Professional Documents
Culture Documents
Samagistro Kenebashvili
Samagistro Kenebashvili
გამოწვევები საქართველოში
დავით კენკებაშვილი
თბილისი, 2019
როგორც ავტორი, ვაცხადებ, რომ ნაშრომი წარმოადგენს ჩემს ორიგინალურ
დავით კენკებაშვილი
____________________
2019 წელი
II
აბსტრაქტი
III
ABSTRACT
information systems. And the risks associated with information systems are increasing
simultaneously with the growth of this dependence. Hence, it has become the subject of the
study of the latest methodogies and approaches of information system risk analysis and
management in the different countries, as well as the prospects of their implementation and
challenges in Georgia. This research will examine the decision proposed by the Information
Systems Audit and Control Association about information sytems risk analysis and
management. This decision is one of the key part of governance of enterprise information
technology and is reviewed in the book - COBIT. The paper describes what is COBIT, its
structure and basic components. In addition, this research includes examples and experiences
of companies in different countries around the world who have implemented COBIT for
analysis and management of risk related to information systems. The paper also covers the
approaches and practices of information systems related risks within companies operating in
Georgia.
II
სარჩევი
შესავალი .....................................................................................................................................................1
ბიბლიოგრაფია ....................................................................................................................................... 97
III
სურათებისა და ცხრილებისა ჩამონათვალი
IV
აბრევიატურების ჩამონათვალი
ინტეგრაცია
V
ICT - Information and Communication Technology - ინფორმაციული და საკომუნიკაციო
ტექნოლოგიები
SFIA - Skills Framework for the Information Age –IT პერსონალის უნარების აღწერის
ერთობლივი ინიციატივა
სტეფილოკოკუს აურუსი
VI
MLHW - Ministry of Healthcare, Labor and Welfare - ჯანდაცვა, შრომისა და
კეთილდღეობის მინისტრი
სისტემების აუდიტორი
VII
შესავალი
ურთიერთკავშირის სტიმულირება.
მომხმარებელთა ჯგუფები.
1
მონაცემთა შეგროვებასა და გაანალიზებას ყოველდღიური ოპერაციების უკეთე
ორგანიზაციაში.
მომხმარებლის დონის რისკები და ბიზნესის დონის რისკები. ფაქტია ისიც რომ ბევრი
მოთხოვნებზე.
3
წინამდებარე ნაშრომი მიზნად ისახავს მიმოიხილოს COBIT-ის შესაძლებლობები, მისი
შექმნილი ღირებულებები.
4
თავი 1. სამეცნიერო ლიტერატურის მიმოხილვა
ინფორმაციულ სისტემებზე.
5
კორპორაციული ინფორმაციული სისტემების მართვა კონცენტრირებულია ისეთ
ძირითადი ედეგი:
6
ინფორმაციულ ტექნოლოგიებზე ფოკუსირება. ის ასევე უნდა შეფასდეს ისეთი გზით,
7
(GRC). აბრევიატურა GRC თავის თავში მოიაზრებს, რომ შესაბამისობა და მასთან
2015)
გამოყენებითაც.
IT მართვის მოდელმა.
COBIT და რა არა.
8
COBIT მოდელი ქმნის მკაფიო განსხვავებას მართვასა და მენეჯმენტს შორის. ეს ორი
მიზნები.
მისაღწევად.
9
COBIT მიმართავს მართვის საკითხებს, შესაბამისი მართვის კომპონენტების დაჯგუფებას
შესაძლებლობების დონეზე.
მოვახდინოთ.
სტანდარტებსა და მოდელებზე.
დაგეგმვას.
10
COBIT 2019-ის დანერგვის სახელმძღვანელო: IT მართვის გადაწყვეტილების
გაუმჯობესებისთვის.
დაყრდნობილი მოდელი.
ტერმინებს.
11
მართვისა და მენეჯმენტის მიზნების მიმოხილვა
მთავარი საქმიანობა.
არეალს:
12
o მონიტორინგი, შეფასება და გაზომვა (MEA) უკავშირდება IT საქმიანობის
ზემოქმედებას IT-ზე.
