Machine Translated by Google

CADRE

Gouvernance et
Objectifs de gestion
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

À propos de l'ISACA

Près de 50 ans, ISACA® (isaca.org) est une association mondiale qui aide les particuliers et les entreprises à réaliser le potentiel positif de la
technologie. La technologie alimente le monde d'aujourd'hui et l'ISACA fournit aux professionnels les connaissances, les références, l'éducation et
la communauté nécessaires pour faire progresser leur carrière et transformer leurs organisations. L'ISACA s'appuie sur l'expertise de son demi-million de
professionnels engagés dans les domaines de la sécurité de l'information et de la cybersécurité, de la gouvernance, de l'assurance, des risques et de
l'innovation, ainsi que sur sa filiale de performance d'entreprise, le CMMI® Institute, pour aider à faire progresser l'innovation grâce à la technologie.
L'ISACA est présente dans plus de 188 pays, dont plus de 217 chapitres et bureaux aux États-Unis et en Chine.

Avertissement

L' ISACA a conçu et créé le cadre COBIT® 2019ÿ: objectifs de gouvernance et de gestion (le «ÿtravailÿ») principalement comme une ressource pédagogique pour
les professionnels de la gouvernance de l'informatique d'entreprise (GEIT), de l'assurance, des risques et de la sécurité. ISACA ne prétend pas que l'utilisation de
l'un quelconque des travaux assurera un résultat réussi. Le travail ne doit pas être considéré
y compris toutes les informations, procédures et tests appropriés ou à l'exclusion d'autres informations, procédures et tests raisonnablement destinés à
obtenir les mêmes résultats. Pour déterminer la pertinence de toute information, procédure ou test spécifique, les professionnels de la gouvernance de
l'informatique d'entreprise (GEIT), de l'assurance, des risques et de la sécurité doivent appliquer leur propre jugement professionnel aux circonstances
spécifiques présentées par les systèmes ou l'environnement informatique particuliers.

droits d'auteur
© 2018 ISAC. Tous les droits sont réservés. Pour les directives d'utilisation, voir www.isaca.org/ COBITuse.

ISACA

1700, chemin du golf est, bureau 400

Schaumburg, Illinois 60173, États-Unis
Téléphone : +1.847.660.5505
Télécopie : +1.847.253.1755

Contactez-nous : https://support.isaca.org
Site Web : www.isaca.org

Participez aux forums en ligne de l'ISACAÿ: https://engage.isaca.org/onlineforums

Twitterÿ: http://twitter.com/ISACANews
LinkedIn : http://linkd.in/ISACAOfficial
Facebook : www.facebook.com/ISACAHQ
Instagram : www.instagram.com/isacanews/

Cadre COBIT® 2019ÿ: objectifs de gouvernance et de gestion

ISBN 978-1-60420-764-4

2
Machine Translated by Google

IN MEMORIAM: JOHN LAINHART (1946-2018)

In Memoriam : John Lainhart (1946-2018)

Dédié à John Lainhart, président du conseil d'administration de l'ISACA 1984-1985. John a joué un rôle déterminant dans la
création du cadre COBIT® et a récemment présidé le groupe de travail pour COBIT® 2019, qui a abouti à la création de ce
travail. Au cours de ses quatre décennies au sein de l'ISACA, John a été impliqué dans de nombreux aspects de l'association
et a obtenu les certifications CISA, CRISC, CISM et CGEIT de l'ISACA. John laisse derrière lui un héritage personnel et
professionnel remarquable, et ses efforts ont eu un impact significatif sur l'ISACA.

3
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

4
Machine Translated by Google

REMERCIEMENTS

Remerciements
L'ISACA souhaite reconnaître :

Groupe de travail COBIT (2017-2018)

John Lainhart, président, CISA, CRISC, CISM, CGEIT, CIPP/G, CIPP/US, Grant Thornton, États-Unis
Matt Conboy, Cigna, États-Unis
Ron Saull, CGEIT, CSP, Great-West Lifeco et Financière IGM (retraité), Canada

Équipe de développement
Steven De Haes, Ph.D., Antwerp Management School, Université d'Anvers, Belgique
Matthias Goorden, PwC, Belgique Stefanie Grijp, PwC, Belgique Geert Poels, PhD,
Université de Gand, Belgique Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance,
Belgique

Examinateurs experts
Sarah Ahmad Abedin, CISA, CRISC, CGEIT, Grant Thornton LLP, États-
Unis Floris Ampe, CISA, CRISC, CGEIT, CIA, ISO27000, PRINCE2, TOGAF, PwC,
Belgique Elisabeth Antonssen, Nordea Bank, Suède Krzystof Baczkiewicz, CHAMP,
CITAM , CSAM, Transpectit, Pologne Christopher M. Ballister, CRISC, CISM, CGEIT,
Grant Thornton, États-Unis Gary Bannister, CGEIT, CGMA, FCMA, Autriche Graciela
Braga, CGEIT, Auditrice et Conseillère, Argentine Ricardo Bria, CISA, CRISC, CGEIT,
COTO CICSA, Argentine Sushil Chatterji, CGEIT, Edutech Enterprises, Singapour Peter
T. Davis, CISA, CISM, CGEIT, COBIT 5 Assessor, CISSP, CMA, CPA, PMI-RMP, PMP,
Peter Davis+Associates, Canada James Doss, CISM , CGEIT, EMCCA, ITIL Expert, PMP,
SSGB, TOGAF 9, ITvalueQuickStart.com, États-Unis Yalcin Gerek, CISA, CRISC, CGEIT, ITIL Expert, Prince2, ISO 20000LI,
ISO27001LA, TAC AS., Turquie James L. Golden, Golden Associés-conseils, États-Unis J. Winston Hayden, CISA, CISM,
CRISC, CGEIT, Afrique du Sud Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Autriche Jorge Hidalgo, CISA, CISM, CGEIT,
Chili John Jasinski, CISA, CRISC, CISM, CGEIT, COBIT 5 Assessor, CSM, CSPO, IT4IT-F, ITIL Expert, Lean IT-F, MOF,

SSBB, TOGAF-F, États-

Unis Joanna Karczewska, CISA, Pologne
Glenn Keaveny, CEH, CISSP, Grant Thornton, États-Unis
Eddy Khoo SK, CGEIT, Kuala Lumpur, Malaisie Joao Souza
Neto, CRISC, CGEIT, Universidade Católica de Brasília, Brésil Tracey O 'Brien, CISA,
CISM, CGEIT, IBM Corp (retraité), États-Unis Zachy Olorunojowon, CISA, CGEIT, PMP,
BC Ministry of Health, Victoria, BC Canada Opeyemi Onifade, CISA, CISM, CGEIT, BRMP, CISSP, ISO
27001LA, M.IoD, Afenoid Enterprise Limited, Nigéria Abdul Rafeq, CISA, CGEIT, FCA, directeur général, Wincer Infotech Limited, Inde Dirk
Reimers, Entco Deutschland GmbH, A Micro Focus Company Steve Reznik, CISA, CRISC, ADP, LLC., États-Unis Bruno Horta Soares,
CISA, CRISC, CGEIT, PMP, GOVaaS - Conseillers en gouvernance, en tant que service, Portugal Dr. Katalin Szenes, Ph.D., CISA, CISM,
CGEIT, CISSP, Faculté d'informatique John von Neumann, Obuda Université, Hongrie Mark Thomas, CRISC, CGEIT, Escoute, États-Unis
John Thorp, CMC, ISP, ITCP, The Thorp Network, Canada Greet Volders, CGEIT, COBIT Assessor, Voquals NV, Belgique

5
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Remerciements (suite)
Réviseurs experts (suite)
Markus Walter, CISA, CISM, CISSP, ITIL, PMP, TOGAF, PwC Singapour/Suisse David M. Williams, CISA,
CAMS, Westpac, Nouvelle-Zélande Greg Witte, CISM, G2 Inc., États-Unis

Conseil d'administration de l'ISACA

Rob Clyde, président, CISM, Clyde Consulting LLC, États-Unis
Brennan Baybeck, vice-présidente, CISA, CRISC, CISM, CISSP, Oracle Corporation, États-Unis
Tracey Dedrick, ancienne directrice des risques chez Hudson City Bancorp, États-Unis
Leonard Ong, CISA, CRISC, CISM, CGEIT, Cobit 5 Implementer and Assessor, CFE, CIPM, CIPT, CISSP, CITBCM,
CPP, CSSLP, GCFA, GCIA, GCIH, GSNA, ISSMP-ISSAP, PMP, Merck & Co., Inc., Singapour
RV Raghu, CISA, CRISC, Versatilist Consulting India Pvt. Ltd., Inde Gabriela Reynaga,
CISA, CRISC, COBIT 5 Foundation, GRCP, Holistics GRC, Mexique Gregory Touhill, CISM, CISSP, Cyxtera
Federal Group, États-Unis Ted Wolff, CISA, Vanguard, Inc., États-Unis Tichaona Zororo, CISA, CRISC , CISM,
CGEIT, COBIT 5 Assessor, CIA, CRMA, EGIT, Enterprise Governance of IT,

Afrique du Sud
Theresa Grafenstine, CISA, CRISC, CGEIT, CGAP, CGMA, CIA, CISSP, CPA, Deloitte & Touche LLP, États-Unis, ISACA
Président du conseil
d'administration, 2017-2018 Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, INTRALOT, Grèce, Président du conseil d'administration
d'ISACA, 2015-2017 Matt Loeb, CGEIT, CAE, FASAE, Président-directeur général, ISACA, États-Unis Robert E Stroud (1965-2018),
CRISC, CGEIT, XebiaLabs, Inc., États-Unis, président du conseil d'administration de l'ISACA, 2014-2015
L'ISACA est profondément attristée par le décès de Robert E Stroud en septembre 2018.

6
Machine Translated by Google

TABLE DES MATIÈRES

TABLE DES MATIÈRES

Chapitre 1. Introduction à COBIT® 2019 ................................................ .................................................. ..................9 1.1 COBIT en tant que
cadre de gouvernance de l'information et de la technologie .................... .................................................. ..................................9 1.1.1 Qu'est-
ce que COBIT et qu'est-ce que ce n'est pas ? .................................................. .................................................. .......................................9
1.2 Vue d'ensemble de COBIT® 2019 ..... .................................................. .................................................. .................................................. .....10
1.3 Terminologie et concepts clés du cadre COBIT .................................................. .................................................. .................................11
1.3.1 Objectifs de gouvernance et de gestion .................. .................................................. .................................................. ...........11 1.3.2
Composantes du système de gouvernance .................................. .................................................. .................................................. .12
1.3.3 Zones de mise au point ...................................... .................................................. ....................................... ..................................................14

Chapitre 2. Structure de cette publication et public visé ...................................................... ..15

2.1 Structure de cette publication .................................................. .................................................. .................................................. ............15
2.2 Public visé .................................................................. .................................................. .................................................. .......................15

Chapitre 3. Structure des objectifs de gouvernance et de gestion de COBIT ......17

3.1 Présentation .................................................. .................................................. .................................................. ..................................17 3.2 Objectifs de
gouvernance et de gestion ........ .................................................. .................................................. ..................................17 3.3 Cascade
d'objectifs .................. .................................................. .................................................. .................................................. ..............18
3.4 Composante : Processus .................................................. .................................................. .................................................. ..................................19 3.5
Composante : Structures organisationnelles ...................... .................................................. .................................................. .......................20 3.6 Composante : flux
et éléments d'information .................. .................................................. .................................................. ..................22 3.7 Composante : Personnes, aptitudes et
compétences .................................. .................................................. .................................................. ......24 3.8 Composante : Politiques et
Procédures ...................................... .................................................. .................................................. ........25 3.9 Composante : Culture, éthique et
comportement ....................... .................................................. .................................................. ................25 3.10 Composante : Services, Infrastructure et
Applications .................................. .................................................. .......................................25

Chapitre 4. Objectifs de gouvernance et de gestion de COBIT – Conseils

détaillés ....................................................... .................................................. .................................................. 27
Modèle de base COBIT ....................................................... .................................................. .................................................. ..............................27
4.1 Évaluer, diriger et surveiller (EDM) .................................................. .................................................. ...............................................27 4.2 Aligner , Planifier
et Organiser (APO) ................................................ .................................................. .................................................. ..53 4.3 Construire, Acquérir et Implémenter
(BAI) ...................................... .................................................. ..................................................151 4.4 Livraison, service et assistance
(DSS) .................................. .................................................. ...............................................229 4.5 Moniteur, Évaluer et évaluer
(MEA) ......................................................... .................................................. .......................................271

Annexes .................................................. .................................................. .................................................. .......................................297

5.1 Annexe A : Cascade d'objectifs—Tableaux de correspondance ...................... .................................................. ..................................297 5.2 Annexe B :
Structures organisationnelles—Aperçu et descriptions ...... .................................................. .......................................299 5.3 Annexe C : Liste détaillée des
références .. .................................................. .................................................. ..................................300

7
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

LISTE DES FIGURES

Chapitre 1. Introduction à COBIT® 2019
Figure 1.1—Aperçu de COBIT ................................................ .................................................. .................................................. ..................10 Figure 1.2—
Modèle de base COBIT ...................... .................................................. .................................................. ..................................................12 Figure 1.3—
Composantes COBIT d'un plan de gouvernance Système ................................................. .................................................. .......................13

Chapitre 3. Structure des objectifs de gouvernance et de gestion de COBIT Figure 3.1—Affichage des objectifs de gouvernance
et de gestion.............. .................................................. ..................................18 Figure 3.2—Affichage des objectifs d'entreprise et d'alignement
applicables ........ .................................................. .................................................. 18 Figure 3.3—Affichage des objectifs applicables et des
exemples de métriques .................................. .................................................. ..................19 Figure 3.4—Affichage du composant de
processus .................. .................................................. .................................................. ................................19 Figure 3.5—Niveaux de capacité
pour les processus ............... .................................................. .................................................. ..................................20 Figure 3.6—Affichage de
l'organisation Composante Structures .................................................................................. .................................................. ..................21 Figure
3.7—Affichage des flux d'informations et composant d'éléments .................. .................................................. .................................................23
Figure 3.8—Sorties vers plusieurs processus .................................................. .................................................. ..................................................23
Illustration 3.9 —Composante d'affichage des personnes, des aptitudes et des compétences .................................. .................................................. ..............24
Figure 3.10—Affichage du composant Politiques et Procédures .................. .................................................. ..................................................25
Figure 3.11—Affichage de la culture, de l'éthique et la composante comportementale .................................................. ............................. ..................................25
Figure 3.12—Affichage des composants Services, Infrastructure et Applications ..... .................................................. ....................................25

Annexes
Figure 5.1—Mise en correspondance des objectifs d'entreprise et des objectifs d'alignement .................. .................................................. ..................297
Figure 5.2—Mise en correspondance des objectifs de gouvernance et de gestion avec les objectifs d'alignement ...... .................................................. ..................298
Figure 5.3—Rôles et structures organisationnelles de COBIT ...................... .................................................. ..................................................299

8
Machine Translated by Google
CHAPITRE 1
INTRODUCTION À COBIT 2019

Chapitre 1
Présentation de COBIT® 2019

1.1 COBIT en tant que cadre de gouvernance de l'information et des technologies

Au fil des ans, des cadres de meilleures pratiques ont été développés et promus pour aider au processus de compréhension, de conception et de mise en œuvre
de la gouvernance d'entreprise de l'informatique (EGIT). COBIT® 2019 s'appuie sur et intègre plus de 25 ans de développement dans ce domaine, non seulement
en incorporant de nouvelles connaissances issues de la science, mais également en opérationnalisant ces connaissances en tant que pratique.

Depuis sa fondation dans la communauté de l'audit informatique, COBIT® s'est développé en un cadre de gouvernance et de gestion de l'information et de la
technologie (I&T) plus large et plus complet et continue de s'imposer comme un cadre généralement accepté pour la gouvernance de l'I&T.

1.1.1 Qu'est-ce que COBIT et qu'est-ce que ce n'est pasÿ?

Avant de décrire le cadre COBIT mis à jour, il est important d'expliquer ce qu'est et n'est pas COBITÿ:

COBIT est un cadre de gouvernance et de gestion de l'information et de la technologie, destiné à l'ensemble de l'entreprise.
L'I&T d'entreprise désigne l'ensemble de la technologie et du traitement de l'information que l'entreprise met en place pour atteindre ses objectifs, quel que
soit l'endroit où cela se produit dans l'entreprise. En d'autres termes, l'I&T d'entreprise ne se limite pas au service informatique d'une organisation, mais l'inclut
certainement.

Le cadre COBIT établit une distinction claire entre la gouvernance et la gestion. Ces deux disciplines englobent des activités différentes, nécessitent des structures
organisationnelles différentes et servent des objectifs différents.

• La gouvernance garantit que :

¡ Les besoins, les conditions et les options des parties prenantes sont évalués pour déterminer des objectifs d'entreprise équilibrés et convenus.

¡ La direction est définie par la priorisation et la prise de décision.

¡ Les performances et la conformité sont contrôlées par rapport à la direction et aux objectifs convenus.

Dans la plupart des entreprises, la gouvernance relève du conseil d'administration, sous la direction du président.
Des responsabilités de gouvernance spécifiques peuvent être déléguées à des structures organisationnelles spéciales à un niveau approprié, en
particulier dans les grandes entreprises complexes.

• La direction planifie, élabore, exécute et surveille les activités, conformément à l'orientation fixée par l'organe de gouvernance, pour atteindre les objectifs de
l'entreprise.

Dans la plupart des entreprises, la gestion relève de la direction générale sous la direction du président-directeur général (PDG).

COBIT définit les composants nécessaires pour construire et maintenir un système de gouvernanceÿ: processus, structures organisationnelles, politiques et
procédures, flux d'informations, culture et comportements, compétences et infrastructure.1

COBIT définit les facteurs de conception qui doivent être pris en compte par l'entreprise pour construire un système de gouvernance optimal.

COBIT aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents en objectifs de gouvernance et de gestion qui
peuvent être gérés aux niveaux de capacité requis.

1 Ces composants ont été appelés catalyseurs dans COBIT® 5.

9
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Plusieurs idées fausses sur COBIT doivent être dissipéesÿ:

• COBIT n'est pas une description complète de l'ensemble de l'environnement informatique d'une entreprise.

• COBIT n'est pas un cadre pour organiser les processus métier.

• COBIT n'est pas un cadre technique (IT) pour gérer toutes les technologies.

• COBIT ne prend ni ne prescrit aucune décision liée à l'informatique. Il ne décidera pas quelle est la meilleure stratégie informatique, quelle
meilleure architecture, ou combien l'informatique peut ou devrait coûter. Au contraire, COBIT définit tous les composants qui décrivent
quelles décisions doivent être prises, et comment et par qui elles doivent être prises.

1.2 Aperçu de COBIT® 2019

La famille de produits COBIT® 2019 est évolutive et conçue pour la personnalisation. Les publications suivantes sont actuellement

disponibles.2 • COBIT® 2019 Framework : Introduction and Methodology présente les concepts clés de COBIT® 2019. • COBIT® 2019

Framework : Governance and Management Objectives décrit en détail les 40 principaux objectifs de gouvernance et de gestion, les
processus qu'ils contiennent , et d'autres composants connexes. Ce guide fait également référence à d'autres normes et cadres.

• COBIT® 2019 Design Guide: Designing an Information and Technology Governance Solution explore les facteurs de conception qui
peuvent influencer la gouvernance et inclut un flux de travail pour la planification d'un système de gouvernance sur mesure pour l'entreprise.

• COBIT® 2019 Implementation Guide: Implementing and Optimizing an Information and Technology Governance Solution
représente une évolution du guide de mise en œuvre COBIT® 5 et développe une feuille de route pour l'amélioration continue de la
gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT® 2019.

La figure 1.1 montre la vue d'ensemble de COBIT® 2019 et illustre comment différentes publications au sein de l'ensemble couvrent
différents aspects.

Figure 1.1—Aperçu de COBIT

• Stratégie d'entreprise •
Objectifs de l'entreprise •
Taille de l'entreprise • Rôle de
l'informatique • Modèle

Contributions à COBIT 2019 COBIT 2019 d'approvisionnement pour

l'informatique • Exigences de conformité
• Etc.

COBIT 5 COBIT Noyau

Modèle de référence des objectifs Facteurs de conception

Normes, Entreprise sur mesure

de gouvernance et de gestion
Cadres, Gouvernance
Règlements EDM01—Assuré
Gouvernance
Paramètre de cadre
et entretien
EDM02—Assuré
Livraison des avantages
EDM03—Assuré
Optimisation des risques
EDM04—Assuré
Ressource
Optimisation
EDM05—Assuré
Partie prenante
Engagement
Système pour
L'information et
Communauté
Contribution APO01—Géré
Gestion IT
Cadre
APO02—Géré
Stratégie
APO03—Géré
Entreprise
Architecture
APO04—Géré
Innovation
APO05—Géré
Portefeuille
APO06—Géré
Budget et coûts
APO07—Géré
Ressources humaines
La technologie
MEA01—Géré
Performances et
Conformité
Surveillance
APO09—Géré
APO08—Géré Service APO10—Géré APO11—Géré APO12—Géré APO13—Géré APO014—Géré
Des relations
les accords
Vendeurs Qualité Risque Sécurité Données
Secteur d'intérêt

MEA02—Géré

BAI01—Géré BAI02—Géré
BAI03—Gérer
Solutions BAI04—Géré BAI05—Géré
BAI06—Géré
BAI07—Géré
Changement informatique
Système d'Interne
Contrôler ÿ Objectifs prioritaires de
Programmes Conditions Identification Disponibilité Organisationnel
Définition et capacité Ça change Acceptation et
et construire Changement
Transition
gouvernance et de
BAI08—Géré
Connaissances
BAI09—Géré
Actifs
BAI10—Géré
Configuration
BAI11—Géré
MEA03—Géré
Conformité avec
• PME gestion ÿ Orientations
Projets Externe
Conditions
• Risque de spécifiques des domaines
sécurité prioritaires ÿ Orientations
DSS02—Géré DSS05—Géré DSS06—Géré
DSS01—Géré
Opérations
Demandes de service
et incidents
DSS03—Géré
Problèmes
DSS04—Géré
Continuité
Sécurité
Prestations de service
Entreprise
Contrôles de processus
MEA04—Géré
Assurance • DevOps • sur la capacité cible et la
Etc. gestion des performances

Référentiel COBIT® 2019ÿ:

Introduction et méthodologie
COBIT Noyau
Ouvrages
Référentiel COBIT® 2019ÿ: Guide de mise en œuvre COBIT® 2019 :
Guide de conception COBIT® 2019 :
Gouvernance et Mise en place et optimisation d'un
Concevoir une information et une technologie
Solution de gouvernance Information et technologie
Objectifs de gestion
Solution de gouvernance

2 Au moment de la publication de ce titre COBIT® 2019 Framework: Governance and Management Objectives , des titres supplémentaires sont prévus pour la famille de produits
COBIT® 2019 mais pas encore publiés.

dix
Machine Translated by Google
CHAPITRE 1
INTRODUCTION À COBIT 2019

Le contenu identifié comme domaines prioritaires dans la figure 1.1 contiendra des orientations plus détaillées sur des thèmes spécifiques.3

À l'avenir, COBIT fera appel à sa communauté d'utilisateurs pour proposer des mises à jour de contenu, à appliquer en tant que contributions contrôlées sur une
base continue, pour maintenir COBIT à jour avec les dernières informations et évolutions.

Les sections suivantes expliquent les principaux concepts et termes utilisés dans COBIT® 2019.

1.3 Terminologie et concepts clés du cadre COBIT

1.3.1 Objectifs de gouvernance et de gestion

Pour que l'information et la technologie contribuent aux objectifs de l'entreprise, un certain nombre d'objectifs de gouvernance et de gestion doivent être
atteints. Les concepts de base relatifs aux objectifs de gouvernance et de gestion sont :

• Un objectif de gouvernance ou de gestion porte toujours sur un processus (avec un nom identique ou similaire) et une série de
composants connexes d'autres types pour aider à atteindre l'objectif.

• Un objectif de gouvernance se rapporte à un processus de gouvernance (représenté sur fond bleu foncé dans la figure 1.2), tandis qu'un
l'objectif de gestion se rapporte aux processus de gestion (représentés sur le fond bleu clair de la figure 1.2). Les conseils d'administration et la direction
générale sont généralement responsables des processus de gouvernance, tandis que les processus de gestion relèvent du domaine des cadres supérieurs
et intermédiaires.

Les objectifs de gouvernance et de gestion de COBIT sont regroupés en cinq domaines. Les domaines ont des noms avec des verbes qui expriment le but
principal et les domaines d'activité des objectifs qu'ils contiennentÿ:

• Les objectifs de gouvernance sont regroupés dans le domaine Evaluate, Direct and Monitor (EDM). Dans ce domaine, les gouvernants
organe évalue les options stratégiques, oriente la direction générale sur les options stratégiques retenues et contrôle la réalisation de la stratégie.

• Les objectifs de gestion sont regroupés en quatre domaines.

¡ Aligner, planifier et organiser (APO) traite de l'organisation globale, de la stratégie et des activités de soutien pour l'I&T.

¡ Build, Acquire and Implement (BAI) traite de la définition, de l'acquisition et de la mise en œuvre de solutions I&T et de leur
intégration dans les processus métiers.

¡ Livraison, service et support (DSS) traite de la livraison et du support opérationnels des services I&T, y compris
Sécurité.

¡ Surveiller, évaluer et évaluer (MEA) traite de la surveillance des performances et de la conformité de l'I&T avec les objectifs de performance internes,
les objectifs de contrôle interne et les exigences externes.

3 Un certain nombre de ces guides de contenu de domaines prioritaires sont déjà en préparation ; d'autres sont prévus. L'ensemble des guides des domaines d'intervention est évolutif et
continuera d'évoluer. Pour les dernières informations sur les publications et autres contenus actuellement disponibles et prévus, veuillez visiter www.isaca.org/ cobit.

11
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Figure 1.2—Modèle de base COBIT

EDM01—Assuré
EDM04—Assuré EDM05—Assuré
Gouvernance EDM02—Assuré EDM03—Assuré
Ressource Partie prenante
Configuration et Livraison des avantages Optimisation des risques
maintenance du cadre Optimisation Engagement

APO01—Géré APO03—Géré
APO02—Géré APO04—Géré APO05—Géré APO06—Géré APO07—Géré
Gestion IT Entreprise Innovation Portefeuille Ressources humaines
Cadre Stratégie Budget et coûts
Architecture
MEA01—Géré
Performances et
Conformité
Surveillance
APO09—Géré
APO08—Géré Service APO10—Géré APO11—Géré APO12—Géré APO13—Géré APO014—Géré
Des relations Vendeurs Qualité Risque Sécurité Données
les accords

MEA02—Géré
Système d'Interne
BAI03—Géré BAI07—Géré Contrôler
BAI01—Géré BAI02—Géré Solutions BAI04—Géré BAI05—Géré
BAI06—Géré Changement informatique
Programmes Conditions Identification et Disponibilité Organisationnel
Définition Ça change Acceptation et
construction et capacité Changement
Transition

MEA03—Géré
BAI08—Géré BAI09—Géré BAI10—Géré BAI11—Géré
Actifs Conformité avec
Connaissances Configuration Projets Externe
Conditions

DSS02—Géré DSS05—Géré DSS06—Géré

DSS01—Géré DSS03—Géré DSS04—Géré Entreprise
Demandes de Sécurité MEA04—Géré
Opérations Problèmes Continuité Assurance
service et incidents Prestations de service Contrôles de processus

1.3.2 Composantes du système de gouvernance

Pour satisfaire les objectifs de gouvernance et de gestion, chaque entreprise doit établir, adapter et maintenir un système de gouvernance construit à partir d'un certain
nombre de composants.

• Les composantes sont des facteurs qui, individuellement et collectivement, contribuent au bon fonctionnement de la gouvernance de l'entreprise
système sur I&T.

• Les composants interagissent les uns avec les autres, résultant en un système de gouvernance holistique pour l'I&T. • Les

composants peuvent être de différents types. Les plus connus sont les processus. Cependant, les composantes d'un système de gouvernance comprennent également
des structures organisationnelles ; les politiques et les procédures; éléments d'information; culture et comportement; aptitudes et compétences; et services,
infrastructures et applications (figure 1.3).

¡ Les processus décrivent un ensemble organisé de pratiques et d'activités pour atteindre certains objectifs et produire un ensemble de résultats
qui soutiennent la réalisation des objectifs généraux liés à l'informatique.

¡ Les structures organisationnelles sont les principales entités décisionnelles d'une entreprise.

¡ Les principes, les politiques et les cadres traduisent le comportement souhaité en conseils pratiques pour la gestion quotidienne.

¡ Les informations sont omniprésentes dans toute organisation et comprennent toutes les informations produites et utilisées par
entreprise. COBIT se concentre sur les informations nécessaires au fonctionnement efficace du système de gouvernance de l'entreprise.

12
Machine Translated by Google
CHAPITRE 1
INTRODUCTION À COBIT 2019

¡ La culture, l'éthique et le comportement des individus et de l'entreprise sont souvent sous-estimés comme facteurs de succès des activités de gouvernance et
de gestion.

¡ Les personnes, les aptitudes et les compétences sont nécessaires pour de bonnes décisions, l'exécution d'actions correctives et la réussite de
toutes les activités.

¡ Les services, l'infrastructure et les applications comprennent l'infrastructure, la technologie et les applications qui
entreprise avec le système de gouvernance pour le traitement I&T.

Figure 1.3—Composants COBIT d'un système de gouvernance

Processus

Prestations de service,

Infrastructures et
Organisationnel
Ouvrages
Applications

Gouvernance
Personnes, Système Des principes,
compétences et
Stratégies,
Compétences Procédures

Culture, éthique et
Information
Comportement

Les composants de tous types peuvent être génériques ou être des variantes de composants génériquesÿ:

• Les composants génériques sont décrits dans le modèle de base COBIT (voir figure 1.2) et s'appliquent en principe à n'importe quelle situation.
Cependant, ils sont de nature générique et nécessitent généralement une personnalisation avant d'être mis en œuvre dans la pratique.

• Les variantes sont basées sur des composants génériques mais sont adaptées à un objectif ou à un contexte spécifique dans un domaine d'intérêt (par
exemple, pour la sécurité de l'information, DevOps, une réglementation particulière).

13
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

1.3.3 Domaines d'intervention

Un domaine d'intervention décrit un certain sujet, domaine ou problème de gouvernance qui peut être traité par un ensemble d'objectifs de
gouvernance et de gestion et leurs composants. Parmi les exemples de domaines d'intervention figurent les petites et moyennes entreprises, la
cybersécurité, la transformation numérique, l'informatique en nuage, la confidentialité et DevOps.4

Le modèle de base COBIT fait l'objet de cette publication et fournit les composants génériques de gouvernance. Les domaines d'intervention peuvent
contenir une combinaison de composants de gouvernance génériques et des variantes de certains composants adaptés à ce sujet de domaine
d'intervention.

Le nombre de domaines d'intervention est pratiquement illimité. C'est ce qui rend COBIT ouvert. De nouveaux domaines d'intervention peuvent être
ajoutés au besoin ou à mesure que des experts et des praticiens contribuent au modèle COBIT ouvert.

Un certain nombre de guides de contenu de domaines d'intervention sont en préparation et l'ensemble continuera d'évoluer. Pour les dernières
informations sur les publications et autres contenus actuellement disponibles et en attente, veuillez visiter www.isaca.org/ cobit.

4
DevOps illustre à la fois une variante de composant et un domaine d'intérêt. Pourquoi? DevOps est un thème actuel sur le marché et nécessite définitivement des conseils spécifiques, ce
qui en fait un domaine prioritaire. DevOps comprend un certain nombre d'objectifs génériques de gouvernance et de gestion du modèle de base COBIT, ainsi qu'un certain nombre de
variantes de processus et de structures organisationnelles liés au développement, à l'exploitation et à la surveillance.

14
Machine Translated by Google
CHAPITRE 2
STRUCTURE DE CETTE PUBLICATION ET PUBLIC VISÉ

Chapitre 2
Structure de cette publication et public visé

2.1 Structure de cette publication

Cette publication fournit une description complète des 40 principaux objectifs de gouvernance et de gestion définis dans le modèle de base COBIT (figure
1.2), les processus qui y sont contenus, d'autres composants connexes et des références à des orientations connexes telles que d'autres normes et cadres.
Une liste détaillée des sources des références incluses se trouve à l'annexe C.

Le reste de ce document contient les sections et annexes suivantesÿ:

• Le chapitre 3 explique la structure utilisée pour détailler les orientations relatives aux 40 objectifs de gouvernance et de gestion
à travers les composants.

• Le chapitre 4 fournit une description complète des 40 principaux objectifs de gouvernance et de gestion définis dans le modèle de base COBIT (figure 1.2),
les processus qu'ils contiennent, d'autres composants connexes et des références à des orientations connexes telles que d'autres normes et cadres.

• Les annexes incluent plus de détails sur :

¡ Tableaux de mappage qui informent la cascade des objectifs

¡ Descriptions des structures organisationnelles

¡ Liste des références sources

2.2 Public visé

Ce guide est écrit pour les professionnels de toute l'entreprise, y compris les entreprises, l'audit, la sécurité, la gestion des risques, l'informatique et d'autres
praticiens qui bénéficieront de conseils détaillés sur les 40 objectifs de gouvernance et de gestion du modèle de base COBIT. Un certain niveau d'expérience
et de compréhension de l'entreprise est nécessaire pour personnaliser COBIT en pratiques de gouvernance adaptées et ciblées pour l'entreprise.

15
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

16
Machine Translated by Google
CHAPITRE 3
STRUCTURE DE COBIT GOUVERNANCE ET OBJECTIFS DE GESTION

chapitre 3
Structure des objectifs de gouvernance et de gestion de COBIT

3.1 Présentation

Ce chapitre décrit la structure utilisée pour détailler chacun des objectifs de gouvernance et de gestion de COBIT. Pour chaque objectif
de gouvernance et de gestion, le chapitre 4 de la présente publication fournit des informations relatives à chacun des éléments de
gouvernance applicables à cet objectif de gouvernance ou de gestion :

• Processus

• Structures organisationnelles

• Flux et éléments d'information

• Personnes, aptitudes et compétences

• Politiques et procédures

• Culture, éthique et comportement

• Services, infrastructures et applications

La structure de ces informations est détaillée dans les sections suivantes.

3.2 Objectifs de gouvernance et de gestion

Comme expliqué précédemment, COBIT® 2019 comprend 40 objectifs de gouvernance et de gestion, organisés en cinq domaines (voir figure
1.2).
• Domaine de gouvernance

¡ Évaluer, diriger et surveiller (EDM)

• Domaines de gestion

¡ Aligner, planifier et organiser (APO)

¡ Construire, Acquérir et Implémenter (BAI)

¡ Livraison, service et support (DSS)

¡ Surveiller, évaluer et évaluer (MEA)

Les informations de haut niveau détaillées pour chaque objectif (figure 3.1) comprennentÿ:

• Nom de domaine

• Domaine d'intervention (dans le cas de cette publication, il s'agit du modèle de base COBIT)

• Nom de l'objectif de gouvernance ou de gestion

• Descriptif

• Déclaration d'objectif

17
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Figure 3.1—Affichage des objectifs de gouvernance et de gestion

Domaineÿ: <NOM>
Objectif de gouvernance/gestionÿ: <NOM> Zone de mise au pointÿ: <NOM>

La description
<TEXTE>

But
<TEXTE>

3.3 Cascade d'objectifs

Chaque objectif de gouvernance ou de gestion soutient la réalisation d'objectifs d'alignement qui sont liés à des objectifs d'entreprise plus larges
(voir la section 4.6 du cadre COBIT® 2019 : introduction et méthodologie pour plus d'informations et voir les tableaux de mappage en cascade des
objectifs à l'annexe A pour un exemple).

Les objectifs d'alignement qui ont un lien principal avec l'objectif de gouvernance ou de gestion en question sont répertoriés sur le côté droit de
la section d'orientation détaillée couvrant les objectifs (figure 3.2).

Figure 3.2—Affichage des objectifs d'entreprise et d'alignement applicables

L'objectif de gouvernance/gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs d'
entreprise Æ Objectifs d'alignement
• <REF EG> <DESCRIPTION OBJECTIF> • <AG REF> <DESCRIPTION OBJECTIF>

Les objectifs d'alignement comprennentÿ:

• AG01ÿ: Conformité I&T et soutien à la conformité de l'entreprise aux lois et réglementations externes • AG02ÿ:

Gestion des risques liés à l'I&T • AG03ÿ: Avantages réalisés grâce au portefeuille d'investissements et de services

activés par l'I&T • AG04ÿ: Qualité des informations financières liées à la technologie • AG05ÿ: Livraison des services

I&T en adéquation avec les besoins métiers • AG06 : Agilité pour transformer les besoins métiers en solutions

opérationnelles • AG07 : Sécurité des informations, infrastructure de traitement et applications, et confidentialité •

AG08 : Activer et soutenir les processus métiers en intégrant les applications et la technologie • AG09 : Fourniture

programmes dans les délais, dans les limites du budget et du respect des exigences et des normes de qualité •

AG10 : Qualité des informations de gestion I&T • AG11 : Conformité I&T avec les politiques internes • AG12 :

Personnel compétent et motivé avec une compréhension mutuelle de la technologie et des affaires • AG13 :

Connaissances, expertise et initiatives pour l'innovation d'entreprise

Les objectifs d'entreprise qui ont un lien principal avec les objectifs d'alignement répertoriés sont inclus sur le côté gauche des instructions
détaillées du chapitre 4 couvrant les objectifs. Les objectifs de l'entreprise incluentÿ:

• EG01ÿ: Portefeuille de produits et services compétitifs

• EG02ÿ: Risque commercial géré

18
Machine Translated by Google
CHAPITRE 3
STRUCTURE DE COBIT GOUVERNANCE ET OBJECTIFS DE GESTION

• EG03ÿ: Conformité aux lois et réglementations externes

• EG04ÿ: Qualité de l'information financière

• EG05ÿ:ÿCulture de service orientée client

• EG06ÿ: continuité et disponibilité des services métier

• EG07ÿ: Qualité des informations de gestion

• EG08ÿ: Optimisation des fonctionnalités des processus métier

• EG09ÿ: Optimisation des coûts des processus métier

• EG10ÿ: Compétences, motivation et productivité du personnel

• EG11ÿ: Conformité aux politiques internes

• EG12ÿ: Programmes de transformation numérique gérés

• EG13ÿ: Innovation de produit et d'entreprise

Des exemples de métriques pour les objectifs d'entreprise et les objectifs d'alignement sont également fournis dans les tableaux (figure 3.3).

Figure 3.3—Affichage des objectifs applicables et des exemples de mesures

L'objectif de gouvernance/gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs d'entreprise Æ Objectifs d'alignement

<EG REF> <DESCRIPTION OBJECTIF> <AG REF> <DESCRIPTION OBJECTIF>

Exemples de métriques pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

<EG REF> • <MÉTRIQUE> <AG REF> • <MÉTRIQUE>

<EG REF> • <MÉTRIQUE> <AG REF> • <MÉTRIQUE>

3.4 Composante : Processus

Chaque objectif de gouvernance et de gestion comprend plusieurs pratiques de processus. Chaque processus comporte une ou plusieurs activités. Un nombre
limité d'exemples de mesures accompagne chaque pratique de processus, pour mesurer la réalisation de la pratique et sa contribution à la réalisation de l'objectif
global (figure 3.4).

Figure 3.4—Affichage du composant de processus

A. Composante : Processus

Gouvernance/Pratique de gestion Exemple de métriques

<REF> <NOM> <DESCRIPTION> <MÉTRIQUE>

Activités Niveau de capacité

1. <TEXTE> <NR>

2. <TEXTE> <NR>

n.m. <TEXTE> <NR>

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

<NOM STANDARD> <TEXTE>

<NOM STANDARD> <TEXTE>

19
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Un niveau de capacité est attribué à toutes les activités de processus, permettant une définition claire des processus à différents niveaux de capacité.
Un processus atteint un certain niveau de capacité dès que toutes les activités de ce niveau sont exécutées avec succès. COBIT® 2019 prend en charge un
schéma de capacité de processus basé sur Capability Maturity Model Integration® (CMMI) , allant de 0 à 5. Le niveau de capacité est une mesure de la qualité
de la mise en œuvre et de la performance d'un processus. La figure 3.5 décrit le modèle, les niveaux de capacité croissants et les caractéristiques générales
de chacun.

Figure 3.5—Niveaux de capacité des processus

Le processus atteint son but, est bien

défini, sa performance est mesurée à
5 améliorer les performances et continuer
l'amélioration est poursuivie.

Le processus atteint son but, est bien défini et son

4 la performance est (quantitativement) mesurée.

Le processus atteint son objectif de manière beaucoup plus organisée en utilisant

3 atouts organisationnels. Les processus sont généralement bien définis.

Le processus atteint son objectif grâce à l'application d'un ensemble de base, mais complet, de
2 activités pouvant être qualifiées d'exécutées.

Le processus atteint plus ou moins son but par l'application d'un ensemble incomplet d'activités qui
1 peut être qualifié d'initial ou d'intuitif - peu organisé.

• Absence de toute capacité de base

0 • Approche incomplète pour aborder l'objectif de gouvernance et de gestion
• Peut ou non répondre à l'intention de toutes les pratiques de processus

Voir le chapitre 6 du référentiel COBIT® 2019 : introduction et méthodologie pour plus de détails sur la gestion des performances et la mesure des
capacités.

Le cas échéant, des références à d'autres normes et orientations sont également incluses dans cette section (voir figure 3.4). Les orientations connexes font
référence à toutes les normes, cadres, exigences de conformité et autres orientations pertinentes pour le processus en cours. La zone de référence détaillée
cite des chapitres ou des sections spécifiques dans les orientations connexes. Une liste complète des sources des orientations connexes est incluse à l'annexe C.

Si aucune orientation connexe n'est répertoriée pour un composant particulier, aucune référence applicable n'est connue à partir des sources cartographiées.
La communauté des praticiens est encouragée à suggérer des conseils connexes.

3.5 Composante : Structures organisationnelles

La composante de gouvernance des structures organisationnelles suggère des niveaux de responsabilité et d'imputabilité pour les pratiques de
processus (figure 3.6). Les diagrammes incluent les rôles individuels ainsi que les structures organisationnelles, à la fois commerciales et informatiques.

