizar la propiedad de las actividades de control clave.
110
4. 5.
Monitorear continuamente las actividades de control de extremo a extremo para identificar oportunidades de mejora. Mejorar continuamente el diseo y operacin de los controles de procesos de negocio.
DSS06.02
2. Autenticar el autor de las transacciones y comprobar que l / ella tiene la autoridad de origen de la transaccin. 4. Datos correctos y reenviados que fueron errneamente ingresados, sin comprometer los originales con los niveles de autorizacin de la transaccin. Cuando proceda, para la reconstruccin, retener documentos originales por la cantidad adecuada de tiempo. 5. Mantener la integridad y validez de los datos durante todo el ciclo de procesamiento. Asegrese de que la deteccin de transacciones errneas no interrumpe el procesamiento de las transacciones vlidas. 7. Manejar la salida en la forma autorizada, entregar al destinatario adecuado y proteger la informacin durante la transmisin. Verificarla exactitud e integridad de la salida. 8. Antes de pasar datos de las transacciones entre las aplicaciones internas y funciones de negocios/operaciones (dentro o fuera de la empresa), compruebe para tratar adecuada, la autenticidad del origen e integridad del contenido. Mantener la autenticidad e integridad en la transmisin o transporte.
DSS06.03
1. Asignar funciones y responsabilidades sobre la base de las descripciones de puestos aprobados y asignados actividades de procesos de negocio. 2. Asignar niveles de autoridad para la aprobacin de las transacciones, los lmites y cualesquiera otras decisiones relativas al proceso de negocio, basados en roles de trabajo aprobados. 3. Asignar los derechos de acceso y privilegios sobre la base de slo lo que se requiere para llevar a cabo actividades de trabajo, basados en roles de trabajo pre-definidos. Eliminar o modificar los derechos de acceso inmediato si los cambios de roles de trabajo o un miembro del personal abandona el rea de proceso de negocio. Revise peridicamente para asegurarse de que el acceso es adecuado para las actuales amenazas, el riesgo, la tecnologa y la necesidad de negocios. 4. Asignarlas funciones para las actividades sensibles, de modo que existe una clara segregacin defunciones.
5. Proporcionar sensibilizacin y capacitacin sobre las funciones y responsabilidades de forma regular para que todos entiendan sus responsabilidades, la importancia de los controles y la integridad, confidencialidad y privacidad de informacin de la compaa en todas sus formas. 6. Revisar peridicamente las definiciones de control de acceso, los registros e informes de excepcin para asegurar que todos los privilegios de acceso son vlidos y estn alineados con los funcionarios actuales y sus roles asignados.
DSS06.04
1. Definir y mantener procedimientos para asignar la propiedad, corregir errores, remplazar errores y manejarlas condiciones fuera de balance. 2. 3. Errores de revisin, excepciones y desviaciones. Seguimiento, corregir, aprobar y volver a presentarlos documentos de origen y las transacciones.
5. Reporte de errores de proceso relevantes de negocio de la informacin en una manera oportuna analizar la causa de origen y el anlisis de tendencias.
DSS06.05
111
2. 3.
Capturar informacin de la fuente, las pruebas correspondientes y el registro de las transacciones. Deshgase de las fuentes de informacin, pruebas, as como el registro de las transacciones de acuerdo con la directiva de retencin.
DSS06.06.
1. Aplicarla clasificacin de datos, el uso aceptable, las polticas y procedimientos de seguridad para protegerlos activos de informacin bajo el control de la empresa. 4. Identificar e implementarlos procesos, herramientas y tcnicas para verificar el cumplimiento razonable.
MEA01
MEA01.01
1. Identificar las partes interesadas (por ejemplo, gestin, los proceso). 4. Ponerse de acuerdo sobre las metas y mtricas (por ejemplo, la conformidad, rendimiento, valor, riesgo) la taxonoma (clasificacin y las relaciones) entre las metas. 5. Ponerse de acuerdo sobre un sistema de gestin del ciclo de vida y el proceso de cambio de control para supervisor e informar. Incluya las oportunidades de mejora para la presentacin. 6. Solicitud, priorizar y asignar recursos para la vigilancia (cuenta la idoneidad, eficiencia y confidencialidad). 7. Peridicamente validar el mtodo utilizado e identificar nuevas o modificadas las partes interesadas.
MEA01.02
1. Definir y revisar peridicamente con los interesados los objetivos y mtricas para identificar cualquier significativa falta definir la razonabilidad de los objetivos y las tolerancias. 2. Comunicar los cambios propuestos en los objetivos de rendimiento y de la conformidad y tolerancias (en relacin con mtricas) con actores
relevantes de la debida diligencia (por ejemplo, legal, auditora, recursos humanos, la tica, el cumplimiento, finanzas).
3. Publicar los objetivos cambiaron y las tolerancias para los usuarios de esta informacin. 4. Evaluar si las metas y las mtricas son adecuados, es decir, especficos, mensurables, realizables, pertinentes y de duracin
MEA01.03
