بخشی از مقاله
روشی برای استفاده از کنترل و حاکمیت بر فناوری اطلاعات در پروزہ های معماری سازمانی
چکیده
با فراگیر شدن فناوری اطلاعات در پروژه های معماری سازمانی نمی توان از تصمیمات فناوری اطلاعات چشم پوشی نمود. در چنین شرایطی سازمانهایی زیادی اقدام به پیاده سازی حاکمیت فناوری اطلاعات نمودند. در این میان چارچوب FEAF از یک طیف گسترده ای از مدل کنترلی و حاکمیت فناوری اطلاعات بهره نمی برد تا بتواند کنترل بر اطلاعات و فناوری های مربوطه را سازگار نماید. پس استفاده از یک چارچوب کنترلی در پروژه های معماری سازمانی اجرا کننده FEAF بیش از پیش لازم است. از اینرو در این مقاله راهکار مناسبی جهت نهادینه نمودن حاکمیت فناوری اطلاعات با الهام از چارچوب COBIT به منظور ارتقا چارچوبFEAF ارائه می گردد/
کلمات کلیدی
فناوری اطلاعات، FEAF ،COBIT معماری سازمانی
۱- مقدمه
امروزه سازمانهای مدرن بیش از هر زمان دیگری از پیچیدگی برخوردار هستند و بر فرآیندهای تجاری پیشرفته که توسط سیستمهای اطلاعاتی گسترده سازمانی پشتیبانی می شوند، تکیه دارند. معماری سازمانی به عنوان ابزار اصلی جهت مستندسازی، تجزیه و تحلیل و مدیریت چنین محیط های پیچیده ای مطرح می گردد. ||| ۱] چارچوب معماری سازمانی فدرال یکی از کاملترین و قویترین چارچوب های شناخته شده در معماری سازمانی است که مناسب سازمان های دولتی و خصوصی و انواع دولت ها می باشد. [۲] اگرچه FEAF(Federal Enterprise Architecture Le (FrameWOrk گامی مهم در راستای تعریف عناصر و اجزاء معماری سازمانی است، اما به کنترل و حاکمیت بر فناوری اطلاعات آنطور که نیاز سازمان های امروزی است، نپرداخته است و نگاه آن به کنترل و حاکمیت بر فناوری اطلاعات یک نگاه کلان و سطح بالاست. بنابراین به منظور ایجاد یکپارچگی و بهبود در سازمانهای استفاده کننده از FEAF، لازم است برای کنترل و نظارت بر فناوری اطلاعات، حاکمیت فناوری اطلاعات پیادهسازی شود. پس سازمان ها در کنار چارچوب FEAF نیازمند به کارگیری چارچوبی مدرن و قدرتمند برای کنترل بر اطلاعات و فناوری های مرتبط با آن می باشند. به عبارتی سازمان ها به چارچوبی مرجع برای توسعه و مدیریت کنترل بر فناوری COBIT (Control Objectives for A3,1s 3l: -leyU-| (InformatiOn TechnOl Ogy چنین چارچوب کنترلی و امنیتی را برای فناوری اطلاعات به منظور رفع این نیاز سازمان های امروزی فراهم می آورد. در واقع COBIT، یک چارچوب کاربردی است که به نیاز مدیریت برای پیاده سازی حاکمیت فناوری اطلاعات در سازمان ها پاسخ می دهد. از اینرو سازمان های زیادی از آن برای مدیریت و کنترل بر فناوری اطلاعات خود استفاده می کننداز اینرو در این مقاله به منظور نهادینه نمودن نظام حاکمیت فناوری اطلاعات در چارچوب معماری سازمانی FEAF از چارچوب کنترلی COBIT الهام گرفته و ارتباطی میان آنها برقرار می کنیم. ارتباط و یکپارچگی میان این دو چارچوب منجر به ارتقاء همسویی فناوری اطلاعات و کسب و کار، مدیریت مناسب ریسک های مرتبط با فناوری اطلاعات، افزایش ارزش از سرمایه گذاریهای فناوری اطلاعات، فراهم نمودن خط مشی ها و الگوهای برتر برای کنترل و نظارت مناسب بر . فناوری اطلاعات و اندازه گیری عملکرد و کارایی در پروژه های معماری سازمانی می گردد.