20
Machine Translated by Google
CHAPITRE 3
STRUCTURE DE COBIT GOUVERNANCE ET OBJECTIFS DE GESTION

Figure 3.6—Affichage du composant Structures organisationnelles

B. Composante : Structures organisationnelles

Principales pratiques de gouvernance/gestion

<REF> <NOM>

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

<NOM STANDARD> <TEXTE>

<NOM STANDARD> <TEXTE>

Les rôles et structures organisationnelles suivants ont été définis dans le cadre de COBIT® 2019ÿ:

• Conseil

• Comité exécutif

• Président-directeur général

• Directeur Financier

• Chef de l'exploitation

• Directeur des Risques

• Directeur de l'information

• Directeur de la technologie •

Directeur du numérique

• Conseil de gouvernance I&T

• Conseil d'architecture

• Comité des risques d'entreprise •

Directeur de la sécurité de l'information

• Propriétaire du processus métier

• Gestionnaire de

portefeuille • Comité de pilotage (Programmes/Projets)

• Gestionnaire de programme

• Chef de projet •

Bureau de gestion de projet • Fonction

de gestion des données

• Responsable des Ressources Humaines

•ÿResponsable des relations

21
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

• Architecte en chef

• Développement de la tête

• Responsable des opérations informatiques

• Responsable de l'administration informatique

•ÿGestionnaire de services

•ÿResponsable de la sécurité des informations

•ÿResponsable de la continuité des activités

• Responsable de la confidentialité

• Conseiller juridique

• Conformité
• Audit

Une description détaillée de chacun de ces rôles et structures organisationnelles est incluse dans l'annexe B. Les différents niveaux d'implication inclus pour ces structures
peuvent être divisés en niveaux responsables et responsables.

• Les rôles responsables (R) prennent le principal enjeu opérationnel dans l'accomplissement de la pratique et créent le résultat escompté. Qui est
faire la tâche? Qui pilote la tâche ?

• Les rôles responsables (A) comportent une responsabilité globale. En principe, la responsabilité ne peut être partagée. Qui est responsable du succès et de la réalisation de
la tâcheÿ?

Chaque domaine décrit les structures organisationnelles qui ont la responsabilité et/ou l'imputabilité dans le domaine. Une description détaillée de chacun des rôles et de la
structure organisationnelle est incluse. D'autres structures organisationnelles sans responsabilité ni imputabilité ont été omises pour améliorer la lisibilité de l'organigramme.

Les praticiens peuvent compléter des tableaux en ajoutant deux niveaux d'implication pour les rôles et les structures organisationnelles. Étant donné que l'attribution des
rôles consultés et informés dépend du contexte et des priorités organisationnels, ils ne sont pas inclus dans ces orientations détaillées.

• Les rôles consultés (C) fournissent des informations pour la pratique. Qui apporte sa contributionÿ?

• Les rôles informés (I) sont informés des réalisations et/ou des livrables de la pratique. Qui reçoit les informations ?

Les entreprises devraient revoir les niveaux de responsabilité et d'imputabilité, consultées et informées, et mettre à jour les rôles et les structures organisationnelles
dans l'organigramme en fonction du contexte, des priorités et de la terminologie préférée de l'entreprise.

Le cas échéant, des références à d'autres normes et des conseils supplémentaires sont inclus dans la section des composants de la structure organisationnelle.
Les directives connexes font référence à toutes les normes, cadres, exigences de conformité et autres directives qui sont pertinentes pour les structures
organisationnelles concernées et leurs niveaux d'implication dans le processus. La zone de référence détaillée cite des chapitres ou des sections spécifiques dans les
orientations connexes. Une liste complète des sources est incluse dans l'annexe C.

3.6 Composanteÿ: flux d'informations et éléments

Le troisième volet de gouvernance fournit des orientations sur les flux d'informations et les éléments liés aux pratiques de processus. Chaque pratique comprend des entrées et
des sorties, avec des indications d'origine et de destination.

En général, chaque sortie est envoyée vers une ou un nombre limité de destinations, généralement une autre pratique de processus COBIT. Cette sortie devient alors une
entrée vers sa destination (figure 3.7).

22
Machine Translated by Google
CHAPITRE 3
STRUCTURE DE COBIT GOUVERNANCE ET OBJECTIFS DE GESTION

Figure 3.7—Affichage des flux d'informations et composant d'éléments

C. Composanteÿ: flux d'informations et éléments

Gouvernance/Pratique de gestion Contributions Les sorties

À partir de La description La description Pour

<REF> <NOM>
<REF> <TEXTE> <TEXTE> <REF>

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

<NOM STANDARD> <TEXTE>

<NOM STANDARD> <TEXTE>

Un certain nombre de sorties, cependant, ont de nombreuses destinations (par exemple, tous les processus COBIT ou tous les processus au sein d'un
domaine). Pour des raisons de lisibilité, ces sorties ne sont pas listées comme entrées dans les processus cibles. Une liste complète de ces sorties est
incluse dans la figure 3.8.

Pour certaines entrées/sorties, «ÿinterneÿ» est cité comme destination si l'entrée et la sortie sont partagées entre les activités d'un même processus.

Figure 3.8—Sorties vers plusieurs processus

Sorties vers tous les processus

De la pratique clé Description de la sortie Destination

APO13.02 Tous EDM, Tous APOÿ; Tous BAI, Tous DSSÿ;

Plan de traitement des risques de sécurité de l'information
Tous les AEM

Extrait de la description des résultats de la pratique de gouvernance Destination

EDM01.01 Principes directeurs de la gouvernance d'entreprise Tout GED

EDM01.01 Tout GED

Modèle décisionnel

EDM01.02 Communication sur la gouvernance d'entreprise Tout GED

EDM01.01 Niveaux d'autorité Tout GED

EDM01.03 Rétroaction sur l'efficacité et la performance de la gouvernance Tout GED

Extrants de tous les processus de gestion

De la pratique de la gestion Description de la sortie Destination

APO01.01 Conception du système de gestion Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO01.01 Objectifs prioritaires de gouvernance et de gestion Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO01.02 Communication sur les objectifs I&T Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO01.02 Règles de base de la communication Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO01.03 Analyse des lacunes du modèle cible Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO01.11 Opportunités d'amélioration des processus Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO02.05 Stratégie et objectifs I&T Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO02.06 Forfait Communication Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO11.03 Normes de gestion de la qualité Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO11.04 Traiter les objectifs et les métriques de qualité de service Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO11.05 Communications sur l'amélioration continue et les meilleures pratiques Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO11.05 Exemples de bonnes pratiques à partager Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

APO11.05 Résultats de référence de l'examen de la qualité Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

23
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Figure 3.8—Sorties vers plusieurs processus (suite)

Extrants de tous les processus de gestion

De la pratique de la gestion Description de la sortie Destination

MEA01.02 Objectifs de surveillance Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA01.04 Rapports de performances Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA01.05 Actions correctives et missions Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA02.01 Résultats de la surveillance et des revues du contrôle interne Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA02.01 Résultats des analyses comparatives et autres évaluations Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA02.03 Résultats des examens des auto-évaluations Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA02.03 Plans et critères d'auto-évaluation Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA02.04 Lacunes du contrôle Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA02.04 Des mesures correctives Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA03.02 Communications des exigences de conformité modifiées Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA04.02 Régimes d'assurance Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA04.08 Rapport d'examen d'assurance Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA04.08 Résultats de l'examen d'assurance Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

MEA04.09 Des mesures correctives Tous APOÿ; Tous les BAIÿ; Tous les SSDÿ; Tous les AEM

Le cas échéant, des références à d'autres normes et des orientations supplémentaires sont incluses dans la composante flux
d'informations et éléments. Les orientations connexes font référence à toutes les normes, cadres, exigences de conformité et autres
orientations pertinentes pour l'élément d'information en question. La zone de référence détaillée cite des chapitres ou des sections spécifiques
dans les orientations connexes. Une liste complète des sources est incluse dans l'annexe C.

3.7 Comp ent : personnes, aptitudes et compétences

La composante de gouvernance des personnes, des aptitudes et des compétences identifie les ressources humaines et les aptitudes requises
pour atteindre l'objectif de gouvernance ou de gestion. COBIT® 2019 a basé ces conseils sur le cadre de compétences pour l'ère de l'information
(SFIA®) V6 (version 6).5 Toutes les compétences répertoriées sont décrites en détail dans le cadre SFIA. La référence détaillée fournit un
code unique qui correspond aux directives SFIA sur la compétence (figure 3.9). En outre, des références sont incluses pour plusieurs objectifs
de gouvernance et de gestion au cadre de compétences numériques (e-CF)—Un cadre européen commun pour les professionnels des TIC dans
tous les secteurs de l'industrie—Partie 1ÿ: Cadre6 et aux «ÿPrincipes fondamentauxÿ» de l'Institut des auditeurs internes. pour la pratique
professionnelle de l'audit interne. »7

Figure 3.9—Affichage de la composante Personnes, aptitudes et compétences

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

<NOM> <CODE SFIA>

Cadre de compétences pour l'ère de l'information, V6 (SFIA 6), 2015

<NOM> Cadre de compétences pour l'ère de l'information, V6 (SFIA 6), 2015 <CODE SFIA>

5 Fondation SFIA, "SFIA V6, la sixième version majeure du référentiel de compétences pour l'ère de l'information." https:// www.sfia-online.org/ en/ framework/ sfia-6
6
Comité européen de normalisation (CEN), e-Competence Framework (e-CF) - Un cadre européen commun pour les professionnels des TIC dans tous les
secteurs industriels - Partie 1 : Cadre, EN 16234-1:2016, https:// standards.cen. eu/ dyn/ www/ f?
p=204:110:0::::FSP_PROJECT:41798&cs=13E00999DD92E702F0E171397CF76EC87
7 L'Institut des auditeurs internes® (IIA®), «ÿPrincipes fondamentaux pour la pratique professionnelle de l'audit interneÿ»,
https:// na.theiia.org/ standards-guidance/ mandatory-guidance/ Pages/ Core-Principles-for-the-Professional-Practice-of-Internal-Auditing.aspx

24
Machine Translated by Google
CHAPITRE 3
STRUCTURE DE COBIT GOUVERNANCE ET OBJECTIFS DE GESTION

3.8 Composanteÿ: Politiques et procédures

Cette composante fournit des orientations détaillées sur les politiques et procédures pertinentes pour l'objectif de gouvernance ou de gestion. Le
nom des politiques et procédures pertinentes est inclus, avec une description de l'objectif et du contenu de la politique (figure 3.10).

Le cas échéant, des références à d'autres normes et des conseils supplémentaires sont inclus. Le Guide connexe cite des chapitres ou des
sections spécifiques au sein du guide connexe où de plus amples informations peuvent être consultées. Une liste complète des sources est
incluse dans l'annexe C.

Figure 3.10—Affichage du composant Politiques et procédures

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

<NOM> <DESCRIPTIF> <NOM STANDARD> <TEXTE>

3.9 Composante : Culture, éthique et comportement

La composante de gouvernance sur la culture, l'éthique et le comportement fournit des conseils détaillés sur les éléments culturels souhaités au
sein de l'organisation qui soutiennent la réalisation d'un objectif de gouvernance ou de gestion (figure 3.11). Le cas échéant, des références à
d'autres normes et des conseils supplémentaires sont inclus. Les orientations connexes cite des chapitres ou des sections spécifiques dans les
orientations connexes où de plus amples informations peuvent être consultées. Une liste complète des sources est incluse dans l'annexe C.

Figure 3.11—Affichage de la composante culture, éthique et comportement

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

<NOM> <NOM STANDARD> <TEXTE>

3.10 Composante : Services, Infrastructure et Applications

Le composant de gouvernance des services, de l'infrastructure et des applications fournit des conseils détaillés sur les services tiers, les types
d'infrastructure et les catégories d'applications qui peuvent être appliquées pour soutenir la réalisation d'un objectif de gouvernance ou de
gestion. Les conseils sont génériques (pour éviter de nommer des fournisseurs ou des produits spécifiques)ÿ; cependant, les entrées fournissent
une orientation aux entreprises pour construire leur système de gouvernance pour l'I&T (figure 3.12).

Figure 3.12—Affichage des composants des services, de l'infrastructure et des applications

G. Composante : Services, Infrastructure et Applications

<CATÉGORIE DE SERVICES, INFRASTRUCTURE OU APPLICATIONS>

25
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

26
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Chapitre 4
Objectifs de gouvernance et de gestion de COBIT – Conseils détaillés

Modèle de base COBIT

4.1 Évaluer, diriger et surveiller (EDM)

01 Mise en place et maintien du cadre de gouvernance assuré

02 PrestationsAssuréesLivraison

03 Optimisation des risques assurée

04 Optimisation des ressources assurée

05 Engagement des parties prenantes assuré

27
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

28
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Évaluer, diriger et surveiller

Objectif de gouvernance : EDM01 — Définition de l'établissement et de la maintenance du cadre de gouvernance assuré Domaine d'interventionÿ: modèle de base COBIT

Analyser et articuler les exigences pour la gouvernance de l'I&T d'entreprise. Mettre en place et maintenir des composants de gouvernance avec une clarté d'autorité et de responsabilités pour
atteindre la mission, les buts et les objectifs de l'entreprise.

But

Fournir une approche cohérente intégrée et alignée avec l'approche de gouvernance d'entreprise. Les décisions liées à l'I&T sont prises conformément aux stratégies et aux objectifs de l'entreprise et la
valeur souhaitée est réalisée. À cette fin, veiller à ce que les processus liés à l'I&T soient supervisés de manière efficace et transparenteÿ; la conformité aux exigences légales, contractuelles et réglementaires
est confirméeÿ; et les exigences en matière de gouvernance pour les membres du conseil sont respectées.

L'objectif de gouvernance soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG03 Conformité aux lois et réglementations externes • AG01ÿConformité I&T et assistance pour la conformité de l'entreprise aux lois et
• EG08ÿOptimisation de la fonctionnalité des processus métier internes réglementations externes
• EG12 Programmes de transformation numérique gérés • AG03ÿBénéfices réalisés grâce au portefeuille d'investissements et de services d'I&T

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG03 a. Coût de la non-conformité réglementaire, y compris les règlements et AG01 a. Coût de la non-conformité informatique, y compris les règlements et les amendes,
les amendes et l'impact de la perte de réputation
b. Nombre de problèmes de non-conformité réglementaire provoquant des b. Nombre de problèmes de non-conformité liés à l'informatique signalés au conseil
commentaires publics ou une publicité négative d'administration ou provoquant des commentaires publics ou de l'embarras
c. Nombre de cas de non-conformité notés par les régulateurs d. Nombre de c. Nombre de problèmes de non-conformité liés aux accords contractuels avec
problèmes de non-conformité réglementaire liés aux accords contractuels avec les fournisseurs de services informatiques
des partenaires commerciaux

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG03 a. Pourcentage d'investissements activés en I&T pour lesquels les avantages

avec des capacités de processus métier revendiqués dans l'analyse de rentabilisation sont atteints ou dépassés

b. Niveaux de satisfaction des clients à l'égard des capacités de prestation b. Pourcentage de services I&T pour lesquels les avantages attendus (tels
de services qu'énoncés dans les accords de niveau de service) sont réalisés
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gouvernance Exemple de métriques

EDM01.01 Évaluer le système de gouvernance. une. Nombre de principes directeurs définis pour la gouvernance et la prise de décision
Identifiez et dialoguez en permanence avec les parties prenantes de l'entreprise, documentez en I&T
une compréhension des exigences et évaluez la conception actuelle et future de la b. Nombre de cadres supérieurs impliqués dans l'établissement de l'orientation de la gouvernance
gouvernance de l'I&T de l'entreprise. pour ça

Activités Niveau de capacité

1. Analyser et identifier les facteurs environnementaux internes et externes (obligations légales, réglementaires et contractuelles) et les tendances 2

l'environnement des affaires qui peut influencer la conception de la gouvernance.

2. Déterminer l'importance de l'I&T et son rôle par rapport à l'entreprise.

3. Examiner les réglementations externes, les lois et les obligations contractuelles et déterminer comment elles doivent être appliquées dans le
gouvernance de l'I&T d'entreprise.

4. Déterminer les implications de l'environnement de contrôle global de l'entreprise en ce qui concerne l'I&T.

5. Aligner l'utilisation et le traitement éthiques de l'information et son impact sur la société, l'environnement naturel et les 3

intérêts des parties prenantes avec la direction, les buts et les objectifs de l'entreprise.

6. Articuler les principes qui guideront la conception de la gouvernance et la prise de décision de l'I&T.

7. Déterminer le modèle décisionnel optimal pour l'I&T.

8. Déterminer les niveaux appropriés de délégation d'autorité, y compris les règles de seuil, pour les décisions d'I&T.

29
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme de cybermaturité CMMI, 2018 ISO/ GE.AG Appliquer le système de gouvernanceÿ; Système de gouvernance du moniteur GE.MG

IEC 38500:2015(E) 5.2 Principe 1 : Responsabilité (Évaluer)

ITIL V3, 2011 Stratégie de service, 2.3 Systèmes de gouvernance et de gestion

Publication spéciale de l'Institut national des normes et de la technologie 3.1 Préparation (Tâches 2, 3, 4, 5)
800-37, révision 2 (ébauche), mai 2018

Pratique de gouvernance Exemple de métriques

EDM01.02 Diriger le système de gouvernance. une. Degré auquel les principes de gouvernance de l'I&T convenus sont évidents dans les
Informez les dirigeants sur les principes de gouvernance I&T et obtenez leur soutien, leur processus et les pratiques (pourcentage de processus et de pratiques traçables aux
adhésion et leur engagement. Guider les structures, les processus et les pratiques de principes)
gouvernance de l'I&T conformément aux principes de gouvernance convenus, aux modèles de b. Fréquence des rapports sur la gouvernance de l'I&T au comité exécutif
prise de décision et aux niveaux d'autorité. Définir les informations nécessaires à une prise de et planche

décision éclairée. c. Nombre de rôles, de responsabilités et d'autorités pour la gouvernance de l'I&T qui sont
définis, attribués et acceptés par la direction appropriée des affaires et de l'I&T

Activités Niveau de capacité

1. Communiquer la gouvernance des principes I&T et convenir avec la direction générale de la manière d'établir des 2

direction engagée.

2. Établir ou déléguer l'établissement de structures, de processus et de pratiques de gouvernance conformément à la conception convenue
des principes.

3. Établir un conseil de gouvernance I&T (ou l'équivalent) au niveau du conseil. Ce conseil devrait s'assurer que la gouvernance de l'information et de la technologie, dans le
cadre de la gouvernance d'entreprise, est adéquatement abordée; donner des conseils sur l'orientation stratégiqueÿ; et déterminer l'ordre de priorité des programmes
d'investissement en I&T conformément à la stratégie et aux priorités commerciales de l'entreprise.

4. Attribuer la responsabilité, l'autorité et la responsabilisation pour les décisions en matière d'I&T conformément aux principes de conception de la gouvernance, aux 3

modèles de prise de décision et à la délégation convenus.

5. Veiller à ce que les mécanismes de communication et de rapport fournissent aux responsables de la surveillance et de la prise de
informations appropriées.

6. Ordonner au personnel de suivre les directives pertinentes en matière de comportement éthique et professionnel et veiller à ce que les conséquences de
les non-conformités sont connues et appliquées.

7. Diriger la mise en place d'un système de récompense pour promouvoir un changement culturel souhaitable.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 ISF, The Système de gouvernance directe GE.DG

Standard of Good Practice for Information Security 2016 SG1.1 Cadre de gouvernance de la sécurité

ISO/CEI 38500:2015(E) 5.2 Principe 1 : Responsabilité (directe)

ISO/CEI 38502:2017(E) Gouvernance des TI - Cadre et modèle (tous les chapitres)

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 Partie 5.4 : Domaines fonctionnels de gouvernance - Principe 12

Publication spéciale de l'Institut national des normes et de la technologie 3.14 Planification (PL-2, PL-10)
800-53, révision 5 (ébauche), août 2017

Pratique de gouvernance Exemple de métriques

EDM01.03 Surveiller le système de gouvernance. une. Temps de cycle réel par rapport à la cible pour les décisions clés
Surveiller l'efficacité et la performance de la gouvernance de l'I&T de l'entreprise. b. Fréquence des examens indépendants de la gouvernance de l'I&T
Évaluer si le système de gouvernance et les mécanismes mis en œuvre (y compris c. Niveau de satisfaction des parties prenantes (mesuré au moyen d'enquêtes)
les structures, principes et processus) fonctionnent efficacement et assurer une ré. Nombre de problèmes de gouvernance de l'I&T signalés
surveillance appropriée de l'I&T pour permettre la création de valeur.

30
Machine Translated by Google

surveiller
Évaluer,
diriger
et
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS
CHAPITRE 4

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Évaluer l'efficacité et la performance des parties prenantes auxquelles ont été déléguées la responsabilité et l'autorité en matière de gouvernance 3
de l'I&T d'entreprise.

2. Évaluer périodiquement si la gouvernance convenue des mécanismes d'I&T (structures, principes, processus, etc.) est établie 4
et fonctionner efficacement.

3. Évaluer l'efficacité de la conception de la gouvernance et identifier les actions pour rectifier tout écart constaté.

4. Maintenir la surveillance de la mesure dans laquelle I&T satisfait aux obligations (réglementaires, législatives, de droit commun, contractuelles),
politiques, normes et lignes directrices professionnelles.

5. Superviser l'efficacité et le respect du système de contrôle de l'entreprise.

6. Surveiller les mécanismes réguliers et routiniers pour s'assurer que l'utilisation des I&T est conforme aux obligations pertinentes (réglementaires,
législation, common law, contractuelle), normes et lignes directrices.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 38500:2015(E) 5.2 Principe 1 : Responsabilité (Moniteur)

Publication spéciale de l'Institut national des normes et de la technologie 800- 3.14 Planification (PL-11)
53, révision 5 (ébauche), août 2017

B. Composante : Structures organisationnelles

Planche exécutif
Comité direction
Chef
de
la l'information
Directeur
de gouvernance
Conseil
I&T
de

Pratique de gouvernance clé

EDM01.01 Évaluer le système de gouvernance. ARRRR

EDM01.02 Diriger le système de gouvernance. RA R

EDM01.03 Surveiller le système de gouvernance. ARRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 ISO/IEC 6. Gouvernance et culture—Principe 2

38502:2017(E) 5.1 Responsabilités de l'organe directeur

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 Partie 2 : Concepts fondamentaux — Définition de la gouvernance d'entreprise ;
Partie 5.3 : Structures de gouvernance et délégation—Principes 6 et 7

31
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gouvernance Contributions Les sorties

EDM01.01 Évaluer le système de gouvernance. À partir de La description La description Pour

MEA03.02 Communication de Gouvernance d'entreprise Tous GEDÿ;

conformité modifiée des principes directeurs APO01.01ÿ;
conditions APO01.03
APO01.04

En dehors de COBIT • Constitution/règlements/ Modèle de prise de décision Tous GEDÿ;

statuts de l'organisation APO01.01ÿ;
• Modèle de gouvernance/ APO01.04

prise de décision
Niveaux d'autorité Tous GEDÿ;
• Lois/règlements
APO01.05
• Tendances de l'environnement
des affaires

EDM01.02 Diriger le système de gouvernance. Gouvernance d'entreprise Tous GEDÿ;

la communication APO01.02

Approche du système de récompense APO07.03ÿ;

APO07.04

EDM01.03 Surveiller le système de gouvernance. MEA01.04 Rapports de performances Retour sur la gouvernance Tous GEDÿ;
efficacité et APO01.11

performance
MEA01.05 Statut et résultats des actions

MEA02.01 • Résultats d'enquêtes internes

suivi des contrôles et revues

• Résultats des

analyses comparatives
et autres évaluations

MEA02.03 Résultats des examens des

auto-évaluations

MEA03.03 Attestation de
conformité

MEA03.04 • Rapports d'assurance de la

conformité
• Rapports sur
les problèmes de non-conformité
et les causes profondes

MEA04.02 Régimes d'assurance

En dehors de COBIT • Rapports d'audit

• Obligations

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.1 Préparation (Tâche 2, 3, 4, 5)ÿ: entrées et sorties
800-37, révision 2, septembre 2017

32
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Référence détaillée

Gouvernance du SI Framework (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part E. Gérer—E.9. Gouvernance SI
1: Framework, 2016

Gouvernance informatique Cadre de compétences pour l'ère de l'information V6, 2015 GOUVERNEMENT

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de délégation de pouvoir politique Spécifie l'autorité que le conseil (1) ISO/CEI 38500:2015(E)ÿ; (1) 5.2 Principe 1 : Responsabilité ;
conserve strictement pour lui-même. (2) ISO/CEI 38502:2017(E)ÿ; (2) 5.3 Délégationÿ; (3) Partie 5.3ÿ:
Énumère les principes généraux de (3) Rapport King IV sur les entreprises Structures de gouvernance et
délégation de pouvoir et le calendrier de Gouvernance pour l'Afrique du Sud, 2016 Principe de délégation—8 et 10
délégation (y compris des limites claires).
Définit les structures organisationnelles
auxquelles le conseil délègue des pouvoirs.

Politique de gouvernance Fournit des principes directeurs de Institut national des normes et 3.14 Planification (PL-1)
gouvernance (par exemple, la Publication spéciale sur la technologie
gouvernance de l'I&T est essentielle au succès 800-53, révision 5 (ébauche),
de l'entrepriseÿ; l'I&T et l'entreprise s'alignent Août 2017
stratégiquementÿ; les exigences et les
avantages de l'entreprise déterminent les
prioritésÿ; l'application doit être équitable,
opportune et cohérenteÿ; les meilleures
pratiques, cadres et normes de l'industrie
doivent être évalués et mis en œuvre le cas

échéant). Comprend des impératifs de

gouvernance, tels que l'établissement de
relations de confiance et de partenariats, pour
réussir.
Souligne que la gouvernance de l'I&T reflète
un processus d'amélioration continue et doit
être adaptée, maintenue et mise à jour pour
assurer sa pertinence.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Identifier et communiquer la culture décisionnelle, l'éthique organisationnelle et les comportements (1) Institut national des normes (1) 3.14 Planification (PL-4); (2) 4.1
individuels qui incarnent les valeurs de l'entreprise. et Spécial Technologie Des principes; (3) Partie 5.1 : Leadership,
Faites preuve de leadership éthique et donnez le ton au sommet. Publication 800-53, Révision éthique et citoyenneté d'entreprise - Principe 2
5 août 2017ÿ; (2) ISO/CEI
38500:2015(E); (3) Rapport King IV sur la
gouvernance d'entreprise pour
Afrique du Sud, 2016

G. Composante : Services, Infrastructure et Applications

• COBIT et produits/outils associés

• Cadres et normes équivalents

33
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

34
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Évaluer, diriger et surveiller

Objectif de gouvernance : EDM02 — Prestations assurées Description Domaine d'interventionÿ: modèle de base COBIT

Optimisez la valeur pour l'entreprise des investissements dans les processus métier, les services I&T et les actifs I&T.

But

Sécuriser la valeur optimale des initiatives, des services et des actifs activés par l'I&Tÿ; livraison rentable de solutions et de servicesÿ; et une image fiable et précise des coûts et des avantages probables afin
que les besoins de l'entreprise soient pris en charge de manière efficace et efficiente.

L'objectif de gouvernance soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l' entreprise Æ Objectifs d'alignement

• EG08 Optimisation de la fonctionnalité des processus métier internes AG03 Avantages réalisés grâce au portefeuille d'investissements et de services d'I&T

• EG12 Programmes de transformation numérique gérés

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG03 a. Pourcentage d'investissements activés en I&T pour lesquels les avantages

avec des capacités de processus métier revendiqués dans l'analyse de rentabilisation sont atteints ou dépassés

b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de b. Pourcentage de services I&T pour lesquels les avantages attendus (tels
services qu'énoncés dans les accords de niveau de service) sont réalisés
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gouvernance Exemple de métriques

EDM02.01 Établir la composition cible des investissements. une. Pourcentage des investissements en I&T liés à la stratégie de l'entreprise
Examiner et assurer la clarté des stratégies d'entreprise et d'I&T et des services actuels. Définir une b. Pourcentage des investissements en I&T basés sur le coût, l'alignement avec la stratégie, les
combinaison d'investissement appropriée en fonction du coût, de l'alignement sur la stratégie, du type mesures financières (par exemple, le coût et le retour sur investissement sur le cycle de vie
d'avantage pour les programmes du portefeuille, du degré de risque et des mesures financières telles économique complet), le degré de risque et le type d'avantages pour les programmes du
que le coût et le retour sur investissement (ROI) attendu sur l'ensemble du cycle de vie économique. portefeuille
Ajuster les stratégies d'entreprise et d'I&T si nécessaire.

Activités Niveau de capacité

1. Créer et maintenir des portefeuilles de programmes d'investissement, de services informatiques et d'actifs informatiques activés par l'I&T, qui constituent la base du 2

budget informatique actuel et soutenir les plans tactiques et stratégiques I&T.

2. Obtenir une compréhension commune entre l'informatique et les autres fonctions de l'entreprise sur les opportunités potentielles pour l'informatique de permettre et de contribuer
à la stratégie d'entreprise.

3. Identifier les grandes catégories de systèmes d'information, applications, données, services informatiques, infrastructure, actifs I&T, ressources, compétences,
les pratiques, les contrôles et les relations nécessaires pour soutenir la stratégie de l'entreprise.

4. Convenir des objectifs d'I&T, en tenant compte des interrelations entre la stratégie d'entreprise et les services, actifs et
autres ressources. Identifier et exploiter les synergies qui peuvent être réalisées.

5. Définir une combinaison d'investissements qui atteint le bon équilibre entre un certain nombre de dimensions, y compris un équilibre approprié de 3

des rendements à court et à long terme, des avantages financiers et non financiers et des investissements à risque élevé et faible.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 The Open Partie 5.5 : Relations avec les parties prenantes—Principe 17

Group IT4IT Reference Architecture, Version 2.0 3.2 Chaîne de valeur informatique et architecture de référence IT4IT

35
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gouvernance Exemple de métriques

EDM02.02 Évaluer l'optimisation de la valeur. une. Écart entre la combinaison d'investissements cible et réelle
Évaluer en permanence le portefeuille d'investissements, de services et d'actifs activés par l'I&T b. Pourcentage du portefeuille d'investissements en I&T avec une probabilité de
pour déterminer la probabilité d'atteindre les objectifs de l'entreprise et de générer de la valeur. atteindre les objectifs de l'entreprise et fournir de la valeur à un coût raisonnable
Identifier et évaluer tout changement d'orientation de la direction qui optimisera la création de valeur.

Activités Niveau de capacité

1. Comprendre les exigences des parties prenantesÿ; les questions stratégiques d'I&T, comme la dépendance à l'I&Tÿ; et connaissances technologiques et 2

capacités concernant l'importance réelle et potentielle de l'I&T pour la stratégie de l'entreprise.

2. Comprendre les éléments clés de la gouvernance nécessaires à la fourniture fiable, sécurisée et rentable d'une valeur optimale à partir de 3

l'utilisation des services, actifs et ressources d'I&T existants et nouveaux.

3. Comprendre et discuter régulièrement des opportunités qui pourraient découler pour l'entreprise des changements permis par les technologies actuelles, nouvelles ou émergentes,
et optimiser la valeur créée à partir de ces opportunités.

4. Comprendre ce qui constitue une valeur pour l'entreprise et évaluer dans quelle mesure elle est communiquée, comprise et appliquée tout au long des processus de
l'entreprise.

5. Évaluer l'efficacité avec laquelle les stratégies d'entreprise et d'I&T ont été intégrées et alignées au sein de l'entreprise et avec les objectifs de l'entreprise en matière de 4

création de valeur.

6. Comprendre et évaluer l'efficacité actuelle des rôles, des responsabilités, des obligations redditionnelles et des organes décisionnels dans
assurer la création de valeur à partir des investissements, des services et des actifs activés par l'I&T.

7. Examinez dans quelle mesure la gestion des investissements, des services et des actifs liés à l'I&T s'aligne sur les pratiques de gestion de la valeur d'entreprise et de gestion
financière.

8. Évaluer le portefeuille d'investissements, de services et d'actifs pour s'aligner sur les objectifs stratégiques de l'entrepriseÿ; la valeur de l'entreprise, à la fois financière et non
financièreÿ; le risque, à la fois le risque de livraison et le risque de bénéficesÿ; alignement des processus métierÿ; efficacité en termes d'ergonomie, de disponibilité et de
réactivité ; et l'efficacité en termes de coût, de redondance et de santé technique.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 ISF, The Standard 7. Stratégie et établissement d'objectifs - Principe 8

of Good Practice for Information Security 2016 ISO/IEC 38500:2015(E) SG2.2 Apporter de la valeur aux parties prenantes

5.3 Principe 2 : Stratégie (Évaluer)

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 The Open Partie 5.2 : Stratégie, performance et rapports — Principe 4

Group IT4IT Reference Architecture, Version 2.0 5. Flux de valeur de la stratégie au portefeuille (S2P)

Pratique de gouvernance Exemple de métriques

EDM02.03 Optimisation de la valeur directe. une. Pourcentage d'initiatives d'I&T dans le portefeuille global dont la valeur est
Principes et pratiques de gestion de la valeur directe pour permettre une réalisation optimale géré tout au long du cycle de vie
de la valeur des investissements activés par l'I&T tout au long de leur cycle de vie économique b. Pourcentage d'initiatives d'I&T utilisant les principes de gestion de la valeur et
complet. les pratiques

Activités Niveau de capacité

1. Définir et communiquer les types de portefeuille et d'investissement, les catégories, les critères et les pondérations relatives aux critères pour permettre des scores de valeur 2
relative globale.

2. Définir les exigences pour les étapes et autres examens de l'importance de l'investissement pour l'entreprise et des risques associés, des calendriers de programme, des plans 3

de financement et de la fourniture de capacités et d'avantages clés et de la contribution continue à la valeur.

3. Demander à la direction d'envisager des utilisations innovantes potentielles de l'I&T qui permettent à l'entreprise de répondre à de nouvelles opportunités ou
défis, entreprendre de nouvelles activités, accroître la compétitivité ou améliorer les processus.

4. Diriger tout changement requis dans l'attribution des responsabilités et responsabilités pour l'exécution du portefeuille d'investissement et la création de valeur à partir des
processus et services commerciaux.

5. Diriger tous les changements nécessaires au portefeuille d'investissements et de services pour les réaligner sur les objectifs et/ou contraintes actuels et attendus de
l'entreprise.

6. Recommander l'examen d'innovations potentielles, de changements organisationnels ou d'améliorations opérationnelles qui pourraient
valeur accrue pour l'entreprise grâce aux initiatives axées sur l'I&T.

7. Définir et communiquer les objectifs de création de valeur au niveau de l'entreprise et les mesures des résultats pour permettre un suivi efficace. 4

36
Machine Translated by Google

surveiller
Évaluer,
diriger
et
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS
CHAPITRE 4

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 38500:2015(E) 5.3 Principe 2ÿ: Stratégie (directe)

Pratique de gouvernance Exemple de métriques

EDM02.04 Optimisation de la valeur du moniteur. une. Nombre de nouvelles opportunités d'entreprise réalisées en conséquence directe
Surveillez les objectifs et les mesures clés pour déterminer si l'entreprise reçoit la des développements I&T
valeur attendue et bénéficie des investissements et des services activés par l'I&T. b. Pourcentage des objectifs stratégiques de l'entreprise atteints grâce à
Identifier les problèmes importants et envisager des actions correctives. initiatives stratégiques en I&T
c. Niveau de satisfaction de la haute direction à l'égard de la valeur ajoutée d'I&T
et le coût
ré. Niveau de satisfaction des parties prenantes concernant les progrès vers les objectifs
identifiés (apport de valeur basé sur des enquêtes)
e. Niveau de satisfaction des parties prenantes à l'égard de la capacité de l'entreprise à
tirer profit des initiatives d'I&T
F. Nombre d'incidents qui se produisent en raison d'un contournement réel
ou d'une tentative de contournement des principes et pratiques établis de gestion
de la valeur
g. Pourcentage de la valeur attendue réalisée

Activités Niveau de capacité

1. Définir un ensemble équilibré d'objectifs de performance, de mesures, de cibles et de repères. Les paramètres doivent couvrir les mesures d'activité et de résultat, 4
y compris les indicateurs d'avance et de retard pour les résultats, ainsi qu'un équilibre approprié de mesures financières et non financières. Examinez-les et
convenez-en avec les services informatiques et les autres fonctions commerciales, ainsi qu'avec les autres parties prenantes concernées.

2. Recueillir des données pertinentes, opportunes, complètes, crédibles et précises pour rendre compte des progrès réalisés dans la création de valeur par rapport
aux objectifs. Obtenez une vue succincte, de haut niveau et globale des performances du portefeuille, du programme et de l'I&T (capacités techniques et
opérationnelles) qui soutiennent la prise de décision. S'assurer que les résultats attendus sont atteints.

3. Obtenir des rapports réguliers et pertinents sur le rendement du portefeuille, des programmes et de l'I&T (technologique et fonctionnel). Revoir le
les progrès de l'entreprise vers les objectifs identifiés et la mesure dans laquelle les objectifs planifiés ont été atteints, les produits livrables obtenus, les
objectifs de performance atteints et les risques atténués.

4. Après examen des rapports, s'assurer que les mesures correctives appropriées de la direction sont initiées et contrôlées. 5

5. Après examen des rapports, prendre les mesures de gestion appropriées au besoin pour s'assurer que la valeur est optimisée.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 38500:2015(E) 5.3 Principe 2 : Stratégie (Moniteur)

B. Composante : Structures organisationnelles

Planche exécutif
Comité direction
Chef
de
la Directeur
financier Président
directeur
général l'information
Directeur
de gouvernance
Conseil
I&T
de Gestionnaire
portefeuille
de

Pratique de gouvernance clé

EDM02.01 Établir la composition cible des investissements. ARRRRRR

EDM02.02 Évaluer l'optimisation de la valeur. ARRRRRR

EDM02.03 Optimisation de la valeur directe. ARRRRRR

EDM02.04 Optimisation de la valeur du moniteur. ARRRRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 Partie 2 : Concepts fondamentaux — Définition de la gouvernance d'entreprise

37
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gouvernance Contributions Les sorties

EDM02.01 Établir la composition cible des investissements. À partir de La description La description Pour

APO02.05 • Définition des initiatives Rétroaction sur la stratégie et APO02.05

stratégiques les objectifs
• Initiatives d'évaluation
des risques

• Feuille de route stratégique

APO09.01 Définitions de la norme Ressources identifiées et Interne

prestations de service
capacités requises pour
stratégie de soutien

BAI03.11 Définitions des services Composition d'investissement définie Interneÿ;

EDM02.03
EDM02.03 Types d'investissement et
Critères

EDM02.02 Évaluer l'optimisation de la valeur. APO02.05 Feuille de route stratégique Évaluation de la stratégie APO02.04ÿ;
alignement APO05.02

APO05.01 Retour sur investissement Évaluation de l'investissement APO05.02ÿ;

attentes et portefeuilles de services APO05.03ÿ;
APO06.02
APO05.02 Programmes sélectionnés avec
Jalons du retour sur investissement

APO05.05 Résultats des avantages

et communications connexes

BAI01.06 Résultats de l'examen par étapes

EDM02.03 Optimisation de la valeur directe. APO05.03 Portefeuille d'investissement Exigences relatives aux BAI01.01ÿ;
rapports sur le rendement critiques de porte de scène BAI11.01

EDM02.01 Composition d'investissement définie Types d'investissement et EDM02.01ÿ;

Critères APO05.02

EDM02.04 Optimisation de la valeur du moniteur. APO05.03 Portefeuille d'investissement Actions pour améliorer la valeur APO05.03ÿ;
rapports de performances livraison APO06.02ÿ;
BAI01.01ÿ;
BAI11.01ÿ;
EDM05.01

Rétroaction sur la APO05.03ÿ;

performance du portefeuille et APO06.05ÿ;
du programme BAI01.06

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion des avantages Cadre de compétences pour l'ère de l'information V6, 2015 BENM

38
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Budgétisation et exécution des livraisons politique Établit des lignes directrices pour
politique identifier les besoins et les exigences en matière
d'investissements, surveiller la réalisation et
garantir un bénéfice maximal. S'occupe de la

formulation des demandes budgétaires.

Surveille l'exécution du budget et des
performances techniques conformément au plan.
Recommande une réaffectation ou une

reprogrammation selon les besoins.

Traite la surveillance des
performances par rapport aux accords
de niveau de service et à d'autres
mesures basées sur les performances.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

La valeur ajoutée de l'I&T dépend de la mesure dans laquelle l'I&T est alignée sur l'entreprise et
répond à ses attentes. Optimisez la valeur I&T en établissant une culture dans laquelle les services
I&T sont fournis dans les délais et dans les limites du budget, avec une qualité appropriée.

G. Composante : Services, Infrastructure et Applications

• Système de comptabilité analytique

• Outil de gestion de programme

39
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

40
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Évaluer, diriger et surveiller

Objectif de gouvernance : EDM03 — Optimisation des risques assurée Domaine d'interventionÿ: modèle de base COBIT

Description

S'assurer que l'appétence et la tolérance au risque de l'entreprise sont comprises, articulées et communiquées, et que le risque pour la valeur de l'entreprise lié à l'utilisation de l'I&T est identifié et géré.

But

Assurez-vous que le risque d'entreprise lié à l'I&T ne dépasse pas l'appétence au risque et la tolérance au risque de l'entreprise, que l'impact du risque d'I&T sur la valeur de l'entreprise est identifié et
géré, et que le potentiel de non-conformité est minimisé.

L'objectif de gouvernance soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG02 Risque commercial géré • AG02 Gestion des risques liés à l'I&T
• EG06 Continuité et disponibilité des services commerciaux • AG07 Sécurité des informations, infrastructure de traitement et applications, et
confidentialité

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG02 a. Pourcentage d'objectifs commerciaux et de services critiques AG02 a. Fréquence de mise à jour du profil de risque
couverts par l'évaluation des risques b. Pourcentage d'évaluations des risques d'entreprise, y compris les risques
b. Ratio des incidents significatifs qui n'ont pas été identifiés dans les évaluations liés à l'I&T
des risques par rapport au nombre total d'incidents c. Nombre d'incidents importants liés à l'I&T qui n'ont pas été
c. Fréquence de mise à jour du profil de risque identifié dans une évaluation des risques

EG06 a. Nombre de service client ou de processus métier AG07 a. Nombre d'incidents de confidentialité causant des pertes financières, des interruptions
interruptions provoquant des incidents significatifs d'activité ou de l'embarras public
b. Coût des incidents pour l'entreprise b. Nombre d'incidents de disponibilité entraînant des pertes financières, des
c. Nombre d'heures de traitement d'entreprise perdues en raison interruptions d'activité ou une gêne publique
d'interruptions de service imprévues c. Nombre d'incidents d'intégrité causant des pertes financières, des
ré. Pourcentage de plaintes en fonction des commis perturbations d'activité ou de l'embarras public
objectifs de disponibilité du service

A. Composante : Processus

Pratique de gouvernance Exemple de métriques

EDM03.01 Évaluer la gestion des risques. une. Niveau d'impact inattendu sur l'entreprise
Examiner et évaluer en permanence l'effet du risque sur l'utilisation actuelle et future de l'I&T b. Pourcentage du risque I&T qui dépasse la tolérance au risque de l'entreprise
dans l'entreprise. Examinez si l'appétit pour le risque de l'entreprise est approprié et assurez-vous c. Taux de rafraîchissement de l'évaluation des facteurs de risque

que le risque pour la valeur de l'entreprise lié à l'utilisation de l'I&T est identifié et géré.