1. Recopilar datos de procesos definidos automatizado, siempre que sea posible. 2. Evaluar la eficiencia (esfuerzo en relacin con la visin siempre) y la conveniencia (utilidad y el significado) y validar la integridad (exactitud e integridad) de los datos recogidos. 3. Los datos agregados para apoyar la medicin de los acordados en los indicadores.. 4. Alinear los datos agregados al enfoque de informes de la empresa y objetivos 5. Utilice las herramientas adecuadas y sistemas para el procesamiento y el formato de datos para el anlisis.
MEA01.04
112
2. Comparar los valores de rendimiento a los objetivos internos y puntos de referencia y, cuando sea posible, a los puntos de referencia externos (industria y los principales competidores). 3. Recomendar cambios a las metas y mtricas, en su caso. 4. Distribucin de informes a las partes interesadas. 6. Cuando sea posible, el logro de enlace de los objetivos de rendimiento en el sistema de recompensa de compensacin de la organizacin.
MEA01.05
2. Asegrese de que la asignacin de responsabilidades para la accin correctiva se mantiene. 3. Sigue los resultados de las acciones cometidas. 4. Informar los resultados a las partes interesadas.
Existe otra mtrica para evaluar el comportamiento de nuestros procesos y son los RACI que a continuacin veremos en este documento
113
Prcticas de Gobernabilidad clave
EDM01.01 Evaluar el sistema de gobierno.
EDM01 RACI Grfico
EDM01.02 Dirigir el sistema de gobierno.
EDM01.03 Supervisar el sistema de gobierno. A R C C R I R I I I C I I I I C C R C I I I I I I I I I I C I C I I I C C R C I I I I I I I C C C C R C C C C R I R R R C C C C Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio R R Conformidad A A Tablero Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Oficial de Privacidad
114
EDM02.01
EDM02 RACI Trazar
EDM02.03
EDM02.02
Optimizacin de valor directo.
Evaluar la optimizacin de valor.
Vigilar la optimizacin de valor.
A R R C R I R R R C C C C C C C R C C C R I I C I I I C I I I I I R C I I I I I I I C C C C R C C C C C R R R R R C R
Tablero Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Gestin de Oficina de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
115
EDM03.01
EDM03 RACI Chart
Evaluar la gestin de riesgos.
EDM03.03 A A
EDM03.02
Supervisar la gestin del riesgo.
La gestin del riesgo directo.
A R C C C C R R C C R I I I R R I I C C C R C I I I I I I C I I R I I I C C C R C I I I I I I C I C C C R C I R C R R R C C R C R I I
Tablero Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
116
APO02.03 Definir el objetivo de capacidades de TI
APO02.04 REALIZAR ANALISIS gap
APO02.05 Definir el plan estratgico y el camino de mapeo Prcticas de administracin de claves
APO02.06 Comunicar la estrategia de Ti y su Direccin I Tablero A C Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio R I I R I A I I I I I I I I I I R I I I I I I I I C C A C C C C C C C C R C R C A R R C R C R C R C R C R C C C C C C C C I R C C R I R C R C C C Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad I C Conformidad Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos
PROCESOS APO
117
APO08 Tabla RACI
APO08.03 Gestionar la relacin comercial. APO08.04 Coordinar y Comunicar APO08.05 Proporcionar informacin a la mejora continua de los servicios. Practica de gestin de claves Tablero I C I I C R I R R C C I C C A C R R R C C C C A A R R R A R R R R R R R C C C C A C R R C R R R I R R R I Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos R I C C C R R I C C C C R C
APO08.01 Entender las expectativas del negocio.
APO08.02 Identificar oportunidades, riesgos y limitaciones de TI para mejorar el negocio.
118
APO10 Tabla RACI
Practica de gestin de claves
APO10.01 Identificar y evaluar las relaciones con proveedores y contratos. APO10.02 Seleccionar proveedores. APO10.03 Gestionar las relaciones con proveedores y contratos. APO10.04 Gestin de riesgo de los proveedores. APO10.05 Monitorear el desempeo del proveedor y el cumplimiento. Tablero Consejero Delegado I I C C C C C A C R R C C C C R C C C A C R R C C C C C C C C C C C C C A A A C C C R C C R C C R R R C C C C C C C C C C C C C C Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
119
APO12 Tabla RACI
APO12.01 Recopilar datos. APO12.02 Anlisis de riesgos APO12.03 Mantener un perfil de riesgo. APO12.04 Articular riesgo APO12.05 Definir un sistema de gestin de riesgos la accin de la cartera APO12.06 Responder a los riesgos Practica de gestin de claves Tablero I R R R R I C C A R R R R R R R R C A C I C C R C C C C C C C C C C A C C C C C C C C C R C R R R R R C R R A R R C C R I I R R C R R C A A R C C R C C R C C R C C R C C R C C R C C R C C R I I I I I Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
120
APO13 Tabla RACI
APO13.03 Supervisar y revisar el SGSI Practica de gestin de claves Tablero C C C C C I I C A C C C C R C C C R C R C C C I C I I C A C C C C R I I I R I R C C C Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
APO13.01 establecer y mantener un SGSI
APO13.02 Definir y gestionar la informacin de los riesgos de seguridad y plan de tratamiento
121
BAI01 RACI Chart
122