۲- الگوی اهداف کنترل فناوری اطلاعات و دیگر فناوری های مربوطه (COBIT)
اهداف کنترلی برای فناوری اطلاعات و دیگر فناوری های مربوطه توسط موسسه حاکمیت فناوری اطلاعات توسعه داده شده است. COBIT، چارچوبی را برای حاکمیت و کنترل بر فناوری اطلاعات فراهم می کند و طیف گسترده ای از وظایف حاکمیت فناوری اطلاعات و کنترل بر فناوری اطلاعات را مورد خطاب قرار می دهد.[۵] مفهوم اساسی چارچوب COBIT آن است که کنترل روی فناوری اطلاعات از راه توجه به اینکه اطلاعات باید اهداف یا الزامات کسب و کار را پشتیبانی کند، ایجاد می شود. نقطه شروع برای COBIT استراتژی سازمان است بطوریکه پایه ای برای تولید اهداف کسب و کار برای فناوری اطلاعات، اهداف فناوری اطلاعات، معیار اطلاعاتی و معماری سازمانی برای فناوری اطلاعات است. فرایندهای COBIT مانند چرخه دمینگ ( برنامه، اجرا، کنترل، عمل) می باشد و این چرخه را برای متناسب بودن فعالیتهای فناوری اطلاعات توسعه داده است. این چرخه شامل ۳۴ فرایند فناوری اطلاعات است که در ۴ حوزه برنامه ریزی و سازماندهی، دستیابی و پیاده سازی، نگهداری و پشتیبانی و نظارت و ارزیابی گروه بندی شده است. مطابق این چرخه در حوزه برنامه ریزی و سازماندهی فاز «برنامه» استراتژی و تاکتیکها و نگرانی های مربوط به شناسایی فناوری اطلاعات را میتوان برای دستیابی به هدفهای کسب و کار به بهترین شکل جمع آوری کرد. این حوزه بر تهیه برنامه در امروز برای برآوردن تقاضاهای ارائه شده در فردا تاکید می کند. ابتدا یک طرح استراتژیک فناوری اطلاعات برای برآوردن استراتژی کسب و کار سازمان تعریف می شود. سپس طرح فناوری اطلاعات به طرح معماری اطلاعات تبدیل می گردد، که آن هم به جهت گیری فناوری وابسته خواهد بود. برای پوششی همه این فعالیتها، حوزه شامل ۱۰ فرایند فناوری اطلاعات است. | بعد از فاز « برنامه » نوبت به فاز « اجرا » می رسد. حوزه دستیابی و پیاده سازی بر شناسایی و دستیابی یا توسعه راه حل ها برای اجرای طرح ها تمرکز می کند. راه حل ها شامل نرم افزار برنامه های کاربردی یا زیرساخت فناوری به اضافه انواع رویه های عملیاتی، رویه های کاربر و برنامه های آموزشی است. بعد از دستیابی موفقیت آمیز راه حل، نوبت به پیاده سازی، نگهداری، تست، معتبرسازی و مدیریت تغییر می رسد. این حوزه ۷ فرایند فناوری اطلاعات را شناسایی نموده است. حوزه ارائه و پشتیبانی، بخش دوم از فاز «اجرا» است. این حوزه راه حل ها را دریافت و به سرویس های موثر و سودمند برای براوردن اهداف کسب و کار، قابل استفاده کاربران نهایی تبدیل می کند. این فاز احتمالاً طولانی ترین فاز چرخه حیات سیستم است و شامل ۱۳ فرایند فناوری اطلاعات می باشدحوزه نظارت و ارزیابی فاز «کنترلی» است. در این حوزه تمامی فرایندهای فناوری اطلاعات لازم است که به طور منظم از نظر کیفیت و مطابقت با الزامات کنترل، مورد ارزیابی قرار گیرند. اگر این فاز برخی ضعف ها را در فرایند شناسایی نمود ، منجر به اجرای فاز «عملی» با شروع دوباره چرخه از حوزه برنامه ریزی می گردد. این حوزه ۴ فرایند فناوری اطلاعات را شناسایی نموده است