13
კომპონენტები შეიძლება იყოს სხვადასხვა სახის. ყველაზე ნაცნობი არის
მიზნების მიღწევას.
პირები კორპორაციაში.
ფაქტორები.
წარმატებულად დასასრულებლად.
14
სურათი 1. 3 COBIT-ის მართვის სისტემის კომპონენტები
ვარიანტები:
სჭირდებათ მოდიფიცირება.
სამიზნე არეალი
15
მცირე და საშუალო ბიზნესებს, კიბერ-უსაფრთხოებას, ციფრულ ტრანსფორმაციას,
ვარიანტებთან ერთად).
სამიზნე არეალი პრაქტიკულად შეუზღუდავია. ეს არის ის, რაც COBIT-ს ხდის ღიას.
მოდელში.
სრულყოფილ აღწერას.
16
დანამატები მოიცავს მეტ დეტალებს:
სამიზნე აუდიტორია
მართვის დომენები
მენეჯმენტის დომენები
მოიცავს:
დომენის სახელს
აღწერას
მიზნის განსაზღვრებას
17
ცხრილი 1. 1 მართვისა და მენეჯმენტის მიზნები
აღწერა
<ტექსტი>
მიზანი
<ტექსტი>
მიზნების კასკადი
18
AG03: IT-ში განხორციელებული ინვესტიციებიდან და სერვისების
გარდაქმნის სისწრაფეს
დამუშავებასა და კონფიდენციალურობას
მოტივირებული პერსონალს
19
EG10: პერსონალის უნარებს, მოტივაციასა და პროდუქტიულობას
<მეტრიკები> <მეტრიკები>
<მეტრიკები> <მეტრიკები>
პროცესები
20
მაგალითად აღებული საზომები თან ახლავს თითოეული პროცესის პრაქტიკას, რათა
1.4)
A. პროცესი
1. <ტექსტი> <NR>
2. <ტექსტი> <NR>
n. <ტექსტი> <NR>
(სტანდარტები,მოდელები, შესაბამისობის
მოთხოვნილებები)
21
მერყეობს 0-დან 5-მდე. შესაძლებლობის დონე არის მეტრიკები იმისა, თუ რამდენად
სახელმძღვანელოების შემოთავაზება.
22
ორგანიზაციული სტრუქტურები
B. ორგანიზაციული სტრუქტურები
ორგანიზაციული სტრუქტურა 2
ორგანიზაციული სტრუქტურა 3
ორგანიზაციული სტრუქტურა 4
ორგანიზაციული სტრუქტურა 5
ორგანიზაციული სტრუქტურა 6
ორგანიზაციული სტრუქტურა 7
ძირითადი
მართვის/მენეჯმენტის
პრაქტიკა
<რეფერენსი>
<სახელი>
მოთხოვნილებები)
23
შემდეგი როლები და ორგანიზაციული სტრუქტურები განმარტებულია COBIT 2019-ის
კონტექსტში:
საბჭო
აღმასრულებელი კომიტეტი
აღმასრულებელი დირექტორი
IT მართვის საბჭო
არქიტექტურის საბჭო
პორტფელის მენეჯერი
პროგრამული მენეჯერი
პროექტის მენეჯერი
ურთიერთობის მენეჯერი
ხელმძღვანელი არქიტექტორი
განვითარების ხელმძღვანელი
IT ოპერაციების ხელმძღვანელი
24
IT ადმინისტრაციის ხელმძღვანელი
სერვის მენეჯერი
კონფიდენციალურობის ოფიცერი
იურიდიული მრჩეველი
აუდიტი
დავალების შესრულებაზე?
25
კონსულტირებული (C) როლები არიან ინფორმაციის პრაქტიკის
და დანიშნულების მითითებით.