BAI01.03 Maneje enfrentamiento de stakeholders BAI01.04 Desarrolle y mantenga el plan de programa BAI01.05 Emprenda y ejecute el programa BAI01.06 Monitoree , controle y escriba una crnica de los resultados de programa BAI01.07 Sobresltese y el iniciado se proyecta dentro de un programa BAI01.08 Planifique proyectos La clave de gestin de practica I I
Tablero El Director De La Empresa El Oficial Financiero Principal
BAI01.01 Mantenga un acercamiento estndar para el programa y la administracin del proyecto BAI01.02 Inicie un programa
BAI01.09 Maneje calidad de programa y de proyecto R A A C C C C C C R C C R C R

El Oficial De Operaciones Principal Los Ejecutivos Comerciales
R A A A C R R C I I I I R R R A A A R R R C C C C C R C C C C C C C C C C C C C C C C C R C C C C C C C C C C R R R R R R I C C C R R R R C C C C R C C C C C C C C C C C R I I R C C C C C C C R C R
A R R R R C C C C C C C C
Los Dueos Comerciales de Proceso
R C C C C R
La Comisin Directiva de Estrategia El comit de la direccin (el programa /proyectos) La Oficina de Administracin del Proyecto La Oficina de Gestin de Valor El Funcionario Principal de Riesgo El Oficial Principal de Proteccin de la Informacin El Consejo de Arquitectura El Comit de Riesgo de la Empresa Dirija Recursos Humanos La conformidad La auditora El Jefe De Informacin Gue Al Arquitecto Dirija Desarrollo Dirjase a las Operaciones de TI Dirija Gerencia de TI El Jefe De Servicio El Gerente de Proteccin de la Informacin
El Administrador Empresarial de Continuidad El Oficial de Privacidad
123
BAI01.14 Cierre un programa
BAI01.11 Monitoree y controle proyectos
BAI02 RACI Chart
BAI01.13 Cierre un proyecto o una iteracin
BAI02.01 Definir y mantener los requisitos de negocio funcionales y tcnicas.
BAI02.02 Realizar un estudio de factibilidad y formulacin de alternativas de solucin. BAI02.03 Gestionar el riesgo requisitos.
BAI01.10 Administre riesgo de programa y de proyecto
BAI01.12 Administre recursos de proyecto y paquetes de trabajo
Clave de practicas de administracion I
Tablero
C
Consejero Delegado
C
Director financiero Director de Operaciones
C R A C I
R R R A A R R C C C C R C C C R R R C C C C C C C C C C C C C C R C C C C R
Auditora
Ejecutivos de Empresa
R R R C R
R R A R
Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Gerente de Servicio Oficial de Privacidad
I R R R
I A R C
I A R C
I A R C
I A R C
Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad
C C
C C
R C
C C
R C C C C C
C C C C C C
C R C C C
R C C C
R C C C
Jefe de Operaciones de TI Jefe de Administracin de TI
C C
C C
C C
Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio
124
BAI02.04 Obtener la aprobacin de las necesidades y soluciones
125
BAI06 RACI Grfico
BAI06.04 Cerca y documentan los cambios. Teclee Prctica de la Gerencia
BAI06.02 Maneje cambios de emergencia.
BAI06.03 La pista y el informe cambian estatus.
BAI06.01 Mantener un nivel enfoque para programa y gestin de proyectos.
Tablero Consejero Delegado Director financiero Director de Operaciones

C A R R C C C R C I R R I R R I I C C R R R R A A A
R I C C C C R
R C C C C R C R R C
Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Gestin de Oficina de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
126
DSS02 RACI Chart
DSS01 RACI Chart
Practicas Claves de Administracin DSS01.01 Realizar procedimientos operacionales. DSS01.02 Administrar los servicios de TI externalizados DSS01.03 Monitor infraestructura de TI DSS01.04 Gestionar el medio ambiente DSS01.05 Gestionar instalaciones
Tablero Consejero Delegado Director financiero
Director de Operaciones Ejecutivos de Empresa
I I I C A C C C I C R I R I C C C I C R I R I C R A A C C C C C C A I A C
Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Gestin de Oficina de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
PROCESOS DSS
127
DSS03 Modelo RACI