بنابراین COBIT بهترین شیوه های اجرایی را در میان یک حیطه و چارچوب فرایندگرا فراهم می نماید و فعالیتها را در یک ساختار منطقی و کنترل پذیر با ۳۴ فرایند فناوری اطلاعات و ۳۱۸ هدف کنترلی بیان می کند. همچنین این چارچوب شامل اتصال اهداف کسب و کار به اهداف فناوری اطلاعات، فراهم نمودن معیارها و مدل های بلوغ برای اندازه گیری نتایج، و شناسایی مسئولیتهای مرتبط با مالکان فرایند کسب و کار و فناوری اطلاعات نیز می باشد. || ۷ | در مجموع با توجه به این فرایندها و اهداف کنترلی، سازمان می تواند تضمین نماید که یک سیستم کنترلی کافی برای محیط فناوری اطلاعات فراهم شده است. از اینرو سازمان ها برای پیاده سازی حاکمیت فناوری اطلاعات با اعمال توانمندیهای چارچوب COBIT نیاز دارند تا از یک راهنما استفاده نمایند.
۳- ساختار چارچوب
معماری سازمان فدرال چارچوب FEAF از ۴ سطح و ۸ مؤلفه تشکیل شده است و با استفاده از آنها نشان می دهد که چگونه معماری، تحت تحریک پیشران های معماری و چشم انداز استراتژیک از معماری فعلی به سوی معماری مقصد حرکت می کند. سطح های چارچوب FEAF جزییات لازم برای رهبران دولت و تصمیم گیران در سطوح متناظر - - سطح استراتژیک برای مجریان مؤسسات - و تصمیم گیران تاکتیکی را فراهم می کند. || ۲ || یک فرآیند تجزیه گر بر روی هر جز از هشت مؤلفه اثر کرده است تا ما به جزئیات بیشتری دست پیدا کنیم. این فرآیند تجزیه گر یک چارچوب معماری سازمانی فدرال چهار سطحی نتیجه داده است. هر سطح مفهوم و یا قالب و مرجعی برای سطح بعد فراهم می کند. سه سطح اول جزییاتی از هشت مؤلفه اصلی را به صورت تدریجی توضیح می دهد که این جزئیات ما را به سوی یک ساختار منطقی برای طبقه بندی و بکارگیری ارائه توصیفی سازمان فدرال در سطح ۴ Y\ .رهنمون می سازد ۴ سطح FEAF، بهمراه مؤلفه های آن عبارتند از: سطح ۱ چارچوب FEAF، بالاترین سطح یا دید استراتژیکی است. این دید برای مجریان و مدیران ارشد سازمان های دولتی مناسب است و هشت مؤلفه پیشرانهای معماری، جهت گیری استراتژیک، معماری فعلی، معماری مطلوب، فرایندهای گذار، بخشهای معماری، مدلهای معماری
و استانداردها را برای طراحی و توسعه یک معماری سازمانی اجرا کننده FEAF را بیان می کند. || ۲ || سطح ۲ در سطح وسیعی از جزئیات، بخشهای معماری کسب و کار و طراحی سازمانی فدرال و چگونگی ارتباط آنها را با هم نمایش می | Y | AA) در سطح ۳، پیشران های کسب و کار و تکنیکی عاملی جهت تبدیل معماری موجود به معماری هدف می شوند. چشم انداز، جهت گیری استراتژیک و اصول رهنمود سازمان عامل گذار از معماری موجود به معماری هدف هستند. فرایندهای گذاری کے سازمان ܣܐ l به سوی آینده حرکت می دهند از طریق یک طرح انتقال هدایت می شوند. || ۲ || سطح ۴، یک دید تاکتیکی سطح پایین را فراهم می آورد و مدل های معماری مورد نیاز برای توصیف و طراحی تغییر سازمانی را شناسایی می کند. از اینرو FEAF برخلاف زکمن تنها به معرفی چارچوب و محصولات نمی پردازد، بلکه روش و چگونگی برپاسازی معماری را نیز مشخص می کند. || ۲ || بنابراین معماری سازمانی فدرال به منظور حداکثر نمودن مزایای فناوری اطلاعات در سازمان ها مطرح شد و یک زبان مشترک را به منظور آسان کردن ارتباط، جستجو، و پیاده سازی مفاهیم معماری سازمان در سازمان فدرال برقرار نمود.