26
მარვთვის/მენეჯმენტის შენატანი/საწყისი წვლილი შედეგები
პრაქტიკა
<სახელი>
მოთხოვნილებები)
მრავალ შედეგს მაინც აქვს ბევრი დანიშნულება (მაგალითად COBIT-ის ყველა პროცესი
ყველა MEA
27
მართვის პრაქტიკიდან შედეგის აღწერა დანიშნულება
სახელმძღვანელო პრინციპები
მოდელი
კომუნიკაცია
და შესრულებაზე
28
APO 2.05 IT სტრატეგია და მიზნები ყველა APO, ყველა BAI,
მეტრიკები
კომუნიკაცია
ანგარიშების შედეგები
29
MEA 02.03 თვითშეფასების მიმოხილვის ყველა APO, ყველა BAI,
კომუნიკაციები
ინფორმაციის ელემენტებს.
30
ადამიანები, უნარები და კომპეტენციები
სახელმძღვანელო
(სტანდარტები, მოდელები,
შესაბამისობის
მოთხოვნილებები)
პოლიტიკა და პროცედურები
მეტი ინფორმაცია შეიძლება იყოს მოცემული. წყაროთა სრული სია მოცემულია დანართ
C-ში.
E. პოლიტიკა და პროცედურები
სახელი>
F. პოლიტკა და პროცედურები
ელემენტები სახელმძღვანელო
32
სერვისები, ინფრასტრუქტურა და აპლიკაციები
33
თავი 2. კომპანიის ინფორმაციული სისტემების რისკების ანალიზისა და
ზეგავლენა ორგანიზაციებში
ორგანიზაციის დღის წესრიგში (Van Grembergen, W.; S. De Haes, 2008, 1-6). კომპანიები
ჩარჩოებსა და საუკეთესო პრაქტიკებს, როგორიც არის COBIT (S. De Haes; A. Joshi; Van
Grembergen, W, 2015).
34
სურათი 2. 1 COBIT 5 მიზნების კასკადი
35
სურათი 2. 2 რესპოდენტების პროფილი კონტინენტების დონეზე
36
აპლიკაციები; ინფორმაცია. ხოლო ყველაზე მაღალი მენეჯმენტის სტატუსი აქვს
სისტემით. სურათი 2.5 გვაჩვენებს დომენის დონის ქულებს. საშუალო ქულა თითოეული
37
რესპოდენტებმა აღნიშნეს რომ შეფასების, მართვისა და მონიტორინგის (EDM) დომენის
და IT მიზნებს შორის.
38
სისტემების მართვის საუკეთესო საშუალებად. COBIT-ის თითოეული კომპონენტი არის
და IT-ის თანხვედრის უმაღლესი დონის მისაღწევად (Weill, P.; J. W. Ross, 2004). პიტერ
39
არ იყო ცნობილი ზემოთხსენებული აღმოჩენები ვრცელდებოდა თუ არა მცირე და
და საშუალო კომპანიებში.
(Saulez, 2017).
41
IT-თან დაკავშირებული რისკები. მანდატის მიხედვით IT ორგანიზაციული რისკები
პროგრამა.
შესახებ.
ინფო-ტექმა დაიწყო მუშაობა COBIT 5-ზე, მისი მკაფიო და მოკლე ჩარჩოს გამო, IT
ანალიზისათვის.
42
ტექის პროექტის განხორციელების გამამარტივებელი ფუნქციონირება და
შესამცირებლად.
სარეკომენდაციო გეგმებს.
რეკომენდაციების შაბლონებში.
კალენდარში.
43
მიმდინარე IT რისკების მართვის ხელმძღვანელი კომიტეტის პროცესი,
44
შედეგად, გაჩნდა მნიშვნელოვანი საკვანძო მოვლენები, როგორიცაა კომპანიის
45
მხრივ დაინტერესებულ მხარეებს უფრო მეტ ნდობას უჩენს ბაზარზე. Ecopetrol- ის შიდა
პროცესებს.
პასუხისმგებლობებს.
46
საერთო ენის გამონახვის გამო ყველა დაინტერესებული მხარისათვის გასაგები
ხდება.
გარემოსთვის.
კონსულტანტების დასაქირავებლად.
საკითხებს:
კოორდინაცია და ინტეგრაცია.
47
დაკავშირებული ადამიანების, რესურსებისა და სხვა კრიტიკული ბიზნეს
პროცესების გაგება.