DSS02.05 Resolver y recuperar los incidentes DSS02.06 Cerrar las solicitudes de servicio e incidentes. DSS02.07 Seguimiento de la situacin y producir informes
Tablero Consejero Delegado Director financiero Director de Operaciones Ejecutivos de Empresa
Practicas Claves de Administracin DSS02.01 Defina el incidente y atienda esquemas de clasificacin de peticin. DSS02.02 Registrar, clasificar y jerarquizar las solicitudes e incidentes. DSS02.03 Verificar, aprobar y cumplir con las solicitudes de servicio. DSS02.04 Investigue, diagnostique y asigne incidentes c R
I I I I I I I A R I I I I I I I A I R I I I C C I R R A R C
Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor
I I I I I C R A C I R R A
I I A R I
I I A C R R R C C C
Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio
128
Oficial de Privacidad
Practicas Claves de Administracin DSS03.01 Identificacin y Clasificacin de problemas DSS03.02 Investigacin y Diagnstico de problemas DSS03.03 Elevar los errores conocidos. DSS03.04 Resolver y concluir problemas DSS03.05 Realizar Gestin proactiva del problema
Tablero Consejero Delegado
I C C C R A C I I C C I C C R A A R R C C A R R I I
I C I I I I R C R R A C
Director financiero Director de Operaciones Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Gestin de Oficina de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe
129
Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
DSS04 Modelo RACI
Practicas Claves de Administracin DSS04.01 Definir la poltica de continuidad del negocio, Objetivos y mbito de aplicacin. DSS04.02 Mantener una estrategia de continuidad. DSS04.03 Desarrollar e implementar una respuesta continuidad del negocio. DSS04.04 El ejercicio, la prueba y revisar el BCP. DSS04.05 Revisar, mantener y mejorar el plan de continuidad. DSS04.06 Organizar cursos de capacitacin plan de continuidad. DSS04.07 Administrar los acuerdos de copia de
Tablero Consejero Delegado Director financiero
Director de Operaciones Ejecutivos de Empresa
A C
A C
I R I I I C R R R R R R C A R 130 A R C R R C R A R R R C R C C R A
R I C C R R C R R
R C C C R R C R R
Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos Conformidad Auditora Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo Jefe de Operaciones de TI Jefe de Administracin de TI Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
seguridad. DSS04.08 Llevar a cabo despus de la reanudacin la revisin.
C R R
131
DSS06 Tabla RACI
Prctica de administracin clave
DSS06.04 Gestin de errores y excepciones.
DSS06.06 Asegure los activos de informacin. Tablero R C Consejero Delegado C Director financiero C Director de Operaciones A Ejecutivos de Empresa A R R Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto Oficina de Gestin de Valor I I C C C C C C C C I I I C C C C C C I C C C C C C R C C R I I Director General de Riesgo I I Jefe de Informacin Oficial de Seguridad Junta de Arquitectura Comit de Riesgo Empresarial Jefe de Recursos Humanos C C Conformidad C C Auditora C C Jefe de Informacin Arquitecto Jefe Jefe de Desarrollo C C Jefe de Operaciones de TI Jefe de Administracin de TI C C Gerente de Servicio C C Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad C I C A I C R A A A C R R R
DSS06.05 Asegurar la trazabilidad de los eventos de informacin y rendicin de cuentas.
DSS06.01 Alinear las actividades de control integrados en los procesos de negocio con los objetivos de la empresa
DSS06.02 Controlar el procesamiento de la informacin. DSS06.03 Gestin de roles, responsabilidades, privilegios de acceso y niveles de autoridad.
132
MEA02 RACI Grafico
Ejecutivos de Empresa Propietarios de Procesos de Negocio Estrategia del Comit Ejecutivo Comit (Programas/Proyectos) Directivo Oficina de Gestin de Proyecto
Comit de Riesgo Empresarial
Director General de Riesgo Jefe de Informacin Oficial de Seguridad Junta de Arquitectura
Jefe de Administracin de TI
R
Jefe de Recursos Humanos
Oficina de Gestin de Valor
Prcticas de administracin de claves
MEA02.01
Supervisar los controles internos.
MEA02.02
Proceso de revisin del negocio de los controles de eficacia.
MEA02.03
Realizar el control de autoevaluaciones.
MEA02.04
Identificar e informar de las deficiencias de control.
MEA02.05
Garantizar que los proveedores de garanta son independientes y cualificados.
MEA02.06
Las iniciativas del Plan de aseguramiento.
A R I I
C R C
R R R
C C C I I
C C C
C A A
R R R
C C C
C C C
C C C
C C C
C C C
MEA02.07
mbito de aplicacin de garanta de las iniciativas.
MEA02.08
Ejecutar las iniciativas de aseguramiento.
Gerente de Servicio Gerente de Informacin de Seguridad Gerente de Continuidad del Negocio Oficial de Privacidad
R R R C C R R R R R R C C C C C C C C C
Jefe de Operaciones de TI
Director de Operaciones
Consejero Delegado
Jefe de Informacin
Jefe de Desarrollo
Director financiero
Arquitecto Jefe
Conformidad
Auditora
Tablero
133
134
Apndice H Glosario
Termino
Parte Responsable (Raci) Responsable De Gobierno
Definicin
El individuo, grupo o entidad que es responsable en ltima instancia un objeto, proceso o mbito de aplicacin En un grfico RACI, responde a la pregunta: Quin explica el xito de la tarea? El responsable de gobierno asegura que los objetivos de la empresa se logran mediante la evaluacin de los stakeholders, las necesidades, condiciones y opciones de configuracin de la direccin, haciendo a travs de la priorizacin, decisin, y la vigilancia del desempeo, el cumplimiento y el progreso contra los planes. En la mayora de las empresas, la gobernabilidad es responsabilidad de la junta directiva, bajo el liderazgo del presidente. En COBIT, las principales medidas adoptadas para hacer funcionar el proceso. Orientacin para lograr prcticas de gestin de gobierno exitoso y la gestin de las TI corporativas. Actividades: Describe un conjunto de medidas de aplicacin necesarias y suficientes orientadas a la accin logrando as una prctica de Gobierno o Administracin de la Prctica Tenga en cuenta las entradas y salidas o el