Activités Niveau de capacité

1. Comprendre l'organisation et son contexte lié au risque I&T. 2

2. Déterminer l'appétit pour le risque de l'organisation, c'est-à-dire le niveau de risque lié à l'I&T que l'entreprise est prête à prendre dans sa poursuite
des objectifs de l'entreprise.

3. Déterminer les niveaux de tolérance au risque par rapport à l'appétit pour le risque, c'est-à-dire les écarts temporairement acceptables par rapport à l'appétit pour le risque.

4. Déterminer le degré d'alignement de la stratégie de risque I&T sur la stratégie de risque d'entreprise et s'assurer que l'appétit pour le risque est inférieur
la capacité de risque de l'organisation.

5. Évaluer de manière proactive les facteurs de risque I&T avant les décisions stratégiques d'entreprise en attente et s'assurer que les considérations de risque 3

font partie du processus de décision stratégique de l'entreprise.

6. Évaluer les activités de gestion des risques pour assurer l'alignement avec la capacité de l'entreprise pour les pertes liées à l'I&T et le leadership
tolérance de celui-ci.

7. Attirer et maintenir les compétences et le personnel nécessaires pour la gestion des risques I&T

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 Stratégie et établissement d'objectifs—Principes 6 et 7ÿ; 9. Révisez et
Révision—Principe 16

41
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gouvernance Exemple de métriques

EDM03.02 Gestion directe des risques. une. Niveau d'alignement entre le risque I&T et le risque d'entreprise
Diriger l'établissement de pratiques de gestion des risques pour fournir une assurance b. Pourcentage de projets d'entreprise qui tiennent compte du risque I&T
raisonnable que les pratiques de gestion des risques d'I&T sont appropriées et que le
risque réel d'I&T ne dépasse pas l'appétit pour le risque du conseil.

Activités Niveau de capacité

1. Diriger la traduction et l'intégration de la stratégie de risque I&T dans les pratiques de gestion des risques et les activités opérationnelles. 2

2. Diriger l'élaboration de plans de communication sur les risques (couvrant tous les niveaux de l'entreprise).

3. Mise en œuvre directe des mécanismes appropriés pour réagir rapidement à l'évolution des risques et signaler immédiatement
niveaux de gestion appropriés, soutenus par des principes d'escalade convenus (ce qu'il faut signaler, quand, où et comment).

4. Ordonner que les risques, opportunités, problèmes et préoccupations puissent être identifiés et signalés par quiconque à la partie appropriée à tout moment. Les
risques doivent être gérés conformément aux politiques et procédures publiées et transmis aux décideurs concernés.

5. Identifier les principaux objectifs et paramètres des processus de gouvernance et de gestion des risques à surveiller, et approuver les approches, méthodes, 3

techniques et processus de saisie et de communication des informations de mesure.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 RS.AS Appliquer la stratégie de gestion des risquesÿ; BC.RO Déterminer les objectifs de risque
stratégique

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 IR1.1 Évaluation des risques liés à l'information — Approche de gestion

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 Partie 5.4 : Domaines fonctionnels de gouvernance — Principe 11

Publication spéciale de l'Institut national des normes et de la technologie 3.5 Évaluation (Tâche 2)
800-37, révision 2 (ébauche), mai 2018

Pratique de gouvernance Exemple de métriques

EDM03.03 Surveiller la gestion des risques. une. Nombre de zones de risque potentielles d'I&T identifiées et gérées
Surveiller les objectifs et les paramètres clés des processus de gestion des risques. b. Pourcentage de risque critique qui a été efficacement atténué
Déterminez comment les déviations ou les problèmes seront identifiés, suivis et signalés c. Pourcentage de plans d'action contre les risques I&T exécutés à temps
pour résolution.

Activités Niveau de capacité

1. Signaler tout problème de gestion des risques au conseil ou au comité exécutif. 2

2. Surveiller dans quelle mesure le profil de risque est géré dans les limites des seuils d'appétence et de tolérance au risque de l'entreprise. 3

3. Surveiller les objectifs clés et les mesures des processus de gouvernance et de gestion des risques par rapport aux cibles, analyser la cause de tout 4

déviations et lancer des actions correctives pour traiter les causes sous-jacentes.

4. Permettre aux principales parties prenantes d'examiner les progrès de l'entreprise vers les objectifs identifiés.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 National 9. Examen et révision — Principe 17

Institute of Standards and Technology Special Publication 800-37, Revision 2 (Draft), mai 3.1 Préparation (Tâche 7); 3.5 Évaluation (Tâche 1); 3.6 Autorisation (Tâche 1)
2018

Architecture de référence IT4IT d'Open Group, version 2.0 6. Flux de valeur de l'exigence de déploiement (R2D); 7. Demande à remplir (R2F)
Flux de valeur

42
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

B. Composante : Structures organisationnelles

Planche exécutif
Comité direction
Chef
de
la Directeur
Risques
des l'information
Directeur
de gouvernance
Conseil
I&T
de d'entreprise
risques
Comité
des l'information
Responsable
sécurité
de
de
la

Pratique de gouvernance clé

EDM03.01 Évaluer la gestion des risques. ARRRRRR

EDM03.02 Gestion directe des risques. ARRRRRR

EDM03.03 Surveiller la gestion des risques. ARRRRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 King IV Report 6. Gouvernance et culture — Principe Partie 2 :

on Corporate Governance for South Africa, 2016 Concepts fondamentaux — Définition de la gouvernance d'entreprise

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gouvernance Contributions Les sorties

EDM03.01 Évaluer la gestion des risques. À partir de La description La description Pour

APO12.01 Problèmes de risque émergents et Conseils sur l'appétit pour le risque APO04.01ÿ;
les facteurs APO12.03

Risque d'entreprise extérieur à COBIT Évaluation du risque APO12.01

gestion (ERM) activités de gestion

des principes
Tolérance au risque approuvée APO12.03
niveaux

EDM03.02 Gestion directe des risques. APO12.03 Profil de risque agrégé, Processus approuvé pour APO12.01

y compris l'état du risque mesurer le risque

mesures de gestion le management

Risque d'entreprise extérieur à COBIT Principaux objectifs à atteindre APO12.01

gestion (ERM) surveillé pour le risque

profils et atténuation le management

des plans
Politiques de gestion APO12.01
des risques

EDM03.03 Surveiller la gestion des risques. APO12.02 Résultats de l'analyse des risques Actions correctives à APO12.06
aborder la

gestion des risques

déviations

APO12.04 • Analyse des risques et rapports Problèmes de gestion des risques EDM05.01
de profil de risque pour les pour le conseil
parties prenantes

• Résultats des évaluations

des risques par des tiers
• Opportunités
d'acceptation de risques plus
importants

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.1 Préparation (Tâche 7)ÿ: Entrées et sortiesÿ; 3.5 Évaluation (Tâches 1, 2) : Intrants 2 et
800-37, révision 2, septembre 2017 Extrantsÿ; 3.6 Autorisation (Tâche 1)ÿ: entrées et sorties

43
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion des risques commerciaux Cadre de compétences pour l'ère de l'information V6, 2015 BURM

Gestion des risques Cadre des compétences électroniques (e-CF)—Un cadre européen commun pour les E. Gérer—E.3. Gestion
professionnels des TIC dans tous les secteurs de l'industrie—Partie 1ÿ: Cadre, 2016 des risques

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de risque d'entreprise politique Définit la gouvernance Institut national des normes et 3.17 Évaluation des risques (RA-1)
et la gestion du risque d'entreprise Publication spéciale sur la technologie
aux niveaux stratégique, tactique et 800-53, révision 5 (ébauche), août 2017
opérationnel, conformément aux
objectifs commerciaux. Traduit la
gouvernance d'entreprise en principes
et politiques de gouvernance des risques
et élabore des activités de gestion des
risques.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Promouvoir une culture de sensibilisation aux risques I&T à tous les niveaux de Risque d'entreprise COSO 6. Gouvernance et culture—
l'organisation et donner à l'entreprise les moyens de manière proactive d'identifier, de Direction, juin 2017 Principes 3 et 4
signaler et de faire remonter les risques, les opportunités et les impacts commerciaux
potentiels de l'I&T. La haute direction établit l'orientation et démontre un soutien visible et
authentique aux pratiques à risque. De plus, la direction doit définir clairement l'appétit
pour le risque et assurer un niveau de débat approprié dans le cadre des activités
habituelles. Les comportements souhaitables incluent l'encouragement des employés à
soulever des problèmes ou des résultats négatifs et à faire preuve de transparence en ce
qui concerne les risques I&T. Les propriétaires d'entreprise doivent accepter la
responsabilité du risque d'I&T, le cas échéant, et démontrer un véritable engagement
envers la gestion des risques d'I&T en fournissant des niveaux de ressources adéquats.

G. Composante : Services, Infrastructure et Applications

Système de gestion des risques

44
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Évaluer, diriger et surveiller

Objectif de gouvernance : EDM04 — Optimisation des ressources assurée Description Domaine d'interventionÿ: modèle de base COBIT

Veiller à ce que des ressources commerciales et I&T adéquates et suffisantes (personnes, processus et technologie) soient disponibles pour soutenir efficacement les objectifs de l'entreprise
et à un coût optimal.

But

Assurez-vous que les besoins en ressources de l'entreprise sont satisfaits de manière optimale, que les coûts d'I&T sont optimisés et qu'il existe une probabilité accrue de réalisation des avantages
et de préparation aux changements futurs.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs AG09 Exécuter les programmes dans les délais, en respectant le budget et en
• EG08ÿOptimisation de la fonctionnalité des processus métier internes respectant les exigences et les normes de qualité
• EG12 Programmes de transformation numérique gérés

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget
les objectifs de chiffre d'affaires et/ou de part de marché b. Nombre de programmes nécessitant une refonte importante en raison de
b. Pourcentage de produits et services qui satisfont ou dépassent défauts de qualité
objectifs de satisfaction client c. Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
c. Pourcentage de produits et services qui offrent un avantage
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gouvernance Exemple de métriques

EDM04.01 Évaluer la gestion des ressources. une. Nombre d'écarts par rapport au plan de ressources
Examiner et évaluer en permanence les besoins actuels et futurs en ressources commerciales et b. Pourcentage de plans de ressources et de stratégies d'architecture d'entreprise
I&T (financières et humaines), les options de ressourcement (y compris les stratégies apportant de la valeur et atténuant les risques avec les ressources allouées
d'approvisionnement) et les principes d'allocation et de gestion pour répondre aux besoins de
l'entreprise de manière optimale.

Activités Niveau de capacité

1. En partant des stratégies actuelles et futures, examiner les options potentielles pour fournir des ressources liées à l'I&T (ressources technologiques, financières et humaines) 2

et développer des capacités pour répondre aux besoins actuels et futurs (y compris les options d'approvisionnement).

2. Définir les principes clés de l'allocation des ressources et de la gestion des ressources et des capacités afin que l'I&T puisse répondre aux besoins de l'entreprise en fonction
des priorités et des contraintes budgétaires convenues. Par exemple, définissez les options d'approvisionnement préférées pour certains services et les limites financières
par option d'approvisionnement.

3. Examiner et approuver le plan de ressources et les stratégies d'architecture d'entreprise pour apporter de la valeur et atténuer les risques avec le
ressources allouées.

4. Comprendre les exigences pour aligner la gestion des ressources I&T avec la planification des ressources financières et humaines (RH) de l'entreprise.

5. Définir les principes de gestion et de contrôle de l'architecture d'entreprise. 3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme de cybermaturité CMMI, 2018 ISO/ GR.DR Besoins de gestion directe des ressources

IEC 38500:2015(E) 5.4 Principe 3 : Acquisition (Évaluer)

45
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gouvernance Exemple de métriques

EDM04.02 Gestion directe des ressources. une. Nombre d'écarts et d'exceptions aux principes de gestion des ressources
Veiller à l'adoption de principes de gestion des ressources pour permettre une utilisation
optimale des ressources commerciales et I&T tout au long de leur cycle de vie économique b. Pourcentage de réutilisation des composants de l'architecture
complet.

Activités Niveau de capacité

1. Attribuer des responsabilités pour l'exécution de la gestion des ressources. 2

2. Établir des principes liés à la sauvegarde des ressources.

3. Communiquer et favoriser l'adoption des stratégies, des principes et du plan de ressources convenus en matière de gestion des ressources et 3

stratégies d'architecture d'entreprise.

4. Aligner la gestion des ressources sur la planification financière et RH de l'entreprise.

5. Définir des objectifs, des mesures et des métriques clés pour la gestion des ressources. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 COSO GR.ER Évaluer les besoins en gestion des ressources

Enterprise Risk Management, juin 2017 ISO/IEC 38500:2015(E) 6. Gouvernance et culture—Principe 5

5.4 Principe 3 : Acquisition (directe)

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.14 Planification (PL-4)
(ébauche), août 2017

Pratique de gouvernance Exemple de métriques

EDM04.03 Surveiller la gestion des ressources. une. Niveau de retour des parties prenantes sur l'optimisation des ressources
Surveiller les objectifs et les mesures clés des processus de gestion des ressources. b. Nombre d'avantages (par exemple, économies de coûts) obtenus grâce à une
Déterminez comment les déviations ou les problèmes seront identifiés, suivis et signalés pour utilisation des ressources

résolution. c. Nombre d'objectifs de performance de gestion des ressources atteints

ré. Pourcentage de projets et programmes présentant un statut de risque moyen ou élevé
en raison de problèmes de gestion des ressources
e. Pourcentage de projets avec des allocations de ressources appropriées

Activités Niveau de capacité

1. Surveiller l'allocation et l'optimisation des ressources conformément aux objectifs et priorités de l'entreprise en utilisant les objectifs convenus 4
et les métriques.

2. Surveiller les stratégies d'approvisionnement liées à l'I&T, les stratégies d'architecture d'entreprise et les capacités commerciales et informatiques et
ressources nécessaires pour répondre aux besoins et objectifs actuels et futurs de l'entreprise.

3. Surveiller les performances des ressources par rapport aux objectifs, analyser la cause des écarts et initier des actions correctives pour remédier aux
des causes sous-jacentes.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 GR.MR Surveiller les besoins en gestion des ressources

ISO/CEI 38500:2015(E) 5.4 Principe 3 : Acquisition (Évaluer)

46
Machine Translated by Google
surveiller
Évaluer,
diriger
et
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS
CHAPITRE 4

B. Composante : Structures organisationnelles

Planche exécutif
Comité direction
Chef
de
la Président
directeur
général l'information
Directeur
de gouvernance
Conseil
I&T
de

Pratique de gouvernance clé

EDM04.01 Évaluer la gestion des ressources. ARRRRR

EDM04.02 Gestion directe des ressources. ARRRRR

EDM04.03 Surveiller la gestion des ressources. ARRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 Partie 2 : Concepts fondamentaux — Définition de la gouvernance d'entreprise

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gouvernance Contributions Les sorties

EDM04.01 Évaluer la gestion des ressources. À partir de La description La description Pour

APO02.04 Lacunes et changements Principes directeurs pour APO02.01ÿ;

nécessaires pour réaliser la répartition des ressources et APO07.01ÿ;
capacité cible des capacités BAI03.11

APO07.03 Plans de développement des compétences Plan de ressources approuvé APO02.05ÿ;

APO07.01ÿ;
APO09.02

APO10.02 Résultats de la décision des Principes directeurs pour APO03.01

évaluations des fournisseurs l'architecture d'entreprise

EDM04.02 Gestion directe des ressources. Principes de APO01.02

sauvegarde des ressources

Responsabilités assignées APO01.05ÿ;

pour la gestion DSS06.03
des ressources

Communication des APO02.06ÿ;

stratégies de ressourcement APO07.05ÿ;
APO09.02

EDM04.03 Surveiller la gestion des ressources. Actions correctives à APO02.05ÿ;

ressource d'adresse APO07.01ÿ;
écarts de gestion APO07.03ÿ;
APO09.04

Rétroaction sur l'allocation et EDM05.01ÿ;

l'efficacité des ressources et APO02.02ÿ;
des capacités APO07.05ÿ;
APO09.05

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

47
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion de portefeuille Cadre de compétences pour l'ère de l'information V6, 2015 Cadre de POMG

Ressourcement compétences pour l'ère de l'information V6, 2015 RESC

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de mesure du rendement Identifie le besoin d'un système

de mesure de la performance au-delà de la

comptabilité conventionnelle.
Ce système englobe la mesure des
relations et des actifs basés sur les connaissances
nécessaires pour être compétitif à l'ère de
l'information, y compris l'orientation client, l'efficacité
des processus et la capacité d'apprendre et de se
développer (tableau de bord prospectif).

Le tableau de bord prospectif traduit la stratégie

en action pour atteindre les objectifs de

l'entreprise, en tenant compte d'intangibles tels
que la satisfaction des clients, la rationalisation
des fonctions internes, la création d'efficacités
opérationnelles et le développement des
compétences du personnel. Cette vision holistique
des opérations permet de lier les objectifs
stratégiques à long terme et les actions à court
terme.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établissez une culture dans laquelle les ressources sont valorisées et l'investissement, l'utilisation
et l'allocation des ressources (qu'il s'agisse de personnes, d'informations, d'applications, de
technologies ou d'installations) s'alignent sur les besoins organisationnels. Illustrer ces valeurs en
s'assurant que des méthodes appropriées et des compétences adéquates existent dans l'organisationÿ;
par exemple, s'assurer que les avantages de l'approvisionnement en services sont réels et réalisables,
et mettre en œuvre de bons systèmes de mesure du rendement (p. ex., le tableau de bord prospectif).

G. Composante : Services, Infrastructure et Applications

Système de mesure du rendement (p. ex. tableau de bord prospectif, outils de gestion des compétences)

48
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Évaluer, diriger et surveiller

Objectif de gouvernance : EDM05 — Engagement garanti des parties prenantes Domaine d'interventionÿ: modèle de base COBIT

Description

Veiller à ce que les parties prenantes soient identifiées et engagées dans le système de gouvernance I&T et à ce que les mesures et les rapports de performance et de conformité I&T de
l'entreprise soient transparents, les parties prenantes approuvant les objectifs et les mesures et les mesures correctives nécessaires.

But

Veiller à ce que les parties prenantes soutiennent la stratégie et la feuille de route d'I&T, que la communication avec les parties prenantes soit efficace et opportune et que la base des rapports soit
établie pour améliorer les performances. Identifier les domaines à améliorer et confirmer que les objectifs et les stratégies liés à l'I&T sont conformes à la stratégie de l'entreprise.

L'objectif de gouvernance soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG04 Qualité des informations financières AG10 Qualité des informations de gestion I&T
• EG07 Qualité des informations de gestion

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG04 a. Enquête de satisfaction auprès des principales parties prenantes concernant AG10 a. Niveau de satisfaction des utilisateurs concernant la qualité, la rapidité et
transparence, compréhension et exactitude des informations financières de disponibilité des informations de gestion liées à l'I&T, compte tenu des
l'entreprise ressources disponibles

b. Coût du non-respect des réglementations financières b. Ratio et étendue des décisions commerciales erronées dans lesquelles des
informations erronées ou indisponibles liées à l'I&T étaient un
EG07 a. Degré de satisfaction du conseil d'administration et de la haute direction
facteur clé
avec des informations décisionnelles
c. Pourcentage d'informations répondant aux critères de qualité
b. Nombre d'incidents causés par des décisions commerciales
incorrectes basées sur des informations inexactes

c. Il est temps de fournir des informations pour une entreprise efficace

les décisions

ré. Actualité des informations de gestion

A. Composante : Processus

Pratique de gouvernance Exemple de métriques

EDM05.01 Évaluer l'engagement des parties prenantes et les exigences en matière de rapports. une. Date de la dernière révision des exigences de déclaration
Examiner et évaluer en permanence les exigences actuelles et futures en matière b. Pourcentage d'intervenants couverts par les exigences en matière de rapports
d'engagement et de reporting des parties prenantes (y compris les rapports mandatés par
les exigences réglementaires) et de communication aux autres parties prenantes.
Établir des principes d'engagement et de communication avec les parties prenantes.

Activités Niveau de capacité

1. Identifiez toutes les parties prenantes concernées en I&T à l'intérieur et à l'extérieur de l'entreprise. Regrouper les parties prenantes en catégories de parties prenantes avec 2

exigences similaires.

2. Examiner et porter un jugement sur les exigences de déclaration obligatoires actuelles et futures relatives à l'utilisation de l'I&T au sein de l'entreprise (réglementation,
législation, droit commun, contractuel), y compris l'étendue et la fréquence.

3. Examiner et porter un jugement sur les exigences actuelles et futures en matière de communication et de rapport pour les autres parties prenantes concernant
l'utilisation de l'I&T au sein de l'entreprise, y compris le niveau requis d'implication/consultation et l'étendue de la communication/le niveau de détail et les conditions.

4. Maintenir les principes de communication avec les parties prenantes externes et internes, y compris les formats et canaux de communication, ainsi que l'acceptation et la 3

signature des rapports par les parties prenantes.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 Communication et rapports directs avec les parties prenantes du SR.DR

49
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gouvernance Exemple de métriques

EDM05.02 Engagement, communication et rapports directs avec les parties prenantes. une. Nombre de manquements aux exigences de déclaration obligatoire
Assurer la mise en place d'une participation, d'une communication et d'un b. Satisfaction des parties prenantes à l'égard de la communication et des rapports
rapport efficaces des parties prenantes, y compris des mécanismes pour garantir la
surveiller
Évaluer,
diriger
et

qualité et l'exhaustivité des informations, superviser les rapports obligatoires et créer une
stratégie de communication pour les parties prenantes.

Activités Niveau de capacité

1. Diriger l'établissement de la stratégie de consultation et de communication auprès des intervenants externes et internes. 2

2. Diriger la mise en œuvre de mécanismes pour s'assurer que l'information répond à tous les critères de déclaration obligatoire d'I&T
exigences pour l'entreprise.

3. Établir des mécanismes de validation et d'approbation des déclarations obligatoires.

4. Établir des mécanismes d'escalade des rapports. 3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 King IV SR.AR Appliquer les exigences de rapport aux parties prenantes

Report on Corporate Governance for South Africa, 2016 King IV Report on Partie 5.5 : Relations avec les parties prenantes—Principe 16

Corporate Governance for South Africa, 2016 National Institute of Standards and Partie 5.2 : Stratégie, performance et rapports — Principe 5

Technology Framework for Improving Critical Infrastructure Cybersecurity V1.1, avril 2018 3.3 Communication des exigences de cybersécurité avec les parties prenantes

Pratique de gouvernance Exemple de métriques

EDM05.03 Surveiller l'engagement des parties prenantes. une. Niveau d'engagement des parties prenantes envers l'I&T d'entreprise
Surveiller les niveaux d'engagement des parties prenantes et l'efficacité de la b. Pourcentage de rapports contenant des inexactitudes
communication avec les parties prenantes. Évaluer les mécanismes garantissant l'exactitude, c. Pourcentage de rapports livrés à temps
la fiabilité et l'efficacité, et déterminer si les exigences des différentes parties prenantes en
termes de reporting et de communication sont satisfaites.

Activités Niveau de capacité

1. Évaluer périodiquement l'efficacité des mécanismes garantissant l'exactitude et la fiabilité des déclarations obligatoires. 4

2. Évaluer périodiquement l'efficacité des mécanismes et les résultats de la participation et de la communication avec
parties prenantes externes et internes.

3. Déterminer si les exigences des différentes parties prenantes sont satisfaites et évaluer les niveaux d'engagement des parties prenantes.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 SR.MC Surveiller la communication avec les parties prenantes

B. Composante : Structures organisationnelles

Planche exécutif
Comité direction
Chef
de
la Directeur
Risques
des l'information
Directeur
de

Pratique de gouvernance clé

EDM05.01 Évaluer l'engagement des parties prenantes et les exigences en matière de rapports. ARRRR

EDM05.02 Communication et rapports directs sur l'engagement des parties prenantes. ARRRR

EDM05.03 Surveiller l'engagement des parties prenantes. ARRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 Partie 2 : Concepts fondamentaux — Définition de la gouvernance d'entreprise

50
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gouvernance Contributions Les sorties

EDM05.01 Évaluer l'engagement des parties prenantes et À partir de La description La description Pour

exigences de déclaration.
EDM02.04 Actions pour améliorer la valeur Rapports et MEA01.01

livraison communications

des principes

EDM03.03 Problèmes de gestion des risques Évaluation de l'entreprise MEA01.01

pour le conseil exigences en matière de rapports

EDM04.03 Rétroaction sur l'allocation et

l'efficacité des ressources et
des capacités

EDM05.02 Engagement direct des parties prenantes, APO12.04 Analyse des risques et risque Règles de validation et MEA01.01ÿ;
la communication et le reporting. rapports de profil pour approuver les rapports MEA03.04
les parties prenantes obligatoires

Consignes d'escalade MEA01.05

EDM05.03 Surveiller l'engagement des parties prenantes. MEA04.08 •ÿRésultats de l'examen Évaluation des rapports MEA01.01ÿ;
d'assurance efficacité MEA03.04
• Rapport d'examen

d'assurance

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Référence détaillée

Gestion de la relation Framework (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part E. Gérer—E.4. Relation amoureuse
1: Framework, 2016 La gestion

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de transparence politique Aborde l'importance d'une

communication fréquente et ouverte avec
toutes les parties prenantes pour s'assurer

qu'elles comprennent l'importance stratégique

de l'I&T pour le succès de l'entreprise.
S'assure que la transparence soutient une
atténuation appropriée des risques, en liant la
transparence et la gestion efficace des risques
à la valeur I&T et à la croissance de l'entreprise.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Créer une culture dans laquelle une communication ouverte et structurée est fournie aux principales
parties prenantes, conformément à leurs exigences.

G. Composante : Services, Infrastructure et Applications

• Outils et canaux de communication

• Tableau de bord informatique

• Outils d'enquête auprès des parties prenantes

51
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

52
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

4.2 Aligner, planifier et organiser (APO)

01 Cadre de gestion I&T géré

02 Stratégie gérée

03 Architecture d'entreprise gérée

04 Innovation gérée

05 Portefeuille géré

06 Budget et coûts gérés

07 Ressources humaines gérées

08 Relations gérées

09 Contrats de services gérés

10 fournisseurs gérés

11 Qualité gérée

12 Risque géré

13 Sécurité gérée

14 Données gérées

53
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

54
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO01 — Description du cadre de gestion de l'I&T gérée Domaine d'interventionÿ: modèle de base COBIT

Concevoir le système de gestion des I&T d'entreprise en fonction des objectifs de l'entreprise et d'autres facteurs de conception. Sur la base de cette conception, implémentez tous les composants requis
du système de gestion.

But

Mettre en œuvre une approche de gestion cohérente pour répondre aux exigences de gouvernance d'entreprise, couvrant les composants de gouvernance tels que les processus de gestionÿ;
Structures organisationnelles; rôles et responsabilités; des activités fiables et reproductiblesÿ; éléments d'information; les politiques et les procédures; aptitudes et compétences; culture et
comportement; et services, infrastructures et applications.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise
Æ Objectifs d'alignement
• EG03 Conformité aux lois et réglementations externes • AG03ÿBénéfices réalisés grâce au portefeuille d'investissements et de services d'I&T

• EG08ÿOptimisation de la fonctionnalité des processus métier internes

• EG11 Conformité aux politiques internes • AG11 Conformité I&T avec les politiques internes
• EG12 Programmes de transformation numérique gérés

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG03 a. Coût de la non-conformité réglementaire, y compris les règlements et AG03 a. Pourcentage d'investissements activés en I&T pour lesquels les avantages
les amendes revendiqués dans l'analyse de rentabilisation sont atteints ou dépassés

b. Nombre de problèmes de non-conformité réglementaire provoquant des b. Pourcentage de services I&T pour lesquels les avantages attendus (tels
commentaires publics ou une publicité négative qu'énoncés dans les accords de niveau de service) sont réalisés
c. Nombre de cas de non-conformité notés par les régulateurs
ré. Nombre de problèmes de non-conformité réglementaire liés aux accords
contractuels avec des partenaires commerciaux

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG11 a. Nombre d'incidents liés au non-respect des politiques relatives à l'I&T. b. Nombre
avec des capacités de processus métier d'exceptions aux politiques internes
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services c. Fréquence de l'examen et de la mise à jour de la politique
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG11 a. Nombre d'incidents liés à la non-conformité à la politique

b. Pourcentage de parties prenantes qui comprennent les politiques
c. Pourcentage de politiques appuyées par des normes et des pratiques de
travail efficaces

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

55
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO01.01 Concevoir le système de gestion de l'I&T d'entreprise. une. Nombre d'approbations officielles par les structures de gouvernance applicables des
Concevoir un système de gestion adapté aux besoins de l'entreprise. objectifs prioritaires du système de gestion de l'I&T
Les besoins de gestion de l'entreprise sont définis par l'utilisation de la cascade d'objectifs b. Pourcentage d'éléments de gouvernance intégrés et alignés sur la philosophie de
et par l'application de facteurs de conception. Veiller à ce que les composants de gouvernance et de gestion et le style de fonctionnement de l'entreprise
gouvernance soient intégrés et alignés sur la philosophie de gouvernance et de gestion et le
style de fonctionnement de l'entreprise.

Activités Niveau de capacité

1. Obtenir une compréhension de la vision, de la direction et de la stratégie de l'entreprise ainsi que du contexte actuel de l'entreprise et 2

défis.

2. Tenir compte de l'environnement interne de l'entreprise, y compris la culture et la philosophie de gestion, la tolérance au risque, la politique de sécurité et de
confidentialité, les valeurs éthiques, le code de conduite, la responsabilité et les exigences d'intégrité de la direction.

3. Appliquer la cascade des objectifs COBIT et les facteurs de conception à la stratégie et au contexte de l'entreprise pour décider des priorités pour le système
de gestion et, par conséquent, pour la mise en œuvre des priorités des objectifs de gestion.

4. Valider les priorités sélectionnées pour la mise en œuvre des objectifs de gestion avec les bonnes pratiques spécifiques à l'industrie ou 3

exigences (par exemple, réglementations spécifiques à l'industrie) et avec des structures de gouvernance appropriées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 ISO/IEC 7. Stratégie et établissement d'objectifs - Principe 9

27001:2013/Cor.2:2015(E) Norme internationale pour l'établissement, la mise en œuvre et la maintenance d'un système
de management (tous les chapitres)

ITIL V3, 2011 Stratégie de service, 2.3 Systèmes de gouvernance et de gestion

Pratique de gestion Exemple de métriques

APO01.02 Communiquer les objectifs de gestion, l'orientation et les décisions une. Fréquence de communication sur les objectifs et l'orientation de la gestion
prises. pour ça

Communiquer la sensibilisation et promouvoir la compréhension de l'alignement et des b. Responsable de l'envoi des communications régulières
objectifs d'I&T aux parties prenantes dans toute l'entreprise. Communiquer à intervalles
réguliers sur les décisions importantes liées à l'I&T et leur impact sur l'organisation.

Activités Niveau de capacité

1. Fournir des ressources suffisantes et qualifiées pour soutenir le processus de communication. 2

2. Définir les règles de base de la communication en identifiant les besoins de communication et en mettant en œuvre des plans basés sur ces besoins, 3

en tenant compte de la communication descendante, ascendante et horizontale.

3. Communiquer en permanence les objectifs et l'orientation de l'I&T. Veiller à ce que la communication soit soutenue par la direction générale dans
actions et paroles, en utilisant tous les canaux disponibles.

4. Veiller à ce que les informations communiquées englobent une mission clairement articulée, des objectifs de service, des contrôles internes,
qualité, code d'éthique/de conduite, politiques et procédures, rôles et responsabilités, etc. Communiquer les informations au niveau de détail approprié pour les
publics respectifs au sein de l'entreprise.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

56
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO01.03 Mettre en œuvre des processus de gestion (pour appuyer l'atteinte une. Nombre de processus prioritaires à mettre en place ou à améliorer pour répondre
des objectifs de gouvernance et de gestion). le niveau de capacité cible
Définir les niveaux de capacité de processus cibles et la priorité de mise en œuvre en fonction b. Nombre de mesures définies pour le suivi de la mise en œuvre réussie des processus
de la conception du système de gestion.

Activités Niveau de capacité

1. Développer le modèle de processus cible de gouvernance I&T spécifique à l'organisation, basé sur la sélection des priorités de gestion 2

objectifs (sortie de la cascade des objectifs et exercice des facteurs de conception).

2. Analyser l'écart entre le modèle de processus cible pour l'organisation et les pratiques et activités actuelles. 3

3. Rédiger une feuille de route pour la mise en œuvre des pratiques et activités de processus manquantes. Utilisez des métriques de pratique pour suivre une 4

mise en œuvre réussie.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO01.04 Définir et mettre en œuvre les structures organisationnelles. une. Niveau de satisfaction de la direction à l'égard de la prise de décision de la direction
Mettre en place les structures organisationnelles internes et étendues requises b. Nombre de décisions qui n'ont pas pu être résolues au sein des structures de gestion et
(par exemple, des comités) conformément à la conception du système de gestion, ont été transmises aux structures de gouvernance
permettant une prise de décision efficace et efficiente. Veiller à ce que les connaissances
requises en matière de technologie et d'information soient incluses dans la composition des
structures de gestion.

Activités Niveau de capacité

1. Identifier les décisions nécessaires pour atteindre les résultats de l'entreprise et la stratégie d'I&T et pour la gestion et 2
exécution des services I&T.

2. Impliquer les parties prenantes essentielles à la prise de décision (responsables, responsables, consultées ou informées).

3. Définir la portée, l'orientation, le mandat et les responsabilités de chaque fonction au sein de l'organisation liée à l'I&T, conformément aux
direction de la gouvernance.

4. Définir l'étendue des fonctions internes et externes, les rôles internes et externes, ainsi que les capacités et les droits de décision nécessaires pour couvrir toutes les 3

pratiques, y compris celles exécutées par des tiers.

5. Aligner l'organisation liée à l'I&T avec les modèles organisationnels d'architecture d'entreprise.

6. Établir un comité de pilotage I&T (ou équivalent) composé de cadres, d'affaires et de gestion I&T pour suivre l'état d'avancement des
projets, résoudre les conflits de ressources et surveiller les niveaux de service et les améliorations de service.

7. Fournir des lignes directrices pour chaque structure de gestion (y compris le mandat, les objectifs, les participants à la réunion, le calendrier, le suivi,
supervision et contrôle) ainsi que les apports requis et les résultats attendus des réunions.

8. Vérifier régulièrement l'adéquation et l'efficacité des structures organisationnelles. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

57
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO01.05 Établir les rôles et les responsabilités. une. Nombre de rôles liés à l'I&T attribués aux individus
Définir et communiquer les rôles et les responsabilités pour l'I&T de l'entreprise, y compris b. Nombre de descriptions de rôle complétées
les niveaux d'autorité, les responsabilités et l'imputabilité.

Activités Niveau de capacité

1. Établir, convenir et communiquer les rôles et responsabilités liés à l'I&T pour tout le personnel de l'entreprise, conformément aux 2

besoins et objectifs de l'entreprise. Délimitez clairement les responsabilités et les obligations, en particulier pour la prise de décision et les approbations.

2. Tenir compte des exigences de l'entreprise et de la continuité des services I&T lors de la définition des rôles, y compris le soutien du personnel et la
exigences de formation.

3. Contribuer au processus de continuité des services d'I&T en maintenant à jour les informations de contact et les descriptions de rôle dans le
entreprise.

4. Inclure des exigences spécifiques dans les descriptions des rôles et des responsabilités concernant le respect des politiques et procédures de gestion, du code
d'éthique et des pratiques professionnelles.

5. Veiller à ce que la redevabilité soit définie à travers les rôles et les responsabilités.

6. Structurez les rôles et les responsabilités pour réduire la possibilité qu'un seul rôle compromette un processus critique.

7. Mettre en œuvre des pratiques de supervision adéquates pour s'assurer que les rôles et responsabilités sont correctement exercés, pour évaluer si tout le personnel 3

dispose de l'autorité et des ressources suffisantes pour exécuter ses rôles et responsabilités et, de manière générale, pour évaluer les performances.
Le niveau de supervision doit être aligné sur la sensibilité du poste et l'étendue des responsabilités assignées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO01.06 Optimiser le placement de la fonction TI. une. Nombre de parties prenantes clés qui ont approuvé le placement de la fonction informatique
Positionnez les capacités informatiques dans la structure organisationnelle globale pour
refléter l'importance stratégique et la dépendance opérationnelle de l'informatique au sein de b. Pourcentage de parties prenantes ayant une opinion favorable du placement de la fonction
l'entreprise. La ligne hiérarchique du CIO et la représentation de l'informatique au sein de la informatique

haute direction doivent être proportionnées à l'importance de l'I&T au sein de l'entreprise.

Activités Niveau de capacité

1. Comprendre le contexte du placement de la fonction informatique, y compris l'évaluation de la stratégie d'entreprise et du modèle d'exploitation 3

(centralisé, fédéré, décentralisé, hybride), importance de l'I&T, situation et options d'approvisionnement.

2. Identifier, évaluer et hiérarchiser les options de placement organisationnel, d'approvisionnement et de modèles opérationnels.

3. Définir le placement de la fonction informatique et obtenir un accord.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 27002:2013/Cor.2:2015(E) 8.2 Classement des informations

Pratique de gestion Exemple de métriques

APO01.07 Définir l'information (données) et la propriété du système. une. Pourcentage d'actifs de données avec des propriétaires clairement définis
Définir et maintenir les responsabilités pour la propriété des informations (données) et des b. Pourcentage de systèmes d'information avec des propriétaires clairement définis
systèmes d'information. Veiller à ce que les propriétaires classent les informations et les c. Pourcentage d'éléments d'information classés selon les niveaux de classification
systèmes et les protègent conformément à leur classification. convenus

Activités Niveau de capacité

1. Fournir des lignes directrices pour assurer une classification appropriée et cohérente des éléments d'information à l'échelle de l'entreprise. 3

2. Créer et tenir à jour un inventaire des informations (systèmes et données) qui comprend une liste des propriétaires, des gardiens et des classifications. Inclure
les systèmes qui sont externalisés et ceux dont la propriété doit rester au sein de l'entreprise.

3. Évaluer et distinguer les données, informations et systèmes critiques (de grande valeur) et non critiques. Assurer une protection appropriée pour chaque
catégorie.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

58
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion APO01.08 Exemple de métriques

Définir les aptitudes et compétences cibles. une. Nombre d'employés ayant suivi des séances de formation ou de sensibilisation pour
Définir les aptitudes et compétences requises pour atteindre les objectifs de gestion aptitudes sélectionnées, compétences, comportements souhaités
pertinents. b. Pourcentage du personnel possédant les aptitudes et compétences requises alignées sur
objectifs de gestion sélectionnés

Activités Niveau de capacité

1. Identifier les aptitudes et compétences requises pour atteindre les objectifs de gestion sélectionnés. 2

2. Analyser l'écart entre les compétences et capacités cibles pour l'entreprise et les compétences actuelles de la main-d'œuvre. Faire référence à
APO07—Gestion des ressources humaines pour le développement des compétences et les pratiques de gestion.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion APO01.09 Exemple de métriques

Définir et communiquer les politiques et procédures. une. Pourcentage de politiques et procédures actives documentées et en hausse
Mettre en place des procédures pour maintenir la conformité et la performance à ce jour
mesure des politiques et autres composantes du cadre de contrôle. Appliquer les b. Nombre d'employés conscients et capables de démontrer leur compétence
conséquences d'une non-conformité ou d'une performance inadéquate. Suivre les tendances et les respect des politiques et des procédures
performances et en tenir compte dans la conception et l'amélioration futures du cadre de contrôle.

Activités Niveau de capacité

1. Créez un ensemble de politiques pour orienter les attentes en matière de contrôle informatique sur des sujets clés pertinents tels que la qualité, la sécurité, la confidentialité, les 3

contrôles internes, l'utilisation des actifs I&T, l'éthique et les droits de propriété intellectuelle (PI).

2. Déployez et appliquez les politiques d'I&T de manière uniforme pour tout le personnel concerné afin qu'elles soient intégrées et deviennent des parties intégrantes de l'entreprise
opérations.

3. Évaluer et mettre à jour les politiques au moins une fois par an pour s'adapter à l'évolution des environnements opérationnels ou commerciaux. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion APO01.10 Exemple de métriques

Définir et mettre en œuvre l'infrastructure, les services et les applications pour une. Nombre d'outils sélectionnés pour soutenir les processus prioritaires
soutenir le système de gouvernance et de gestion. b. Adéquation/couverture par les outils des processus I&T clés
Définir et mettre en œuvre l'infrastructure, les services et les applications pour soutenir le c. Satisfaction des destinataires quant à l'exactitude, l'exhaustivité et l'actualité des
système de gouvernance et de gestion (par exemple, les référentiels d'architecture, le système informations

de gestion des risques, les outils de gestion de projet, les outils de suivi des coûts et les outils de ré. Pourcentage de satisfaction des parties prenantes avec les outils sélectionnés pour soutenir
surveillance des incidents). leurs besoins

Activités Niveau de capacité

1. Identifier les objectifs de gestion prioritaires qui peuvent être atteints en automatisant les services, les applications ou l'infrastructure. 2

2. Sélectionner et mettre en œuvre les outils les plus appropriés et communiquer aux parties prenantes.

3. Fournir une formation sur les outils sélectionnés, au besoin.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

59
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO01.11 Gérer l'amélioration continue du système de gestion une. Date des dernières mises à jour du framework et des composants
de l'I&T. b. Nombre d'expositions aux pertes liées à l'I&T dues à des insuffisances
Améliorer continuellement les processus et autres composants du système conception de l'environnement de contrôle
de gestion pour s'assurer qu'ils peuvent atteindre les objectifs de gouvernance
et de gestion. Tenez compte des conseils de mise en œuvre de COBIT, des
normes émergentes, des exigences de conformité, des opportunités d'automatisation
et des commentaires des parties prenantes.

Activités Niveau de capacité

1. Évaluer régulièrement les performances des composants du cadre et prendre les mesures appropriées. 4

2. Identifiez les processus critiques en fonction des moteurs de performance et de conformité et des risques associés. Évaluer la capacité et
identifier les objectifs d'amélioration. Analyser les lacunes en matière de capacité et de contrôle. Identifier les options pour améliorer ou reconcevoir le processus.

3. Prioriser les initiatives d'amélioration en fonction des avantages et des coûts potentiels. Mettre en œuvre les améliorations convenues, fonctionner comme 5
pratiques commerciales normales et définir des objectifs de performance et des mesures pour permettre le suivi des améliorations.

4. Envisager des moyens d'améliorer l'efficience et l'efficacité (par exemple, par la formation, la documentation, la normalisation et/ou la
organiser
planifier
Aligner,
et
automatisation).

5. Appliquer les pratiques de gestion de la qualité pour mettre à jour le processus.

6. Retirer les composants de gouvernance obsolètes (processus, éléments d'information, politiques, etc.).

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Amélioration continue du service, 4.1 Le processus d'amélioration en 7 étapes

B. Composante : Structures organisationnelles

exécutif
Comité Directeur
Risques
des l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gouvernance
Conseil
I&T
de
d'architecture
Conseil
d'entreprise
risques
Comité
des l'information
Responsable
sécurité
de
de
la Propriétaires
processus
métier
de données
Fonction
gestion
des
de Responsable
Ressources
Humaines Gestionnaire
relation
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

APO01.01 Concevoir le système de gestion de l'I&T d'entreprise. ARRRR

APO01.02 Communiquer les objectifs de gestion, l'orientation et les décisions ARRRRR R R

prises.