დონის დასადგენად. მას შემდეგ, რაც დადგინდა, რომ ისინი საშუალო სიმწიფის მეორე
2009 წლის მეორე ნახევარსა და 2010 წლის პირველ კვარტალში, შიდა და გარე აუდიტი
მუშაობა.
48
2010 წელს, IT განყოფილებამ შექმნა მდგრადი და ოპტიმალური გეგმა IT მართვის
ჩარჩოს მითითებებით.
კომპანიას.
პროცესის ძიება.
49
სატრანსპორტო ოპერაციებში, რომელმაც ადრინდელი ძალისხმევის შედეგები
სერტიფიკატი.
ბენჩმარკინგი განახორციელა.
50
2.6. COBIT-ის გამოყენება ჰოსპიტალში რისკების მართვისთვის
კონტროლებიც დაინერგა.
გამოვლენა.
51
სამედიცინო დაწესებულებებში რისკების ფაქტორები რამდენიმე სახისაა: სამედიცინო
ერთვება COBIT.
რა თქმა უნდა, იაპონიაში, ისევე როგორც ბევრ ქვეყანაში, პირადი მონაცემების დაცვა
52
მიღწევას; რისკების მართვის მიზანი კი არის ხელი შეუშალოს ბიზნესის მიზნების
პრაქტიკა).
გაცვლის პროცესი.
სრული მხარდაჭერა.
53
დადგენილი დონე უფრო მაღალია, ვიდრე მიმდინარე დონე, მაშინ ეს იქნება
მომსახურებებზე.
გადახდადი ობიექტები.
ცოდნა და ზრდა
ბოლო BSC არეალი მოიცავს აზრს "რა შეგვიძლია ვისწავლოთ და როგორ შეგვიძლია
ფოკუსირდა შემდეგზე:
55
პერსონალის პროფესიონალიზმის გაუმჯობესება - პროფესიული ცოდნის
რისკების მართვა
შესაბამისი იყოს.
56
დასახელებებით, მაგ. მკერდის კიბოს სამკურნალოდ გამოიყენება ტაქსოლი (
დამაბნეველი გახდებოდა.
კონტროლით.
IT-ის გაგება
57
ექიმი ვერ ამუშავებს PC-ს სწრაფად, რა შეიძლება მოხდეს? თუ ექიმს შეჰყავს არასწორი
სამუშაო ჯგუფები:
58
ექიმთა სამუშაო პროცესის ინოვაციების სამუშაო ჯგუფი
სხვაობა
საჭიროა მისი განცალკევება, რის შემდეგაც უნდა გაირკვეს რომელი მხარე (მაგ.
ოპერაციული ფაზა).
59
აქედან გამომდინარე, საჭირო იყო სწრაფი გაანალიზება და IT მართვის დანერგვის
აუცილებლობა.
რისკების სამართავად.
დაგეგმვის ფაზა
IT ორგანიზაცია.
61
აცილებული ზედმეტად საქონლის მორგება კლიენტების კონკრეტული მოთხოვნების
პროტოტიპის შექმნა.
გამოიცადა.
ოპერირების ფაზა
62
საათიანი და წელიწადში 365 დღის განმავლობაში მნიშვნელოვანია კლინიკისათვის,
მონაცემთა მართვა იქნა პიველ რიგში დაყენებული. როგორც უკვე აღინიშნა, ახალი
63
ასევე გაიზარდა სერვერების რაოდენობაც. ხელახლა დამონტაჟდა ტერმინალური
o ახალი გამოწვევები
მისიის გაცნობა:
(სისტემები და ინფორმაცია)
64
o ჯანდაცვის, სამკურნალო და საექთნო საქმის სრული მხარდაჭერის
სისტემა
შედეგების განთავსება.