proceso de Se basan en las normas generalmente admitida y buenas prcticas Apoyar el establecimiento de funciones y responsabilidades claras No son preceptivos anuncios deben adaptarse y desarrollarse en los procedimientos especficos apropiados para la empresa. Un estado en el que los facilitadores de la gobernabilidad y la gestin de TI de la empresa apoyar los objetivos y estrategias de la empresa Descripcin de la agrupacin lgica de las capacidades que manejan los objetos necesarios para procesar informacin y apoyo a los objetivos de la empresa Un grupo de stakeholders y expertos que son responsables de la orientacin de la empresa los asuntos, decisiones y de establecer las polticas y normas arquitectnicas El acto de verificar la identidad de un usuario y la elegibilidad del usuario para acceder a la informacin informatizada Nota de Alcance: Garanta: La autenticacin est diseada para proteger contra la actividad de inicio de sesin fraudulenta. Tambin puede referirse a la verificacin de la exactitud de un dato. La descripcin existente del diseo fundamental subyacente de los componentes del sistema de negocio antes de entrar en un ciclo de revisin de la arquitectura y el rediseo
Actividad
Alineacin Arquitectura De La Aplicacin Plano De Arquitectura Autenticacin
Lnea Base De La Arquitectura
135
Beneficios De La Realizacin
Uno de los objetivos de la gobernanza. El lograr nuevos beneficios para la empresa, el mantenimiento y ampliacin de las actuales formas de beneficios, y la eliminacin de esas iniciativas y los activos que no estn generando un valor suficiente.
Termino
Continuidad Del Negocio
Definicin
Prevencin, la mitigacin y la recuperacin de la interrupcin. De la planificacin de la reanudacin de negocios 'Los trminos, "la planificacin de recuperacin de desastres" y "planes de contingencia' tambin se puede utilizar en este contexto, se centran en los aspectos de recuperacin de la continuidad, y por esa razn los aspectos de la" resiliencia "Tambin hay que tener en cuenta. La traduccin de la misin de la empresa a partir de una declaracin de intenciones en las metas de desempeo y los resultados Las polticas, procedimientos, prcticas y estructuras organizacionales diseadas para proporcionar una seguridad razonable de que un proceso de negocio alcance sus objetivos La redistribucin de los gastos de las unidades dentro de una empresa que les dio origen Nota de Alcance: de cargo es importante porque sin esa poltica, puntos de vista errneos puede dar en cuanto a la rentabilidad real de un producto o servicio, ya que ciertos gastos clave ser ignorado o se calcula de acuerdo a una frmula arbitraria. 1. COBIT 5: Anteriormente conocida como los Objetivos de Control para la Informacin y Tecnologa Relacionada (COBIT), ahora se utiliza slo como el acrnimo en su quinta iteracin. Un marco completo, internacionalmente aceptado para la regulacin y la gestin de informacin empresarial y la tecnologa (TI) que apoya a los ejecutivos de la empresa y la direccin en la definicin y el logro de los objetivos de negocio y la relacionada con los objetivos de TI. COBIT se describen cinco principios y facilitadores siete que las empresas de apoyo en el desarrollo, implementacin y mejora continua y el seguimiento de la buena gobernanza relacionados con la TI y las prcticas de gestin. Nota de Alcance: Las versiones anteriores de COBIT se centr en los objetivos de control relacionados con los procesos de TI, gestin y control de los procesos de TI y los aspectos de gobernabilidad. La adopcin y el uso del marco de COBIT son compatibles con la orientacin de una creciente familia de productos de apoyo. (Vase www.isaca.org / COBIT para ms informacin.) 2. COBIT 4.1 y versiones anteriores: Anteriormente conocida como los Objetivos de Control para la Informacin y Tecnologa Relacionada (COBIT). Un completo proceso de aceptacin internacional marco de TI que apoya a las empresas y los ejecutivos de TI y de gestin en su definicin y el logro de los objetivos de negocio y de TI relacionados con las metas, proporcionando un amplio gobierno de TI, gestin, control y modelo de garanta. COBIT se describen los procesos y objetivos de control asociados, directrices de gestin (actividades, responsabilidades, competencias e indicadores de rendimiento) y modelos de madurez. COBIT apoya la gestin de empresas en el desarrollo, implementacin, mejora continua y el seguimiento de buenas prcticas relacionadas con IT. Nota de Alcance: Adopcin y aplicacin del marco COBIT estn apoyados por una orientacin para ejecutivos y de gestin
Empresas Objetivo Empresas De Control De Procesos Devolucin De Cargo
COBIT
136
(Informe de la Junta de Gobierno de TI, 2 edicin), los implementadores de TI de COBIT (la gobernanza de inicio rpido, 2 edicin, Gobierno de TI Gua de Implementacin: El uso de COBIT y Val IT, 2 edicin, y las prcticas de COBIT Control: Gua para Lograr los Objetivos de Control para el xito de IT Governance), y la garanta de los profesionales de TI y auditora (IT Assurance Guide Uso de COBIT). La gua tambin existe para apoyar a su aplicabilidad a ciertos requisitos legales y reglamentarios (por ejemplo, los objetivos de control de la ley Sarbanes-Oxley, los objetivos de control de Basilea II) y su importancia para la seguridad de la informacin (COBIT Baseline Security). COBIT se asigna a otros marcos y normas para ilustrar la cobertura completa de la gestin del ciclo de vida de TI y apoyar su uso en empresas que utilizan mltiples relacionados con la TI marco y las normas.
Termino
Cdigo De tica
Definicin