APO01.03 Mettre en œuvre des processus de gestion (pour soutenir l'atteinte ARRRRR R
des objectifs de gouvernance et de gestion).
APO01.04 Définir et mettre en place les structures organisationnelles. ARRRR R

APO01.05 Établir les rôles et les responsabilités. ARRRR

APO01.06 Optimiser le placement de la fonction informatique. ARRRR R

APO01.07 Définir les informations (données) et la propriété du système. ARRRR R RR R

APO01.08 Définir les aptitudes et compétences cibles. ARRRR RRRRR

APO01.09 Définir et communiquer les politiques et procédures. ARRRRRR RRR RRRRRRR

APO01.10 Définir et mettre en œuvre l'infrastructure, les services et les ARRRR R RRRRRRR
applications pour soutenir le système de gouvernance et de gestion.

APO01.11 Gérer l'amélioration continue du système de gestion I&T. UNE RRRRR RR RRRRRRR

60
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

B. Composante : Structures organisationnelles (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 ISO/IEC 27001:2013/ 6. Gouvernance et culture—Principe 2

Cor.2:2015(E) 5.3 Rôles, responsabilités et pouvoirs organisationnels

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion APO01.01 Contributions Les sorties

Concevoir le système de gestion de l'I&T d'entreprise. À partir de La description La description Pour

APO02.05 Feuille de route stratégique Gouvernance prioritaire et Tous APOÿ; Tous

objectifs de gestion BAIÿ; Tous les SSDÿ;

Tous les AEM

APO12.01 Problèmes de risque émergents et Système de gestion Tous APOÿ; Tous

les facteurs conception BAIÿ; Tous les SSDÿ;
Tous les AEM
APO12.02 Résultats de l'analyse des risques

EDM01.01 • Principes directeurs de

gouvernance d'entreprise •
Modèle de prise de décision

APO01.02 Communiquer les objectifs de gestion, APO12.06 Communication Terrain de communication Tous APOÿ; Tous
l'orientation et les décisions prises. sur l'impact des risques des règles BAIÿ; Tous les SSDÿ;
Tous les AEM

DSS04.01 Politique et objectifs de Communication sur l'I&T Tous APOÿ; Tous

continuité de l'activité objectifs BAIÿ; Tous les SSDÿ;

Tous les AEM
DSS05.01 Politique de prévention des

logiciels malveillants

DSS05.02 Politique de sécurité de la

connectivité

DSS05.03 Politiques de sécurité pour

périphériques d'extrémité

EDM01.02 Gouvernance d'entreprise

la communication

EDM04.02 Principes de
sauvegarde des ressources

APO01.03 Mettre en œuvre des processus de gestion (pour APO02.04 Lacunes et changements Analyse des lacunes du Tous APOÿ; Tous

soutenir l'atteinte des objectifs de gouvernance et de gestion). nécessaires pour réaliser la capacité modèle cible BAIÿ; Tous les SSDÿ;

cible Tous les AEM

EDM01.01 Gouvernance d'entreprise Niveaux de capacité de processus APO01.11

des principes directeurs

APO01.04 Définir et mettre en place les structures organisationnelles. APO03.02 Modèle d'architecture de Entreprise opérationnelle APO03.02
processus des lignes directrices

EDM01.01 Gouvernance d'entreprise Définition de la APO03.02

des principes directeurs structure organisationnelle et des

fonctions

61
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion APO01.05 Contributions Les sorties

Établir les rôles et les responsabilités. À partir de La description La description Pour

APO07.03 • Compétences et Définition de la supervision APO07.01

matrice des compétences • les pratiques

Plans de développement des compétences
Définition de lié à l'I&T DSS05.04
APO11.01 Rôles, responsabilités et rôles et responsabilités
droits de décision du système
de gestion de la qualité
(SMQ)

APO13.01 Système de gestion de la

sécurité de l'information
(ISMS) déclaration de portée

DSS06.03 • Rôles et responsabilités

attribués • Niveaux
d'autorité attribués

EDM01.01 Niveaux d'autorité

EDM04.02 Responsabilités assignées

pour la gestion

des ressources

APO01.06 Optimiser le placement de la fonction informatique. Hors COBIT • Stratégie d'entreprise Opérationnel défini APO03.02

• Modèle d'exploitation placement de la fonction informatique

d'entreprise
Évaluation des options pour APO03.02

Organisation informatique

APO01.07 Définir les informations (données) et le système Classement des données APO03.02ÿ;
la possession. des lignes directrices APO14.01ÿ;
BAI02.01ÿ;
DSS05.02ÿ;
DSS06.01

Sécurité et contrôle des données APO14.04ÿ;

des lignes directrices APO14.10ÿ;
BAI02.01

Procédures d'intégrité des données APO14.04ÿ;

BAI02.01ÿ;
DSS06.01

APO01.08 Définir les aptitudes et compétences cibles. Cibler les compétences et APO07.03

matrice des compétences

APO01.09 Définir et communiquer les politiques et DSS01.04 Politiques environnementales Remédiation à la non-conformité MEA01.05

procédures. Actions
MEA03.02 Politiques mises à jour,
principes, procédures et normes

APO01.10 Définir et mettre en œuvre l'infrastructure, les services APO09.01 Lacunes identifiées en I&T Plan d'I&T à la bonne taille APO02.02ÿ;
et des applications pour soutenir la gouvernance services à l'entreprise paysage dont APO02.03

et système de gestion. capacités I&T manquantes,

Évaluation extérieure du paysage COBIT
services et applications
I&T

y compris les prestations,

candidatures et
Infrastructure

62
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO01.11 Gérer l'amélioration continue de l'I&T À partir de La description La description Pour

Système de gestion.
APO01.03 Niveaux de capabilité du processus Amélioration du processus Tous APOÿ; Tous

Opportunités BAIÿ; Tous les SSDÿ;

Tous les AEM

EDM01.03 Retour sur la gouvernance Objectifs de performances et MEA01.02

efficacité et performances métriques pour le processus
suivi des améliorations

MEA03.02 Politiques mises à jour, Capacité du processus MEA01.03

principes, procédures et évaluations

normes

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gouvernance informatique Cadre de compétences pour l'ère de l'information V6, 2015 Cadre GOUVERNEMENT

gestion IT de compétences pour l'ère de l'information V6, 2015 ITMG

E. Composanteÿ: Politiques et procédures

Cadre de gestion Description de la Conseils connexes Référence détaillée

des politiques d'I&T pertinent politique Établit un système de gestion pour

l'I&T d'entreprise
en fonction des objectifs de l'entreprise et
d'autres facteurs de conception.
Considère des politiques et des principes
détaillés pour l'I&T
gestion de tous les composants.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établissez une culture interne d'alignement entre l'entreprise et l'informatique, en établissant les
objectifs de gestion, les structures, les processus, les rôles et les responsabilités nécessaires qui
permettent la prise de décision et la création de valeur de la manière la plus efficace et la plus
efficiente.

G. Composante : Services, Infrastructure et Applications

• COBIT et produits/outils associés

• Cadres et normes équivalents

63
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

64
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO02 — Description de la stratégie gérée Domaine d'interventionÿ: modèle de base COBIT

Fournir une vue globale de l'environnement commercial et I&T actuel, de l'orientation future et des initiatives nécessaires pour migrer vers l'environnement futur souhaité. Veiller à ce que le niveau de
numérisation souhaité fasse partie intégrante de l'orientation future et de la stratégie I&T. Évaluez la maturité numérique actuelle de l'organisation et élaborez une feuille de route pour combler les
lacunes. Avec l'entreprise, repensez les opérations internes ainsi que les activités en contact avec les clients.
Assurez-vous de vous concentrer sur le parcours de transformation dans l'ensemble de l'organisation. Tirez parti des éléments constitutifs de l'architecture d'entreprise, des composants de gouvernance
et de l'écosystème de l'organisation, y compris les services fournis en externe et les capacités associées, pour permettre une réponse fiable mais agile et efficace aux objectifs stratégiques.

But

Soutenir la stratégie de transformation numérique de l'organisation et fournir la valeur souhaitée grâce à une feuille de route de changements incrémentiels. Utilisez une approche I&T holistique,
en veillant à ce que chaque initiative soit clairement liée à une stratégie globale. Permettre le changement dans tous les différents aspects de l'organisation, des canaux et processus aux données,
culture, compétences, modèle opérationnel et incitations.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs AG08 Activation et prise en charge des processus métier en intégrant les applications et la
• EG05 Culture du service orienté client technologie
• EG08ÿOptimisation de la fonctionnalité des processus métier internes
• EG12 Programmes de transformation numérique gérés

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG08 a. Temps nécessaire pour exécuter des services ou des processus métier
les objectifs de chiffre d'affaires et/ou de part de marché b. Nombre de programmes commerciaux d'I&T retardés ou entraînant des
b. Pourcentage de produits et services qui satisfont ou dépassent coûts supplémentaires en raison de problèmes d'intégration technologique
objectifs de satisfaction client
c. Pourcentage de produits et services qui offrent un avantage c. Nombre de changements de processus métier qui doivent être retardés
concurrentiel ou retravaillés en raison de problèmes d'intégration technologique
ré. Délai de mise sur le marché de nouveaux produits et services
ré. Nombre d'applications ou d'infrastructures critiques fonctionnant en silos et non
EG05 a. Nombre d'interruptions du service client
intégrées
b. Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation

du service client respecte les niveaux convenus

c. Nombre de réclamations clients
ré. Tendance des résultats des enquêtes de satisfaction client

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

65
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO02.01 Comprendre le contexte et l'orientation de l'entreprise. une. Niveau de compréhension au sein de la gestion I&T de l'entreprise actuelle
Comprendre le contexte de l'entreprise (moteurs de l'industrie, réglementations pertinentes, organisation et contexte
base de la concurrence), sa façon actuelle de travailler et son niveau d'ambition en termes de b. Niveau de connaissance dans la gestion I&T des objectifs de l'entreprise et
numérisation. direction

c. Niveau de compréhension des principales parties prenantes pour l'I&T et leurs détails
conditions

Activités Niveau de capacité

1. Développer et maintenir une compréhension de l'environnement externe de l'entreprise. 2

2. Développer et maintenir une compréhension de la méthode de travail actuelle, y compris l'environnement opérationnel, l'entreprise
architecture (domaines métier, information, données, applications et technologies), culture d'entreprise et enjeux actuels.

3. Développer et maintenir une compréhension de l'orientation future de l'entreprise, y compris la stratégie, les buts et les objectifs de l'entreprise.
Comprendre le niveau d'ambition de l'entreprise en termes de numérisation, qui peut inclure une gamme d'objectifs de plus en plus ambitieux, allant de la réduction
des coûts, l'augmentation de l'orientation client ou la mise sur le marché plus rapide en numérisant les opérations internes, à la création de sources de revenus
entièrement nouvelles à partir de nouveaux modèles commerciaux (par exemple, entreprise de plate-forme).

4. Identifier les principales parties prenantes et obtenir un aperçu de leurs besoins.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 Pratique de 7. Stratégie et établissement d'objectifs - Principe 6

gestion APO02.02 Évaluer les capacités, les performances Exemple de métriques

et la maturité numérique actuelles de l'entreprise. une. Pourcentage du personnel satisfait des capacités actuelles
b. Pourcentage de propriétaires d'entreprise satisfaits de l'investissement dans et
Évaluer la performance des services d'I&T actuels et développer une compréhension utilisation de la base d'actifs internes et externes pour répondre aux facteurs critiques

des capacités commerciales et d'I&T actuelles (tant internes qu'externes). Évaluer la de succès

maturité numérique actuelle de l'entreprise et son appétit pour le changement.

Activités Niveau de capacité

1. Élaborer une base de référence des capacités et services commerciaux et I&T actuels. Inclure l'évaluation de l'approvisionnement externe 2

services, la gouvernance de l'I&T et les aptitudes et compétences liées à l'I&T à l'échelle de l'entreprise.

2. Évaluer la maturité numérique dans différentes dimensions (par exemple, la capacité du leadership à tirer parti de la technologie, le niveau de risque 3

technologique accepté, l'approche de l'innovation, la culture et le niveau de connaissances des utilisateurs). Évaluer l'appétit pour le changement.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 7. Stratégie et établissement d'objectifs—Principe 6ÿ; 9. Révision et révision —
Principe 15

Pratique de gestion Exemple de métriques

APO02.03 Définir les capacités numériques cibles. une. Pourcentage des objectifs de l'entreprise abordés par les buts/objectifs d'I&T
En fonction de la compréhension du contexte et de l'orientation de l'entreprise, définir les b. Pourcentage des objectifs d'I&T qui appuient la stratégie de l'entreprise
produits et services I&T cibles et les capacités requises. Considérez les normes de
référence, les meilleures pratiques et les technologies émergentes validées.

Activités Niveau de capacité

1. Résumez le contexte et l'orientation de l'entreprise et identifiez les aspects I&T spécifiques de la stratégie d'entreprise (par exemple, numérisation des processus, mise en 2

œuvre de nouvelles technologies, prise en charge de l'architecture héritée, application de nouveaux modèles commerciaux numériques, développement d'un portefeuille de
produits numériques, etc.).

2. Définir des objectifs et buts I&T de haut niveau et préciser leur contribution aux objectifs de l'entreprise.

3. Détailler les services et produits d'I&T requis pour atteindre les objectifs de l'entreprise. Tenez compte des technologies émergentes ou des idées d'innovation validées, 3

des normes de référence, des activités des concurrents et des capacités d'I&T, des références comparatives de bonnes pratiques et de la fourniture de services d'I&T
émergents.

4. Déterminer les capacités, les méthodologies et les approches organisationnelles d'I&T requises pour réaliser le produit d'I&T défini et
portefeuille de services. Envisagez différentes méthodologies de développement (Agile, scrum, cascade, informatique bimodale), en fonction des besoins de
l'entreprise. Considérez comment chacun pourrait aider à atteindre les objectifs d'I&T.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

66
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion APO02.04 Exemple de métriques

Procéder à une analyse des lacunes. une. Nombre de changements à fort impact requis dans les différents domaines de l'architecture
Identifiez les écarts entre les environnements actuels et cibles et décrivez les changements de haut d'entreprise

niveau dans l'architecture d'entreprise. b. Nombre d'écarts significatifs entre l'environnement actuel et le bon
les pratiques

Activités Niveau de capacité

1. Identifier toutes les lacunes et les changements nécessaires pour réaliser l'environnement cible. 3

2. Décrire les changements de haut niveau dans l'architecture d'entreprise (domaines commerciaux, de l'information, des données, des applications et de la technologie).

3. Considérez les implications de haut niveau de toutes les lacunes. Évaluer l'impact des changements potentiels sur les modèles d'exploitation commerciaux et I&T,
Capacités de recherche et développement en I&T et programmes d'investissement en I&T.

4. Tenez compte de la valeur des modifications potentielles des capacités commerciales et informatiques, des services I&T et de l'architecture d'entreprise, ainsi que des 4

implications si aucune modification n'est réalisée.

5. Affiner la définition de l'environnement cible et préparer un énoncé de valeur décrivant les avantages de l'environnement cible.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion APO02.05 Exemple de métriques

Définir le plan stratégique et la feuille de route. une. Niveau d'adhésion des parties prenantes au plan de transformation numérique
Développer une stratégie numérique holistique, en coopération avec les parties b. Pourcentage d'initiatives de la stratégie I&T qui s'autofinancent (avec des avantages
prenantes concernées, et détailler une feuille de route qui définit les étapes progressives financiers supérieurs aux coûts)
nécessaires pour atteindre les buts et objectifs. Assurez-vous de vous concentrer sur le parcours c. Degré de correspondance entre la stratégie d'entreprise et l'I&T
de transformation grâce à la nomination d'une personne qui aide à diriger la transformation stratégie et objectifs
numérique et à aligner les activités et l'I&T.

Activités Niveau de capacité

1. Définir les initiatives nécessaires pour combler les écarts entre les environnements actuels et cibles. Intégrez les initiatives dans une stratégie I&T cohérente qui aligne 3

l'I&T sur tous les aspects de l'entreprise.

2. Détaillez une feuille de route qui définit les étapes progressives nécessaires pour atteindre les buts et les objectifs de la stratégie d'I&T. S'assurer que des actions sont incluses
pour former les personnes avec de nouvelles compétences, soutenir l'adoption de nouvelles technologies, soutenir le changement dans toute l'organisation, etc.

3. Considérez l'écosystème externe (entreprises partenaires, fournisseurs, start-ups, etc.) pour aider à soutenir l'exécution de la feuille de route.

4. Regroupez les actions en programmes et/ou projets avec un objectif ou un livrable clair. Pour chaque projet, identifiez les besoins en ressources de haut niveau, le
calendrier, le budget d'investissement/opérationnel, le risque, l'impact du changement, etc.

5. Déterminez les dépendances, les chevauchements, les synergies et les impacts entre les projets, et établissez des priorités.

6. Finaliser la feuille de route, indiquant le calendrier relatif et les interdépendances des projets.

7. Assurez-vous de vous concentrer sur le parcours de transformation. Nommez un champion de la transformation numérique et de l'alignement entre l'entreprise et l'I&T (directeur
numérique [CDO] ou autre rôle traditionnel de la suite C).

8. Obtenir le soutien et l'approbation formelle du plan par les parties prenantes.

9. Traduire les objectifs en résultats mesurables représentés par des mesures (quoi) et des cibles (combien). S'assurer que les résultats 4

et mesures corrélées aux avantages pour l'entreprise.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SG2.1 Stratégie de sécurité de l'information

ITIL V3, 2011 Stratégie de service, 4.1 Gestion de la stratégie pour les services informatiques

67
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO02.06 Communiquer la stratégie et l'orientation de l'I&T. une. Fréquence des mises à jour du plan de communication de la stratégie I&T
Créer une prise de conscience et une compréhension des objectifs et de l'orientation de b. Pourcentage d'intervenants au courant de la stratégie et de l'orientation de l'I&T
l'entreprise et de l'I&T, tels qu'ils sont capturés dans la stratégie d'I&T, en communiquant
avec les parties prenantes et les utilisateurs appropriés dans toute l'entreprise.

Activités Niveau de capacité

1. Élaborer un plan de communication couvrant les messages requis, les publics cibles, les mécanismes/canaux de communication 3
et les horaires.

2. Préparez un dossier de communication qui livre le plan de manière efficace, en utilisant les médias et les technologies disponibles.

3. Développer et maintenir un réseau pour approuver, soutenir et piloter la stratégie I&T.

4. Obtenir des commentaires et mettre à jour le plan de communication et la livraison au besoin. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

organiser
planifier
Aligner,
et

B. Composante : Structures organisationnelles

direction
Chef
de
la l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de gestion
Bureau
projet
de données
Fonction
gestion
des
de Gestionnaire
relation
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

APO02.01 Comprendre le contexte et l'orientation de l'entreprise. ARR RRRRRRRRR

APO02.02 Évaluer les capacités, les performances et la maturité numérique actuelles du ARR R RRRRRRR
entreprise.

APO02.03 Définir les capacités numériques cibles. RAR RRRRRRRRR

APO02.04 Effectuer une analyse des lacunes. RRRAR R RRRRRRR

APO02.05 Définir le plan stratégique et la feuille de route. RRRARRR RRRRRRR

APO02.06 Communiquer la stratégie et l'orientation de l'I&T. RRRRA

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 38502:2017(E) 5.4 Responsabilités des gestionnaires

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO02.01 Comprendre le contexte et l'orientation de l'entreprise. À partir de La description La description Pour

APO04.02 Opportunités d'innovation Sources et priorités pour Interne

liés aux moteurs d'activité changement

EDM04.01 Principes directeurs pour

allouer des ressources et
capacités

En dehors de la stratégie COBIT Enterprise et

forces faiblesses,
opportunités menaces
(analyse SWOT)

68
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO02.02 Évaluer les capacités, les performances et les À partir de La description La description Pour

maturité numérique de l'entreprise.

APO06.05 Optimisation des coûts Lacunes et risques liés à APO12.01

Opportunités capacités actuelles

APO08.05 Définition du potentiel Capacité Analyse SWOT Interne

projets d'amélioration

APO09.01 Lacunes identifiées dans l'informatique Base de courant Interne

services à l'entreprise capacités

APO09.04 Plans d'actions

d'amélioration et remédiations

APO12.01 Problèmes de risque émergents et

les facteurs

APO12.02 Résultats de l'analyse des risques

APO12.03 Profil de risque agrégé,

y compris l'état du risque
mesures de gestion

APO12.05 Propositions de projets pour

réduire les risques

BAI04.03 • Améliorations

prioritaires
• Plans de performance

et de capacité

BAI04.05 Mesures correctives

BAI09.01 Résultats de l'adaptation à l'objectif

Commentaires

BAI09.04 • Résultats des revues

d'optimisation des coûts

• Possibilités de réduire les coûts
des actifs ou d'augmenter la
valeur

EDM04.03 Rétroaction sur l'allocation et

l'efficacité des ressources et
des capacités

APO02.03 Définir les capacités numériques cibles. APO04.05 • Résultats et Entreprise proposée APO03.03
recommandations des changements d'architecture
initiatives de preuve de concept
Métier et informatique requis Interne

capacités
• Analyse des initiatives
rejetées Objectifs de haut niveau liés à l'I&T Interne

APO02.04 Effectuer une analyse des lacunes. APO04.06 Évaluations de l'utilisation Lacunes et changements APO01.03ÿ;
approches innovantes requis APO13.02ÿ;
réaliser la capacité BAI03.11ÿ;
cible EDM04.01

APO05.01 Retour sur investissement Déclaration d'avantage de valeur BAI03.11

attentes pour l'environnement cible

BAI01.05 Résultats de l'objectif du programme

suivi des réalisations

BAI01.06 Résultats de l'examen par étapes

BAI11.09 Post-implémentation
examiner les résultats

EDM02.02 Évaluation de la stratégie

alignement

69
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO02.05 Définir le plan stratégique et la feuille de route. À partir de Description • La description Pour

APO03.01 Portée définie de Stratégie et objectifs Tous APOÿ; Tous

l'architecture I&T BAIÿ;
• Analyse de rentabilisation du Tous les SSDÿ; Tous

concept d'architecture et AEM

proposition de valeur

APO03.02 Architecture des informations Feuille de route stratégique APO01.01ÿ;

maquette APO03.01ÿ;
APO08.01ÿ;
EDM02.01ÿ;
EDM02.02

APO03.03 Architectures de transition Définition de stratégique EDM02.01

initiatives

APO05.01 Possibilités de financement Initiatives d'évaluation EDM02.01,

des risques APO12.01
APO06.02 Allocations budgétaires

APO06.03 Budget I&T

BAI09.05 Plan d'action pour ajuster

numéros de licence et
allocations

DSS04.02 Options stratégiques

approuvées

EDM02.01 Rétroaction sur la stratégie et

les objectifs

EDM04.01 Plan de ressources approuvé

EDM04.03 Actions correctives à

ressource d'adresse

écarts de gestion

APO02.06 Communiquer la stratégie et l'orientation de l'I&T. EDM04.02 Communication de Pack de communication Tous APOÿ; Tous
stratégies de ressourcement BAIÿ; Tous les SSDÿ;
Tous les AEM

Plan de communication Interne

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Stratégie de service, 3.9 Entrées et sorties de la stratégie de service

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Framework Référence détaillée

Élaboration de plans d'affaires (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part 1: Framework, A. Régime—A.3. Plan d'affaires

2016 Développement

Cadre de compétences pour la surveillance des technologies émergentes à l'ère de l'information V6, 2015 EMRG

Stratégie et planification I&T Cadre de compétences pour l'ère de l'information V6, 2015 e-Competence ITSP

Alignement de la stratégie Framework (e-CF) — Un cadre européen commun pour les TIC A. Régime—A.1. SI et Entreprise
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 Alignement de la stratégie

70
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Principes de la stratégie de service I&T Pour plus de détails, reportez-vous aux ITIL V3, 2011 Stratégie de service, 3. Principes
conseils connexes. de la stratégie de service

Politique et principes de la stratégie I&T Fournit une vue globale de l'environnement

commercial et I&T actuel, de l'orientation
stratégique et des initiatives nécessaires
pour passer à l'environnement futur souhaité.
S'assure que la stratégie commerciale et I&T
reflète le niveau cible de numérisation.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir une culture et des valeurs sous-jacentes qui correspondent à la stratégie Le cadre agile à l'échelle pour Cadre configurable qui aide les organisations
commerciale globale (c.-à-d., axée sur le client, axée sur l'innovation, axée sur les produits). Entreprises Lean à fournir de nouveaux produits et solutions
Trouvez des moyens d'injecter de la vitesse dans les processus et introduisez la culture et le dans les délais durables les plus courts (tous
comportement de soutien qui permettent d'avancer à un rythme plus rapide. Cela pourrait les chapitres)
commencer par changer les habitudes de base, comme organiser des réunions de leadership
stratégique plus fréquentes ou automatiser certaines activités.

Dans le contexte actuel de modèles économiques numériques, d'écosystèmes et de

perturbations, il est vital pour de nombreuses organisations de prioriser la
transformation numérique dans leur stratégie. Construire une culture qui remet en
question le statu quo et explore de nouvelles méthodes de travail (par exemple, investir dans
l'automatisation pour répondre rapidement aux clients, développer des rapports et des
analyses sophistiqués pour interpréter les besoins des clients, créer des interfaces innovantes
pour collecter des données clients, créer des mécanismes pour fournir du contenu et offres
sur tous les canaux pertinents).

G. Composante : Services, Infrastructure et Applications

• Analyse client
• Références de l'industrie
• Système de mesure du rendement (p. ex. tableau de bord prospectif, outils de gestion des compétences)
• Services et outils de veille technologique

71
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

72
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO03 — Description de l'architecture d'entreprise gérée Domaine d'interventionÿ: modèle de base COBIT

Établir une architecture commune composée de processus métier, d'informations, de données, d'applications et de couches d'architecture technologique. Créer des modèles et des pratiques clés
qui décrivent les architectures de base et cibles, conformément à la stratégie de l'entreprise et de l'I&T. Définir les exigences pour la taxonomie, les normes, les directives, les procédures, les
modèles et les outils, et fournir un lien pour ces composants. Améliorez l'alignement, augmentez l'agilité, améliorez la qualité des informations et générez des économies potentielles grâce à des initiatives
telles que la réutilisation des composants de base.

But

Représenter les différents blocs de construction qui composent l'entreprise et ses interrelations ainsi que les principes guidant leur conception et leur évolution dans le temps, pour permettre une
livraison standard, réactive et efficace des objectifs opérationnels et stratégiques.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG06 Agilité pour transformer les exigences métier en solutions opérationnelles
• EG05 Culture du service orienté client

• EG08ÿOptimisation de la fonctionnalité des processus métier internes • AG08 Activation et prise en charge des processus métier en intégrant les applications et la
• EG12 Programmes de transformation numérique gérés technologie

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité de

les objectifs de chiffre d'affaires et/ou de part de marché l'I&T aux nouvelles exigences
b. Pourcentage de produits et services qui satisfont ou dépassent b. Délai moyen de mise sur le marché des nouveaux services et applications
objectifs de satisfaction client liés à l'I&T
c. Pourcentage de produits et services qui offrent un avantage c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
concurrentiel convenues et approuvées
ré. Délai de mise sur le marché de nouveaux produits et services ré. Nombre de processus métier critiques pris en charge par une infrastructure et
des applications à jour

EG05 a. Nombre d'interruptions du service client AG08 a. Temps nécessaire pour exécuter des services ou des processus métier
b. Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation b. Nombre de programmes commerciaux axés sur l'I&T retardés ou
du service client respecte les niveaux convenus encourir des coûts supplémentaires en raison de problèmes d'intégration technologique
c. Nombre de réclamations clients c. Nombre de changements de processus métier qui doivent être retardés ou
ré. Tendance des résultats des enquêtes de satisfaction client retravaillés en raison de problèmes d'intégration technologique
ré. Nombre d'applications ou d'infrastructures critiques fonctionnant en silos et non
EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale
intégrées
avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO03.01 Développer la vision de l'architecture d'entreprise. une. Commentaires des clients sur le niveau d'architecture

La vision de l'architecture fournit une première description de haut niveau des architectures de b. Degré auquel les architectures de référence et cible couvrent
référence et cible, couvrant les domaines de l'entreprise, de l'information, des données, des domaines des affaires, de l'information, des données, des applications et de la technologie et
applications et de la technologie. La vision de l'architecture fournit au sponsor un outil clé pour fréquence des mises à jour
vendre les avantages des fonctionnalités proposées aux parties prenantes au sein de l'entreprise.
La vision de l'architecture décrit comment les nouvelles capacités (conformément à la stratégie et
aux objectifs d'I&T) atteindront les buts et les objectifs stratégiques de l'entreprise et répondront
aux préoccupations des parties prenantes lors de leur mise en œuvre.

73
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Identifier les principales parties prenantes et leurs préoccupations/objectifs. Définir les principales exigences de l'entreprise à traiter ainsi que 2

vues d'architecture à développer pour répondre aux exigences des parties prenantes.

2. Identifier les objectifs de l'entreprise et les moteurs stratégiques. Définir les contraintes qui doivent être traitées, y compris à l'échelle de l'entreprise et
contraintes spécifiques au projet (par exemple, temps, calendrier, ressources, etc.).

3. Aligner les objectifs de l'architecture sur les priorités stratégiques du programme.

4. Comprendre les capacités et les objectifs de l'entreprise, puis identifier les options pour atteindre ces objectifs.

5. Évaluer la préparation de l'entreprise au changement.

6. Définir la portée de l'architecture de base et de l'architecture cible. Énumérez les éléments qui sont dans le champ d'application ainsi que ceux qui ne le sont pas.
(L'architecture de base et l'architecture cible n'ont pas besoin d'être décrites au même niveau de détail.)

7. Comprendre les buts et objectifs stratégiques actuels de l'entreprise. Travailler dans le cadre du processus de planification stratégique pour s'assurer que l'I&T
les possibilités d'architecture d'entreprise connexes sont exploitées dans l'élaboration du plan stratégique.

8. En fonction des préoccupations des parties prenantes, des exigences en matière de capacités commerciales, de la portée, des contraintes et des principes, créer l'architecture
vision (c'est-à-dire la vue de haut niveau des architectures de référence et cible).

9. Confirmer et élaborer les principes d'architecture, y compris les principes d'entreprise. Assurez-vous que toutes les définitions existantes sont à jour. 3

Clarifiez les zones d'ambiguïté.

10. Identifier les risques de changement d'entreprise associés à la vision de l'architecture. Évaluer le niveau de risque initial (par exemple, critique, marginal ou
négligeable). Élaborer une stratégie d'atténuation pour chaque risque important.

11. Élaborer une analyse de rentabilisation du concept d'architecture d'entreprise et décrire les plans et l'énoncé des travaux d'architecture. Obtenir l'approbation pour lancer
un projet aligné et intégré à la stratégie de l'entreprise.

12. Définir les propositions de valeur, les objectifs et les métriques de l'architecture cible. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.15 Gestion du programme (PM-7)
(ébauche), août 2017

La norme de groupe ouvert TOGAF version 9.2, 2018 6. Phase A : Vision architecturale

Pratique de gestion Exemple de métriques

APO03.02 Définir l'architecture de référence. une. Date de la dernière mise à jour des architectures de domaine et/ou fédérées
L'architecture de référence décrit les architectures actuelles et cibles pour les domaines de l'entreprise, b. Nombre d'exceptions aux normes et référentiels d'architecture demandées et accordées
de l'information, des données, des applications et de la technologie.

Activités Niveau de capacité

1. Maintenir un référentiel d'architecture contenant des normes, des composants réutilisables, des artefacts de modélisation, des relations, 3

dépendances et vues, pour permettre l'uniformité de l'organisation architecturale et de la maintenance.

2. Sélectionnez des points de vue de référence dans le référentiel d'architecture qui permettent à l'architecte de démontrer comment les parties prenantes
les préoccupations sont prises en compte dans l'architecture.

3. Pour chaque point de vue, sélectionnez les modèles nécessaires pour prendre en charge la vue spécifique requise. Utilisez des outils ou des méthodes sélectionnés et
le niveau de décomposition approprié.

4. Élaborer des descriptions de domaine architectural de base, en utilisant la portée et le niveau de détail nécessaires pour prendre en charge l'architecture cible et, dans
la mesure du possible, en identifiant les blocs de construction d'architecture pertinents à partir du référentiel d'architecture.

5. Maintenir un modèle d'architecture de processus dans le cadre des descriptions de référence et de domaine cible. Standardiser les descriptions
et la documentation des processus. Définir les rôles et les responsabilités des décideurs du processus, du propriétaire du processus, des utilisateurs du processus, de l'équipe du
processus et de toute autre partie prenante du processus qui devrait être impliquée.

6. Maintenir un modèle d'architecture de l'information dans le cadre des descriptions de base et des domaines cibles, conformément à la stratégie de l'entreprise pour acquérir,
stocker et utiliser les données de manière optimale à l'appui de la prise de décision.

7. Vérifier les modèles d'architecture pour la cohérence interne et la précision. Effectuez une analyse des écarts entre la ligne de base et la cible.
Hiérarchisez les lacunes et définissez les composants nouveaux ou modifiés qui doivent être développés pour l'architecture cible. Résoudre les incompatibilités,
les incohérences ou les conflits au sein de l'architecture cible.

8. Procéder à un examen formel des parties prenantes en examinant l'architecture proposée par rapport à l'intention initiale du projet d'architecture et
l'énoncé des travaux d'architecture.

9. Finaliser les architectures de domaine d'affaires, d'information, de données, d'applications et de technologie. Créer un document de définition d'architecture.

74
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Plate-forme et architecture—Approche architecturaleÿ; Plate-forme et architecture—
Intégration des données

ITIL V3, 2011 Stratégie de service, 5.4 Stratégie de service informatique et architecture d'entreprise

National Institute of Standards and Technology Special Publication 800-37, révision 2 3.1 Préparation (Tâche 9)
(ébauche), mai 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.5 Gestion des configurations (CM-8)
(ébauche), août 2017

La norme de groupe ouvert TOGAF version 9.2, 2018 7. Phase B : Architecture métier ; 8. Phase C : Architectures des Systèmes d'Information ;
9. Phase C : Architecture des données des architectures des systèmes d'information ; 10.
Phase C : Architecture des applications des architectures des systèmes d'information ; 11.
Phase D : Architecture technologique

Pratique de gestion Exemple de métriques

APO03.03 Choisir les opportunités et les solutions. une. Nombre de lacunes identifiées dans les modèles dans les domaines de l'entreprise, de
Rationalisez les écarts entre les architectures de référence et cible, en tenant compte l'information, des données, de l'application et de l'architecture technologique
à la fois des perspectives commerciales et techniques, et regroupez-les logiquement dans des b. Pourcentage d'acteurs clés de l'entreprise issus de l'entreprise et de l'informatique pour évaluer
packages de travail de projet. Intégrez le projet à tous les programmes d'investissement liés à l'état de préparation de l'entreprise à la transformation et identifier les opportunités, les solutions
l'I&T pour vous assurer que les initiatives architecturales sont alignées sur ces initiatives et les et toutes les contraintes de mise en œuvre
permettent dans le cadre du changement global de l'entreprise. Faites-en un effort de collaboration
avec les principales parties prenantes de l'entreprise du monde des affaires et de l'informatique
pour évaluer l'état de préparation de la transformation de l'entreprise et identifier les opportunités,
les solutions et toutes les contraintes de mise en œuvre.

Activités Niveau de capacité

1. Déterminer et confirmer les principaux attributs de changement d'entreprise. Tenez compte de la culture d'entreprise, de l'impact potentiel de la culture sur la mise 3

en œuvre de l'architecture et des capacités de transition de l'entreprise.

2. Identifiez tous les pilotes d'entreprise qui limiteraient la séquence de mise en œuvre. Inclure un examen de l'entreprise et de la ligne de
les plans stratégiques et commerciaux de l'entreprise. Tenez compte de la maturité actuelle de l'architecture d'entreprise.

3. Examiner et consolider les résultats de l'analyse des écarts entre les architectures de référence et cible. Évaluer les implications avec respect
aux solutions potentielles, aux opportunités, aux interdépendances et à l'alignement avec les programmes actuels d'I&T.

4. Évaluer les exigences, les lacunes, les solutions et d'autres facteurs pour identifier un ensemble minimal d'exigences fonctionnelles dont l'intégration
dans les modules de travail conduirait à une mise en œuvre plus efficace et efficiente de l'architecture cible.

5. Concilier les exigences consolidées avec les solutions potentielles.

6. Affiner les dépendances initiales et identifier les contraintes sur les plans de mise en œuvre et de migration. Compiler un rapport d'analyse de dépendance.

7. Confirmer la préparation de l'entreprise pour la transformation de l'entreprise et le risque associé à celle-ci.

8. Formuler une stratégie de haut niveau pour la mise en œuvre et la migration. Mettre en œuvre l'architecture cible (et organiser toute architecture de transition) en
fonction de la stratégie globale de l'entreprise, des objectifs et des délais.

9. Identifier et regrouper les principaux modules de travail en un ensemble cohérent de programmes et de projets, en respectant la direction et l'approche
mise en œuvre stratégique de l'entreprise.

10. Développer des architectures de transition où la portée des changements requis par l'architecture cible nécessite une
approcher.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Plate-forme et architecture—Approche architecturaleÿ; Plate-forme et
Architecture—Intégration des données

La norme de groupe ouvert TOGAF version 9.2, 2018 12. Phase E : Opportunités et solutions

75
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO03.04 Définir la mise en œuvre de l'architecture. une. Définition claire des exigences de gouvernance de la mise en œuvre de
Créer un plan de mise en œuvre et de migration viable en alignement avec les portefeuilles de l'architecture
programmes et de projets. Assurez-vous que le plan est étroitement coordonné pour offrir de la b. Pourcentage de parties prenantes au courant de la mise en œuvre de l'architecture et
valeur et que les ressources nécessaires sont disponibles pour effectuer le travail nécessaire. migration

Activités Niveau de capacité

1. Établir les éléments requis dans le plan de mise en œuvre et de migration dans le cadre de la planification du programme et du projet. Assurez-vous que le plan 3

s'aligne sur les exigences des décideurs concernés.

2. Confirmer les incréments et les phases de l'architecture de transition. Mettre à jour le document de définition d'architecture.

3. Définir et compléter le plan de mise en œuvre et de migration de l'architecture, y compris les exigences de gouvernance pertinentes.
Intégrez le plan, les activités et les dépendances dans la planification du programme et du projet.

4. Communiquer la feuille de route architecturale définie aux parties prenantes concernées. Informer les parties prenantes sur l'architecture cible
définition, lignes directrices et principes d'architecture, portefeuille de services, etc.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Plate-forme et architecture—Approche architecturaleÿ; Plate-forme et architecture—
Intégration des données

La norme de groupe ouvert TOGAF version 9.2, 2018 13. Phase Fÿ: Planification de la migration

Pratique de gestion Exemple de métriques

APO03.05 Fournir des services d'architecture d'entreprise. une. Niveau de retour des clients pour les services d'architecture

Fournir des services d'architecture d'entreprise au sein de l'entreprise, notamment des conseils b. Pourcentage de projets qui utilisent le cadre et la méthodologie pour réutiliser les
et une surveillance des projets de mise en œuvre, la formalisation des méthodes de travail par le composants définis
biais de contrats d'architecture, ainsi que la mesure et la communication de la valeur de c. Pourcentage de projets utilisant des services d'architecture d'entreprise
l'architecture et la surveillance de la conformité. ré. Avantages du projet réalisés qui peuvent être attribués à l'implication de l'architecture
(par exemple, réduction des coûts grâce à la réutilisation)

Activités Niveau de capacité

1. Confirmer la portée et les priorités et fournir des conseils pour le développement et le déploiement de la solution (par exemple, en utilisant des 3

architecture).

2. Gérer les exigences d'architecture d'entreprise et soutenir les entreprises et l'informatique avec des conseils et une expertise sur les principes architecturaux, les modèles
et les blocs de construction. Garantissez que les nouvelles implémentations (ainsi que les modifications apportées à l'architecture actuelle) sont conformes aux principes
et aux exigences de l'architecture d'entreprise.

3. Gérer le portefeuille de services d'architecture d'entreprise et assurer l'alignement avec les objectifs stratégiques et le développement de solutions.

4. Identifier les priorités de l'architecture d'entreprise. Alignez les priorités sur les inducteurs de valeur. Définir et collecter des métriques de valeur et mesurer et 4

communiquer la valeur de l'architecture d'entreprise.

5. Établir un forum technologique pour fournir des directives architecturales, conseiller les projets et guider le choix de la technologie. Mesurer la conformité aux normes 5

et aux directives, y compris la conformité aux exigences externes et la pertinence commerciale interne.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Plate-forme et architecture—Normes architecturales

ITIL V3, 2011 Conception de services, 3.9 Architecture orientée services

La norme de groupe ouvert TOGAF version 9.2, 2018 14. Phase G : Gouvernance de la mise en œuvre ; 15. Phase H : Gestion des changements
d'architecture

76
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

B. Composante : Structures organisationnelles

Pratique de gestion des clés

APO03.01 Développer la vision de l'architecture d'entreprise. RRRRRRR

APO03.02 Définir l'architecture de référence. RRRRRRR

APO03.03 Sélectionner des opportunités et des solutions. RRRRRRR

APO03.04 Définir la mise en œuvre de l'architecture. RRRRRRR

APO03.05 Fournir des services d'architecture d'entreprise. RRRRRAR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

La norme de groupe ouvert TOGAF version 9.2, 2018 41. Conseil d'architecture

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO03.01 Développer la vision de l'architecture d'entreprise À partir de La description La description Pour

APO03.01.
APO02.05 Feuille de route stratégique Portée définie de APO02.05
l'architecture

EDM04.01 Principes directeurs pour Notion d'architecture APO02.05ÿ;

l'architecture d'entreprise analyse de rentabilisation et valeur APO05.02
proposition

En dehors de la stratégie COBIT Enterprise Principes architecturaux BAI02.01ÿ;

BAI03.01ÿ;
BAI03.02

APO03.02 Définir l'architecture de référence. APO01.04 • Définition de la Modèle d'architecture de APO01.04

structure organisationnelle et processus
des fonctions
• Directives opérationnelles
de l'entreprise

APO01.06 • Évaluation des options pour Architecture des informations APO02.05ÿ;

l'organisation informatique maquette APO14.03ÿ;
• Placement opérationnel BAI02.01ÿ;
défini de la fonction BAI03.02ÿ;
informatique DSS05.03ÿ;
DSS05.04ÿ;
DSS05.06

77
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion APO03.02 Contributions Les sorties

Définir l'architecture de référence. (suite) À partir de La description La description Pour

APO01.07 Classement des données Domaine de base APO13.02ÿ;

des lignes directrices descriptions et BAI02.01ÿ;
définition de l'architecture BAI03.01ÿ;
APO14.01 Stratégie de gestion des
BAI03.02ÿ;
données
BAI03.12
APO14.03 Documentation des métadonnées

En dehors de la stratégie COBIT Enterprise

APO03.03 Sélectionner des opportunités et des solutions. APO02.03 Entreprise proposée Architectures de transition APO02.05

changements d'architecture

En dehors de COBIT • Moteurs d'entreprise

• Stratégies d'entreprise

APO03.04 Définir la mise en œuvre de l'architecture. Phase de mise en oeuvre BAI01.01ÿ;

descriptifs BAI01.02ÿ;
BAI11.01

Gouvernance architecturale BAI01.01ÿ;

conditions BAI11.01

Besoins en ressources BAI01.02

APO03.05 Fournir des services d'architecture d'entreprise. Développement de solutions BAI02.01ÿ;

conseils BAI02.02ÿ;
BAI03.02ÿ;
BAI03.12

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale 800-37 de l'Institut national des normes et de la technologie, révision 2, 3.1 Préparation (Tâche 9)ÿ: entrées et sorties
septembre 2017

La norme de groupe ouvert TOGAF version 9.2, 2018 6. Phase Aÿ: Vision de l'architectureÿ: entrées et sortiesÿ; 7. Phase B : Architecture
métier : entrées et sorties ; 9. Phase C : Architectures des systèmes d'information Architecture
des données : entrées et sorties ; 10. Architectures des Systèmes d'Information Architecture
d'Application : Entrées et Sorties ; 11. Phase D : Architecture technologique : entrées et
sorties ; 12. Phase E : Opportunités et Solutions : Intrants et Extrants ; 13. Phase F :
Planification de la migration : entrées et sorties ; 14.