این بخش راهنمای گام به گام برای توسعه و نگهداری معماری را نشان می دهد
بخش توسعه معماری شامل ۴ فاز آنالیز معماری، تعریف معماری، سرمایه گذاری و استراتژی سرمایه و طرح مدیریت برنامه و اجرای پروژه ها می باشد، که به شرح ذیل می باشد:
فاز ۱: آنالیز معماری هدف در این فاز شناسایی پیشران های تغییر معماری سازمان فدرال و تعیین یک چشم اند از ساده و مختصر برای سازمان (معماری فعلی) می باشد.
فاز ۲: تعریف معماری هدف از این فاز تعیین اهداف عملکرد و کارایی، تعریف وضعیت مطلوب معماری و توسعه یک طرح گذار برای دستیابی به این وضعیت است.
فاز ۳: سرمایه گذاری و استراتژی سرمایه هدف از این فاز تعریف استراتژی سرمایه برای اجرای پروژه ها و توسعه طرح توجیهی برای سرمایه گذاری ها است.
فاز ۴: طرح مدیریت برنامه و اجرای پروژه ها هدف در این فاز ترجمه معماری هدف و استراتژی سرمایه درون یک طرح مدیریت برنامه برای پیاده سازی پروژه ها است. باید طرح مدیریت برنامه در یک سطح از جزییات بیان شود تا امکان پیاده سازی فراهم آید. طرح مدیریت برنامه در طرح گذار قرار می گیرد. بعد از پیاده سازی با استفاده از اهداف عملکرد بررسی می شود که آیا به هدف دست یافته ایم. در مجموع این فاز FEAF به سه فعالیت طرح مدیریت برنامه، پیاده سازی پروژه ها و در نهایت اندازه گیری عملکرد و کارایی تقسیم می شود
بخش نگهداری معماری نیز در FEAF بر شناسایی نیازمندی های کسب و کار و اطلاعاتی جدید نظارت می کند و این پیشران ها را به منظور بروزرسانی محصولات معماری هدف بکار می برد. این نگهداری ها ارتباطات میان اهداف استراتژیک آژانس، راه حل های مدیریت اطلاعات و کسب و کار، و بهبودهای عملکرد قابل اندازه گیری را شرح می دهد [A]
۴- ساختار روش پیشنهادی برای ارتقاء چارچوب
FIEAF با اعمال توانمندیهای حاکمیتی چارچوب COBT همانطور که پیشتر بیان نمودیم، سازمان ها از معماری سازمانی فدرال استفاده می کنند تا مزایای فناوری اطلاعات را درون دولت به حداکثر برسانند. FEAF، همانند یک ابزار و مخزن است که اطلاعات معماری عمومی را جمع آوری می کند و برای ذخیره این اطلاعات یک مخزن می سازد. || ۲ || اما چارچوب COBIT، مالکان فرایندهای مدیریت و کسب و کار را با مدل حاکمیت فناوری اطلاعات فراهم می نماید تا به آن ها در تحویل و ارائه ارزش از فناوری اطلاعات و درک و فهم و مدیریت ریسک های مرتبط با فناوری اطلاعات کمک نماید. || ۳ | پس چارچوب FEAF از یک طیف گسترده ای از مدل کنترلی و حاکمیت فناوری اطلاعات بهره نمی برد تا بتواند