Un documento destinado a influir en el comportamiento individual y organizacional de los trabajadores mediante la definicin de valores de la organizacin y las reglas que deben aplicarse en ciertas situaciones. Se ha adoptado para ayudar a aquellos en la empresa llamada a tomar decisiones a entender la diferencia entre 'derecha' e 'incorrecto' y aplicar este conocimiento a sus decisiones. La capacidad de realizar una tarea especfica de accin, o de la funcin con xito Se refiere a aquellas personas cuyas opiniones se buscan en una actividad (comunicacin bidireccional) En un grfico RACI, responde a la pregunta: Quin est proporcionando la entrada? Los roles clave que proporcionan las entradas. Tenga en cuenta que depende de las funciones contables y responsables de obtener informacin de otras unidades o socios externos, tambin, sin embargo, las aportaciones de las funciones enumeradas deben ser considerados y, si es necesario, tomar las medidas adecuadas que deben adoptarse para la escalada, incluida la informacin del propietario del proceso y / o el comit de direccin El conjunto global de factores internos y externos que pueden influir y determinar la forma y la empresa acta la entidad, proceso o persona Nota de Alcance: El contexto incluye: Contexto de la tecnologa - los factores tecnolgicos que afectan la capacidad de una organizacin para extraer valor de los datos Contexto de datos - exactitud de los datos, la disponibilidad de divisas y de calidad. Habilidades y conocimientos - la experiencia general, una capacidad de anlisis, tcnicas y de negocio Organizativa de un contexto cultural - Los factores polticos, y si la organizacin prefiere los datos a la intuicin. Contexto estratgico - Objetivos estratgicos de la empresa Los medios de gestin de riesgos, incluidas las polticas, procedimientos, directrices, prcticas y estructuras organizativas, que pueden ser de carcter administrativo, tcnicos, de gestin o de carcter jurdico. Tambin se utiliza como sinnimo de salvaguarda o contramedida. Un patrn de conductas, creencias, presunciones, actitudes y formas de hacer las cosas Los factores externos e internos que inician y afectar la forma en una empresa o los individuos actan o cambiar Vase objetivo de negocios
Competencia Parte Consultada (RACI)
Contexto
Control
Cultura Conductor Objetivo Empresarial
137
Termino
Empresa De Gobierno
Definicin
Un conjunto de responsabilidades y prcticas ejercidas por el directorio y la gerencia ejecutiva, con el objetivo de proporcionar direccin estratgica, asegurar que se logran los objetivos, determinar que el riesgo se gestiona de manera adecuada y verificar que los recursos de la empresa se utilizan de forma responsable. Tambin podra significar el fin de centrarse en la gobernanza de la empresa en general, el punto de vista de ms alto nivel de gobierno al que todos los dems deben alinear. El perodo de tiem durante el cual los gastos de material (incluyendo inversiones, funcionamiento y los costes de jubilacin) se espera que vaya a efectuar, un programa de inversiones Una actividad demostrada o proceso que se ha utilizado con xito por mltiples empresas y se ha demostrado que producen resultados fiables El marco, los principios y las polticas, estructuras, procesos y prcticas, informacin, habilidades, cultura, tica y comportamiento para establecer la direccin y vigilar el cumplimiento y el desempeo de la empresa en consonancia con el objetivo general y objetivos definidos. Gobierno define la rendicin de cuentas, la responsabilidad y la toma de decisiones (entre otros elementos). Para cada proceso de COBIT, las prcticas de gobierno y administracin de proporcionar un conjunto completo de requisitos de alto nivel para la gobernabilidad efectiva y prctica y la gestin de las TI corporativas. Son declaraciones de las acciones de los rganos de gobierno y de gestin. Algo (tangible o intangible) que ayuda en la realizacin de un gobierno efectivo Un marco es una estructura conceptual bsica para resolver o abordar temas complejos, un facilitador de la gobernabilidad, un conjunto de conceptos, supuestos y prcticas que definen cmo algo puede ser acercado o ser entendido, las relaciones entre las entidades involucradas, los roles de los involucrados , y los lmites (lo que es y no est incluido en el sistema de gobierno). Ejemplos: COBIT y COSO Interno Marco Integrado de Control Una visin de gobierno que garantiza que la informacin y el apoyo tecnolgico relacionado y permitir que la estrategia de la empresa y el logro de los objetivos de la empresa. Tambin incluye la gestin funcional de la misma, es decir, asegurar que las capacidades de TI se proporcionan de manera eficiente y eficaz. Un activo que, como otros activos comerciales importantes, es esencial para los negocios de una empresa. Puede existir en muchas formas: impresa o escrita en papel, almacenada electrnicamente, transmitida por correo o por va electrnica, que se muestra en las pelculas, o hablada en conversaciones. Se refiere a aquellas personas que se mantienen al da sobre el progreso de una actividad (de una va de comunicacin) En un grfico RACI, responde a la pregunta: Quin recibe la informacin? Funciones que estn informados de los achiviements y / o resultados de la tarea. El papel en "responsables", por supuesto, siempre debe recibir informacin adecuada para supervisar la tarea, al igual que las funciones responsables de
Ciclo Completo La Vida Econmica Buenas Prcticas Gobierno
Gobierno/Gestin De La Prctica
Gobierno Facilitador Marco De Gobierno
Gobierno Empresarial De TI
Informacin
Parte Informada (RACI)
138
su rea de inters.
Termino
Entradas Y Salidas
Definicin