Phase G : Gouvernance de la mise en œuvre : intrants et extrants ; 15.

Phase H : Gestion des changements d'architecture : entrées et sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Framework Référence détaillée

Conception architecturale (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part 1: Framework, A. Plan-A.5. Conception architecturale
2016

L'analyse des données Cadre de compétences pour l'ère de l'information V6, 2015 Cadre de DTAN

Architecture d'entreprise et compétences pour l'ère de l'information V6, 2015 STPL

d'affaires

Planification produit/service e-Competence Framework (e-CF)—Un cadre européen commun pour les TIC A. Régime—A.4. Produit/Service

Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 Planification

Architecture des solutions Cadre de compétences pour l'ère de l'information V6, 2015 CAMBRE

78
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

E. Composanteÿ: Politiques et procédures

Principes d' Description de la politique Conseils connexes Référence détaillée

architecture politique pertinents Définit les principes généraux pour La norme de groupe ouvert TOGAF 20. Principes architecturaux
éclairer les règles et les lignes directrices version 9.2, 2018
pour les processus d'architecture, les
procédures, les couches et l'utilisation et
l'interconnexion globales des ressources
et actifs I&T. Décrit les principes
architecturaux pour améliorer la prise de
décision. Assure l'alignement de
l'architecture actuelle et cible avec les
objectifs et la stratégie de l'entreprise.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Créer un environnement dans lequel la direction comprend les besoins architecturaux

par rapport aux buts et objectifs de l'entreprise. Favoriser une pratique efficace de
l'architecture d'entreprise dans toute l'organisation (pas seulement par les architectes
d'entreprise). Assurer une approche holistique qui relie les composants de manière plus
transparente (par exemple, en s'éloignant des équipes dédiées de spécialistes des
applications).

G. Composante : Services, Infrastructure et Applications

Référentiel d'architecture

79
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

80
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO04 — Description de l'innovation gérée Domaine d'interventionÿ: modèle de base COBIT

Se tenir au courant des tendances en matière d'I&T et de services connexes et surveiller les tendances technologiques émergentes. Identifier de manière proactive les opportunités d'innovation et
planifier comment bénéficier de l'innovation par rapport aux besoins de l'entreprise et à la stratégie I&T définie. Analyser les opportunités d'innovation ou d'amélioration des entreprises qui peuvent
être créées par les technologies émergentes, les services ou l'innovation commerciale basée sur l'I&Tÿ; grâce aux technologies établies existantes; et par l'innovation des processus commerciaux et
informatiques. Influencer la planification stratégique et les décisions d'architecture d'entreprise.

But

Bénéficiez d'un avantage concurrentiel, d'innovations commerciales, d'une expérience client améliorée et d'une efficacité et d'une efficience opérationnelles améliorées en exploitant les
développements I&T et les technologies émergentes.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de Æ Objectifs d'alignement

l'entreprise • EG01 Portefeuille de produits et services compétitifs • AG06 Agilité pour transformer les exigences métier en solutions opérationnelles
• EG13 Innovation de produit et d'entreprise • AG13 Connaissances, expertise et initiatives pour l'innovation des entreprises

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité

les objectifs de chiffre d'affaires et/ou de part de marché de l'I&T aux nouvelles exigences
b. Pourcentage de produits et services qui satisfont ou dépassent b. Délai moyen de mise sur le marché des nouveaux services et applications
objectifs de satisfaction client liés à l'I&T
c. Pourcentage de produits et services qui offrent un avantage c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
concurrentiel convenues et approuvées
ré. Délai de mise sur le marché de nouveaux produits et services ré. Nombre de processus métier critiques pris en charge par une infrastructure
et des applications à jour

EG13 a. Niveau de sensibilisation et de compréhension des opportunités AG13 a. Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des
d'innovation des entreprises possibilités d'innovation en I&T
b. Satisfaction des parties prenantes concernant les niveaux d'expertise et b. Nombre d'initiatives approuvées résultant d'innovations
d'idées en matière de produits et d'innovation Idées I&T

c. Nombre d'initiatives de produits et de services approuvées résultant c. Nombre de champions de l'innovation reconnus/primés
d'idées novatrices

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO04.01 Créer un environnement propice à l'innovation. une. Perception et retour d'information des parties prenantes de l'entreprise sur l'innovation
Créez un environnement propice à l'innovation, en tenant compte de méthodes telles que en I&T b. Inclusion d'objectifs liés à l'innovation ou aux technologies émergentes dans
la culture, la récompense, la collaboration, les forums technologiques et les mécanismes de objectifs de performance pour le personnel concerné
promotion et de capture des idées des employés.

Activités Niveau de capacité

1. Créer un plan d'innovation qui comprend l'appétit pour le risque, un budget proposé pour les initiatives d'innovation et les objectifs d'innovation. 2

2. Fournir une infrastructure qui peut être un élément de gouvernance pour l'innovation (par exemple, des outils de collaboration pour améliorer le travail
entre emplacements géographiques et/ou divisions).

3. Maintenir un programme permettant au personnel de soumettre des idées d'innovation et créer une structure décisionnelle appropriée pour évaluer 3
et faire avancer les idées.

4. Encourager les idées d'innovation des clients, des fournisseurs et des partenaires commerciaux.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

81
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO04.02 Maintenir une compréhension de l'environnement de l'entreprise. une. Pourcentage d'initiatives mises en œuvre ayant un lien clair avec une entreprise
Travailler avec les parties prenantes concernées pour comprendre leurs défis. objectif
Maintenir une compréhension adéquate de la stratégie d'entreprise, de l'environnement b. Pourcentage d'opportunités rendues possibles par les nouvelles technologies identifiées
concurrentiel et d'autres contraintes, afin que les opportunités offertes par les nouvelles technologies
puissent être identifiées.

Activités Niveau de capacité

1. Maintenir une compréhension des moteurs de l'industrie et des affaires, de la stratégie de l'entreprise et de l'I&T, ainsi que des opérations de l'entreprise et actuelles 2

défis. Appliquer la compréhension pour identifier la technologie à valeur ajoutée potentielle et innover en I&T.

2. Organiser des réunions régulières avec les unités commerciales, les divisions et/ou d'autres entités parties prenantes pour comprendre les activités en cours 3

des problèmes, des goulots d'étranglement de processus ou d'autres contraintes où les technologies émergentes ou l'innovation en I&T peuvent créer des opportunités.

3. Comprendre les paramètres d'investissement des entreprises pour l'innovation et les nouvelles technologies afin de développer des stratégies appropriées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO04.03 Surveiller et analyser l'environnement technologique. une. Fréquence des recherches sur l'environnement et des analyses effectuées pour
Mettre en place un processus de veille technologique pour effectuer une surveillance et une identifier les idées et les tendances innovantes
analyse systématiques de l'environnement externe de l'entreprise afin d'identifier les b. Pourcentage de parties prenantes satisfaites des efforts déployés pour surveiller le marché, le
technologies émergentes qui ont le potentiel de créer de la valeur (par exemple, en réalisant paysage concurrentiel, les secteurs industriels et les tendances juridiques et réglementaires
la stratégie de l'entreprise, en optimisant les coûts, en évitant l'obsolescence et en facilitant afin d'analyser les technologies émergentes ou les idées d'innovation dans le contexte de
les processus d'entreprise et d'I&T ). l'entreprise
Surveillez le marché, le paysage concurrentiel, les secteurs industriels et les tendances
juridiques et réglementaires pour être en mesure d'analyser les technologies émergentes ou les
idées d'innovation dans le contexte de l'entreprise.

Activités Niveau de capacité

1. Comprendre l'appétit des entreprises et le potentiel d'innovation technologique. Concentrer les efforts de sensibilisation sur les plus opportuns 2

nouveautés technologiques.

2. Mettre en place un processus de veille technologique et effectuer des recherches et une analyse de l'environnement externe, y compris des sites Web, des revues et
des conférences appropriés, afin d'identifier les technologies émergentes et leur valeur potentielle pour l'entreprise.

3. Consulter des experts tiers si nécessaire pour confirmer la recherche ou fournir des informations sur les technologies émergentes.

4. Capturez les idées d'innovation en I&T du personnel et examinez-les pour une mise en œuvre potentielle.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO04.04 Évaluer le potentiel des technologies émergentes et des idées une. Pourcentage d'initiatives mises en œuvre qui réalisent les avantages escomptés
novatrices. b. Pourcentage d'initiatives de preuve de concept réussies pour tester les
Analyser les technologies émergentes identifiées et/ou d'autres suggestions innovantes en technologies ou autres idées d'innovation
I&T pour comprendre leur potentiel commercial. Travailler avec les parties prenantes pour
valider les hypothèses sur le potentiel des nouvelles technologies et de l'innovation.

Activités Niveau de capacité

1. Évaluer les technologies identifiées, en tenant compte d'aspects tels que le temps nécessaire pour atteindre la maturité, le risque inhérent (y compris les 2

implications), adaptées à l'architecture de l'entreprise et au potentiel de valeur, conformément à la stratégie de l'entreprise et de l'I&T.

2. Identifier les problèmes qui peuvent devoir être résolus ou validés par une initiative de preuve de concept. 3

3. Étendue de l'initiative de preuve de concept, y compris les résultats souhaités, le budget requis, les délais et les responsabilités.

4. Obtenir l'approbation de l'initiative de preuve de concept.

5. Mener des initiatives de preuve de concept pour tester les technologies émergentes ou d'autres idées d'innovation. Identifier les problèmes et déterminer
si la mise en œuvre ou le déploiement doit être envisagé en fonction de la faisabilité et du retour sur investissement potentiel.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

82
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO04.05 Recommander d'autres initiatives appropriées. une. Nombre d'initiatives de preuve de concept évaluées et approuvées pour un
Évaluer et surveiller les résultats des initiatives de preuve de concept et, si elles déploiement ultérieur
sont favorables, générer des recommandations pour d'autres initiatives. Obtenir le b. Nombre d'initiatives de preuve de concept qui ont été exploitées dans
soutien des parties prenantes. l'investissement réel

Activités Niveau de capacité

1. Documenter les résultats de la preuve de concept, y compris des conseils et des recommandations sur les tendances et les programmes d'innovation. 3

organiser
planifier
Aligner,
et
2. Communiquer les opportunités d'innovation viables dans la stratégie I&T et les processus d'architecture d'entreprise.

3. Analyser et communiquer les raisons des initiatives de preuve de concept rejetées.

4. Assurer le suivi des initiatives de preuve de concept pour mesurer l'investissement réel.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

4

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO04.06 Surveiller la mise en œuvre et l'utilisation de l'innovation. une. Augmentation de la part de marché ou de la compétitivité grâce aux innovations
Surveiller la mise en œuvre et l'utilisation des technologies et innovations b. Nombre de leçons apprises et d'opportunités d'amélioration capturées
émergentes pendant l'adoption, l'intégration et pendant tout le cycle de vie pour une utilisation future
économique afin de s'assurer que les avantages promis sont réalisés et
d'identifier les leçons apprises.

Activités Niveau de capacité

1. Capturez les leçons apprises et les opportunités d'amélioration. 3

2. Veiller à ce que les initiatives d'innovation s'alignent sur la stratégie de l'entreprise et de l'I&T. Surveillez l'alignement en permanence. Ajuster le plan d'innovation,
si nécessaire.

3. Évaluer les nouvelles technologies ou les innovations I&T mises en œuvre dans le cadre de la stratégie I&T et du développement de l'architecture d'entreprise. 4
Évaluer le niveau d'adoption lors de la gestion du programme des initiatives.

4. Identifier et évaluer la valeur potentielle de l'innovation.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

exécutif
Comité l'information
Directeur
de technologie
directeur
de
la numérique
Directeur Propriétaires
processus
métier
de données
Fonction
gestion
des
de Responsable
Ressources
Humaines Gestionnaire
relation
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la

Pratique de gestion des clés

APO04.01 Créer un environnement propice à l'innovation. ARRRRRR RRRRR

APO04.02 Maintenir une compréhension de l'environnement de l'entreprise. ARRRRR RRRRR

APO04.03 Surveiller et analyser l'environnement technologique. ARRRRR RRRRR

APO04.04 Évaluer le potentiel des technologies émergentes et des idées novatrices. ARRRRR RRRRR

APO04.05 Recommander d'autres initiatives appropriées. ARRRRR RRRRR

APO04.06 Surveiller la mise en œuvre et l'utilisation de l'innovation. ARRRRR RRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

83
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO04.01 Créer un environnement propice à À partir de La description La description Pour

innovation.
EDM03.01 Conseils sur l'appétit pour le risque Reconnaissance et récompense APO07.04

programme

Projet d'innovation Interne

APO04.02 Maintenir une compréhension de l'entreprise En dehors de la stratégie COBIT Enterprise et Opportunités d'innovation APO02.01
environnement. forces faiblesses, liés aux moteurs d'activité

opportunités menaces
(analyse SWOT)

APO04.03 Surveiller et analyser l'environnement technologique. Hors COBIT Technologies émergentes Analyses de recherche de BAI03.01

possibilités d'innovation

APO04.04 Évaluer le potentiel des technologies émergentes Portée de la preuve de concept APO05.02ÿ;
et des idées novatrices. et décrire les affaires APO06.02
Cas

Évaluations de l'innovation BAI03.01

des idées

Résultats des tests des Interne

initiatives de preuve de concept

APO04.05 Recommander d'autres initiatives appropriées. Analyse des rejets APO02.03ÿ;

initiatives BAI03.08

Résultats et APO02.03ÿ;
recommandations de BAI03.09

initiatives de preuve
de concept

APO04.06 Surveiller la mise en œuvre et l'utilisation des Évaluations de l'utilisation APO02.04ÿ;

innovation. approches innovantes BAI03.02

Évaluation de l'innovation APO05.03

avantages

Plans d'innovation ajustés Interne

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Référence détaillée

Élaboration de plans d'affaires Framework (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part A. Régime—A.3. Plan d'affaires
1: Framework, 2016 Développement

Cadre de compétences pour la surveillance des technologies émergentes à l'ère de l'information V6, 2015 EMRG

Innover e-Competence Framework (e-CF)—Un cadre européen commun pour les TIC A. Plan—A.9. Innover
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016

Innovation Cadre de compétences pour l'ère de l'information V6, 2015 INOV

Recherche Cadre de compétences pour l'ère de l'information V6, 2015 e- RSCH

Veille des tendances technologiques Competence Framework (e-CF) — Un cadre européen commun pour les TIC A. Régime—A.7. Tendance technologique
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 Surveillance

84
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

E. Composanteÿ: Politiques et procédures

Principes d' innovation Description de la Conseils connexes Référence détaillée

politique pertinents politique Définit les principes généraux

garantissant que les idées nouvelles/innovantes
sont pleinement évaluées lors de la définition
de nouveaux objectifs et décisions stratégiques.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Créer un environnement propice à l'innovation en maintenant des initiatives RH pertinentes,

telles que des programmes de reconnaissance et de récompense de l'innovation, une rotation
appropriée des postes et du temps discrétionnaire pour l'expérimentation. Assurer une
collaboration et une coordination étroites des initiatives dans l'ensemble de l'organisation.

G. Composante : Services, Infrastructure et Applications

• Plates-formes collaboratives
• Références de l'industrie
• Services et outils de veille technologique

85
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

86
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO05 — Description du portefeuille géré Domaine d'interventionÿ: modèle de base COBIT

Exécuter l'orientation stratégique définie pour les investissements conformément à la vision de l'architecture d'entreprise et à la feuille de route I&T. Considérez les différentes catégories d'investissements
et les contraintes de ressources et de financement. Évaluer, hiérarchiser et équilibrer les programmes et services, gérer la demande dans le cadre des contraintes de ressources et de financement, en
fonction de leur alignement avec les objectifs stratégiques, la valeur de l'entreprise et les risques. Déplacez les programmes sélectionnés dans le portefeuille de produits ou services actifs pour exécution.
Surveiller les performances du portefeuille global de produits, de services et de programmes, en proposant des ajustements si nécessaire en réponse aux performances du programme, du produit ou du
service ou à l'évolution des priorités de l'entreprise.

But

Optimiser les performances du portefeuille global de programmes en réponse aux performances individuelles des programmes, des produits et des services et à l'évolution des priorités et de la
demande de l'entreprise.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG03ÿBénéfices réalisés grâce au portefeuille d'investissements et de services d'I&T

• EG08ÿOptimisation de la fonctionnalité des processus métier internes

• EG12 Programmes de transformation numérique gérés • AG05ÿFourniture de services I&T conformément aux exigences de l'entreprise

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG03 a. Pourcentage d'investissements activés en I&T pour lesquels les avantages

les objectifs de chiffre d'affaires et/ou de part de marché revendiqués dans l'analyse de rentabilisation sont atteints ou dépassés

b. Pourcentage de produits et services qui satisfont ou dépassent b. Pourcentage de services I&T pour lesquels les avantages attendus (tels
objectifs de satisfaction client qu'énoncés dans les accords de niveau de service) sont réalisés
c. Pourcentage de produits et services qui offrent un avantage
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
avec des capacités de processus métier la livraison respecte les niveaux de service convenus
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation b. Nombre d'interruptions d'activité dues à des incidents de service I&T
de services c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne livraison
d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO05.01 Déterminer la disponibilité et les sources de fonds. une. Rapport entre les fonds alloués et les fonds utilisés

Déterminer les sources potentielles de fonds, les différentes options de financement b. Rapport entre les bénéfices non distribués et les fonds alloués
et les implications de la source de financement sur les attentes de retour sur investissement.

Activités Niveau de capacité

1. Comprendre la disponibilité actuelle et l'engagement des fonds, les dépenses approuvées actuelles et les dépenses réelles à ce jour. 2

2. Identifier les options de financement supplémentaire des investissements en I&T, en tenant compte à la fois des sources internes et externes.

3. Déterminer les implications de la source de financement sur les attentes de retour sur investissement.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

87
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO05.02 Évaluer et sélectionner les programmes à financer. une. Pourcentage de projets dans le portefeuille de projets d'I&T qui peuvent être
En fonction des exigences de la composition globale du portefeuille d'investissements et directement rattachés à la stratégie d'I&T
du plan stratégique et de la feuille de route de l'I&T, évaluer et hiérarchiser les analyses de b. Pourcentage d'unités d'affaires impliquées dans l'évaluation et la priorisation
rentabilisation du programme et décider des propositions d'investissement. Allouer des fonds et traiter
lancer des programmes.

Activités Niveau de capacité

1. Identifier et classer les opportunités d'investissement en fonction des catégories de portefeuille d'investissement. Spécifiez l'entreprise attendue 2

résultat(s), initiatives requises pour atteindre le(s) résultat(s) attendu(s), coûts de haut niveau, dépendances et risques. Préciser la méthodologie de mesure des résultats,
des coûts et des risques.

2. Procéder à une évaluation détaillée de toutes les analyses de rentabilisation du programme. Évaluer l'alignement stratégique, les avantages pour l'entreprise, les risques et 3

disponibilité des ressources.

3. Évaluer l'impact de l'ajout de programmes potentiels sur le portefeuille d'investissement global, y compris les changements qui pourraient être nécessaires à d'autres
programmes.

4. Décidez quels programmes candidats devraient être déplacés vers le portefeuille d'investissement actif. Décidez si les programmes rejetés doivent être retenus pour un
examen futur ou s'ils doivent recevoir un financement de démarrage pour déterminer si l'analyse de rentabilisation peut être améliorée ou rejetée.

5. Déterminer les jalons requis pour le cycle de vie économique complet de chaque programme sélectionné. Allouer et réserver le financement total du programme
par jalon. Déplacez le programme dans le portefeuille d'investissement actif.

6. Établir des procédures pour communiquer les aspects liés aux coûts, avantages et risques des portefeuilles à prendre en compte dans le budget
processus de priorisation, de gestion des coûts et de gestion des bénéfices.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 1.2.3 Relation entre le projet, le programme, le portefeuille et la gestion des
opérations

Pratique de gestion Exemple de métriques

APO05.03 Surveiller, optimiser et rendre compte du rendement du portefeuille une. Tendances du retour sur investissement des initiatives incluses dans la stratégie I&T

de placements. b. Niveau de satisfaction des rapports de suivi du portefeuille

Sur une base régulière, surveillez et optimisez la performance du portefeuille c. Pourcentage de programmes alignés sur les exigences commerciales de l'entreprise
d'investissement et des programmes individuels tout au long du cycle de vie de
l'investissement. Assurer un suivi continu de l'alignement du portefeuille avec la stratégie I&T.

Activités Niveau de capacité

1. Examiner régulièrement le portefeuille pour identifier et exploiter les synergies, éliminer les doublons entre les programmes et identifier et atténuer les risques. 3

2. Lorsque des changements se produisent, réévaluer et redéfinir les priorités du portefeuille pour assurer l'alignement avec la stratégie commerciale et I&T. Maintenir la
combinaison cible d'investissements afin que le portefeuille optimise la valeur globale. Les programmes peuvent être modifiés, reportés ou retirés, et de nouveaux
programmes peuvent être lancés, pour rééquilibrer et optimiser le portefeuille.

3. Ajuster les objectifs, les prévisions, les budgets et, si nécessaire, le degré de surveillance de l'entreprise pour refléter les dépenses et les avantages de l'entreprise
attribuables aux programmes du portefeuille d'investissement actif. Refacturer les dépenses du programme. Établissez des processus de budgétisation flexibles
afin que les projets prometteurs obtiennent rapidement des ressources à grande échelle.

4. Développer des mesures pour mesurer la contribution de l'I&T à l'entreprise. Établir des cibles de rendement appropriées reflétant les cibles requises en matière d'I&T 4

et de capacité d'entreprise. Utilisez les conseils d'experts externes et des données de référence pour développer des métriques.

5. Fournir une vision précise de la performance du portefeuille d'investissement à toutes les parties prenantes.

6. Fournir des rapports pour l'examen par la haute direction des progrès de l'entreprise vers les objectifs identifiés, indiquant ce qui doit encore être
dépensés et accomplis dans des délais donnés.

7. Dans le suivi régulier des performances, inclure des informations sur la mesure dans laquelle les objectifs planifiés ont été atteints,
atténués, capacités créées, livrables obtenus et objectifs de performance atteints.

8. Identifiez les écarts entre le budget et les dépenses réelles et le retour sur investissement attendu sur les investissements.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

88
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO05.04 Maintenir les portefeuilles. une. Nombre de programmes et de projets achevés

Maintenir des portefeuilles de programmes et de projets d'investissement, de produits et b. Temps écoulé depuis la dernière mise à jour du portefeuille de services
services d'I&T et d'actifs d'I&T.

Activités Niveau de capacité

1. Créer et maintenir des portefeuilles de programmes d'investissement en I&T, de services d'I&T et d'actifs d'I&T, qui constituent la base du 3

budget I&T actuel et soutenir les plans tactiques et stratégiques I&T.

2. Travailler avec les responsables de la prestation de services pour maintenir les portefeuilles de services. Travailler avec les responsables des opérations, les chefs de
produit et les architectes pour maintenir les portefeuilles d'actifs. Prioriser les portefeuilles pour soutenir les décisions d'investissement.

3. Retirer un programme du portefeuille d'investissements actifs lorsque les avantages souhaités pour l'entreprise ont été atteints ou lorsqu'il est clair que les avantages ne
seront pas atteints dans les limites des critères de valeur définis pour le programme.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Stratégie de service, 4.2 Gestion du portefeuille de services

Pratique de gestion Exemple de métriques

APO05.05 Gérer la réalisation des avantages. une. Pourcentage des changements par rapport au programme d'investissement reflétés dans le
Surveiller les avantages de fournir et de maintenir des produits, des services et des portefeuilles I&T pertinents
capacités I&T appropriés, en fonction de l'analyse de rentabilisation convenue et actuelle. b. Pourcentage de parties prenantes satisfaites des efforts déployés pour surveiller les avantages

de fournir et de maintenir des services et des capacités d'I&T appropriés, en fonction de

l'analyse de rentabilisation convenue et actuelle

Activités Niveau de capacité

1. Utilisez les paramètres convenus et suivez la façon dont les avantages sont obtenus, comment ils évoluent tout au long du cycle de vie des programmes et 4

projets, comment ils sont fournis à partir des produits et services I&T, et comment ils se comparent aux références internes et de l'industrie. Communiquer les
résultats aux parties prenantes.

2. Mettre en œuvre des mesures correctives lorsque les avantages obtenus s'écartent considérablement des avantages attendus. Mettre à jour l'analyse de rentabilisation pour 5

de nouvelles initiatives et mettre en œuvre les améliorations des processus opérationnels et des services, au besoin.

3. Envisagez d'obtenir des conseils d'experts externes, des leaders de l'industrie et des données d'analyse comparative pour tester et améliorer
les indicateurs et les cibles.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

89
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

Directeur
financier l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de Gestionnaire
portefeuille
de Gestionnaire
programme
de gestion
Bureau
projet
de

Pratique de gestion des clés

APO05.01 Déterminer la disponibilité et les sources de fonds. RR RA

APO05.02 Évaluer et sélectionner les programmes à financer. RRRRRRR

APO05.03 Surveiller, optimiser et rendre compte du rendement du portefeuille de placements. RRRRR

APO05.04 Maintenir les portefeuilles. RRRARRR

organiser
planifier
Aligner,
et

APO05.05 Gérer la réalisation des avantages. RRRRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO05.01 Déterminer la disponibilité et les sources À partir de La description La description Pour

de fonds.
Retour sur investissement APO02.04ÿ;
attentes APO06.02ÿ;
BAI01.06ÿ;
EDM02.02

Possibilités de financement APO02.05

90
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO05.02 Évaluer et sélectionner les programmes à financer. À partir de La description La description Pour

APO03.01 Notion d'architecture Analyse de rentabilisation du programme APO06.02ÿ;

analyse de rentabilisation et valeur BAI01.02

proposition

APO04.04 Portée de la preuve de concept Évaluations de APO06.02ÿ;

et esquisse d'analyse de rentabilisation rentabilisation BAI01.06

APO06.02 • Allocations budgétaires Programmes sélectionnés avec BAI01.04ÿ;

• Priorisation et classement Jalons du retour sur investissement EDM02.02

des initiatives I&T

APO06.03 • Budget informatique

• Communication budgétaire

APO09.01 Lacunes identifiées dans l'informatique

services à l'entreprise

APO09.03 Accords de Niveau de Service

(SLA)

APO13.02 Sécurité des informations

analyses de rentabilisation

BAI01.02 • Plan de réalisation des

avantages du programme

• Analyse de rentabilisation du
concept de programme

• Mandat et mémoire du
programme

EDM02.02 • Évaluation de l'alignement

stratégique
• Évaluation de
portefeuilles

d'investissement et de services

EDM02.03 Types d'investissement et

Critères

APO05.03 Surveiller, optimiser et rendre compte des investissements APO04.06 Évaluation de l'innovation Portefeuille d'investissement APO09.04ÿ;
performances du portefeuille. avantages rapports de performances BAI01.06ÿ;
EDM02.03ÿ;
BAI01.06 Résultats de l'examen par étapes
EDM02.04ÿ;
EDM02.02 Évaluation de l'investissement MEA01.03

et portefeuilles de services

EDM02.04 • Rétroaction sur la

performance du portefeuille et
du programme
• Actions pour améliorer la
livraison de valeur

APO05.04 Maintenir les portefeuilles. BAI01.09 Communication de Portefeuilles mis à jour de APO09.02ÿ;
retraite du programme et programmes, services et BAI01.01

responsabilités continues les atouts

BAI03.11 Portefeuille de services mis à jour

APO05.05 Gérer la réalisation des avantages. BAI01.04 Budget du programme et Les actions correctives à APO09.04ÿ;
registre des prestations améliorer la réalisation BAI01.06
des avantages

BAI01.05 Résultats de prestation Résultats d'avantages et APO09.04ÿ;

suivi de réalisation connexes BAI01.06ÿ;
communication EDM02.02

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

91
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion des avantages Référentiel de compétences pour l'ère de l'information V6, 2015 BENM

Gestion de portefeuille Référentiel de compétences pour l'ère de l'information V6, 2015 POMG

Planification produit/service A. Régime—A.4. Planification des

produits/services

E. Composanteÿ: Politiques et procédures

Principes pertinents Description de la Conseils connexes Référence détaillée

du portefeuille de politiques politique Définit les principes généraux

qui garantissent une sélection correcte

et diversifiée des programmes et des projets

pour réaliser la stratégie d'I&Tÿ; considère
l'alignement avec la stratégie commerciale, la
combinaison d'investissement appropriée, etc.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Promouvoir une gestion systématique des investissements en I&Tÿ; mesurer et évaluer

objectivement les scénarios d'investissement.

Pour soutenir la rapidité et l'agilité, assurez-vous que les dirigeants évaluent le portefeuille
d'investissement actif de manière décisive. Si un prototype ne fonctionne pas, la direction doit
mettre fin au projet de manière décisive, intégrer les leçons apprises et passer à autre chose.
Consacrez rapidement des ressources supplémentaires aux projets réussis afin d'évoluer de
manière appropriée.

G. Composante : Services, Infrastructure et Applications

Outils de gestion de portefeuille/investissement

92
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO06 — Description du budget et des coûts gérés Domaine d'interventionÿ: modèle de base COBIT

Gérer les activités financières liées à l'I&T dans les fonctions commerciales et informatiques, couvrant la gestion du budget, des coûts et des avantages et la hiérarchisation des dépenses grâce à l'utilisation de
pratiques budgétaires formelles et d'un système juste et équitable d'allocation des coûts à l'entreprise. Consulter les parties prenantes pour identifier et contrôler les coûts et avantages totaux dans le contexte
des plans stratégiques et tactiques d'I&T. Initier des actions correctives si nécessaire.

But

Favoriser un partenariat entre l'informatique et les parties prenantes de l'entreprise pour permettre l'utilisation efficace et efficiente des ressources liées à l'I&T et assurer la transparence et la
responsabilité du coût et de la valeur commerciale des solutions et des services. Permettre à l'entreprise de prendre des décisions éclairées concernant l'utilisation des solutions et services I&T.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise
Æ Objectifs d'alignement
• EG01 Portefeuille de produits et services compétitifs • AG04 Qualité des informations financières liées à la technologie
• EG04 Qualité des informations financières • AG09 Exécuter les programmes dans les délais, en respectant le budget et en
• EG07 Qualité des informations de gestion respectant les exigences et les normes de qualité
• EG08ÿOptimisation de la fonctionnalité des processus métier internes
• EG09 Optimisation des coûts des processus métier
• EG12 Programmes de transformation numérique gérés

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG01 a. Pourcentage de produits et services qui atteignent ou dépassent les objectifs de AG04 a. Satisfaction des principales parties prenantes concernant le niveau de
chiffre d'affaires et/ou de part de marché transparence, compréhension et exactitude des informations financières d'I&T
b. Pourcentage de produits et services qui satisfont ou dépassent
objectifs de satisfaction client b. Pourcentage de services d'I&T avec des coûts opérationnels définis et
c. Pourcentage de produits et services qui offrent un avantage approuvés et des avantages attendus
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG04 a. Enquête de satisfaction auprès des principales parties prenantes concernant AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget
transparence, compréhension et exactitude des informations financières de b. Nombre de programmes nécessitant une refonte importante en raison de
l'entreprise défauts de qualité
b. Coût du non-respect des réglementations financières c. Pourcentage de parties prenantes satisfaites de la qualité du programme/projet

EG07 a. Degré de satisfaction du conseil d'administration et de la direction générale à l'égard

des informations relatives à la prise de décision
b. Nombre d'incidents causés par des décisions commerciales incorrectes
basées sur des informations inexactes

c. Temps nécessaire pour fournir des informations soutenant des

décisions commerciales efficaces

ré. Actualité des informations de gestion

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de
services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG09 a. Ratio coût/niveaux de service atteints

b. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec les frais de traitement de l'entreprise

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

93
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO06.01 Gérer les finances et la comptabilité. une. Nombre d'écarts entre le budget prévu et le budget réel
Établir et maintenir une méthode pour gérer et comptabiliser tous les coûts, catégories
investissements et amortissements liés à l'I&T en tant que partie intégrante des systèmes et b. Utilité des informations financières en tant que données d'analyse de rentabilisation pour les nouveaux
comptes financiers de l'entreprise. Rapporter en utilisant les systèmes de mesure financière de investissement dans les actifs et services I&T

l'entreprise.

Activités Niveau de capacité

1. Définir les processus, les intrants, les extrants et les responsabilités pour la gestion financière et la comptabilité de l'I&T conformément aux politiques et à l'approche de 2

budgétisation et de comptabilité analytique de l'entreprise. Définir comment analyser et rendre compte (à qui et comment) du processus de contrôle budgétaire I&T.

2. Définir un système de classification pour identifier tous les éléments de coût liés à l'I&T (dépenses en capital [capex] vs dépenses opérationnelles
[opex], matériel, logiciel, personnes, etc.). Identifiez comment ils sont capturés.

3. Utiliser les informations financières pour alimenter les analyses de rentabilisation des nouveaux investissements dans les actifs et services d'I&T. 3

4. S'assurer que les coûts sont maintenus dans les portefeuilles d'actifs et de services d'I&T.

5. Établir et maintenir des pratiques de planification financière et d'optimisation des coûts opérationnels récurrents pour offrir un maximum 4

valeur à l'entreprise pour la moindre dépense.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Stratégie de service, 4.3 Gestion financière des services informatiques

Pratique de gestion Exemple de métriques

APO06.02 Prioriser l'allocation des ressources. une. Nombre de problèmes d'allocation de ressources remontés

Mettre en place un processus décisionnel pour hiérarchiser l'allocation des ressources et b. Pourcentage d'alignement des ressources d'I&T avec les initiatives hautement prioritaires
établir des règles pour les investissements discrétionnaires par les unités d'affaires individuelles.
Incluez le recours potentiel à des prestataires de services externes et envisagez les options
d'achat, de développement et de location.

Activités Niveau de capacité

1. Classez toutes les initiatives d'I&T et les demandes de budget en fonction des analyses de rentabilisation et des priorités stratégiques et tactiques. Établir des procédures 2

pour déterminer les allocations budgétaires et le seuil.

2. Allouer les ressources commerciales et informatiques (y compris les fournisseurs de services externes) dans le cadre des allocations budgétaires de haut niveau
pour les programmes, services et actifs activés par l'I&T. Considérez les options d'achat ou de développement d'actifs et de services capitalisés par rapport aux actifs
et services utilisés à l'extérieur sur une base de paiement à l'utilisation.

3. Établir une procédure pour communiquer les décisions budgétaires et les réviser avec les responsables du budget de l'unité d'affaires.

4. Identifier, communiquer et résoudre les impacts significatifs des décisions budgétaires sur les analyses de rentabilisation, les portefeuilles et les plans stratégiques.
Par exemple, cela peut inclure lorsque les budgets doivent être révisés en raison de l'évolution des circonstances de l'entreprise ou lorsqu'ils ne sont pas suffisants pour
soutenir les objectifs stratégiques ou les objectifs commerciaux).

5. Obtenir la ratification du comité exécutif pour les implications budgétaires d'I&T qui ont un impact négatif sur les plans stratégiques ou tactiques de l'entité. Suggérez des 3

actions pour résoudre ces impacts.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO06.03 Créer et maintenir des budgets. une. Nombre de modifications budgétaires dues à des omissions et des erreurs
Préparer un budget reflétant les priorités d'investissement en fonction du portefeuille de b. Utilité du budget d'I&T pour identifier tous les coûts d'I&T prévus des programmes,
programmes d'I&T et de services d'I&T. services et actifs activés par l'I&T

94
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Mettre en œuvre un budget d'I&T officiel, y compris tous les coûts d'I&T prévus des programmes, des services et des actifs d'I&T. 2

2. Lors de la création du budget, tenez compte des éléments suivantsÿ: alignement avec l'entrepriseÿ; alignement avec le sourcing
stratégie; sources de financement autorisées; les coûts des ressources internes, y compris le personnel, les actifs informationnels et les locauxÿ; les coûts de tiers, y
compris les contrats d'externalisation, les consultants et les prestataires de servicesÿ; les dépenses d'investissement et de fonctionnementÿ; et des éléments de coût qui
dépendent de la charge de travail.

3. Documentez les justifications pour justifier les éventualités et révisez-les régulièrement.

4. Demandez aux propriétaires de processus, de services et de programmes, ainsi qu'aux gestionnaires de projets et d'actifs, de planifier les budgets.

5 . Examiner les plans budgétaires et prendre des décisions sur les allocations budgétaires. Compiler et ajuster le budget en fonction de l'évolution des besoins de 3

l'entreprise et des considérations financières.

6. Enregistrer, maintenir et communiquer le budget I&T actuel, y compris les dépenses engagées et les dépenses courantes,
compte tenu des projets d'I&T enregistrés dans les portefeuilles d'investissements d'I&T et de l'exploitation et de l'entretien des portefeuilles d'actifs et de services.

7. Surveiller l'efficacité des différents aspects de la budgétisation. 4

8. Utiliser les résultats du suivi pour mettre en œuvre des améliorations et s'assurer que les futurs budgets sont plus précis, fiables et 5
rentable.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 6.4 Budgétisation et comptabilité des services

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 7. Gestion des coûts du projet

Pratique de gestion Exemple de métriques

APO06.04 Modéliser et répartir les coûts. une. Pourcentage des coûts totaux d'I&T qui sont alloués selon les
Établir et utiliser un modèle d'établissement des coûts d'I&T basé, par exemple, sur la modèles de coûts

définition du service. Cette approche garantit que la répartition des coûts des services est b. Nombre d'examens et de points de repère du modèle de coût/refacturation et son
identifiable, mesurable et prévisible, et encourage l'utilisation responsable des ressources, adéquation à l'évolution des activités commerciales et d'I&T
y compris celles fournies par les prestataires de services. Examinez et comparez
régulièrement le modèle de coût/refacturation pour maintenir sa pertinence et son adéquation
à l'évolution des activités commerciales et informatiques.

Activités Niveau de capacité

1. Décider d'un modèle de répartition des coûts qui permet une répartition équitable, transparente, reproductible et comparable des coûts liés à l'I&T aux utilisateurs. Un 3

exemple de modèle de répartition de base est la répartition uniforme des coûts partagés liés à l'I&T. Il s'agit d'un modèle d'allocation très simple et facile à appliquer ;
cependant, selon le contexte de l'entreprise, elle est souvent considérée comme injuste et n'encourage pas une utilisation responsable des ressources. Un système
d'établissement des coûts par activité, dans lequel les coûts sont attribués aux services informatiques et facturés aux utilisateurs de ces services, permet une répartition
des coûts plus transparente et comparable.

2. Inspectez les catalogues de définitions de services pour identifier les services soumis à la refacturation de l'utilisateur et ceux qui sont des services partagés.

3. Concevoir le modèle de coût pour qu'il soit suffisamment transparent pour permettre aux utilisateurs d'identifier leur utilisation et leurs frais réels en utilisant des
catégories et des inducteurs de coût qui ont du sens pour l'utilisateur (par exemple, le coût par appel au service d'assistance, le coût par licence logicielle) et pour
mieux permettre la prévisibilité des coûts d'I&T et l'utilisation efficiente et efficace des ressources d'I&T. Analysez les inducteurs de coûts (temps passé par activité,
dépenses, part des coûts fixes vs variables, etc.). Décidez de la différenciation appropriée (par exemple, différentes catégories d'utilisateurs avec des pondérations
différentes) et utilisez des approximations ou des moyennes des coûts lorsque les coûts réels sont de nature très variable.

4. Expliquer les principes du modèle de coût et les résultats aux principales parties prenantes. Obtenez leurs commentaires pour affiner davantage vers un modèle
transparent et complet.

5. Obtenir l'approbation des intervenants clés et communiquer le modèle d'établissement des coûts d'I&T à la direction des ministères utilisateurs.

6. Communiquer les changements importants dans les principes du modèle de coût/refacturation aux principales parties prenantes et à la direction des utilisateurs
départements.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

95
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO06.05 Gérer les coûts. une. Pourcentage d'écart entre les budgets, les prévisions et les coûts réels
Mettre en œuvre un processus de gestion des coûts qui compare les coûts réels b. Respect des délais de surveillance et de notification en cas d'écarts et impact
au budget. Les coûts doivent être surveillés et signalés. Les écarts par rapport au des écarts sur les processus et services de l'entreprise évalués
budget doivent être identifiés en temps opportun et leur impact sur les processus et
services de l'entreprise doit être évalué.

Activités Niveau de capacité

1. Obtenir l'approbation des intervenants clés et communiquer le modèle d'établissement des coûts d'I&T à la direction des ministères utilisateurs. 2

2. Établir des échelles de temps pour le fonctionnement du processus de gestion des coûts conformément aux exigences budgétaires et comptables
et chronologie.

3. Définir une méthode de collecte des données pertinentes pour identifier les écarts entre le budget et les chiffres réels, le retour sur investissement, le coût du service
tendances, etc...