کنترل بر اطلاعات و فناوری های مربوطه را سازگار نماید. در حالیکه COBIT چارچوب کنترلی است که الگوهای برتری را برای مدیریت فناوری اطلاعات مستقر می کند. بنابراین برای اثبات این فرضیه ارتباط و نگاشتی میان این دو چارچوب برقرار می کنیم، سپس روشی را جهت اتخاذ چارچوب کنترلی COBIT در FEAF ارائه می دهیم. یکپارچگی و ارتباط FEAF با چارچوب COBIT و اهداف کنترلی تاکید بیشتری را برای مدیریت به منظور استفاده از COBIT به عنوان یک مدل معتبر، به هنگام و مستقر شده برای کنترل بر فناوری اطلاعات فراهم می آورد. بطوریکه پیشنهاد می شود تا در زمان پیاده سازی حاکمیت فناوری اطلاعات در سازمان های فدرال، این نگاشت به عنوان یک راهنما بررسی شود تا رهنمودها، مدل ها و فرایندهایی به منظور تسهیل در پیاده سازی حاکمیت مؤثر فناوری اطلاعات فراهم گردد. بنابراین اتخاذ حاکمیت درون FEAF، چارچوب را با برترین الگوهای کسب و کار همسو می کند و نه تنها مدلی برای کنترل و حاکمیت بر فناوری اطلاعات در سازمان فدرال فراهم می کند بلکه منجر به بهبود اثربخشی از اطلاعات و منابع فناوری اطلاعات نیز خواهد شد. ساختار روش پیشنهادی برای ارتقاء چارچوب FEAF با اعمال توانمندیهای حاکمیتی فناوری اطلاعات چارچوبCOBIT شامل برقراری نگاشتی میان دو چارچوب می باشد. سپس با استناد به نتایج نگاشت، جدولی حاوی فرایندهای حاصل از شکاف میان دو چارچوب توسعه می یابد. آنگاه راهنمای توسعه و نگهداری FEAF بررسی می شود تا فرایندهای حاصل از شکاف به منظور پیاده سازی حاکمیت فناوری اطلاعات در صورت لزوم در FEAF اعمال گردد. در ادامه ساختار روش پیشنهادی به تفضیل شرح داده می شود.
۱-۴- توسعه نگاشت
میان دو چارچوب 4.1 COBIT و FEAF با استناد به نگاشت های مطرح شده توسط مؤسسه ITGI میان چارچوب COBIT و دیگر استاندارهای برتر، روش نگاشت میان COBIT و FEAF را جستجوی متنی بر می گزینیم. || ۹ || در این روش مفاهیم کلیدی را با بررسی اهداف کنترلی هر کدام از ۳۴ فرایند فناوری اطلاعات COBIT و مؤلفه های FEAF در سطوح اول تا سوم استخراج نموده و سپس نگاشتی را میان این دو چارچوب جهت پیوند اهداف کنترلی COBIT با مؤلفه های FEAF ارائه می دهیم. طبق این فرایند هر کدام از مؤلفه های FEAF در سطوح اول تا سوم با اهداف کنترلی فرایندهای COBIT مقایسه می شوند و هرجا که مفهومی مشابه یافت شود، پیوندی برقرار می گردد. آنچه که ما برای بیان نگاشت نیاز داریم، ۸ مؤلفه FEAF در سطوح اول تا سوم و سپس ۳۴ فرایند COBIT بهمراه اهداف کنترلی آنهاست.