Los Productos del proceso de trabajo y artefactos se considere necesario para apoyar la operacin del proceso que permita tomar decisiones clave, proporcionan un registro y seguimiento de auditora de las actividades del proceso, y permitir el seguimiento en el caso de un incidente. Ellos se definen a nivel de gestin prctica clave, puede incluir algunos productos de trabajo usados slo dentro del proceso y con frecuencia son insumos esenciales a otros procesos. Los ilustrativos COBIT 5 entradas y salidas no debe considerarse como una lista exhaustiva puesto que los flujos de informacin adicional podran ser definido en funcin del entorno de una empresa particular y normas de procedimiento. La coleccin de las inversiones se estn considerando y / o estn realizando Funcionalidad electrnica que constituye parte de los procesos de negocio llevadas a cabo por, o con la ayuda de TI Una declaracin que describa el resultado deseado de la empresa de TI en apoyo de los objetivos de la empresa. Un resultado puede ser un artefacto, un cambio significativo de un estado o una mejora de la capacidad significativa. La provisin del da a da a los clientes de la infraestructura de TI y las aplicaciones y soporte para su uso. Los ejemplos incluyen mesa de servicio, suministro de equipos y se mueve, y las autorizaciones de seguridad. Implica el uso prudente de los medios (recursos, personas, procesos, prcticas, etc) para lograr un fin identificado. Se trata de un medio o instrumento por el cual el rgano de gobierno logra un resultado u objetivo. La administracin es responsable de la ejecucin dentro de la direccin establecida por el rgano de gobierno. La gestin es la planificacin, construccin, organizacin y control de las actividades operacionales para alinearse con la direccin establecida por el rgano de gobierno, e informar sobre estas actividades. Una manera de describir un conjunto dado de componentes y como estos componentes se relacionan entre s para describir el funcionamiento principales de un objeto, sistema o concepto Una entidad cuantificable que permite la medicin de la achiviement de un objetivo proceso. Las mtricas deben ser SMART - especfico, medible y aplicable, relevante y oportuna. Orientacin mtrico completo define la unidad utilizada, la frecuencia de medicin, el valor objetivo ideal (si procede) y tambin el procedimiento para llevar a cabo la medicin y el procedimiento para la interpretacin de la evaluacin. Declaracin de un resultado deseado Un facilitador de la gobernabilidad y de gestin. Incluye la empresa y sus estructuras, jerarquas y dependencias. Ejemplo: Comit de direccin consulte las entradas y salidas individual o de grupo que tiene o posee los derechos de los y las responsabilidades de una empresa, entidad o activo, por ejemplo, el dueo del proceso, el propietario del sistema La intencin general y la direccin como se expresan formalmente por la direccin Facilitador de la gobernabilidad y de gestin. Comprende los valores y las libertades fundamentales suposiciones de la
Cartera De Inversiones Aplicacin Informtica Meta De TI Servicios De TI Administracin
Modelo Mtrica
Objetivo Estructura Organizativa Salida Propietario Poltica Principio
139
empresa, las creencias que guan y poner lmites alrededor de la toma de decisiones de la empresa, comunicacin ad within fuera de la empresa, y el cuidado stewarship de activos de propiedad de otro. Ejemplo: tica carta, carta de responsabilidad social
Termino
Proceso
Definicin
Por lo general, un conjunto de prcticas influenciadas por las polticas de la empresa y los procedimientos que lleva a las aportaciones de una serie de fuentes (incluyendo otros procesos), maneja todas las entradas y produce salidas (por ejemplo, productos, servicios) Nota de alcance: Los procesos tienen razones claras de negocio para los actuales propietarios, responsables, roles y responsabilidades claras alrededor de la ejecucin del proceso, y los medios para medir el desempeo. Una caracterstica mensurable de la capacidad de proceso aplicable a cualquier proceso Una caracterizacin de la capacidad de un proceso para cumplir con los objetivos de negocio actuales Una declaracin que describa el resultado deseado de un proceso. Un resultado puede ser un artefacto, un cambio significativo de un estado o una mejora de la capacidad significativa de otros procesos La funcin de la responsabilidad de apoyar los programas y los directores de proyectos, y la recoleccin, evaluacin y presentacin de informacin sobre la conducta de sus programas y proyectos que constituyen Ser apto para el propsito (la realizacin del valor previsto) Muestra que es serio, responsable, consultados e informados dentro de un marco organizativo Cualquier activo de la empresa que puede ayudar a la organizacin a lograr sus objetivos Uno de los objetivos de la gobernanza. Involucra el uso eficaz, eficiente y responsable de todos recursos-humanos, financieros, equipamiento, instalaciones, etc. Se refiere a la persona que debe garantizar que las actividades se han completado correctamente En un grfico RACI, responde a la pregunta: Quin est obteniendo la tarea? Funciones que toman el juego principal de operaciones en el cumplimiento de la actividad de la lista y la creacin de la prevista resultado Uno de los objetivos de gobierno. Implica el reconocimiento de los riesgos, evaluar el impacto y la probabilidad de que el riesgo y las estrategias de desarrollo, tales como evitar el riesgo, reduciendo el efecto negativo del riesgo y / o transferir el riesgo, para su gestin dentro del contexto del apetito por el riesgo de la empresa La informacin estructurada en todos los servicios de TI disponibles para los clientes Ver servicios de TI La capacidad aprendido para lograr resultados predeterminados Cualquiera que tenga una responsabilidad y para o algn otro inters en el ejemplo de la empresa, los accionistas, usuarios, gobierno, proveedores, clientes y el pblico Las polticas, normas, planes y procedimientos y estructuras organizacionales diseadas para brindar una seguridad razonable de que los objetivos de la empresa se lograr y los eventos no deseados sern prevenidos o detectados y
Proceso (Capacidad) Del Atributo Capacidad Del Proceso Proceso De Meta De Programas Y Proyectos De Gestin De La Oficina (PMO) Calidad Carta RACI Recurso Optimizacin De Los Recursos Responsables (RACI)
Riesgo
Catlogo De Servicios Servicios Habilidad Stakeholders Sistema De Control Interno
140
Creacin De Valor
corregidos El objetivo principal de la gobernanza de una empresa, logra cuando los tres objetivos fundamentales (la realizacin de beneficios, la optimizacin del riesgo y la optimizacin de recursos) son equilibrados
141