4. Définir comment les coûts sont consolidés pour les niveaux appropriés de l'entreprise (budget informatique central par rapport au budget informatique au sein de l'entreprise). 3
départements) et comment ils seront présentés aux parties prenantes. Les rapports fournissent des informations sur les coûts par catégorie de coûts, l'état du budget
par rapport aux dépenses réelles, les principales dépenses, etc., pour permettre l'identification en temps opportun des actions correctives requises.
organiser
planifier
Aligner,
et

5. Demandez aux responsables de la gestion des coûts de saisir, de collecter et de consolider les données, et de présenter et de rapporter les données aux
propriétaires de budget appropriés. Les analystes budgétaires et les propriétaires analysent conjointement les écarts et comparent les performances aux
références internes et sectorielles. Ils doivent établir et maintenir la méthode de répartition des frais généraux. Le résultat de l'analyse fournit une explication
des écarts significatifs et les actions correctives suggérées.

6. Veiller à ce que les niveaux appropriés de gestion examinent les résultats de l'analyse et approuvent les actions correctives suggérées.

7. S'assurer que les changements dans les structures de coûts et les besoins de l'entreprise sont identifiés et que les budgets et les prévisions sont révisés au besoin. 4

8. À intervalles réguliers, et en particulier lorsque les budgets sont réduits en raison de contraintes financières, identifiez les moyens d'optimiser les coûts et 5
introduire des gains d'efficacité sans compromettre les services.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

Directeur
financier l'information
Directeur
de technologie
directeur
de
la numérique
Directeur Gestionnaire
portefeuille
de l'administration
informatique
Responsable
de

Pratique de gestion des clés

APO06.01 Gérer les finances et la comptabilité. UNE RR

APO06.02 Prioriser l'allocation des ressources. RARRRR

APO06.03 Créer et maintenir des budgets. RRR R

APO06.04 Modéliser et répartir les coûts. AR R

APO06.05 Gérer les coûts. RRR R

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

96
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments de gestion (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO06.01 Gérer les finances et la comptabilité. À partir de La description La description Pour

BAI09.01 Registre des actifs Pratiques de planification Interne

financière

Classement des coûts I&T Interne

schème

Processus comptables Interne

APO06.02 Prioriser l'allocation des ressources. APO04.04 Portée de la preuve de concept Allocations budgétaires APO02.05ÿ;
et décrire les affaires APO05.02ÿ;
Cas APO07.05ÿ;
BAI03.11

APO05.01 Retour sur investissement Priorisation et classement APO05.02

attentes d'initiatives I&T

APO05.02 • Analyse de rentabilisation du programme

•ÿÉvaluations de cas
commerciaux

EDM02.02 Évaluation de l'investissement

et portefeuilles de services

EDM02.04 Actions pour améliorer la valeur

livraison

APO06.03 Créer et maintenir des budgets. Budget I&T APO02.05ÿ;

APO05.02ÿ;
APO07.01ÿ;
BAI03.11

Communications budgétaires APO05.02ÿ;

APO07.01ÿ;
BAI03.11

APO06.04 Modéliser et répartir les coûts. Procédures opérationnelles Interne

Répartition des coûts Interne

communication

Modèle de répartition des coûts Interne

Coûts I&T classés Interne

APO06.05 Gérer les coûts. BAI01.02 Plan de réalisation des Optimisation des coûts APO02.02

avantages du programme Opportunités

BAI01.04 Budget du programme et Méthode de consolidation Interne

registre des prestations des coûts

BAI01.05 Résultats de prestation Méthode de collecte des données Interne

suivi de réalisation sur les coûts

EDM02.04 Rétroaction sur

la performance du portefeuille
et du programme

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 7. Gestion des coûts du projetÿ: entrées et sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Direction financière Cadre de compétences pour l'ère de l'information V6, 2015 FMIT

97
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique budgétaire politique Traite de la préparation

et du calendrier du budget annuel et des
prévisions de la situation financière annuelle.
Décrit les processus de rapport de gestion
requis.
Établit la reddition de comptes et la
responsabilité du plan budgétaire et des
autres documents financiers.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

La gestion efficace et efficiente de l'I&T est soutenue par une culture de transparence sur le
budget, les coûts et les avantages dans toute l'organisation.
La direction doit permettre une culture de prise de décision basée sur des faits grâce, par
exemple, à des estimations comparables des coûts et des avantages commerciaux et
informatiques pour la gestion du portefeuille, à une répartition équitable des coûts des actifs et
des ressources informatiques et à une budgétisation reproductible des budgets informatiques.

G. Composante : Services, Infrastructure et Applications

Système de comptabilité analytique

98
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO07 — Description des ressources humaines gérées Domaine d'interventionÿ: modèle de base COBIT

Fournir une approche structurée pour assurer un recrutement/acquisition, une planification, une évaluation et un développement optimaux des ressources humaines (tant internes qu'externes).

But

Optimiser les capacités des ressources humaines pour atteindre les objectifs de l'entreprise.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise
Æ Objectifs d'alignement
• EG01 Portefeuille de produits et services compétitifs • AG12 Personnel compétent et motivé avec une compréhension mutuelle de la technologie et
• EG10 Compétences, motivation et productivité du personnel des affaires
• EG13 Innovation de produit et d'entreprise • AG13 Connaissances, expertise et initiatives pour l'innovation des entreprises

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG12 a. Pourcentage de gens d'affaires avertis en I&T (c.-à-d. ceux qui ont
les objectifs de chiffre d'affaires et/ou de part de marché les connaissances et la compréhension requises de l'I&T pour guider, diriger,
b. Pourcentage de produits et services qui satisfont ou dépassent innover et voir les opportunités d'I&T dans leur domaine d'expertise commerciale)
objectifs de satisfaction client
c. Pourcentage de produits et services qui offrent un avantage b. Pourcentage de personnes en I&T averties en affaires (c.-à-d., celles qui ont les
concurrentiel connaissances et la compréhension requises des domaines commerciaux
ré. Délai de mise sur le marché de nouveaux produits et services pertinents pour guider, diriger, innover et voir les opportunités en I&T pour le
domaine commercial)
c. Nombre ou pourcentage de gens d'affaires ayant une expérience en gestion
de la technologie

EG10 a. Productivité du personnel par rapport aux références AG13 a. Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des
b. Niveau de satisfaction des parties prenantes à l'égard de l'expertise du personnel et possibilités d'innovation en I&T
compétences
b. Nombre d'initiatives approuvées résultant d'innovations
c. Pourcentage du personnel dont les compétences sont insuffisantes pour Idées I&T

compétence dans son rôle c. Nombre de champions de l'innovation reconnus/primés

ré. Pourcentage d'employés satisfaits

EG13 a. Niveau de sensibilisation et de compréhension des opportunités d'innovation

des entreprises
b. Satisfaction des parties prenantes concernant les niveaux d'expertise et
d'idées en matière de produits et d'innovation
c. Nombre d'initiatives de produits et de services approuvées résultant
d'idées novatrices

A. Composante : Processus

Pratique de gestion APO07.01 Exemple de métriques

Acquérir et maintenir un personnel adéquat et approprié. une. Durée moyenne des postes vacants
Établir et maintenir une méthode pour gérer et comptabiliser tous les coûts, investissements b. Pourcentage de postes informatiques vacants

et amortissements liés à l'I&T en tant que partie intégrante des systèmes et comptes financiers c. Pourcentage de rotation du personnel

de l'entreprise. Rapporter en utilisant les systèmes de mesure financière de l'entreprise.

Activités Niveau de capacité

1. Évaluer les besoins en personnel sur une base régulière ou lors de changements majeurs. Veiller à ce que l'entreprise et la fonction informatique disposent de ressources 2

suffisantes pour soutenir les buts et objectifs de l'entreprise, les processus et contrôles commerciaux et les initiatives activées par l'I&T de manière adéquate et appropriée.

2. Maintenir les processus de recrutement et de rétention du personnel commercial et informatique conformément aux politiques générales du personnel de l'entreprise
et procédures.

3. Établir des accords de ressources flexibles, tels que l'utilisation de transferts, d'entrepreneurs externes et d'accords de services tiers, pour répondre à l'évolution
des besoins de l'entreprise.

4. Inclure des vérifications des antécédents dans le processus de recrutement informatique pour les employés, les sous-traitants et les fournisseurs. L'ampleur et la fréquence des 3

ces vérifications doivent dépendre de la sensibilité et/ou de la criticité de la fonction.

99
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 6. Gouvernance et culture—Principe 5

Cadre de compétences pour l'ère de l'information V6, 2015 SFIA et gestion des compétences - Acquérir

Pratique de gestion Exemple de métriques

APO07.02 Identifier le personnel informatique clé. une. Pourcentage d'emplois critiques où l'entreprise s'appuie sur une seule personne
Identifiez le personnel informatique clé. Utiliser la capture des connaissances (documentation), b. Nombre de plans de relève du personnel réalisés
le partage des connaissances, la planification de la relève et la sauvegarde du personnel afin de minimiser
la dépendance à l'égard d'une seule personne exécutant une fonction professionnelle essentielle.

Activités Niveau de capacité

1. Par mesure de sécurité, fournir des lignes directrices sur la durée minimale des vacances annuelles à prendre par les personnes clés. 2

2. Prendre les mesures appropriées concernant les changements d'emploi, en particulier les licenciements.

3. Utiliser la capture des connaissances (documentation), le partage des connaissances, la planification de la relève, la sauvegarde du personnel, la formation polyvalente et la rotation des postes
initiatives visant à réduire au minimum la dépendance à l'égard d'une seule personne exécutant une fonction essentielle.

4. Testez régulièrement les plans de sauvegarde du personnel. 3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 Skills RI.RR Identification des rôles et responsabilités

Framework for the Information Age V6, 2015 Management Practice SFIA et gestion des compétences - Acquérir

APO07.03 Maintenir les aptitudes et les compétences du personnel. Exemple de métriques

une. Identification des aptitudes et compétences clés manquantes dans la matrice des ressources
Définir et gérer les aptitudes et compétences requises du personnel. b. Nombre d'écarts identifiés entre les compétences requises et disponibles
Vérifiez régulièrement que le personnel possède les compétences nécessaires pour remplir c. Nombre de programmes de formation dispensés
ses fonctions sur la base de son éducation, de sa formation et/ou de son expérience. Vérifiez que
ces compétences sont maintenues, en utilisant des programmes de qualification et de certification,
le cas échéant. Offrir aux employés une formation continue et des occasions de maintenir leurs
connaissances, leurs aptitudes et leurs compétences au niveau requis pour atteindre les objectifs
de l'entreprise.

Activités Niveau de capacité

1. Identifier les aptitudes et compétences actuellement disponibles des ressources internes et externes. 2

2. Identifier les écarts entre les compétences requises et disponibles. Élaborer des plans d'action, tels que la formation (compétences techniques et comportementales), le
recrutement, le redéploiement et les stratégies d'approvisionnement modifiées, pour combler les lacunes sur une base individuelle et collective.

3. Examinez régulièrement le matériel et les programmes de formation. Assurer l'adéquation par rapport aux exigences changeantes de l'entreprise et à leur impact sur les 3

connaissances, les compétences et les capacités nécessaires.

4. Fournir un accès aux référentiels de connaissances pour soutenir le développement des aptitudes et des compétences.

5. Développer et dispenser des programmes de formation basés sur les exigences organisationnelles et de processus, y compris les exigences pour l'entreprise
connaissance, contrôle interne, conduite éthique, sécurité et confidentialité.

6. Procéder à des revues régulières pour évaluer l'évolution des aptitudes et compétences des ressources internes et externes. La revue 4

planification de la relève.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC 27001:2013/ PM2.3 Éducation/formation en matière de sécurité

Cor.2:2015(E) 7.2 Compétence

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Sensibilisation et formation PR.AT
Cybersecurity V1.1, avril 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.2 Sensibilisation et formation (AT-3, AT-4)
(ébauche), août 2017

Cadre de compétences pour l'ère de l'information V6, 2015 Contrôles SFIA et gestion des compétences—Déployer

de sécurité critiques du CIS pour une cyberdéfense efficace Version 6.1, août 2016 CSC 17 : Évaluation des compétences de sécurité et formation appropriée pour
Combler les lacunes

100
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion APO07.04 Exemple de métriques

Évaluer et reconnaître/récompenser le rendement au travail des employés. une. Nombre de moments de rétroaction officiels et d'évaluations à 360 degrés
Effectuer des évaluations de performance régulières et en temps opportun par rapport aux effectué
objectifs individuels dérivés des objectifs de l'entreprise, des normes établies, des b. Nombre et valeur des récompenses accordées au personnel
responsabilités professionnelles spécifiques et du cadre des compétences et des compétences.
Mettre en place un processus de rémunération/reconnaissance qui récompense l'atteinte réussie
des objectifs de performance.

Activités Niveau de capacité

1. Considérez les objectifs fonctionnels/d'entreprise comme le contexte pour définir les objectifs individuels. 2

2. Fixez des objectifs individuels alignés sur les objectifs pertinents en matière d'I&T et d'entreprise. Basez les objectifs sur des objectifs spécifiques, mesurables, réalisables,
pertinents et limités dans le temps (SMART) qui reflètent les compétences de base, les valeurs de l'entreprise et les compétences requises pour le(s) rôle(s).

3. Fournir une rétroaction opportune concernant la performance par rapport aux objectifs de l'individu.

4. Fournir des instructions spécifiques pour l'utilisation et le stockage des informations personnelles dans le processus d'évaluation, conformément à la législation applicable
en matière de données personnelles et d'emploi.

5. Compilez les résultats de l'évaluation des performances à 360 degrés. 3

6. Fournir des plans officiels de planification de carrière et de développement professionnel basés sur les résultats du processus d'évaluation afin d'encourager le
développement des compétences et les opportunités d'avancement personnel et de réduire la dépendance vis-à-vis des personnes clés. Fournir un encadrement
des employés sur la performance et la conduite, le cas échéant.

7. Mettre en place un processus de rémunération/reconnaissance qui récompense un engagement approprié, le développement des compétences et
atteinte réussie des objectifs de performance. Veiller à ce que le processus soit appliqué de manière cohérente et conforme aux politiques de l'organisation.

8. Mettre en œuvre et communiquer un processus disciplinaire.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Cadre de compétences pour l'ère de l'information V6, 2015 SFIA et gestion des compétences—Développer

Pratique de gestion Exemple de métriques

APO07.05 Planifier et suivre l'utilisation des TI et des hommes d'affaires a. Nombre de lacunes identifiées et de compétences manquantes dans la planification
Ressources. pour la dotation
Comprendre et suivre la demande actuelle et future de ressources humaines commerciales et b. Temps passé par équivalent temps plein (ETP) sur les missions et les projets
informatiques responsables de l'I&T d'entreprise. Identifiez les lacunes et fournissez des informations sur
les plans d'approvisionnement, les processus de recrutement des entreprises et des technologies de
l'information, ainsi que les processus de recrutement des entreprises et des technologies de l'information.

Activités Niveau de capacité

1. Créer et tenir à jour un inventaire des ressources humaines commerciales et informatiques. 2

2. Comprendre la demande actuelle et future de ressources humaines pour soutenir la réalisation des objectifs d'I&T et pour fournir des services et des solutions basés sur le 3

portefeuille d'initiatives actuelles liées à l'I&T, le futur portefeuille d'investissements et les besoins opérationnels quotidiens.

3. Identifier les lacunes et contribuer aux plans d'approvisionnement ainsi qu'aux processus de recrutement de l'entreprise et de l'informatique. Créer et réviser
le plan de dotation, en gardant une trace de l'utilisation réelle.

4. Maintenir des informations adéquates sur le temps consacré aux différentes tâches, affectations, services ou projets. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Cadre de compétences pour l'ère de l'information V6, 2015 SFIA et gestion des compétences - Évaluerÿ; Récompense

Pratique de gestion APO07.06 Exemple de métriques

Gérer le personnel contractuel. une. Pourcentage d'entrepreneurs qui approuvent le cadre de contrôle de l'entreprise
Assurez-vous que les consultants et le personnel contractuel qui soutiennent l'entreprise b. Fréquence des examens périodiques effectués pour garantir l'exactitude et la conformité du
avec des compétences en I&T connaissent et respectent les politiques de l'organisation et personnel de l'entrepreneur
respectent les exigences contractuelles convenues.

101
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Mettre en œuvre les politiques et procédures relatives au personnel contractuel. 2

2. Au début du contrat, obtenir l'accord formel des entrepreneurs qu'ils sont tenus de se conformer aux
cadre de contrôle I&T de l'entreprise, tels que les politiques d'autorisation de sécurité, le contrôle d'accès physique et logique, l'utilisation des
installations, les exigences de confidentialité des informations et les accords de non-divulgation.

3. Aviser les sous-traitants que la direction se réserve le droit de surveiller et d'inspecter toute utilisation des ressources informatiques, y compris les e-mails, la voix
communications, et tous les programmes et fichiers de données.

4. Dans le cadre de leurs contrats, fournir aux contractants une définition claire de leurs rôles et responsabilités, y compris des
exigences de documenter leur travail selon des normes et des formats convenus.

5. Examiner le travail des entrepreneurs et baser l'approbation des paiements sur les résultats.

6. Dans des contrats formels et sans ambiguïté, définissez tous les travaux effectués par des parties externes. 3

7. Effectuer des examens périodiques pour s'assurer que le personnel contractuel a signé et accepté tous les accords nécessaires. 4

8. Procéder à des examens périodiques pour s'assurer que les rôles et les droits d'accès des sous-traitants sont appropriés et conformes aux accords.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

organiser
planifier
Aligner,
et

Cadre de compétences pour l'ère de l'information V6, 2015 SFIA et gestion des compétences—Déployer

B. Composante : Structures organisationnelles

Directeur
financier Président
directeur
général l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gestion
Bureau
projet
de Responsable
Ressources
Humaines Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la Conseiller
juridique

Pratique de gestion des clés

APO07.01 Acquérir et maintenir un personnel adéquat et approprié. ARRRRRRRRRR

APO07.02 Identifier le personnel informatique clé.

ARRRRRRRRRRRR

APO07.03 Maintenir les aptitudes et les compétences du personnel. ARRRRRRRRRR

APO07.04 Évaluer et reconnaître/récompenser le rendement au travail des employés. UNE RRRRRRRRR

APO07.05 Planifier et suivre l'utilisation des ressources humaines informatiques et commerciales. RARRRRRRRRRRR

APO07.06 Gérer le personnel contractuel. ARRRRRRRRRR R

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

102
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion APO07.01 Contributions Les sorties

Acquérir et maintenir des À partir de La description La description Pour

dotation en personnel appropriée.

APO01.05 Définition de la supervision Descriptions de poste et Interne

les pratiques plans d'approvisionnement en personnel

APO06.03 • Budget informatique Besoin en personnel Interne

• Communication budgétaire évaluations

EDM04.01 • Principes directeurs pour Compétence et carrière Interne;

l'allocation des ressources et plans de développement APO07.02

des capacités
• Plan de ressources approuvé

EDM04.03 Mesures correctives pour

remédier aux écarts de

gestion des ressources

Hors COBIT • Politiques et procédures RH de l'entreprise

• Buts et objectifs de l'entreprise

APO07.02 Identifier le personnel informatique clé. APO07.01 Compétence et carrière Mesure de cessation d'emploi Interne

plans de développement des plans

Quantité minimale de Interne

conseils de vacances

APO07.03 Maintenir les aptitudes et compétences des APO01.08 Cibler les compétences et Aptitudes et compétences APO01.05ÿ;
personnel. matrice des compétences matrice APO14.01

BAI01.02ÿ;
BAI01.04ÿ;
BAI03.12

BAI08.02 Connaissances publiées Plans de développement des compétences APO01.05ÿ;

référentiels EDM04.01

BAI08.03 Programmes de sensibilisation Examiner les rapports Interne

et de formation

DSS04.06 • Exigences de formation

• Suivi des résultats des
aptitudes et compétences

EDM01.02 Approche du système de récompense

EDM04.03 Actions correctives à

ressource d'adresse

écarts de gestion

En dehors des objectifs de COBIT Enterprise et

objectifs

103
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO07.04 Évaluer et reconnaître/récompenser le travail des employés À partir de La description La description Pour

performance.
APO04.01 Reconnaissance et récompense Plans d'amélioration Interne

programme

BAI05.04 Performance RH alignée Évaluations de performance Interne

objectifs

BAI05.06 Bilan des performances RH Objectifs personnels Interne

résultats

DSS06.03 Droits d'accès attribués

EDM01.02 Approche du système de récompense

En dehors des objectifs de COBIT Enterprise et

objectifs

APO07.05 Planifier et suivre l'utilisation de l'informatique et des affaires APO06.02 Allocations budgétaires Inventaire des ressources BAI01.04
ressources humaines. humaines métiers et informatiques

BAI01.04 Besoins en ressources Enregistrements d'utilisation BAI01.06

et rôles des ressources

BAI11.08 Ressource du projet Déficit de ressources BAI01.06

conditions analyses

EDM04.02 Communication de

stratégies de ressourcement

EDM04.03 Rétroaction sur l'allocation et

l'efficacité des ressources et
des capacités

Entreprise Actuel et futur

organisation portefeuilles

En dehors de l'organisation COBIT Enterprise

structure

APO07.06 Gérer le personnel contractuel. BAI01.04 Besoins en ressources Accord de contrat Interne
et rôles Commentaires

BAI01.09 Communication de Accords contractuels Interne

retraite du programme et
responsabilités continues

BAI11.08 Ressource du projet Politiques relatives au personnel contractuel Interne

conditions

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 9. Gestion des ressources du projetÿ: entrées et sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Offre d'éducation et de formation e-Competence Framework (e-CF) — Un cadre européen commun pour les TIC D. Activer—D.3. Éducation et
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 Offre de formation

Apprentissage et développement Cadre de compétences pour l'ère de l'information V6, 2015 ETMG

le management

Gestion des performances Cadre de compétences pour l'ère de l'information V6, 2015 e- PEMT

Développement personnel Competence Framework (e-CF) — Un cadre européen commun pour les TIC D. Activer—D.9. Personnel

Professionnels de tous les secteurs d'activité - Partie 1 : Cadre, 2016 Développement

Développement professionnel Cadre de compétences pour l'ère de l'information V6, 2015 PDSV

Ressourcement Cadre de compétences pour l'ère de l'information V6, 2015 RESC

104
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique du personnel contractuel politique Énumère les critères d'augmentation Institut national des normes et 3.16 Sécurité du personnel (PS-1)
du personnel avec des consultants et/ou des Publication spéciale sur la technologie
sous-traitants tiers conformément à la politique 800-53, révision 5 (ébauche),
d'approvisionnement informatique de Août 2017
l'entreprise et au cadre de contrôle I&T.
Spécifie quel type de travail peut être effectué
ou augmenté par des tiers, dans quelles
conditions et quand.

Politiques de ressources humaines (RH) Décrit les attentes mutuelles de

l'entreprise et de ses employés.
Énumère les comportements
acceptables et inacceptables des employés
dans un code de conduite pour aider à gérer
les risques liés au comportement humain.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Décrire les rôles et les responsabilités des utilisateurs en matière d'utilisation des Institut national des normes et 3.14 Planification (PL-4)
informations, des médias et du réseau, de la sécurité et de la confidentialité. Encouragez Publication spéciale sur la technologie
et communiquez une culture commune qui prescrit les comportements attendus pour 800-53, révision 5, août 2017
tous les individus de l'entreprise et établit une tolérance zéro pour les comportements
contraires à l'éthique.

G. Composante : Services, Infrastructure et Applications

• Système de gestion des ressources humaines

• Système de mesure du rendement (p. ex. tableau de bord prospectif, outils de gestion des compétences)
• Outils de planification des ressources

105
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

106
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO08 — Description des relations gérées Domaine d'interventionÿ: modèle de base COBIT

Gérer les relations avec les parties prenantes de l'entreprise d'une manière formalisée et transparente qui assure la confiance mutuelle et une concentration combinée sur la réalisation des objectifs
stratégiques dans les limites des budgets et de la tolérance au risque. Basez les relations sur une communication ouverte et transparente, un langage commun et la volonté de s'approprier et de rendre
compte des décisions clés des deux côtés. L'entreprise et l'informatique doivent travailler ensemble pour créer des résultats d'entreprise réussis à l'appui des objectifs de l'entreprise.

But

Activez les bonnes connaissances, compétences et comportements pour créer de meilleurs résultats, une confiance accrue, une confiance mutuelle et une utilisation efficace des ressources qui
stimulent une relation productive avec les parties prenantes de l'entreprise.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG05ÿFourniture de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes • AG06 Agilité pour transformer les exigences métier en solutions opérationnelles
• EG10 Compétences, motivation et productivité du personnel • AG12 Personnel compétent et motivé avec une compréhension mutuelle de la technologie et
• EG13 Innovation de produit et d'entreprise des affaires
• AG13 Connaissances, expertise et initiatives pour l'innovation des entreprises

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage livraison
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité de

avec des capacités de processus métier l'I&T aux nouvelles exigences

b. Niveaux de satisfaction des clients à l'égard des capacités de prestation b. Délai moyen de mise sur le marché des nouveaux services et applications
de services liés à l'I&T
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
d'approvisionnement convenues et approuvées
ré. Nombre de processus métier critiques pris en charge par une infrastructure et
des applications à jour

EG10 a. Productivité du personnel par rapport aux références AG12 a. Pourcentage de gens d'affaires avertis en I&T (c.-à-d. ceux qui ont
b. Niveau de satisfaction des parties prenantes à l'égard de l'expertise du personnel et les connaissances et la compréhension requises de l'I&T pour guider, diriger,
compétences
innover et voir les opportunités d'I&T dans leur domaine d'expertise commerciale)
c. Pourcentage du personnel dont les compétences sont insuffisantes pour

compétence dans son rôle b. Pourcentage de personnes en I&T averties en affaires (c.-à-d., celles qui ont
ré. Pourcentage d'employés satisfaits les connaissances et la compréhension requises des domaines commerciaux
pertinents pour guider, diriger, innover et voir les opportunités en I&T pour
le domaine commercial)
c. Nombre ou pourcentage de gens d'affaires ayant une expérience en gestion de
la technologie

EG13 a. Niveau de sensibilisation et de compréhension des opportunités d'innovation AG13 a. Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des
des entreprises possibilités d'innovation en I&T
b. Satisfaction des parties prenantes concernant les niveaux d'expertise et b. Nombre d'initiatives approuvées résultant d'innovations
d'idées en matière de produits et d'innovation Idées I&T

c. Nombre d'initiatives de produits et de services approuvées résultant c. Nombre de champions de l'innovation reconnus/primés
d'idées novatrices

107
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion APO08.01 Exemple de métriques

Comprendre les attentes de l'entreprise. une. Nombre de problèmes commerciaux actuels identifiés

Comprendre les enjeux commerciaux actuels, les objectifs et les attentes en matière d'I&T. b. Nombre d'exigences opérationnelles définies pour les services d'I&T
Assurez-vous que les exigences sont comprises, gérées et communiquées, et que leur statut est
convenu et approuvé.

Activités Niveau de capacité

1. Identifier les parties prenantes de l'entreprise, leurs intérêts et leurs domaines de responsabilité. 2

2. Examiner l'orientation actuelle de l'entreprise, les problèmes, les objectifs stratégiques et l'alignement avec l'architecture de l'entreprise.

3. Comprendre l'environnement commercial actuel, les contraintes ou les problèmes de processus, l'expansion ou la contraction géographique et les facteurs industriels/
réglementaires.

4. Maintenir une connaissance des processus commerciaux et des activités associées. Comprendre les modèles de demande liés au service
volume et utilisation.

5. Gérer les attentes en s'assurant que les unités commerciales comprennent les priorités, les dépendances, les contraintes financières et la nécessité de 3

demandes de calendrier.

6. Clarifier les attentes de l'entreprise en matière de services et de solutions d'I&T. Assurez-vous que les exigences sont définies avec les 4

critères et mesures d'acceptation de l'entreprise.

7. Confirmez qu'il existe un accord entre l'informatique et tous les départements commerciaux sur les attentes et la manière dont elles seront mesurées.
Assurez-vous que cet accord est confirmé par toutes les parties prenantes.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion APO08.02 Exemple de métriques

Aligner la stratégie I&T sur les attentes de l'entreprise et identifier une. Taux d'inclusion des opportunités technologiques dans les propositions d'investissement
possibilités pour l'informatique d'améliorer l'entreprise. b. Enquête auprès des acteurs de l'entreprise sur leur niveau de maîtrise technologique
Alignez les stratégies d'I&T avec les objectifs et les attentes actuels de l'entreprise pour permettre sensibilisation
à l'informatique d'être un partenaire à valeur ajoutée pour l'entreprise et un composant de
gouvernance pour améliorer les performances de l'entreprise.

Activités Niveau de capacité

1. Positionner l'informatique en tant que partenaire de l'entreprise. Jouer un rôle proactif dans l'identification et la communication avec les principales parties prenantes sur 3

opportunités, risques et contraintes. Cela inclut les technologies, les services et les modèles de processus métier actuels et émergents.

2. Collaborer sur de nouvelles initiatives majeures avec la gestion de portefeuille, de programme et de projet. S'assurer de l'implication du service informatique
organisation dès le début d'une nouvelle initiative en fournissant des conseils et des recommandations à valeur ajoutée (par exemple, pour le développement d'analyse
de rentabilisation, la définition des exigences, la conception de solutions) et en prenant en charge les flux de travail I&T.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Stratégie de service, 4.4 Gestion de la demande

Pratique de gestion APO08.03 Exemple de métriques

Gérer la relation d'affaires. une. Évaluations des enquêtes de satisfaction des utilisateurs et du personnel informatique

Gérer la relation entre l'organisation de services informatiques et ses partenaires commerciaux. b. Pourcentage de rôles et de responsabilités relationnels définis, attribués et communiqués
Assurez-vous que les rôles et les responsabilités des relations sont définis et attribués, et que la
communication est facilitée.

Activités Niveau de capacité

1. Désignez un chargé de relations comme point de contact unique pour chaque unité commerciale importante. Assurez-vous qu'un seul homologue est identifié dans l'organisation 3

commerciale et que cet homologue a une compréhension des affaires, une connaissance suffisante de la technologie et le niveau d'autorité approprié.

2. Gérer la relation d'une manière formalisée et transparente qui assure une focalisation sur la réalisation d'un objectif commun et partagé de résultats d'entreprise réussis à
l'appui des objectifs stratégiques et dans les limites des budgets et de la tolérance au risque.

3. Définir et communiquer une procédure de plainte et d'escalade pour résoudre tout problème relationnel.

4. Veiller à ce que les décisions clés soient convenues et approuvées par les parties prenantes responsables concernées.

5. Planifiez des interactions et des horaires spécifiques en fonction d'objectifs mutuellement convenus et d'un langage commun (réunions d'examen des services et des performances, 4

examen des nouvelles stratégies ou plans, etc.).

108
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 7.1 Gestion des relations commerciales

ITIL V3, 2011 Stratégie de service, 4.5 Gestion des relations commerciales

Pratique de gestion Exemple de métriques

APO08.04 Coordonner et communiquer. une. Temps écoulé depuis la dernière mise à jour du plan de communication de bout en bout avec l'entreprise
Travailler avec toutes les parties prenantes concernées et coordonner la fourniture de b. Pourcentage de propriétaires d'entreprise satisfaits de la coordination de la fin
bout en bout des services et solutions I&T fournis à l'entreprise. fin de la livraison des services et solutions I&T

Activités Niveau de capacité

1. Coordonner et communiquer les changements et les activités de transition tels que les plans de projet ou de changement, les calendriers, les politiques de publication, 2

libérer les erreurs connues et sensibiliser à la formation.

2. Coordonner et communiquer les activités opérationnelles, les rôles et les responsabilités, y compris la définition des types de demandes, l'escalade hiérarchique,
les pannes majeures (planifiées et non planifiées) et le contenu et la fréquence des rapports de service.

3. S'approprier la réponse à l'entreprise pour les événements majeurs pouvant influencer la relation avec l'entreprise. Apporter
soutien direct si nécessaire.

4. Maintenir un plan de communication de bout en bout qui définit le contenu, la fréquence et les destinataires des informations sur la prestation de services, y compris l'état 3

de la valeur fournie et tout risque identifié.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO08.05 Contribuer à l'amélioration continue des services. une. Pourcentage d'alignement des services d'I&T avec les exigences commerciales
Améliorer et faire évoluer en permanence les services d'I&T et la prestation de services à de l'entreprise
l'entreprise pour s'aligner sur l'évolution des objectifs et de la technologie de l'entreprise b. Pourcentage de causes profondes identifiées et résolues pour tous les problèmes

Activités Niveau de capacité

1. Effectuer une analyse de la satisfaction des clients et des fournisseurs. Veiller à ce que les problèmes soient résolusÿ; rendre compte des résultats et de l'état. 4

2. Travailler ensemble pour identifier, communiquer et mettre en œuvre des initiatives d'amélioration. 5

3. Travailler avec la gestion des services et les propriétaires de processus pour s'assurer que les services activés par l'I&T et les processus de gestion des services
sont continuellement améliorés et les causes profondes de tout problème sont identifiées et résolues.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

109
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

direction
Chef
de
la Directeur
financier Président
directeur
général l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de Gestionnaire
relation
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

APO08.01 Comprendre les attentes de l'entreprise. ARR RR RRRRR

APO08.02 Aligner la stratégie I&T sur les attentes de l'entreprise et identifier les opportunités pour ARRRRRRRR
l'informatique d'améliorer l'activité.

APO08.03 Gérer la relation commerciale. RRRRR RR RRR

organiser
planifier
Aligner,
et

APO08.04 Coordonner et communiquer. RRRRR RR RRR

APO08.05 Contribuer à l'amélioration continue des services. ARR RR RRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO08.01 Comprendre les attentes de l'entreprise. À partir de La description La description Pour

APO02.05 Feuille de route stratégique Clarifié et convenu Interne

les attentes de l'entreprise

APO08.02 Aligner la stratégie I&T sur les attentes de l'entreprise APO09.01 Lacunes identifiées dans l'informatique Convenu des prochaines étapes et Interne
et identifier les opportunités pour l'informatique d'améliorer services à l'entreprise plans d'actions
les affaires.
APO09.04 •ÿRapports sur les

performances du niveau de service

• Plans d'action
d'amélioration et remédiations
APO11.03 Les causes profondes de l'échec à

livrer de la qualité

APO08.03 Gérer la relation commerciale. DSS02.02 Classé et priorisé Réclamation et escalade Interne
incidents et demandes statut
de service
DSS02.06 • Demandes de service Décisions clés convenues Interne
fermées et incidents
• Confirmation de l'utilisateur de

exécution ou résolution
satisfaisante

DSS02.07 • Rapport sur l'état et les

tendances des incidents

• Demander un rapport sur
l'état d'exécution et les tendances

110
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO08.04 Coordonner et communiquer. À partir de La description La description Pour

APO09.03 Accords de Niveau de Service Réponses des clients Interne

(SLA)

APO12.06 Communication Forfaits communication Interne

sur l'impact des risques

BAI05.05 Plan d'exploitation et d'utilisation Plan de communication Interne

BAI07.07 Plan de soutien supplémentaire

BAI09.02 Communication de

maintenance planifiée
temps d'arrêt

DSS03.04 Communication de

connaissances acquises

APO08.05 Contribuer à l'amélioration continue des APO09.02 Catalogues de services Définition du potentiel APO02.02ÿ;
prestations de service.
projets d'amélioration BAI03.11

APO11.02 • Exigences du client pour la Analyses de satisfaction APO09.04

gestion de la qualité
• Résultats de la qualité de
service, y compris les
commentaires des clients

APO11.03 Résultats du suivi de

la qualité de la solution et de
la prestation de services

APO11.04 Résultats des revues de qualité

et audits

BAI03.10 Plan de maintenance

BAI05.05 Mesures de réussite et

résultats

BAI07.07 Plan de soutien supplémentaire

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Référence détaillée

Gestion de la relation Framework (e-CF)—A common European Framework for ICT Professionals in all industry sector— E. Gérer—E.4. Gestion de la relation
Part 1: Framework, 2016

Gestion de la relation Cadre de compétences pour l'ère de l'information V6, 2015 RLMT

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Entreprise—Politique de gestion stratégie Fournit des directives pour établir

des relations informatiques et maintenir des relations entre l'entreprise
et le service informatique. Favorise la

transparence, la confiance mutuelle et une

concentration commune sur la réalisation
des objectifs stratégiques dans le contexte
du budget et de la tolérance au risque.

111
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établissez une culture basée sur la confiance mutuelle, la communication transparente,

des termes ouverts et compréhensibles, un langage commun, l'appropriation et la
responsabilité. De bonnes relations doivent exister entre l'entreprise et l'informatique au
sein de l'entreprise pour atteindre un objectif commun.

G. Composante : Services, Infrastructure et Applications

• Plateformes de collaboration
• Services internes de formation et de sensibilisation

112
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO09 — Description des contrats de services gérés Domaine d'interventionÿ: modèle de base COBIT

Aligner les produits et services compatibles I&T et les niveaux de service avec les besoins et les attentes de l'entreprise, y compris l'identification, la spécification, la conception, la publication, l'accord
et la surveillance des produits et services I&T, les niveaux de service et les indicateurs de performance.

But

Veiller à ce que les produits, services et niveaux de service I&T répondent aux besoins actuels et futurs de l'entreprise.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise
Æ Objectifs d'alignement
• EG01 Portefeuille de produits et services compétitifs AG05 Prestation de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage livraison
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO09.01 Identifier les services d'I&T. une. Nombre d'activités commerciales qui ne sont soutenues par aucune I&T
Analysez les besoins de l'entreprise et la mesure dans laquelle les services et les niveaux de service

service activés par l'I&T soutiennent les processus de l'entreprise. Discutez et convenez avec b. Nombre de services obsolètes identifiés

l'entreprise des services potentiels et des niveaux de service.

Comparez les niveaux de service potentiels avec le portefeuille de services actuelÿ; identifier
les services nouveaux ou modifiés ou les options de niveau de service.

Activités Niveau de capacité

1. Évaluer les services d'I&T actuels et les niveaux de service pour identifier les écarts entre les services existants et les activités commerciales qu'ils 2

Support. Identifier les domaines d'amélioration des services existants et des options de niveau de service.

2. Analyser, étudier et estimer la demande future et confirmer la capacité des services I&T existants.

3. Analyser les activités des processus métier pour identifier le besoin de services I&T nouveaux ou repensés. 3

4. Comparer les exigences identifiées aux composants de service existants dans le portefeuille. Si possible, regroupez le service existant
composants (services I&T, options de niveau de service et ensembles de services) dans de nouveaux ensembles de services pour répondre aux besoins opérationnels
identifiés.

5. Examiner régulièrement le portefeuille de services I&T avec la gestion du portefeuille et la gestion des relations d'affaires pour identifier les services obsolètes. Convenez
de la retraite et proposez un changement.

6. Dans la mesure du possible, faites correspondre les demandes aux forfaits de services et créez des services standardisés pour obtenir des gains d'efficacité globaux. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Stratégie de service, 4.4 Gestion de la demande

113
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO09.02 Cataloguer les services activés par l'I&T. une. Pourcentage de services et de forfaits de services activés par l'I&T en direct offerts par
Définissez et gérez un ou plusieurs catalogues de services pour les groupes cibles pertinents. rapport au portefeuille
Publiez et maintenez des services activés par I&T en direct dans les catalogues de services. b. Temps écoulé depuis la dernière mise à jour du portefeuille de services

Activités Niveau de capacité

1. Publiez dans des catalogues les services I&T en direct, les packages de services et les options de niveau de service pertinents du portefeuille. 2

2. Assurez-vous en permanence que les composants de service du portefeuille et les catalogues de services associés sont complets et à jour. 3

3. Informer la direction des relations commerciales de toute mise à jour des catalogues de services.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Conception de services, 4.2 Gestion du catalogue de services

Pratique de gestion Exemple de métriques

APO09.03 Définir et préparer les ententes de service. une. Nombre de processus métier avec des accords de service non définis
Définir et préparer les contrats de service en fonction des options des catalogues de services. b. Pourcentage de services informatiques en direct couverts par des contrats de service
Inclure les accords opérationnels internes.

Activités Niveau de capacité

1. Analyser les exigences pour les accords de service nouveaux ou modifiés reçus de la gestion des relations commerciales pour s'assurer que les exigences peuvent être 2

satisfaites. Tenez compte d'aspects tels que les temps de service, la disponibilité, les performances, la capacité, la sécurité, la confidentialité, la continuité, les problèmes de
conformité et de réglementation, la convivialité, les contraintes de la demande et la qualité des données.

2. Rédiger des accords de service client basés sur les services, les packages de services et les options de niveau de service dans le service concerné
catalogues.

3. Finaliser les ententes de service à la clientèle avec la gestion des relations d'affaires.

4. Déterminer, convenir et documenter les accords opérationnels internes pour étayer les accords de service client, le cas échéant. 3

5. Assurer la liaison avec la direction des fournisseurs pour s'assurer que des contrats commerciaux appropriés avec des prestataires de services externes sous-tendent la
ententes de service à la clientèle, le cas échéant.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC Accords de niveau de service SY2.1

20000-1:2011(E) 4.5 Établir et améliorer le SGSÿ; 6.1 Gestion des niveaux de service

ITIL V3, 2011 Conception de services, 4.3 Gestion des niveaux de service

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.18 Acquisition de systèmes et de services (SA-9)
(ébauche), août 2017

Pratique de gestion Exemple de métriques

APO09.04 Surveiller et signaler les niveaux de service. une. Nombre et gravité des violations de service
Surveiller les niveaux de service, rendre compte des réalisations et identifier les tendances. b. Pourcentage de clients satisfaits que la prestation de services respecte les
Fournir les informations de gestion appropriées pour faciliter la gestion des performances. niveaux convenus
c. Pourcentage d'objectifs de service atteints
ré. Pourcentage de services surveillés par rapport aux niveaux de service

Activités Niveau de capacité

1. Établir et maintenir des mesures pour surveiller et collecter des données sur le niveau de service. 4

2. Évaluer les performances et fournir des rapports réguliers et formels sur les performances de l'accord de service, y compris les écarts par rapport aux
les valeurs convenues. Distribuez ce rapport à la direction des relations commerciales.

3. Effectuez des examens réguliers pour prévoir et identifier les tendances de la performance du niveau de service. Intégrer des pratiques de gestion de la qualité
dans le suivi des services.

4. Fournir les informations de gestion appropriées pour faciliter la gestion des performances.

5. Mettez-vous d'accord sur des plans d'action et des mesures correctives pour tout problème de performance ou tendance négative.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 ISO/IEC 09.02 Contrôler la prestation de services tiers

20000-1:2011(E) 6.2 Rapports d'entretien

114
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO09.05 Examiner les ententes de services et les contrats. une. Nombre de revues des ententes de services effectuées
Procéder à des examens périodiques des ententes de service et les réviser b. Pourcentage d'objectifs de service atteints
au besoin. c. Pourcentage de parties prenantes satisfaites de la qualité du service
les accords
ré. Nombre d'ententes de services révisées, au besoin
Activités

organiser
planifier
Aligner,
et
1. Revoir régulièrement les ententes de service selon les conditions convenues pour s'assurer qu'elles sont efficaces et à jour. Le cas échéant, tenez
compte des modifications apportées aux exigences, aux services activés par l'I&T, aux ensembles de services ou aux options de niveau de service.