۴- ۲- بررسی راهنمای توسعه و نگهداری "
FEAF جهت اعمال فرایندها و اهداف کنترلی COBIT حاصل از شکاف در FEAF با توجه به راهنمای عملی توسعه و نگهداری معماری در FEAF، برای اینکه سازمان های فدرال نیز بتوانند در تحویل و ارائه منابع فناوری اطلاعات در برابر نیازمندی های کسب و کار و مدیریت فناوری اطلاعات موفق باشند باید یک سیستم کنترل داخلی یا به عبارتی چارچوب کنترلی که از COBIT نشئت می گیرد را در آنجا قرار داد. برای پیاده سازی سیستم کنترل داخلی و چارچوب حاکمیت فناوری اطلاعات در سازمان فدرال، فرایندهای فناوری اطلاعاتی COBIT که باید در بخش های مختلف سازمان فدرال گنجانده شوند، با توضیح هر
بخش و فاز های مربوطه به شرح ذیل می باشند.
۴- ۱-۲ - توسعه معماری
توسعه معماری، شامل ۴ فاز متشکل از آنالیز معماری، تعریف معماری، سرمایه گذاری و استراتژی سرمایه و طرح مدیریت برنامه و اجرای پروژه ها می باشد. || ۸ || با توجه به توضیحات هر فاز، توانمندی های COBIT اعمال شده به چارچوب FEAF به منظور پیاده سازی حاکمیت فناوری اطلاعات و نظارت و ارزیابی در ان، به شرح ذیل است.
ارتقاء فاز اول، آنالیز معماری با اعمال توانمندی های حاکمیت فناوری اطلاعات چار چوب COBIT در این فاز دو فعالیت، تعیین پیشران ها و تعیین محدوده معماری انجام می گیرد. یک پیشران تغییر یک رویداد داخلی یا خارجی است که به عنوان محرک تغییر بکار گرفته می شود. در FEAF، دو نوع پیشران کسب و کار و پیشران طراحی داریم. اما به منظور پیاده سازی برنامه حاکمیت فناوری اطلاعات چارچوب COBIT در سازمان فدرال باید درکی از پیش زمینه و اهداف برنامه حاکمیت فناوری اطلاعات نیز بدست آید. در تعیین محدوده معماری، هدف تعیین محدوده جاری از سازمان 9 محیط عملیاتی موجود .3 قبیل فرایندها، معماری برنامه های کاربردی، داده و فناوری و زیرساخت می باشد. این دو فعالیت و فرایندها و فعالیتهایی تعبیه شده از COBIT در آنها مطابق جدول ۱
ارتقاء فاز دوم، تعریف معماری با اعمال توانمندی های حاکمیت فناوری اطلاعات چار چوب COBIT این فاز شامل سه فعالیت عمده تعیین اهداف عملکرد و کارایی، تعریف معماری مطلوب و توسعه یک طرح گذار است در FEAF ابتدا اهداف عملکرد و کارایی برای وضعیت مطلوب تعیین می شوند و سپس معماری هدف تعیین می گردد. برای پیاده سازی حاکمیت نیز، با توجه به اهداف کسب و کار مرتبط به فناوری اطلاعات و اهداف فناوری اطلاعات مطرح شده در فاز آنالیز معماری و گزارشات ریسک بدست آمده از فاز قبل، باید اهداف عملکرد و کارایی نیز تعیین گردد. فعالیت تعیین معماری مطلوب، وضعیت مطلوب (هدف) معماری سازمان را تعریف می کند و شامل دو بخشی کسب و کار مطلوب و معماری های طراحی مطلوب (داده، برنامه های کاربردی و فناوری) می باشد. اما از انجایی که هدف ارتقاء چارچوب FEAF برای کنترل و حاکمیت بر فناوری اطلاعات است، از اینرو علاوه بر تعیین معماری هدف، چارچوب FEAF باید توانایی تعریف چارچوب مطلوب یا هدف برای حاکمیت و نظارت بر فناوری اطلاعات را نیز با توجه به KPI ها و KGI ها داشته باشد. در فعالیت طرح گذار، با توجه به وضعیت فعلی معماری و وضعیت مطلوب معماری شکاف میان این دو مشخص می شود و سپس پروژه ها تعریف می گردند. این سه فعالیت و فرایندها و فعالیتهایی تعبیه شده از COBIT در آنها مطابق جدول ۲ می باشند