Proyecto Cobi (1) Horiz

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Proyecto Cobi (1) Horiz

Uploaded by

Copyright:

Available Formats

ITLA

INSTITUTO TECNOLGICO LATINOAMERICANO

MATERIA: OBJETIVOS DE CONTROL

Implementacin de COBIT 5 para Radio y Televisin de Hidalgo

MTRO. FERNANDO SOLARES

UNIDAD DE NEGOCIO PROCESOS DE NEGOCIO

Nombre Unidad de Negocio

PN04 PN05 PN06

PN14 PN15 PN16

ANLISIS DEL DEPARTAMENTO DE INFORMTICA (REA DE TI)

OBJETIVOS DEL NEGOCIO

La informacin basada en toma de decisiones estratgicas

Respuestas giles a un entorno empresarial cambiante

El valor de los interesados a la inversin empresarial

Personal calificado y motivado

Optimizacin de los costos de prestacin de servicios

Gestin de Negocio de riesgo (proteccin de los activos)

Optimizacin de la funcionalidad de procesos de negocio.

Cumplimiento de las polticas internas

Servicio orientado al cliente y la cultura

Continuidad y disponibilidad del negocio de servicio

Optimizacin de costos de procesos de negocio

Productividad de las operaciones y el personal

Cumplimiento con leyes y regulaciones externas

Administradores de los programas de cambio del negocio

Portafolio de productos y servicios competitivos

Productos y cultura de la innovacin empresarial

Unidad de Negocio Procesos de Negocio Objetivos de Negocio

Nombre Unidad de Negocio

Administracin y Finanzas 2 5 Portafolio de productos y servicios competitivos Transparencia financiera

PN04 PN05 PN06

7 Continuidad y disponibilidad del negocio de servicio 16 Personal calificado y motivado

Direccin Eventos Especiales

Gobierna Los eventos especiales

Administra y controla Produccin Atencin a Productores y pblico

16 Personal calificado y motivado 7 Continuidad y disponibilidad del negocio de servicio

Administra y controla Noticieros 16 Personal calificado y motivado

Continuidad y disponibilidad del negocio de servicio

Figura 22- Mapeando COBIT 5 .- Objetivos de TI relacionados con la Empresa

Productividad de las operaciones y el personal

Cumplimiento con leyes y regulaciones externas

Administradores de los programas de cambio del negocio

Portafolio de productos y servicios competitivos

Productos y cultura de la innovacin empresarial

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

PN01 PN01 PN01 PN01

UN01 UN01 UN01 UN01

PN02 PN02 PN02 PN02

UN02 UN02 UN02 UN02

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

ID_Proceso Proceso negocio ID_Unidad

Continuidad y disponibilidad del negocio de servicio

Continuidad y disponibilidad del negocio de servicio

Personal calificado y motivado

Motivacin empresarial y al personal de TI

Portafolio de productos y servicios competitivos