2. Au besoin, révisez l'entente de service existante avec le fournisseur de services. Convenir et mettre à jour le fonctionnement interne
les accords.
Niveau de capacité
3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

Président
directeur
général l'information
Directeur
de technologie
directeur
de
la d'entreprise
risques
Comité
des Propriétaires
processus
métier
de informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de
Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la confidentialité
Responsable
de
la Conseiller
juridique

Pratique de gestion des clés

APO09.01 Identifier les services d'I&T. RAR R

APO09.02 Cataloguer les services activés par l'I&T. RAR R

APO09.03 Définir et préparer les ententes de service. AR RRRRR

APO09.04 Surveiller et signaler les niveaux de service. RAR R R

APO09.05 Examiner les ententes de service et les contrats. RAR RRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 4.1.1 Engagement de la direction

115
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion APO09.01 Contributions Les sorties

Identifier les services d'I&T. À partir de La description La description Pour

Lacunes identifiées en I&T APO01.10ÿ;

services à l'entreprise APO02.02ÿ;
APO05.02ÿ;
APO08.02

Définitions de la norme EDM02.01

prestations de service

APO09.02 Cataloguer les services activés par l'I&T. APO05.04 Portefeuilles mis à jour de Catalogues de services APO08.05

programmes, services et
les atouts

EDM04.01 Plan de ressources approuvé

EDM04.02 Communication de

stratégies de ressourcement

APO09.03 Définir et préparer les ententes de service. APO11.02 Exigences des clients en matière Accords de Niveau de Service APO05.02ÿ;
de gestion de la qualité (SLA) APO08.04ÿ;
DSS01.02ÿ;
DSS02.01ÿ;
DSS02.02ÿ;
DSS04.01ÿ;
DSS05.02ÿ;
DSS05.03

APO14.07 Exigences de Niveau opérationnel DSS01.02ÿ;

qualité des données accords (OLA) DSS02.07ÿ;
DSS04.03ÿ;
DSS05.03

APO09.04 Surveiller et signaler les niveaux de service. APO05.03 Portefeuille d'investissement Plans d'actions d'amélioration APO02.02ÿ;
rapports de performances et remédiations APO08.02

APO05.05 •ÿRésultats des Rapports sur les APO08.02ÿ;

bénéfices et performances du niveau de service MEA01.03
communications associées
• Mesures correctives

pour améliorer la réalisation

des avantages

APO08.05 Analyses de satisfaction

APO11.03 • Résultats du suivi de la

qualité de la solution et de la
prestation de services
• Causes profondes des échecs
de livraison de qualité

APO11.04 Résultats des revues de qualité

et audits

DSS02.02 Classé et priorisé

incident et service

demandes

DSS02.06 Demandes de service fermées

et incidents

DSS02.07 • Rapport sur l'état et les

tendances des incidents

• État de traitement des
demandes et rapport sur les

tendances

EDM04.03 Actions correctives à

ressource d'adresse

écarts de gestion

116
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion APO09.05 Contributions Les sorties

Examiner les ententes de services et les contrats. À partir de La description La description Pour

APO11.02 Résultats de la qualité de SLA mis à jour Interne

service, y compris les

commentaires des clients

APO11.04 Résultats des revues de qualité

et audits

BAI04.01 Évaluations par rapport aux SLA

EDM04.03 Rétroaction sur l'allocation et

l'efficacité des ressources et des
capacités

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 12. Gestion de la passation des marchés du projetÿ: intrants et extrants

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Framework Référence détaillée

Gestion des niveaux de service (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part 1: Framework, A. Régime—A.2. Gestion des niveaux

2016 de service

Gestion des niveaux de service Cadre de compétences pour l'ère de l'information V6, 2015 SLMO

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de contrat de niveau de service Décrit les normes et critères généraux

(SLA) pour informer les exigences spécifiques
et les conditions de prestation de services, que ce
soit entre des entités au sein de l'entreprise ou
entre l'entreprise et un tiers.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir un contrat entre un fournisseur de services (interne ou externe) et l'utilisateur final qui
définit le niveau de service attendu. Assurez-vous que ce niveau de service est basé sur la production,
en définissant spécifiquement ce que le client recevra dans les objectifs SMART (spécifiques,
mesurables, atteignables, réalistes et échelonnés dans le temps). Établir une culture dans laquelle les
niveaux de service sont respectés. Décourager la non-conformité grâce à un système de sanctions.

G. Composante : Services, Infrastructure et Applications

• Système de gestion des contrats

• Outils de surveillance du niveau de service

117
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

118
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestionÿ: APO10ÿ– Description des fournisseurs gérés Domaine d'interventionÿ: modèle de base COBIT

Gérez les produits et services liés à l'I&T fournis par tous les types de fournisseurs pour répondre aux exigences de l'entreprise. Cela comprend la recherche et la sélection de fournisseurs, la
gestion des relations, la gestion des contrats, ainsi que l'examen et le suivi des performances des fournisseurs et de l'écosystème des fournisseurs (y compris la chaîne d'approvisionnement en
amont) pour l'efficacité et la conformité.

But

Optimisez les capacités I&T disponibles pour soutenir la stratégie et la feuille de route I&T, minimisez les risques associés aux fournisseurs non performants ou non conformes, et assurez des prix
compétitifs.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs AG05 Prestation de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage livraison
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO10.01 Identifier et évaluer les relations et les contrats avec les fournisseurs. une. Pourcentage de critères d'évaluation définis atteints pour les fournisseurs et contrats
Recherchez et identifiez en permanence les fournisseurs et classez-les par type, importance et existants

criticité. Établir des critères pour évaluer les fournisseurs et les contrats. Examinez le portefeuille b. Pourcentage de fournisseurs alternatifs fournissant des services équivalents aux contrats
global de fournisseurs et de contrats existants et alternatifs. de fournisseurs existants

Activités Niveau de capacité

1. Analysez en permanence le paysage de l'entreprise à la recherche de nouveaux partenaires et fournisseurs pouvant fournir des services complémentaires. 3

capacités et soutenir la réalisation de la stratégie, de la feuille de route et des objectifs de l'entreprise en matière d'I&T.

2. Établir et maintenir des critères relatifs au type, à l'importance et à la criticité des fournisseurs et des contrats des fournisseurs, permettant de se concentrer sur
fournisseurs privilégiés et importants.

3. Identifier, enregistrer et classer les fournisseurs et contrats existants selon des critères définis pour tenir un registre détaillé des
fournisseurs privilégiés qui doivent être gérés avec soin.

4. Établir et maintenir des critères d'évaluation des fournisseurs et des contrats pour permettre un examen global et une comparaison des performances des fournisseurs 4

de manière cohérente.

5. Évaluer et comparer périodiquement les performances des fournisseurs existants et alternatifs afin d'identifier les opportunités ou un argument convaincant. 5
besoin de reconsidérer les contrats actuels des fournisseurs.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

119
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO10.02 Sélectionner les fournisseurs. une. Nombre d'écarts identifiés entre les offres du fournisseur sélectionné et les besoins
Sélectionner les fournisseurs selon une pratique équitable et formelle pour assurer un spécifiés dans la demande de proposition (RFP)
meilleur ajustement viable en fonction des exigences spécifiées. Les exigences doivent être b. Pourcentage de parties prenantes satisfaites des fournisseurs
optimisées avec la contribution des fournisseurs potentiels.

Activités Niveau de capacité

1. Examiner toutes les demandes d'information (RFI) et les demandes de propositions (RFP) pour s'assurer qu'elles définissent clairement les exigences (p. une 2

procédure pour clarifier les exigences. Les demandes d'informations et les demandes de propositions doivent laisser suffisamment de temps aux fournisseurs pour
préparer leurs propositions et doivent définir clairement les critères d'attribution et le processus de décision.

2. Évaluer les RFI et les RFP conformément au processus/aux critères d'évaluation approuvés et conserver les preuves documentaires des évaluations. Vérifier les références
des fournisseurs candidats.

3. Sélectionnez le fournisseur qui correspond le mieux à l'appel d'offres. Documentez et communiquez la décision, et signez le contrat.

4. Dans le cas particulier de l'acquisition de logiciels, inclure et faire respecter les droits et obligations de toutes les parties dans les conditions contractuelles. Ces 3

droits et obligations peuvent inclure la propriété et l'octroi de licences de propriété intellectuelleÿ; maintenance; garantiesÿ; procédures d'arbitrage; conditions de
mise à niveauÿ; et adaptés à l'usage, y compris la sécurité, la confidentialité, l'entiercement et les droits d'accès.

5. Dans le cas spécifique de l'acquisition de ressources de développement, inclure et faire respecter les droits et obligations de toutes les parties dans les clauses
contractuelles. Ces droits et obligations peuvent inclure la propriété et l'octroi de licences de propriété intellectuelleÿ; adapté à l'objectif, y compris les méthodologies
de développementÿ; essai; les processus de gestion de la qualité, y compris les critères de performance requisÿ; évaluations des performancesÿ; base de paiementÿ;
garantiesÿ; procédures d'arbitrage; Gestion des ressources humaines; et le respect des politiques de l'entreprise.

6. Obtenir des conseils juridiques sur les accords d'acquisition de développement des ressources concernant la propriété et l'octroi de licences de propriété intellectuelle.

7. Dans le cas particulier de l'acquisition d'infrastructures, d'installations et de services connexes, inclure et faire respecter les droits et
obligations de toutes les parties dans les conditions contractuelles. Ces droits et obligations peuvent inclure les niveaux de service, les procédures de
maintenance, les contrôles d'accès, la sécurité, la confidentialité, l'examen des performances, la base de paiement et les procédures d'arbitrage.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO10.03 Gérer les relations avec les fournisseurs et les contrats. une. Pourcentage de fournisseurs tiers qui ont des contrats définissant le contrôle
Formaliser et gérer la relation fournisseur pour chaque fournisseur. conditions
Gérer, maintenir et surveiller les contrats et la prestation de services. Assurez-vous que les b. Nombre de litiges formels avec les fournisseurs
contrats nouveaux ou modifiés sont conformes aux normes de l'entreprise et aux exigences c. Nombre de réunions d'examen des fournisseurs
légales et réglementaires. Traiter les litiges contractuels. ré. Pourcentage de litiges résolus à l'amiable dans un délai raisonnable

Activités Niveau de capacité

1. Attribuez des responsables de relations à tous les fournisseurs et rendez-les responsables de la qualité des services fournis. 3

2. Spécifiez un processus formel de communication et d'examen, y compris les interactions avec les fournisseurs et les calendriers.

3. Convenir, gérer, maintenir et renouveler les contrats formels avec le fournisseur. Assurez-vous que les contrats sont conformes aux normes de l'entreprise et aux exigences
légales et réglementaires.

4. Inclure des dispositions dans les contrats avec les principaux fournisseurs de services pour l'examen du site du fournisseur et des pratiques et contrôles internes par
la direction ou des tiers indépendants. Convenez d'un audit indépendant et de contrôles d'assurance des environnements opérationnels des fournisseurs fournissant des
services externalisés pour confirmer que les exigences convenues sont correctement traitées.

5. Utiliser les procédures établies pour régler les différends contractuels. Dans la mesure du possible, utilisez d'abord des relations efficaces et
communications pour surmonter les problèmes de service.

6. Définir et formaliser les rôles et responsabilités de chaque fournisseur de services. Lorsque plusieurs fournisseurs s'associent pour fournir un service,
envisagez d'attribuer un rôle d'entrepreneur principal à l'un des fournisseurs pour qu'il assume la responsabilité d'un contrat global.

7. Évaluer l'efficacité de la relation et identifier les améliorations nécessaires. 4

8. Définir, communiquer et convenir des moyens de mettre en œuvre les améliorations requises à la relation. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 7.2 Gestion des fournisseurs

ITIL V3, 2011 Conception de services, 4.8 Gestion des fournisseurs

120
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion APO10.04 Exemple de métriques

Gérer le risque lié aux fournisseurs. une. Fréquence des séances de gestion des risques avec le fournisseur
Identifiez et gérez les risques liés à la capacité des fournisseurs à fournir en permanence une b. Nombre d'événements liés au risque entraînant des incidents de service
prestation de services sécurisée, efficace et efficiente. Cela inclut également les sous-traitants ou les c. Pourcentage d'incidents liés aux risques résolus de manière acceptable (temps et coût)
fournisseurs en amont qui sont pertinents dans la prestation de services du fournisseur direct.

Activités Niveau de capacité

1. Lors de la préparation du contrat, prévoir le risque de service potentiel en définissant clairement les exigences de service, y compris les logiciels 3

des accords d'entiercement, des fournisseurs alternatifs ou des accords de réserve pour atténuer une éventuelle défaillance du fournisseurÿ; sécurité et protection de la
propriété intellectuelleÿ; intimité; et toute exigence légale ou réglementaire.

2. Identifier, surveiller et, le cas échéant, gérer les risques liés à la capacité du fournisseur à fournir un service de manière efficace, efficace, sécurisée, confidentielle, fiable 4

et continue. Intégrez les processus critiques de gestion informatique interne à ceux des fournisseurs de services externalisés, couvrant, par exemple, la planification des
performances et de la capacité, la gestion des modifications et la gestion de la configuration.

3. Évaluer l'écosystème plus large du fournisseur et identifier, surveiller et, le cas échéant, gérer les risques liés à la
sous-traitants et fournisseurs en amont influençant la capacité du fournisseur à fournir un service de manière efficace, efficace, sûre, fiable et continue.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 RM.MP Gérer la participation externe

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SC1.1 Processus de gestion des fournisseurs externes

ISO/CEI 27002:2013/Cor.2:2015(E) 15. Relations fournisseurs

National Institute of Standards and Technology Framework for Improving Critical Infrastructure D.SC Gestion des risques de la chaîne d'approvisionnement

Cybersecurity v1.1, avril 2018

Pratique de gestion APO10.05 Exemple de métriques

Surveiller le rendement et la conformité des fournisseurs. une. Nombre de violations de service aux services liés à l'I&T causées par
Examiner périodiquement les performances globales des fournisseurs, la conformité aux exigences Fournisseurs
contractuelles et le rapport qualité-prix. Résoudre les problèmes identifiés. b. Pourcentage de fournisseurs répondant aux exigences convenues

Activités Niveau de capacité

1. Demander des examens indépendants des pratiques et contrôles internes du fournisseur, si nécessaire. 3

2. Définir et documenter les critères pour surveiller les performances des fournisseurs conformément aux accords de niveau de service. Assurez-vous que le fournisseur rend 4

compte régulièrement et de manière transparente des critères convenus.

3. Surveiller et examiner la prestation de services pour s'assurer que le fournisseur fournit une qualité de service acceptable, répond aux exigences et respecte
les conditions contractuelles.

4. Examinez les performances et le rapport qualité-prix des fournisseurs. S'assurer que le fournisseur est fiable et compétitif, par rapport à d'autres
les vendeurs et les conditions du marché.

5. Surveiller et évaluer les informations externes disponibles sur le fournisseur et sa chaîne d'approvisionnement.

6. Enregistrer et évaluer périodiquement les résultats de l'examen et en discuter avec le fournisseur pour identifier les besoins et les opportunités de 5

amélioration.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

121
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

Directeur
Risques
des l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gouvernance
Conseil
I&T
de d'entreprise
risques
Comité
des Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la confidentialité
Responsable
de
la Conseiller
juridique

Pratique de gestion des clés

APO10.01 Identifier et évaluer les relations et les contrats avec les fournisseurs. RRR R R

APO10.02 Sélectionner les fournisseurs. RRRRRRRRR

APO10.03 Gérer les relations avec les fournisseurs et les contrats. RRRRRRR R

APO10.04 Gérer le risque fournisseur. RRRRRRRRRRR

organiser
planifier
Aligner,
et

APO10.05 Surveiller les performances et la conformité des fournisseurs. RRRRRRRRR R

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO10.01 Identifier et évaluer les relations avec les fournisseurs et À partir de La description La description Pour

contrats.
Hors contrats COBIT avec les fournisseurs Catalogue des fournisseurs BAI02.02

Révisions potentielles à Interne

contrats de fournisseurs

Importance du fournisseur et Interne

critère d'évaluation

APO10.02 Sélectionner les fournisseurs. BAI02.02 Acquisition de haut niveau/ Demandes d'informations et demandes de propositions de fournisseurs BAI02.01ÿ;
plan de développement BAI02.02

Évaluations RFI et RFP BAI02.02

Résultats de la décision des évaluations

évaluations des fournisseurs des fournisseurs

BAI02.02ÿ;
EDM04.01

APO10.03 Gérer les relations avec les fournisseurs et les contrats. BAI03.04 Plan d'acquisition approuvé Résultats et suggestions Interne
améliorations

Processus de Interne
communication et d'examen

Rôles des fournisseurs et Interne

responsabilités

APO10.04 Gérer le risque fournisseur. APO12.04 • Analyse des risques et rapports Livraison fournisseur identifié APO12.01ÿ;
de profil de risque pour les risque APO12.03ÿ;
parties prenantes BAI01.01ÿ;
• Résultats des évaluations BAI11.01
des risques par des tiers
Exigences contractuelles Interne
identifiées pour minimiser
risque

APO10.05 Surveiller les performances et la conformité des fournisseurs. Conformité du fournisseur Interne
critères de surveillance

Conformité du fournisseur MEA01.03

suivi des résultats de l'examen

122
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Référence détaillée

La gestion des contrats Framework (e-CF) — Un cadre européen commun pour les professionnels des TIC dans tous D. Activer—D.8. La gestion
les secteurs de l'industrie - Partie 1ÿ: Cadre, 2016 des contrats

La gestion des contrats Cadre de compétences pour l'ère de l'information V6, 2015 ITCM

Achat Cadre des compétences électroniques (e-CF)—Un cadre européen commun pour les D. Activer—D.4. Achat
professionnels des TIC dans tous les secteurs de l'industrie—Partie 1ÿ: Cadre, 2016

Approvisionnement Cadre de compétences pour l'ère de l'information V6, 2015 SORC

E. Composanteÿ: Politiques et procédures

Politique concernée Description de la Conseils connexes Référence détaillée

Politique d' approvisionnement informatique politique Décrit les principes et les

procédures d'achat de matériel informatique,
de logiciels et de solutions d'hébergement.
Détails des normes pour les systèmes
d'exploitation, les réseaux informatiques,
les spécifications matérielles, etc.
Fournit des lignes directrices pour la
gestion des contrats (p. ex., modalités
et conditions, suivi des contrats).

Prestation de services informatiques tiers Établit des lignes directrices pour la gestion
politique de gestion des risques liés aux services tiers.
Établit un cadre d'attentes en
matière de comportement et énumère
les précautions de sécurité requises des
fournisseurs de services tiers dans la
gestion des risques liés aux services fournis.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la Conseils connexes Référence détaillée

culture Construire et gérer un écosystème de fournisseurs qui peuvent aider

l'organisation dans sa transformation numérique et son innovation. Analysez en
permanence le paysage à la recherche de nouveaux partenaires efficaces.

La direction donne le ton et illustre les comportements corrects lors de la

communication avec les fournisseurs pour convenir et mettre en œuvre les
améliorations requises. Assurez-vous que les contrats sont conformes aux normes de
l'entreprise et aux exigences légales et réglementaires.

G. Composante : Services, Infrastructure et Applications

• Système de gestion des contrats

• Services d'assurance tiers

123
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

124
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO11 — Description de la qualité gérée Domaine d'interventionÿ: modèle de base COBIT

Définir et communiquer les exigences de qualité dans tous les processus, procédures et résultats d'entreprise connexes. Activer les contrôles, la surveillance continue et l'utilisation de pratiques et de
normes éprouvées dans les efforts d'amélioration continue et d'efficacité.

But

Assurer la livraison cohérente de solutions et de services technologiques pour répondre aux exigences de qualité de l'entreprise et satisfaire les besoins des parties prenantes.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG09 Exécuter les programmes dans les délais, en respectant le budget et en
• EG04 Qualité des informations financières respectant les exigences et les normes de qualité
• EG07 Qualité des informations de gestion • AG10 Qualité des informations de gestion I&T
• EG08ÿOptimisation de la fonctionnalité des processus métier internes
• EG12 Programmes de transformation numérique gérés

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget b.
les objectifs de chiffre d'affaires et/ou de part de marché Nombre de programmes nécessitant une refonte importante en raison de défauts
b. Pourcentage de produits et services qui satisfont ou dépassent de qualité
objectifs de satisfaction client c. Pourcentage de parties prenantes satisfaites du programme/projet
c. Pourcentage de produits et services qui offrent un avantage concurrentiel qualité

ré. Délai de mise sur le marché de nouveaux produits et services

EG04 a. Enquête de satisfaction auprès des principales parties prenantes concernant AG10 a. Niveau de satisfaction des utilisateurs concernant la qualité, la rapidité et
transparence, compréhension et exactitude des informations financières de disponibilité des informations de gestion liées à l'I&T, compte tenu des ressources
l'entreprise disponibles

b. Coût du non-respect des réglementations financières b. Ratio et étendue des décisions commerciales erronées dans lesquelles des

informations erronées ou indisponibles liées à l'I&T étaient un facteur clé

EG07 a. Degré de satisfaction du conseil d'administration et de la haute direction
avec des informations décisionnelles
c. Pourcentage d'informations répondant aux critères de qualité
b. Nombre d'incidents causés par des décisions commerciales
incorrectes basées sur des informations inexactes

c. Il est temps de fournir des informations pour une entreprise efficace

les décisions

ré. Actualité des informations de gestion

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

125
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO11.01 Établir un système de gestion de la qualité (SGQ). une. Pourcentage d'efficacité des revues de direction de la qualité
Établir et maintenir un système de gestion de la qualité (SGQ) qui fournit une approche b. Pourcentage de satisfaction des principales parties prenantes à l'égard du programme d'examen
standard, formelle et continue de la gestion de la qualité de l'information. Le système de de la gestion de la qualité
gestion de la qualité doit permettre à la technologie et aux processus commerciaux de
s'aligner sur les exigences commerciales et la gestion de la qualité de l'entreprise.

Activités Niveau de capacité

1. Veiller à ce que le cadre de contrôle I&T et les processus opérationnels et informatiques comprennent une approche standard, formelle et continue de la gestion de la 3

qualité qui est alignée sur les exigences de l'entreprise. Dans le cadre de contrôle I&T et les processus commerciaux et informatiques, identifier les exigences et les critères
de qualité (par exemple, en fonction des exigences légales et des exigences des clients).

2. Définir les rôles, les tâches, les droits de décision et les responsabilités pour la gestion de la qualité dans la structure organisationnelle.

3. Obtenir les commentaires de la direction et des parties prenantes externes et internes sur la définition des exigences qualité et des
critères de gestion.

4. Surveillez et révisez régulièrement le système de gestion de la qualité par rapport aux critères d'acceptation convenus. Inclure les commentaires des clients, des utilisateurs et 4

le management.

5. Répondre aux divergences dans les résultats de l'examen afin d'améliorer continuellement le système de gestion de la qualité. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 8.1 Planifier la gestion de la qualité

Pratique de gestion Exemple de métriques

APO11.02 Axer la gestion de la qualité sur les clients. une. Pourcentage de satisfaction client

Axer la gestion de la qualité sur les clients en déterminant leurs exigences et en b. Pourcentage d'exigences et d'attentes des clients communiquées à l'ensemble de l'entreprise
assurant l'intégration dans les pratiques de gestion de la qualité. et de l'organisation informatique

Activités Niveau de capacité

1. Axer la gestion de la qualité sur les clients en déterminant les exigences internes et externes des clients et en assurant l'alignement des normes et pratiques I&T. Définir et 3

communiquer les rôles et responsabilités concernant la résolution des conflits entre l'utilisateur/client et l'organisation informatique.

2. Gérer les besoins et les attentes de l'entreprise pour chaque processus métier, service opérationnel informatique et nouvelles solutions. Maintenir
leurs critères d'acceptation de la qualité.

3. Communiquer les exigences et les attentes des clients à l'ensemble de l'entreprise et de l'organisation informatique.

4. Recueillir périodiquement l'avis des clients sur les processus métier et la fourniture de services et la fourniture de solutions informatiques. Déterminez l'impact sur les normes 4

et pratiques d'I&T et assurez-vous que les attentes des clients sont satisfaites et mises en œuvre.

5. Capturez les critères d'acceptation de la qualité pour les inclure dans les SLA.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

APO11.03 Gérer les normes, pratiques et procédures de qualité et intégrer la gestion une. Nombre de processus avec des exigences de qualité définies
de la qualité dans les processus et solutions clés. b. Nombre de défauts découverts avant la production
Identifier et maintenir les normes, procédures et pratiques pour les processus clés afin c. Nombre de services avec un plan formel de gestion de la qualité
de guider l'entreprise dans le respect de l'intention des normes de gestion de la qualité ré. Nombre de SLA incluant des critères d'acceptation de la qualité
(SMQ) convenues. Cette activité doit être conforme aux exigences du cadre de contrôle de
l'I&T. Envisagez la certification des processus clés, des unités organisationnelles, des produits
ou des services.

126
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Définir les normes, pratiques et procédures de gestion de la qualité conformément aux exigences du cadre de contrôle I&T et 2

critères et politiques de gestion de la qualité de l'entreprise.

2. Intégrer les pratiques de gestion de la qualité requises dans les processus et solutions clés de l'ensemble de l'organisation. 3

3. Considérez les avantages et les coûts des certifications de qualité.

4. Communiquer efficacement l'approche de gestion de la qualité (par exemple, par le biais de programmes réguliers et formels de formation sur la qualité).

5. Enregistrer et surveiller les données de qualité. Utiliser les bonnes pratiques de l'industrie comme référence lors de l'amélioration et de l'adaptation des 4

pratiques de qualité.

6. Examiner régulièrement la pertinence, l'efficience et l'efficacité continues des processus spécifiques de gestion de la qualité. Surveiller le
atteinte des objectifs de qualité.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 8.2 Gérer la qualité

Pratique de gestion Exemple de métriques

APO11.04 Effectuer la surveillance, le contrôle et les examens de la qualité. une. Pourcentage de solutions et de services fournis avec une certification formelle
Surveiller en permanence la qualité des processus et des services, conformément aux b. Note moyenne de satisfaction des parties prenantes sur les solutions et services
normes de gestion de la qualité. Définir, planifier et mettre en œuvre des mesures pour c. Nombre de processus avec un rapport formel d'évaluation de la qualité
surveiller la satisfaction des clients à l'égard de la qualité ainsi que la valeur apportée par le ré. Pourcentage de projets examinés qui répondent aux objectifs de qualité cibles et
système de gestion de la qualité (SMQ). Les informations recueillies doivent être utilisées par objectifs
le propriétaire du processus pour améliorer la qualité. e. Nombre, robustesse et ponctualité des analyses de risques

Activités Niveau de capacité

1. Préparer et mener des revues de qualité pour les processus et solutions organisationnels clés. 3

2. Pour ces processus et solutions organisationnels clés, surveillez les mesures de qualité axées sur les objectifs alignées sur les objectifs de qualité globaux. 4

3. Veiller à ce que la direction et les propriétaires de processus examinent régulièrement les performances de la gestion de la qualité par rapport à des paramètres de qualité définis.

4. Analyser les résultats de performance globale de la gestion de la qualité.

5. Signaler les résultats de l'examen des performances de la gestion de la qualité et initier des améliorations, le cas échéant. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 8.3 Qualité du contrôle

Pratique de gestion Exemple de métriques

APO11.05 Maintenir l'amélioration continue. une. Nombre d'analyses des causes profondes effectuées
Maintenir et communiquer régulièrement un plan qualité global favorisant b. Pourcentage de services et de produits complets et à temps
l'amélioration continue. Le plan doit définir le besoin et les avantages d'une amélioration
continue. Recueillir et analyser des données sur le système de gestion de la qualité (SMQ) et
améliorer son efficacité.
Corriger les non-conformités pour éviter qu'elles ne se reproduisent.

Activités Niveau de capacité

1. Établir une plate-forme pour partager les bonnes pratiques et collecter des informations sur les défauts et les erreurs pour permettre d'en tirer des enseignements. 2

2. Identifier des exemples de processus de livraison d'excellente qualité qui peuvent bénéficier à d'autres services ou projets. Partagez-les avec les 3

équipes de service et de livraison de projet pour encourager l'amélioration.

3. Identifier des exemples récurrents de défauts de qualité. Déterminez leur cause profonde, évaluez leur impact et résultat, et mettez-vous d'accord sur
des actions d'amélioration avec les équipes de prestation de services et/ou projets.

4. Former les employés aux méthodes et outils d'amélioration continue.

5. Comparez les résultats des examens de la qualité avec les données historiques internes, les directives de l'industrie, les normes et les données de types 4

d'entreprises similaires.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Processus de détection DE.DP

Cybersecurity v1.1, avril 2018

127
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

Président
directeur
général Directeur
Risques
des l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de Gestionnaire
portefeuille
de Gestionnaire
programme
de projet
Chef
de gestion
Bureau
projet
de données
Fonction
gestion
des
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la

Pratique de gestion des clés

APO11.01 Établir un système de gestion de la qualité (SGQ). RA R RR

APO11.02 Axer la gestion de la qualité sur les clients. RA R R

APO11.03 Gérer les normes, pratiques et procédures de qualité et intégrer la gestion de la ARR RRRRRRRRRRRRR
qualité dans les processus et solutions clés.
organiser
planifier
Aligner,
et

APO11.04 Effectuer la surveillance, le contrôle et les revues de la qualité. RARRR R

APO11.05 Maintenir l'amélioration continue. UNE RRRRR RRRRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO11.01 Établir un système de gestion de la qualité À partir de La description La description Pour

(SGQ).
En dehors de COBIT Qualité à l'échelle de l'entreprise Gestion de la qualité APO01.05ÿ;
système rôles système (QMS), DSS06.03
responsabilités et
droits de décision

Plans de gestion de la APO14.04ÿ;

qualité APO14.06ÿ;
BAI01.07ÿ;
BAI11.05

Résultats du SMQ BAI03.06

revues d'efficacité

APO11.02 Axer la gestion de la qualité sur les clients. En dehors de COBIT Business et client Exigences des clients en APO08.05ÿ;
exigences de qualité matière de gestion de la qualité APO09.03ÿ;
BAI01.07ÿ;
BAI11.06

Résultats de qualité de APO08.05ÿ;

service, y compris les APO09.05ÿ;
commentaires des clients BAI05.01ÿ;
BAI07.07

Critères d'acceptation BAI02.01ÿ;

BAI02.02

128
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO11.03 Gérer les normes, pratiques et À partir de La description La description Pour

procédures et intégrer la gestion de la qualité

BAI02.04 Revues qualité validées Management de la qualité Tous APOÿ;
en processus et solutions clés.
normes Tous les BAIÿ;

Tous les SSDÿ;

Tous les AEM

En dehors de COBIT • Certifications de qualité Causes profondes de la qualité APO08.02ÿ;

disponibles échecs de livraison APO09.04ÿ;

• Bonnes pratiques de l'industrie BAI07.08ÿ;

MEA02.04ÿ;
MEA04.04

Des résultats de qualité APO08.05ÿ;

surveillance APO09.04ÿ;
BAI07.08

APO11.04 Effectuer le suivi, le contrôle et la gestion de la qualité BAI03.06 • Plan d'Assurance Qualité Qualité de service des Tous APOÿ;
Commentaires. •ÿRésultats de l'examen de la processus Tous les BAIÿ;

qualité, exceptions et corrections objectifs et métriques Tous les SSDÿ;

Tous les AEM

DSS02.07 • Rapport sur l'état et les Résultats des revues de qualité APO08.05ÿ;

tendances des incidents et audits APO09.04ÿ;

• État de traitement des APO09.05ÿ;

demandes et rapport sur les BAI07.08

tendances

APO11.05 Maintenir l'amélioration continue. Référentiel d'examen Tous APOÿ;

de la qualité Tous les BAIÿ;

résultats Tous les SSDÿ;

Tous les AEM

Exemples de bonnes Tous APOÿ;

pratiques Tous les BAIÿ;

à partager Tous les SSDÿ;

Tous les AEM

Communication sur Tous APOÿ;

amélioration continue Tous les BAIÿ;

et bonnes pratiques Tous les SSDÿ;

Tous les AEM

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 8. Gestion de la qualité du projetÿ: entrées et sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Élaboration d'une stratégie de qualité des TIC e-Competence Framework (e-CF) — Un cadre européen commun pour les TIC D. Activer—D.2. Qualité des TIC
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 Stratégie de développement

Assurance qualité Cadre de compétences pour l'ère de l'information V6, 2015 QUAS

Gestion de la qualité Cadre de compétences pour l'ère de l'information V6, 2015 QUMG

Normes de qualité Cadre de compétences pour l'ère de l'information V6, 2015 QUST

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de gestion de la qualité Capture la vision de la direction sur les

objectifs de qualité de l'entreprise, le niveau
de qualité acceptable et les tâches d'équipes
et d'entités spécifiques pour garantir la qualité.

129
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Promouvoir une culture de qualité et d'amélioration continue. Maintenir et

communiquer régulièrement le besoin et les avantages de la qualité et de
l'amélioration continue.

G. Composante : Services, Infrastructure et Applications

• SMQ
• Services tiers d'assurance qualité

130
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO12 — Description du risque géré Domaine d'interventionÿ: modèle de base COBIT

Identifiez, évaluez et réduisez en permanence les risques liés à l'I&T dans les limites de tolérance définies par la direction générale de l'entreprise.

But

Intégrez la gestion des risques d'entreprise liés à l'I&T à la gestion globale des risques d'entreprise (ERM) et équilibrez les coûts et les avantages de la gestion des risques d'entreprise liés à l'I&T.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG02 Risque commercial géré • AG02 Gestion des risques liés à l'I&T
• EG06 Continuité et disponibilité des services commerciaux • AG07 Sécurité des informations, infrastructure de traitement et applications, et
confidentialité

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG02 a. Pourcentage d'objectifs commerciaux et de services critiques AG02 a. Fréquence de mise à jour du profil de risque
couverts par l'évaluation des risques b. Pourcentage d'évaluations des risques d'entreprise, y compris les
b. Ratio des incidents significatifs qui n'ont pas été identifiés dans les évaluations risques liés à l'I&T
des risques par rapport au nombre total d'incidents c. Nombre d'incidents importants liés à l'I&T qui n'ont pas été
c. Fréquence de mise à jour du profil de risque identifié dans une évaluation des risques

EG06 a. Nombre de service client ou de processus métier AG07 a. Nombre d'incidents de confidentialité causant des pertes financières, des interruptions
interruptions provoquant des incidents significatifs d'activité ou de l'embarras public
b. Coût des incidents pour l'entreprise b. Nombre d'incidents de disponibilité entraînant des pertes financières, des
c. Nombre d'heures de traitement d'entreprise perdues en raison interruptions d'activité ou une gêne publique
d'interruptions de service imprévues c. Nombre d'incidents d'intégrité causant des pertes financières, des
ré. Pourcentage de plaintes en fonction des commis perturbations d'activité ou de l'embarras public
objectifs de disponibilité du service

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO12.01 Recueillir des données. une. Nombre d'événements de perte avec des caractéristiques clés capturées dans les référentiels
Identifier et collecter des données pertinentes pour permettre une identification, une analyse b. Pourcentage d'audits, d'événements et de tendances capturés dans les référentiels
et un reporting efficaces des risques liés à l'I&T. c. Pourcentage de systèmes critiques présentant des problèmes connus

Activités Niveau de capacité

1. Établir et tenir à jour une méthode de collecte, de classification et d'analyse des données liées aux risques d'I&T. 2

2. Enregistrer les données pertinentes et importantes liées aux risques d'I&T sur l'environnement d'exploitation interne et externe de l'entreprise.

3. Adopter ou définir une taxonomie des risques pour des définitions cohérentes des scénarios de risque et des catégories d'impact et de probabilité. 3

4. Enregistrer les données sur les événements à risque qui ont causé ou peuvent causer des impacts commerciaux selon les catégories d'impact définies dans la taxonomie des
risques. Capturez les données pertinentes des problèmes, incidents, problèmes et enquêtes connexes.

5. Étudier et analyser les données historiques sur les risques I&T et l'expérience des pertes à partir de données et de tendances disponibles à l'externe, des pairs de l'industrie 4

par le biais de journaux d'événements, de bases de données et d'accords sectoriels pour la divulgation d'événements communs.

6. Pour des classes d'événements similaires, organisez les données collectées et mettez en évidence les facteurs contributifs. Déterminer les facteurs contributifs communs à
plusieurs événements.

7. Déterminer les conditions spécifiques qui existaient ou étaient absentes lorsque les événements à risque se sont produits et la façon dont les conditions ont affecté la fréquence
des événements et l'ampleur des pertes.

8. Effectuer une analyse périodique des événements et des facteurs de risque pour identifier les problèmes de risque nouveaux ou émergents et pour acquérir une compréhension de la
facteurs de risque internes et externes associés.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Data Management Maturity Model, 2014 Supporting Processes - Risk Management

COSO Enterprise Risk Management, juin 2017 8. Performance—Principe 10

ISO/CEI 27005:2011(E) 8.2 Identification des risquesÿ; 12. Surveillance et examen des risques liés à la sécurité de l'information

National Institute of Standards and Technology Publication spéciale 3.1 Préparation (Tâche 7)
800-37, révision 2 (ébauche), mai 2018

131
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion APO12.02 Exemple de métriques

Analyser les risques. une. Nombre de scénarios de risques I&T identifiés

Développer une vision étayée du risque réel d'I&T, à l'appui des décisions en matière de risque. b. Temps écoulé depuis la dernière mise à jour des scénarios de risques I&T

Activités Niveau de capacité

1. Définir la portée appropriée des efforts d'analyse des risques, en tenant compte de tous les facteurs de risque et/ou de la criticité commerciale des actifs. 3

2. Construire et mettre à jour régulièrement des scénarios de risques I&Tÿ; expositions aux pertes liées à l'I&Tÿ; et des scénarios concernant le risque de réputation, y compris des
scénarios composés de types de menaces et d'événements en cascade et/ou coïncidents. Développer des attentes pour des activités de contrôle spécifiques et des capacités à
détecter.

3. Estimer la fréquence (ou la probabilité) et l'ampleur des pertes ou des gains associés aux scénarios de risque I&T. Prendre en compte tous
facteurs de risque applicables et évaluer les contrôles opérationnels connus.

4. Comparez le risque actuel (exposition aux pertes liées à l'I&T) à l'appétit pour le risque et à la tolérance au risque acceptable. Identifier inacceptable ou
risque élevé.

5. Proposer des réponses au risque pour les risques dépassant les niveaux d'appétit et de tolérance au risque.

6. Spécifier les exigences de haut niveau pour les projets ou programmes qui mettront en œuvre les réponses aux risques sélectionnées. Identifier les exigences
et les attentes en matière de contrôles clés appropriés pour les réponses d'atténuation des risques.

7. Validez les résultats de l'analyse des risques et de l'analyse d'impact sur l'entreprise (BIA) avant de les utiliser dans la prise de décision. Confirmez que l'analyse est conforme aux 4

exigences de l'entreprise et vérifiez que les estimations ont été correctement calibrées et examinées à la recherche de biais.

8. Analyser le rapport coût/bénéfice des options potentielles de réponse aux risques telles que l'évitement, la réduction/l'atténuation, le transfert/le partage, l'acceptation et la 5

exploiter/saisir. Confirmer la réponse optimale au risque.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Processus de soutien—Gestion des risques

COSO Enterprise Risk Management, juin 2017 8. Performance—Principe 11

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC 27001:2013/ IR2.1 Portée de l'évaluation des risquesÿ; IR2.2 Évaluation de l'impact sur les entreprises

Cor.2:2015(E) 8.2 Évaluation des risques pour la sécurité de l'information

ISO/CEI 27005:2011(E) 8.3 Analyse des risques

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Évaluation des risques ID.RA
Cybersecurity v1.1, avril 2018

National Institute of Standards and Technology Special Publication 800-37, révision 2 (ébauche), 3.6 Autorisation (Tâche 3)
mai 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 (ébauche), 3.17 Évaluation des risques (RA-3)
août 2017

Pratique de gestion APO12.03 Exemple de métriques

Maintenir un profil de risque. une. Complétude des attributs et des valeurs dans le profil de risque
Maintenir un inventaire des risques connus et des attributs de risque, y compris la fréquence b. Pourcentage de processus opérationnels clés inclus dans le profil de risque
prévue, l'impact potentiel et les réponses. Documenter les ressources, les capacités et les activités de
contrôle actuelles liées aux éléments de risque.

Activités Niveau de capacité

1. Inventorier les processus métier et documenter leur dépendance vis-à-vis des processus de gestion des services I&T et de l'infrastructure informatique 2

Ressources. Identifiez le personnel de soutien, les applications, l'infrastructure, les installations, les enregistrements manuels critiques, les fournisseurs, les fournisseurs et les sous-
traitants.

2. Déterminer et convenir des services I&T et des ressources de l'infrastructure informatique qui sont essentiels pour soutenir le fonctionnement des processus métier. Analysez les
dépendances et identifiez les maillons faibles.

3. Agréger les scénarios de risques actuels par catégorie, secteur d'activité et domaine fonctionnel.

4. Capturez régulièrement toutes les informations sur le profil de risque et consolidez-les dans un profil de risque agrégé. 3

5. Saisir des informations sur l'état du plan d'action sur les risques à inclure dans le profil de risque I&T de l'entreprise.

6. Sur la base de toutes les données de profil de risque, définir un ensemble d'indicateurs de risque qui permettent l'identification et le suivi rapides des risques actuels et 4
tendances des risques.

7. Capturer des informations sur les événements de risque I&T qui se sont matérialisés pour les inclure dans le profil de risque informatique de l'entreprise.

132
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 COSO RS.DT Définir la tolérance au risque organisationnel

Enterprise Risk Management, juin 2017 National Institute of 8. Performance—Principe 12

Standards and Technology Special Publication 800-53, Revision 5 (Draft), août 2017 3.17 Évaluation des risques (RA-7)

Pratique de gestion Exemple de métriques

APO12.04 Articuler le risque. une. Niveau de satisfaction des parties prenantes à l'égard des rapports sur les risques fournis
Communiquer des informations sur l'état actuel des expositions et des opportunités liées à l'I&T b. Exhaustivité des rapports sur le profil de risque (y compris des informations conformes aux
en temps opportun à toutes les parties prenantes requises pour une réponse appropriée. exigences des parties prenantes)
c. Utilisation des rapports sur les risques dans la prise de décisions de gestion

Activités Niveau de capacité

1. Communiquer les résultats de l'analyse des risques à toutes les parties prenantes concernées dans des termes et des formats utiles pour soutenir les décisions de l'entreprise. 3

Dans la mesure du possible, incluez les probabilités et les fourchettes de perte ou de gain ainsi que les niveaux de confiance, pour permettre à la direction d'équilibrer
le risque et le rendement.

2. Fournir aux décideurs une compréhension des pires scénarios et des scénarios les plus probables, des expositions aux pertes liées à l'I&T et de la réputation importante,
des considérations juridiques et réglementaires ou de toute autre catégorie d'impact selon la taxonomie des risques.