რაოდენობა
დაავადების მიხედვით)
რაოდენობა
65
o თანამშრომელი კლინიკების კმაყოფილების დონე
კმაყოფილების დონე
ზრდა:
რაოდენობა
სიზუსტე
განყოფილებების მიერ)
ალბათობა:
66
o ბილინგის ოდენობა და ღირებულება (პაციენტებიდან,
რაოდენობა
ლიკვიდურობა
o საფონდო ბრუნვა
o ჩაწოლილი საქონელი
სტაბილურობა
მსახურები)
o აუთსორსინგის გამოყენება
67
o დღეში ჰოსპიტალიზაციის საშუალო რაოდენობა
არაკეთილსინდისიერი პრაქტიკა)
რაოდენობა
თანაფარდობა
თანაფარდობა
სისტემური მხარდაჭერა
68
ინფორმაციის დამუშავება
თანაფარდობა
სტატუსი (EUC)
გამოყენება
მიღების პროცესში
გაუმჯობესება
ავტორიზაციის მინიჭება
69
o ინტელექტუალური საკუთრების და პროფესიული ცოდნის
გამოყენების სტატუსი
მონაწილეობის სტატუსი
სტატუსი
კონტროლი.
70
ამისათვის საჭიროა HIS-ის განახლება. ზოგჯერ, MLHW ითხოვს სამედიცინო
აპლიკაციების კონტროლი
71
შემცირდა მედიცინის მუშაკთა საქმე, რადგან ისინი ახლა უფრო მეტად
შედეგები
რისკების მართვის ათვლის წერტილი. თუმცა რაღაც საკითხები მაინც მოითხოვს მუდმივ
ზოგადი ინფორმაცია
72
დაეხმარონ ბიზნესის გლობალურ ხაზებს. IT გუნდები მოიცავენ განვითარების ცენტრებს,
უზრუნველსაყოფად.
სამართავად:
გაორმაგება ხდება
ნაკლებობა
73
რეგიონებსა და ოფისებში სტანდარტული პროცედურების დანერგვა, რათა
დუბლირება.
COBIT-ის გამოყენება
მართვის მოდელი.
შფასება (RCA)
74
3. გამოყენებული უნდა იქნას როგორც სასწრაფო დახმარება, რომ აამუშაოს
მართვის გარანტიები.
გაირღვა:
შეუსაბამობა
75
PO2 ინფორმაციის AI2 პროგრამული PO2 ინფორმაციის
76
შესაფერისი კონტროლი გადანაწილდებოდა ძირითადი რისკებისა და მე-2 დონის
რისკების გადასაფარად.
77
სახელმწიფო კონტროლს საშუალებას მისცემს შეაფასოს, კავშირი იქონიოს და
78
გავლენის იდენტიფიცირებით.ამან გამოიწვია შემთხვევების საერთო რაოდენობის
შემთხვევების შემცირება.
ცხრილი 2.2-ში.
RCA საზღვრები
კონტროლის შეფასება
RCA- დასრულება
თანხმობა
79
მაკორექტირებელი ქმედებებისა და მოსალოდნელი რისკების
საერთო RCA პროცესის განვითარების მიზანი იყო იმის უზრუნველყოფა რომ რისკების
მისაღებად:
კონტროლის მფლობელი
კონტროლის შეფასება-ეფექტურობა,არაეფექტურობა
პასუხისმგებელი მფლობელები
80
ქმედების მფლობელებთან - არაეფექტური კონტროლის შედეგად
ოფიცე ლი უფროსი სი
რი
ანგარიშგება
ინფორმირებული.
81
გამოწვევასთან გამკლავება სხვადასხვა დონეზე სხვადასხვა ტრენინგის პროგრამების
მომზადებაში.
მითითებებისათვის.
გასათვალისწინებლად.
82
საფეხური 4-ის სარგებელი
იქნა მარტივი ცხრილი. ობიექტებს შორის, რისკების ჯგუფის წევრებმა გამოიყენეს Excel-
83
შედეგები
გაუმჯობესებას.
დაახლოებით 350-მდე.
შესაბამისად.
ინტრუმენტებში.
Barve)
85
თავი 3. კომპანიის ინფორმაციული სისტემების რისკების ანალიზისა და
საქართველოში
86
№56/04 „კომერციული ბანკების კიბერუსაფრთხოების მართვის ჩარჩოს დამტკიცების
ვალდებულებები.
კითხვარის ვალიდურობა.
87
წარმომადგენლები. სულ განხორციელდა 20 ინტერვიუ, რის საფუძველზეც მოხდა
ითქვას, რომ მსგავსს მიდგომებს იყენებენ კომერციული ბანკების 70%-ზე მეტი, თუმცა
სტანდარტთან შესაბამისობას.
88
უსაფრთხოების მართვის საკითხებს, რომელიც თავის თავში მოიაზრებს ინფორმაციულ
რისკების ანალიზს.
რისკების შეფასებას.
89
არიან განსაზღვრული ჰქონდეთ რისკების მართვის პროცესის სასიცოცხლო ციკლი,
დანერგვას;
ბანკ 2-ში და ბანკ 3-ში ინტერვიუების საფუძველზე გაირკვა, რომ ისინი არამხოლოდ
90
წარმომადგენლის პასუხი იყო დაახლოვებით 3 წელი. როგორც გაირკვა მართვის
ბანკმა შეძლო დაენახათ შედეგი, რაც აისახა ბანკის ფინანსურ შემოსავლებზე, როგორც
კომპანიებში
91
დოკუმენტირებული და პრაქტიკაში გამოყენებული მიდგომები. თუმცა ჩაღრმავებული
და საშუალო კომპანიებში
92
სფეროში. სწორედ ამიტომ ისინი უზრუნველყოფენ მხოლოდ ტექნიკური მხარის
პრაქტიკებს.
93
თავი 4. დასკვნა და რეკომენდაციები
94
რომ მათ არასოდეს განუხორციელებიათ ინფორმაციული სისტემების რისკების
ინვესტიციების განხორციელება.
ხელმისაწვდომობის გაუმჯობესებაში.
95
მომავალში, ვფიქრობ საქართველოში უნდა გაიზარდოს ცნობიერება ინფორმაციული
მართვის უგულვებელყოფას.
96
ბიბლიოგრაფია
ISACA. 2018. COBIT 2019 Framework: Introduction and Methodology. USA: ISACA.
ISACA. 2018. COBIT 2019 Framework: Governance and Management Objectives. USA:
ISACA.
https://www.researchgate.net/publication/228968843_Practices_in_IT_governance_and_busi
nessIT_alignment
S. De Haes; A. Joshi; Van Grembergen, W.; State and Impact of Governance of Enterprise IT
governance-of-enterprise-it-in-organizations.aspx
Weill, P.; J. Ross; IT Governance: How Top Performers Manage IT Decision Rights for
Steven De Haes, Rogier Haest and Wim Van Grembergen; IT Governance and Business-IT
https://www.isaca.org/JOURNAL/ARCHIVES/2010/VOLUME-6/Pages/IT-Governance-and-
Business-IT-Alignment-in-SMEs.aspx#5
McCue, A.; “Poor IT Governance Key to Project Failures,” ZDNet, 29 March 2007,
https://www.zdnet.com/article/poor-it-governance-key-to-project-failures/
97
Tung, L.; “Bank Fined $9.7m Over Poor IT Governance,” ITNews, 5 August
2010, https://www.itnews.com.au/news/bank-fined-97m-over-poor-it-governance-223608 ,
http://www.fsa.gov.uk/pages/Library/Communication/PR/2010/130.shtml
Londini, Vince. COBIT Case Study: Risk Assessment Management Using COBIT 5. ISACA.
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-Risk-Assessment-
Management-Using-COBIT-5.aspx
ISACA. COBIT Case Study: Implementing COBIT for IT Governance, Risk and Compliance
Study-Ecopetrol.aspx
Kajimoto, Masatoshi. COBIT Case Study: Using COBIT to Aid in Hospital Risk Management,
Using-COBIT-to-Aid-in-Hospital-Risk-Management.aspx
Kajimoto, Masatoshi. COBIT Case Study: Using COBIT to Aid in Hospital Risk Management,
Using-COBIT-to-Aid-in-Hospital-Risk-Management-Part-2.aspx
http://www.isaca.org/Knowledge-Center/cobit/Pages/COBIT-Case-Study-IT-Risk-
Management-in-a-Bank.aspx
98
დანართი 1 - კითხვარი
დაკავშირებული რისკებზე?
ანალიზისა და მართვისათვის?
იყენებთ?
99