3. Signaler le profil de risque actuel à toutes les parties prenantes. Inclure des informations sur l'efficacité du processus de gestion des risques, l'efficacité des contrôles,
les lacunes, les incohérences, les redondances, l'état de la remédiation et leurs impacts sur le profil de risque.

4. Sur une base périodique, pour les zones présentant une parité relative de risque et de capacité de risque, identifier les opportunités liées à l'I&T qui permettraient
l'acceptation d'un risque plus élevé et une croissance et un rendement accrus.

5. Examiner les résultats d'évaluations tierces objectives et d'audits internes et d'examens d'assurance qualité. Incluez-les dans le profil de risque. Examiner les lacunes 4

identifiées et les expositions aux pertes liées à l'I&T pour déterminer la nécessité d'une analyse de risque supplémentaire.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 COSO RS.CR Déterminer les besoins en infrastructure critique

Enterprise Risk Management, juin 2017 ISO/IEC 27005:2011(E) 10. Information, communication et rapport — Principe 19

11. Communication et consultation sur les risques liés à la sécurité de l'information

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Stratégie de gestion des risques ID.RM
Cybersecurity v1.1, avril 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.15 Gestion du programme (PM-32)
(ébauche), août 2017

Pratique de gestion Exemple de métriques

APO12.05 Définir un portefeuille d'actions de gestion des risques. une. Nombre d'incidents significatifs non identifiés et inclus dans le portefeuille de gestion des
Gérer les opportunités pour réduire le risque à un niveau acceptable en tant que portefeuille. risques
b. Pourcentage de propositions de projets de gestion des risques rejetées en raison du manque
de considération d'autres risques connexes

Activités Niveau de capacité

1. Maintenir un inventaire des activités de contrôle qui sont en place pour atténuer les risques et qui permettent de prendre des risques conformément à l'appétence et à la 2

tolérance au risque. Classifiez les activités de contrôle et associez-les à des scénarios de risque I&T spécifiques et à des agrégations de scénarios de risque I&T.

2. Déterminer si chaque entité organisationnelle surveille les risques et accepte la responsabilité d'opérer au sein de ses propres 3

niveaux de tolérance du portefeuille.

3. Définir un ensemble équilibré de propositions de projets conçues pour réduire les risques et/ou des projets qui permettent à l'entreprise stratégique
opportunités, compte tenu des coûts, des avantages, de l'effet sur le profil de risque actuel et de la réglementation.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Processus de soutien—Gestion des risques

COSO Enterprise Risk Management, juin 2017 8. Performance—Principe 14

HITRUST CSF version 9, septembre 2017 03.01 Programme de gestion des risques

133
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO12.06 Répondre aux risques. une. Nombre de mesures ne réduisant pas le risque résiduel
Répondre en temps opportun aux événements de risque matérialisés avec des b. Pourcentage de plans d'action contre les risques I&T exécutés comme prévu
mesures efficaces pour limiter l'ampleur des pertes.

Activités Niveau de capacité

1. Préparer, maintenir et tester des plans qui documentent les mesures spécifiques à prendre lorsqu'un événement à risque peut provoquer un incident 3
opérationnel ou de développement important avec un impact commercial sérieux. Assurez-vous que les plans incluent des voies d'escalade dans toute l'entreprise.

2. Appliquer le plan d'intervention approprié pour minimiser l'impact lorsque des incidents à risque se produisent.

3. Catégoriser les incidents et comparer les expositions aux pertes liées à l'I&T par rapport aux seuils de tolérance au risque. Communiquer sur l'entreprise 4
impacts sur les décideurs dans le cadre du reporting et de la mise à jour du profil de risque.

4. Examiner les événements/pertes négatifs passés et les opportunités manquées et déterminer les causes profondes.

5. Communiquer la cause profonde, les exigences supplémentaires en matière de réponse aux risques et les améliorations de processus aux décideurs appropriés. 5
Veiller à ce que la cause, les exigences de réponse et l'amélioration des processus soient incluses dans les processus de gouvernance des risques.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

organiser
planifier
Aligner,
et

COSO Enterprise Risk Management, juin 2017 ISF, The 8. Performance—Principe 13

Standard of Good Practice for Information Security 2016 ISO/IEC 27001:2013/ IR2.9 Traitement des risques

Cor.2:2015(E) 6.1 Action pour faire face aux risques et aux opportunités

ISO/CEI 27005:2011(E) 9. Traitement des risques liés à la sécurité de l'information

National Institute of Standards and Technology Special Publication 800-37, 3.6 Autorisation (Tâche 4)
révision 2 (ébauche), mai 2018

National Institute of Standards and Technology Special Publication 800-53, 3.15 Gestion du programme (PM-9, PM-31)
révision 5 (ébauche), août 2017

B. Composante : Structures organisationnelles

Directeur
Risques
des l'information
Directeur
de technologie
directeur
de
la numérique
Directeur d'entreprise
risques
Comité
des l'information
Responsable
sécurité
de
de
la Propriétaires
processus
métier
de gestion
Bureau
projet
de données
Fonction
gestion
des
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

APO12.01 Recueillir des données. ARRR RRRRRRRRRRR

APO12.02 Analyser les risques.

RA R R

APO12.03 Maintenir un profil de risque. RA R R

APO12.04 Articuler le risque. RA R R

APO12.05 Définir un portefeuille d'actions de gestion des risques. RA R R

APO12.06 Répondre au risque. RRR RRR RRRRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale 800-37 de l'Institut national des normes et de la technologie, 3.1 Préparation (Tâche 1); Annexe A : Rôles et responsabilités
révision 2, septembre 2017

134
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO12.01 Recueillir des données. À partir de La description La description Pour

APO02.02 Lacunes et risques liés à Problèmes de risque émergents et APO01.01ÿ;

capacités actuelles les facteurs APO02.02ÿ;
EDM03.01

APO02.05 Initiatives d'évaluation Données sur les événements à risque et Interne

des risques facteurs contributifs

APO10.04 Livraison fournisseur identifié Données sur le fonctionnement Interne

risque environnement lié au risque

DSS02.07 Statut et tendances des

incidents

rapport

EDM03.01 Évaluation du risque

activités de gestion

EDM03.02 • Politiques de gestion des

risques
• Principaux objectifs à
surveiller pour la gestion des

risques
• Processus approuvé pour
mesurer la gestion des
risques

APO12.02 Analyser les risques. DSS04.02 Analyses d'impact sur Résultats de l'analyse des risques APO01.01ÿ;
les entreprises (BIA) APO02.02ÿ;
EDM03.03ÿ;
BAI01.08ÿ;
BAI11.06

DSS05.01 Évaluations de potentiel Scénarios de risques I&T Interne

des menaces

En dehors des avis de menace COBIT Portée des efforts d'analyse Interne
des risques

APO12.03 Maintenir un profil de risque. APO10.04 Livraison fournisseur identifié Profil de risque agrégé, APO02.02ÿ;
risque y compris l'état du risque EDM03.02

mesures de gestion

DSS05.01 Évaluations de potentiel Scénarios de risque Interne

des menaces documentés

par secteur d'activité et

une fonction
EDM03.01 • Conseils sur l'appétit pour le risque
• Niveaux de tolérance au risque
approuvés

APO12.04 Articuler le risque. Analyse des risques et risque APO10.04ÿ;

rapports de profil pour EDM03.03ÿ;
les parties prenantes EDM05.02ÿ;
MEA04.05

Résultats du risque tiers APO10.04ÿ;

évaluations EDM03.03ÿ;
MEA02.01

Possibilités d'acceptation EDM03.03

d'un risque plus élevé

135
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion APO12.05 Contributions Les sorties

Définir un portefeuille d'actions de gestion des risques. À partir de La description La description Pour

Propositions de projets pour APO02.02ÿ;

réduire les risques APO13.02

APO12.06 Répondre au risque. EDM03.03 Mesures correctives Communication APO01.02ÿ;

pour remédier aux sur l'impact des risques APO08.04ÿ;
écarts de gestion des risques DSS04.02

Causes profondes liées au risque DSS02.03ÿ;

DSS03.01ÿ;
DSS03.02ÿ;
DSS03.03ÿ;
DSS03.05ÿ;
DSS04.02ÿ;
MEA02.04ÿ;
MEA04.04ÿ;
MEA04.06

Incident lié au risque DSS02.05

plans d'intervention

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 10. Information, communication et rapport — Principe 20

SF, Norme de bonnes pratiques pour la sécurité de l'information 2016 IR1.3 Évaluation des risques liés à l'information—Documents à l'appui

Publication spéciale de l'Institut national des normes et de la technologie 3.1 Préparation (Tâche 7)ÿ: Entrées et sortiesÿ; 3.6 Autorisation (tâche 3, 4)ÿ: entrées
800-37, révision 2, septembre 2017 et sorties

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 11. Gestion des risques du projetÿ: entrées et sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion des risques commerciaux Référentiel de compétences pour l'ère de l'information V6, 2015 BURM

Garantie des informations Référentiel de compétences pour l'ère de l'information V6, 2015 INAS

Gestion des risques E. Gérer—E.3. Gestion des

risques

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de risque d'entreprise politique Définit la gouvernance et Institut national des normes et 3.17 Évaluation des risques (RA-1)
la gestion du risque d'entreprise aux Publication spéciale sur la technologie
niveaux stratégique, tactique et 800-53, révision 5 (ébauche),
opérationnel, conformément aux objectifs Août 2017
commerciaux. Traduit la gouvernance
d'entreprise en principes et politiques de
gouvernance des risques et élabore des
activités de gestion des risques.

Politique de risque de fraude Informe la protection de la marque, de la Institut national des normes et

réputation et des actifs de l'entreprise en cas de Publication spéciale sur la technologie

perte ou de dommage résultant d'une fraude ou 800-37, révision 2 (ébauche),
d'une faute. Guide les employés dans le Mai 2018
signalement des activités suspectes et le
traitement des informations et des preuves
sensibles.

Encourage la culture antifraude et

cultive la conscience du risque.

136
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Pour soutenir une culture du risque transparente et participative, la haute direction ISF, la norme de bonnes pratiques IR1.2 Évaluation des risques

doit définir une direction et démontrer un soutien visible et authentique à l'intégration des pour la sécurité de l'information 2016 liés aux informations

pratiques de risque dans toute l'entreprise.

La direction devrait encourager une communication ouverte et la propriété de l'entreprise
pour les risques commerciaux liés à l'I&T. Les comportements souhaitables incluent
l'alignement des politiques sur l'appétit pour le risque défini, la communication des tendances
des risques à la direction générale et aux organes de gestion des risques, la récompense de la
gestion efficace des risques et la surveillance proactive des risques et des progrès du plan
d'action contre les risques.

G. Composante : Services, Infrastructure et Applications

• Services de gestion de crise

• Outils de gouvernance, de risque et de conformité (GRC)
• Outils d'analyse des risques
• Services de renseignement sur les risques

137
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

138
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO13 — Description de la sécurité gérée Domaine d'interventionÿ: modèle de base COBIT

Définir, exploiter et surveiller un système de gestion de la sécurité de l'information.

But

Maintenez l'impact et l'occurrence des incidents de sécurité de l'information dans les niveaux d'appétence au risque de l'entreprise.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de
Æ Objectifs d'alignement
l'entreprise • EG02 Risque commercial géré AG07 Sécurité des informations, infrastructure de traitement et applications, et vie
• EG06 Continuité et disponibilité des services commerciaux privée

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG02 a. Pourcentage d'objectifs commerciaux et de services critiques AG07 a. Nombre d'incidents de confidentialité causant des pertes financières, des
couverts par l'évaluation des risques interruptions d'activité ou de l'embarras public
b. Ratio des incidents significatifs qui n'ont pas été identifiés dans les évaluations b. Nombre d'incidents de disponibilité entraînant des pertes financières, des
des risques par rapport au nombre total d'incidents interruptions d'activité ou une gêne publique
c. Fréquence de mise à jour du profil de risque c. Nombre d'incidents d'intégrité causant des pertes financières, des
perturbations d'activité ou de l'embarras public
EG06 a. Nombre de service client ou de processus métier
interruptions provoquant des incidents significatifs
b. Coût des incidents pour l'entreprise

c. Nombre d'heures de traitement d'entreprise perdues en raison

d'interruptions de service imprévues
ré. Pourcentage de plaintes en fonction des commis
objectifs de disponibilité du service

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO13.01 Établir et maintenir un système de gestion de la sécurité de l'information (SGSI). une. Niveau de satisfaction des parties prenantes à l'égard du plan de sécurité tout au long de la
entreprise
Établir et maintenir un système de gestion de la sécurité de l'information (ISMS) qui fournit
une approche standard, formelle et continue de la gestion de la sécurité de l'information,
permettant une technologie sécurisée et des processus commerciaux alignés sur les
exigences de l'entreprise.

Activités Niveau de capacité

1. Définir la portée et les limites du système de management de la sécurité de l'information (SMSI) en termes de caractéristiques de 2

l'entreprise, l'organisation, son emplacement, ses actifs et sa technologie. Inclure les détails et la justification de toute exclusion du champ d'application.

2. Définir un SMSI conformément à la politique de l'entreprise et au contexte dans lequel l'entreprise opère.

3. Aligner le SMSI sur l'approche globale de l'entreprise en matière de gestion de la sécurité.

4. Obtenir l'autorisation de la direction pour mettre en œuvre et exploiter ou modifier le SMSI.

5. Préparer et tenir à jour une déclaration d'applicabilité qui décrit la portée du SMSI.

6. Définir et communiquer les rôles et responsabilités de gestion de la sécurité de l'information.

7. Communiquer l'approche SMSI.

139
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 ISO/IEC 0.01 Programme de gestion de la sécurité de l'information

20000-1:2011(E) 6.6 Gestion de la sécurité des informations

ITIL V3, 2011 Conception de services, 4.7 Gestion de la sécurité de l'information

National Institute of Standards and Technology Special Publication 800-37, révision 2 3.3 Sélection (Tâche 1); 3.4 Mise en œuvre (Tâche 1)
(ébauche), mai 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.17 Évaluation des risques (RA-2)
(ébauche), août 2017

Pratique de gestion APO13.02 Exemple de métriques

Définir et gérer un risque lié à la sécurité et à la confidentialité de l'information une. Pourcentage de simulations réussies de scénarios de risques de sécurité
plan de traitement. b. Nombre d'employés ayant suivi avec succès une formation de sensibilisation à la sécurité de
Maintenir un plan de sécurité de l'information qui décrit comment le risque de sécurité de l'information
l'information doit être géré et aligné sur la stratégie et l'architecture de l'entreprise. Veiller à ce que
les recommandations pour la mise en œuvre des améliorations de la sécurité soient basées sur des
analyses de rentabilisation approuvées, mises en œuvre en tant que partie intégrante du
développement de services et de solutions et exploitées en tant que partie intégrante des opérations
commerciales.

Activités Niveau de capacité

1. Formuler et maintenir un plan de traitement des risques de sécurité de l'information aligné sur les objectifs stratégiques et l'entreprise 3

architecture. Assurez-vous que le plan identifie les pratiques de gestion et les solutions de sécurité appropriées et optimales, avec les ressources, les responsabilités et les
priorités associées pour gérer les risques de sécurité de l'information identifiés.

2. Maintenir dans le cadre de l'architecture d'entreprise un inventaire des composants de la solution qui sont en place pour gérer la sécurité
risque lié.

3. Élaborer des propositions pour mettre en œuvre le plan de traitement des risques de sécurité de l'information, appuyées par des analyses de rentabilisation appropriées comprenant
examen du financement et de la répartition des rôles et des responsabilités.

4. Contribuer à la conception et au développement de pratiques et de solutions de gestion sélectionnées dans le domaine de la sécurité de l'information
plan de traitement des risques.

5. Mettre en œuvre des programmes de formation et de sensibilisation à la sécurité de l'information et à la confidentialité.

6. Intégrer la planification, la conception, la mise en œuvre et la surveillance des procédures de sécurité et de confidentialité des informations et d'autres contrôles capables
de permettre une prévention rapide, la détection des événements de sécurité et la réponse aux incidents de sécurité.

7. Définir comment mesurer l'efficacité des pratiques de gestion sélectionnées. Précisez comment ces mesures doivent être 4

utilisé pour évaluer l'efficacité afin de produire des résultats comparables et reproductibles.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion APO13.03 Exemple de métriques

Surveiller et réviser le système de gestion de la sécurité de l'information (SGSI). une. Fréquence des examens de sécurité programmés
b. Nombre de conclusions dans les examens de sécurité réguliers programmés
Maintenir et communiquer régulièrement la nécessité et les avantages d'une amélioration c. Niveau de satisfaction des parties prenantes à l'égard du plan de sécurité
continue de la sécurité de l'information. Recueillir et analyser des données sur le système de ré. Nombre d'incidents liés à la sécurité causés par le non-respect des
gestion de la sécurité de l'information (ISMS) et améliorer son efficacité. Corriger les non- plan de sécurité
conformités pour éviter qu'elles ne se reproduisent.

140
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Entreprendre des examens réguliers de l'efficacité du SMSI. Inclure le respect de la politique et des objectifs du SMSI et l'examen de la sécurité 4

et les pratiques de confidentialité.

2. Mener des audits ISMS à des intervalles planifiés.

3. Entreprendre une revue de direction du SMSI sur une base régulière pour s'assurer que la portée reste adéquate et que des améliorations
dans le processus ISMS sont identifiés.

organiser
planifier
Aligner,
et
4. Enregistrer les actions et les événements qui pourraient avoir un impact sur l'efficacité ou la performance du SMSI.

5. Contribuer à la maintenance des plans de sécurité pour tenir compte des conclusions des activités de surveillance et d'examen.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-37, révision 2

(ébauche), mai 2018
3.3 Sélection (Tâche 3)
5

B. Composante : Structures organisationnelles

l'information
Directeur
de technologie
directeur
de
la d'entreprise
risques
Comité
des l'information
Responsable
sécurité
de
de
la Propriétaires
processus
métier
de gestion
Bureau
projet
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de
Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

R AR R R
APO13.01 Établir et maintenir un système de gestion de la sécurité de l'information (SGSI).

R AR R R R
APO13.02 Définir et gérer un plan de traitement des risques liés à la sécurité de l'information et à la vie privée.

RRRRRRRRRRRR
APO13.03 Surveiller et réviser le système de gestion de la sécurité de l'information (ISMS).

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC SG1.2 Direction de la sécurité

27002:2013/Cor.2:2015(E) 6.1 Organisation interne

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

APO13.01 Établir et maintenir une sécurité de l'information À partir de La description La description Pour

système de gestion (SMSI).

En dehors de la sécurité de COBIT Enterprise Énoncé du champ d'application du SMSI APO01.05ÿ;
approcher DSS06.03

Politique SMSI Interne

APO13.02 Définir et gérer une sécurité de l'information APO02.04 Lacunes et changements Risque lié à la sécurité des informations Tous APOÿ;

plan de traitement des risques. nécessaires pour réaliser la plan de traitement Tous les BAIÿ;

capacité cible Tous les SSDÿ; Tous

AEMÿ; TOUT EDM

APO03.02 Descriptions de Sécurité des informations APO05.02

domaine de base et analyses de rentabilisation

définition de l'architecture

APO12.05 Propositions de projets pour

réduire les risques

141
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

APO13.03 Surveiller et revoir la sécurité de l'information À partir de La description La description Pour

système de gestion (SMSI).

DSS02.02 Classé et priorisé Recommandations pour Interne
incident et service améliorer la
demandes gestion de la sécurité de
l'information
système (ISMS)

Sécurité des informations MEA02.01

Système de gestion
(ISMS) rapports d'audit

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.3 Sélection (Tâches 1, 3)ÿ: Entrées et sortiesÿ; 3.4 Mise en œuvre (Tâcheÿ1)ÿ: entrées et
800-37, révision 2, septembre 2017 sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Sécurité des informations Cadre de compétences pour l'ère de l'information V6, 2015 Cadre des SCTY

Stratégie de sécurité de l'information compétences électroniques (e-CF)—Un cadre européen commun pour les professionnels des TIC dans D. Activer—D.1. Information

développement tous les secteurs de l'industrie - Partie 1ÿ: Cadre, 2016 Développement de la stratégie de sécurité

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Sécurité et confidentialité des informations politique Définit des directives (1) ISO/CEI 27001:2013/ (1) 5.2 Politiqueÿ; (2) 5. Informations
politique comportementales pour protéger les Cor.2:2015(E); (2) ISO/CEI politiques de sécuritéÿ; (3) 3.2 Sensibilisation et
informations, les systèmes et l'infrastructure de l'entreprise.
27002:2013/Cor.2:2015(E)ÿ; (3) formation (AT-1); (4) 04.01 Politique de sécurité
Étant donné que les exigences commerciales National Institute of Standards and Technology de l'informationÿ; (5)
en matière de sécurité et de stockage sont Special Publication 800-53, révision 5 (ébauche), SM1.1 Sécurité des informations
plus dynamiques que la gestion des risques août 2017ÿ; (4) HITRUST CSF version 9, Politique
et la confidentialité des I&T, leur gouvernance septembre 2017 ; (5) ISF, Norme de bonnes
doit être traitée séparément de celle des pratiques pour la sécurité de l'information 2016
risques et de la confidentialité des I&T. Pour une
efficacité opérationnelle, synchronisez la politique
de sécurité des informations avec la politique de
confidentialité et de risque I&T.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir une culture de sensibilisation à la sécurité et à la confidentialité qui influence positivement (1) ISO/CEI 27001:2013/ 1) 7.3 Sensibilisationÿ; (2) Cadre
le comportement souhaitable et la mise en œuvre effective de la politique de sécurité et de confidentialité Cor.2:2015(E); (2) Créer une culture atteindre une sécurité intentionnelle
dans la pratique quotidienne. Fournir des conseils suffisants en matière de sécurité et de confidentialité, de la sécurité, ISACA, 2011 culture consciente (tous les chapitres)
indiquer les champions de la sécurité et de la confidentialité (y compris les cadres de niveau C, les
responsables des ressources humaines et les professionnels de la sécurité et/ou de la confidentialité) et
soutenir et communiquer de manière proactive les programmes, les innovations et les défis en matière
de sécurité et de confidentialité.

G. Composante : Services, Infrastructure et Applications

• Outils de gestion de configuration

• Services de sensibilisation à la sécurité et à la confidentialité
• Services tiers d'évaluation de la sécurité

142
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Aligner, planifier et organiser

Objectif de gestion : APO14 — Description des données gérées Domaine d'interventionÿ: modèle de base COBIT

Réalisez et maintenez une gestion efficace des actifs de données d'entreprise tout au long du cycle de vie des données, de la création à la livraison, à la maintenance et à l'archivage.

But

Garantir une utilisation efficace des actifs de données critiques pour atteindre les buts et objectifs de l'entreprise.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de Æ Objectifs d'alignement

l'entreprise • EG04 Qualité des informations financières AG10 Qualité des informations de gestion I&T
• EG07 Qualité des informations de gestion

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

EG04 d'entreprise a. Enquête de satisfaction auprès des principales parties prenantes concernant AG10 a. Niveau de satisfaction des utilisateurs concernant la qualité, la rapidité et
transparence, compréhension et exactitude des informations financières disponibilité des informations de gestion liées à l'I&T, compte tenu des
de l'entreprise ressources disponibles

b. Coût du non-respect des réglementations financières b. Ratio et étendue des décisions commerciales erronées dans lesquelles des
informations erronées ou indisponibles liées à l'I&T étaient un facteur clé
EG07 une. Degré de satisfaction du conseil d'administration et de la
direction générale à l'égard des informations relatives à la prise de décision
c. Pourcentage d'informations répondant aux critères de qualité
b. Nombre d'incidents causés par des décisions commerciales
incorrectes basées sur des informations inexactes

c. Temps nécessaire pour fournir des informations soutenant des

décisions commerciales efficaces

ré. Actualité des informations de gestion

A. Composante : Processus

Pratique de gestion Exemple de métriques

APO14.01 Définir et communiquer la stratégie de gestion des données de une. Nombre de violations de la gestion des données par rapport à la stratégie
l'organisation ainsi que les rôles et responsabilités. définie
Définir comment gérer et améliorer les actifs de données de l'organisation, conformément b. Pourcentage de rôles et de responsabilités identifiés pour soutenir la gouvernance
à la stratégie et aux objectifs de l'entreprise. Communiquer la stratégie de gestion des de la gestion des données et l'interaction entre la gouvernance et la fonction de
données à toutes les parties prenantes. Attribuez des rôles et des responsabilités pour gestion des données
vous assurer que les données de l'entreprise sont gérées comme des actifs critiques et
que la stratégie de gestion des données est mise en œuvre et maintenue de manière
efficace et durable.

Activités Niveau de capacité

1. Établir une fonction de gestion des données chargée de gérer les activités qui soutiennent les objectifs de gestion des données. 2

2. Spécifier les rôles et les responsabilités pour soutenir la gestion des données et l'interaction entre la gouvernance et les données
fonction de gestion.

3. Veiller à ce que les entreprises et la technologie développent en collaboration la stratégie de gestion des données de l'organisation. Assurez-vous que les objectifs, les 3

priorités et la portée de la gestion des données reflètent les objectifs de l'entreprise, sont conformes aux politiques et réglementations en matière de gestion des données
et sont approuvées par toutes les parties prenantes.

4. Communiquer les objectifs, les priorités et la portée de la gestion des données et les ajuster au besoin, en fonction des commentaires.

5. Utiliser des métriques pour évaluer et surveiller la réalisation des objectifs de gestion des données. 4

6. Surveiller le plan de séquence pour la mise en œuvre de la stratégie de gestion des données. Mettez-le à jour au besoin, en fonction des progrès
Commentaires.

7. Utiliser des techniques statistiques et d'autres techniques quantitatives pour évaluer l'efficacité des objectifs stratégiques de gestion des données dans la
réalisation des objectifs commerciaux. Apportez les modifications nécessaires, en fonction des métriques.

8. Veiller à ce que l'organisation étudie les processus commerciaux innovants et les exigences réglementaires émergentes pour s'assurer que 5

le programme de gestion des données est compatible avec les futurs besoins de l'entreprise.

9. Contribuer aux meilleures pratiques de l'industrie pour le développement et la mise en œuvre de la stratégie de gestion des données.

143
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Stratégie de gestion des données - Stratégie de gestion des donnéesÿ; Gouvernance
des données—Gestion de la gouvernance

ITIL V3, 2011 Conception de services, 5.2 Gestion des données et des informations

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 13ÿ: Protection des données

2016

Pratique de gestion Exemple de métriques

APO14.02 Définir et maintenir un glossaire métier cohérent. une. Niveau d'acceptation et fréquence d'utilisation des termes du glossaire métier dans l'ensemble
Créez, approuvez, mettez à jour et promouvez des termes et des définitions métier cohérents de l'organisation
pour favoriser l'utilisation des données partagées dans toute l'organisation. b. Nombre de synonymes pour la terminologie définie du glossaire métier qui
sont utilisés dans de nouveaux efforts de développement

c. Niveau de granularité des termes définis du glossaire métier

Activités Niveau de capacité

1. Assurez-vous que les conditions commerciales standard sont facilement disponibles et communiquées aux parties prenantes concernées. 2

2. Assurez-vous que chaque terme métier ajouté au glossaire métier a un nom et une définition uniques.

3. Utilisez les termes et définitions métier standard de l'industrie, le cas échéant, dans le glossaire métier.

4. Établir, documenter et suivre un processus pour définir, gérer, utiliser et maintenir le glossaire métier. Par exemple, nouveau 3

les initiatives devraient appliquer des termes commerciaux standard dans le cadre du processus de définition des exigences en matière de données afin d'assurer la
cohérence du langage. Cela aidera à assurer la comparabilité du contenu et facilitera le partage des données au sein de l'organisation.

5. Veiller à ce que les nouveaux efforts de développement, d'intégration et de consolidation des données appliquent les conditions commerciales standard dans le cadre du
processus de définition des exigences en matière de données.

6. Intégrez le glossaire métier dans le référentiel de métadonnées de l'organisation, avec les autorisations d'accès appropriées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Data Management Maturity Model, 2014 Gouvernance des données - Glossaire métier

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 IM1.1 Classification et traitement des informations

Pratique de gestion Exemple de métriques

APO14.03 Établir les processus et l'infrastructure des métadonnées une. Nombre d'inexactitudes identifiées dans les métadonnées

le management. b. Pourcentage de métadonnées contenant des mesures et des métriques pour évaluer l'exactitude
Établir les processus et l'infrastructure pour spécifier et étendre les métadonnées sur les actifs de et l'adoption des métadonnées
données de l'organisation, favoriser et soutenir le partage des données, assurer une utilisation
conforme des données, améliorer la réactivité aux changements commerciaux et réduire les risques
liés aux données.

Activités Niveau de capacité

1. Établir et suivre un processus de gestion des métadonnées. 2

2. Assurez-vous que la documentation des métadonnées capture les interdépendances des données.

3. Établir et suivre les catégories, propriétés et normes de métadonnées.

4. Développer et utiliser des métadonnées pour effectuer une analyse d'impact sur les modifications potentielles des données. 3

5. Remplir le référentiel de métadonnées de l'organisation avec des catégories et des classifications supplémentaires de métadonnées selon un plan de mise en œuvre
par étapes. Liez-le aux couches d'architecture.

6. Validez les métadonnées et toute modification des métadonnées par rapport à l'architecture existante.

7. S'assurer que l'organisation a développé un métamodèle intégré déployé sur toutes les plateformes.

8. Assurez-vous que les types de métadonnées et les définitions de données prennent en charge des pratiques d'importation, d'abonnement et de consommation cohérentes.

9. Utilisez des mesures et des métriques pour évaluer l'exactitude et l'adoption des métadonnées. 4

10. Évaluer les changements de données prévus pour l'impact sur le référentiel de métadonnées. Améliorez en permanence la capture, la modification et la 5

procédés de raffinement.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 ISO/ Gouvernance des données—Gestion des métadonnées

IEC 27002:2013/Cor.2:2015(E) 8.2 Classement des informations

144
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion APO14.04 Exemple de métriques

Définir une stratégie de qualité des données. une. Nombre d'efforts d'amélioration de la qualité des données identifiés et enregistrés dans un plan de
Définir une stratégie intégrée à l'échelle de l'organisation pour atteindre et maintenir le niveau de qualité séquence
des données (comme la complexité, l'intégrité, l'exactitude, l'exhaustivité, la validité, la traçabilité et b. Pourcentage de parties prenantes satisfaites de la qualité des données
l'actualité) requis pour soutenir les buts et objectifs de l'entreprise.

Activités Niveau de capacité

1. Définir une stratégie de qualité des données en collaboration avec les acteurs métiers et technologiques, validée par la direction générale et pilotée. La stratégie devrait faciliter le passage 3

de l'état actuel à l'état cible. Il doit également s'aligner explicitement sur les objectifs commerciaux et la stratégie de gestion des données de l'organisation.

2. Veiller à ce que la stratégie de qualité des données soit suivie dans toute l'organisation et s'accompagne des politiques, processus et directives correspondants.

3. Ancrer les politiques, les processus et la gouvernance contenus dans la stratégie de qualité des données tout au long du cycle de vie des données. Mandater les processus
correspondants dans la méthodologie du cycle de vie du développement du système.

4. Développer, surveiller et maintenir un plan de séquence pour les efforts d'amélioration de la qualité des données dans toute l'organisation.

5. Pour évaluer les progrès, surveillez les plans pour atteindre les buts et les objectifs de la stratégie de qualité des données. 4

6. Recueillir systématiquement les rapports des parties prenantes sur les problèmes de qualité des données. Inclure leurs attentes en matière d'amélioration de la qualité des données dans le
stratégie de qualité des données. Mesurez-les et surveillez-les.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 DP.DR Sauvegarde des données au reposÿ; DP.DT Sauvegarde des données en transitÿ; Intégrité
DP.IP et prévention des fuites de données

Modèle de maturité de la gestion des données CMMI, 2014 Qualité des données - Stratégie de qualité des données

Pratique de gestion APO14.05 Exemple de métriques

Établir des méthodologies, des processus et des outils de profilage des données. une. Nombre de modèles de données définis et implémentés et leur pourcentage d'utilisation
Mettez en œuvre des méthodologies, des processus, des pratiques, des outils et des modèles de
profilage de données standardisés pouvant être appliqués à plusieurs référentiels de données et b. Nombre d'ensembles de données partagés avec un profil de données défini
magasins de données.

Activités Niveau de capacité

1. Définir et standardiser les méthodologies, processus, pratiques, outils et modèles de résultats de profilage des données. Assurez-vous que le profilage 3

les processus sont réutilisables et exploités dans plusieurs magasins de données et référentiels de données partagés.

2. Engagez la gestion des données pour identifier les principaux ensembles de données partagés qui sont régulièrement profilés et surveillés. 4

3. Dans les efforts de profilage des données, inclure l'évaluation de la conformité du contenu des données avec ses métadonnées et normes approuvées.

4. Au cours d'une activité de profilage de données, comparez les problèmes réels aux problèmes prédits statistiquement, en fonction des résultats de profilage historiques.

5. Assurez-vous que les résultats sont stockés de manière centralisée, systématiquement surveillés et analysés en ce qui concerne les statistiques et les mesures. Fournissez les informations
résultantes sur les améliorations de la qualité des données au fil du temps.

6. Créez des rapports de profilage automatisés en temps réel ou quasi réel pour tous les flux de données et référentiels critiques. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Qualité des données—Profilage des données

Publication spéciale 800-53 de l'Institut national des normes et de la technologie, révision 5, août 3.20 Intégrité du système et de l'information (SI-1)
2017

Pratique de gestion APO14.06 Exemple de métriques

Assurer une approche d'évaluation de la qualité des données. une. Nombre de problèmes identifiés dans les résultats de l'évaluation de la qualité des données
Fournir une approche systématique pour mesurer et évaluer la qualité des données en fonction des b. Nombre de résultats d'évaluation de la qualité des données incluant des
processus et des techniques, et par rapport aux règles de qualité des données. recommandations de correction

145
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Effectuer périodiquement des évaluations de la qualité des données, selon une fréquence approuvée par la politique d'évaluation de la qualité des données. 4

Assurez-vous que la gouvernance des données détermine l'ensemble clé d'attributs par domaine pour les évaluations de la qualité des données.

2. Inclure des recommandations de correction, avec justification à l'appui, dans les résultats de l'évaluation de la qualité des données.

3. Évaluer la qualité des données, en utilisant des seuils et des cibles établis pour chaque dimension de qualité sélectionnée.

4. Générer systématiquement des rapports de mesure de la qualité des données, basés sur la criticité des attributs et la volatilité des données.

5. Examiner et améliorer en permanence les processus d'évaluation et de rapport de la qualité des données. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Qualité des données — Évaluation de la qualité des données

Pratique de gestion Exemple de métriques

APO14.07 Définir l'approche de nettoyage des données. une. Pourcentage de données nettoyées correctement
Définir les mécanismes, règles, processus et méthodes à valider et b. Pourcentage de contrats de niveau de service qui incluent des critères de qualité des données et conservent des données correctes
conformément à des règles métier prédéfinies. fournisseurs responsables des données nettoyées

Activités Niveau de capacité

1. Établir et maintenir une politique de nettoyage des données. 2

2. Maintenir l'historique des modifications de données grâce à des activités de nettoyage. 3

3. Établir des méthodes de correction des données et définir ces méthodes dans un plan. Les méthodes peuvent inclure plusieurs référentiels 4

comparaison, vérification par rapport à une source valide, contrôles logiques, intégrité référentielle ou tolérance de plage.

4. Dans les accords de niveau de service, incluez des critères de qualité des données pour tenir les fournisseurs de données responsables des données nettoyées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Data Management Maturity Model, 2014 Management Qualité des données—Nettoyage des données

Practice APO14.08 Gérer le cycle de vie des actifs de données. Exemple de métriques

une. Nombre d'exigences des consommateurs de données qui ne peuvent pas être mappées à une source
Assurez-vous que l'organisation comprend, cartographie, inventorie et contrôle ses flux de données à de données

travers les processus métier tout au long du cycle de vie des données, de la création ou de l'acquisition à la b. Nombre d'ensembles de données partagés

suppression. c. Temps écoulé depuis le dernier contrôle de conformité concernant les mappages des processus
métier aux données

Activités Niveau de capacité

1. Cartographier et aligner les exigences des consommateurs et des producteurs de données. 2

2. Définissez les mappages processus métier-données. Maintenez-les et révisez-les périodiquement pour vous assurer qu'ils sont conformes. 3

3. Suivez un processus défini pour les accords de collaboration en ce qui concerne les données partagées et l'utilisation des données dans les processus métier.

4. Mettre en œuvre des flux de données et des cartes complètes du cycle de vie données-processus pour les données partagées pour chaque processus métier majeur au
niveau organisationnel.

5. Assurez-vous que les modifications apportées aux ensembles de données partagés ou aux ensembles de données cibles pour un objectif commercial spécifique sont gérées par la gouvernance des données

structures, avec un engagement pertinent des parties prenantes.

6. Utilisez des métriques pour étendre la réutilisation approuvée des données partagées et éliminer la redondance des processus. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Opérations de données—Gestion du cycle de vie des données

146
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

APO14.09 Soutenir l'archivage et la conservation des données. une. Pourcentage de tentatives infructueuses de transfert de données vers les archives
Assurez-vous que la maintenance des données satisfait aux exigences organisationnelles et b. Pourcentage de maintenance des données qui répond aux exigences organisationnelles et
réglementaires en matière de disponibilité des données historiques. Assurez-vous que les exigences réglementaires en matière de disponibilité des données historiques et aux exigences légales et
légales et réglementaires en matière d'archivage et de conservation des données sont respectées. réglementaires en matière d'archivage et de conservation des données

Activités Niveau de capacité

1. Assurez-vous que les politiques imposent la gestion de l'historique des données, y compris les exigences en matière de conservation, de destruction et de piste d'audit. 2

2. S'assurer de l'existence d'une méthode définie qui garantit l'accessibilité aux données historiques nécessaires pour soutenir les besoins de l'entreprise.

3. Utiliser des politiques et des processus pour contrôler l'accès, la transmission et les modifications aux données historiques et archivées.

4. Assurez-vous que l'organisation dispose d'un référentiel d'entrepôt de données prescrit qui donne accès aux données historiques pour les réunions. 3
l'analytique a besoin de soutenir les processus métier.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Data Management Maturity Model, 2014 Plate-forme et architectureÿ: données historiques, conservation et archivage

Management Practice APO14.10 Gérer les Exemple de métriques

dispositifs de sauvegarde et de restauration des données. une. Pourcentage de tentatives infructueuses de sauvegarde de données
Gérer la disponibilité des données critiques pour assurer la continuité opérationnelle. b. Pourcentage de tentatives réussies de restauration des données de sauvegarde

Activités Niveau de capacité

1. Définissez un calendrier pour garantir une sauvegarde correcte de toutes les données critiques. 2

2. Définir les exigences de stockage sur site et hors site des données de sauvegarde, en tenant compte du volume, de la capacité et de la durée de conservation,
en adéquation avec les besoins métiers.

3. Établissez un programme de test pour les données de sauvegarde. Assurez-vous que les données peuvent être restaurées correctement sans impact considérable sur l'activité.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace CSC 10 : Capacité de récupération de données
Version 6.1, août 2016

B. Composante : Structures organisationnelles

Pratique de gestion des clés

APO14.01 Définir et communiquer la stratégie de gestion des données de l'organisation ainsi que les rôles et responsabilités. RAR RR

APO14.02 Définir et maintenir un glossaire métier cohérent. RAR RR

APO14.03 Établir les processus et l'infrastructure de gestion des métadonnées. RAR RR

APO14.04 Définir une stratégie de qualité des données.

RAR RR

APO14.05 Établir des méthodologies, des processus et des outils de profilage des données. RAR RR

APO14.06 Assurer une approche d'évaluation de la qualité des données. RAR RR

APO14.07 Définir l'approche de nettoyage des données. RAR RR

APO14.08 Gérer le cycle de vie des actifs de données. RARRRRR

APO14.09 Soutenir l'archivage et la conservation des données. RARRRRR

APO14.10 Gérer les dispositifs de sauvegarde et de restauration des données. RAR RRR

147
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion APO14.01 Contributions Les sorties

Définir et communiquer les objectifs de l'organisation À partir de La description La description Pour

stratégie et rôles de gestion des données et

APO01.06 Classement des données Stratégie de gestion des APO03.02ÿ;
responsabilités.
des lignes directrices données APO14.10

APO07.03 Aptitudes et compétences Rôles convenus et Interne

matrice responsabilités pour les données
gestion et données
gouvernance

Hors COBIT • Stratégie d'entreprise Publications externes et Interne

• Politiques et réglementation présentations sur les meilleurs

en matière de gestion des données pratiques dans l'industrie
conférences

Plan de mise en œuvre pour Interne

stratégie de gestion des

données

APO14.02 Définir et maintenir une activité cohérente Lexique métier APO14.03ÿ;

glossaire. BAI02.01

APO14.03 Établir les processus et l'infrastructure pour APO03.02 Architecture des informations Documentation des métadonnées APO03.02

gestion des métadonnées. maquette

APO14.02 Lexique métier

APO14.04 Définir une stratégie de qualité des données. APO01.06 Procédures d'intégrité des données Stratégie de qualité des données APO14.05ÿ;
APO14.06ÿ;
APO14.07

APO01.07 Sécurité et contrôle des données Rapports sur les problèmes de Interne

des lignes directrices qualité des données

APO11.01 Plans de gestion de la qualité Plan d'amélioration Interne

de la qualité des données

APO14.05 Établir des méthodologies de profilage des données, APO14.04 Stratégie de qualité des données Méthodologies, Interne

processus et outils. processus, pratiques, outils et

modèles de résultats de profilage
des données

APO14.06 Assurer une approche d'évaluation de la qualité des données. APO11.01 Plans de gestion de la qualité Évaluation de la qualité des données Interne
résultats

APO14.04 Stratégie de qualité des données

APO14.07 Définir l'approche de nettoyage des données. APO14.04 Stratégie de qualité des données Exigences de APO09.03

qualité des données

APO14.08 Gérer le cycle de vie des actifs de données. APO01.07 Sécurité et contrôle des données
des lignes directrices

DSS04.07 Données de sauvegarde

APO14.09 Soutenir l'archivage et la conservation des données. DSS06.05 Exigences de conservation Archives des données Interne

APO14.10 Gérer la sauvegarde et la restauration des données APO01.07 Sécurité et contrôle des données Plan de test de sauvegarde DSS04.07

dispositions. des lignes directrices

APO14.01 Stratégie de gestion des Plan de sauvegarde DSS04.07

données

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

148
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

L'analyse des données Cadre de compétences pour l'ère de l'information V6, 2015 Cadre DTAN

Gestion de données de compétences pour l'ère de l'information V6, 2015 Cadre de DATM

Garantie des informations compétences pour l'ère de l'information V6, 2015 Cadre de INAS

Gestion de l'information compétences pour l'ère de l'information V6, 2015 IRMG

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de nettoyage des données politique Décrit l'engagement de la Maturité de la gestion des données CMMI Nettoyage des données

direction envers le nettoyage des données. Modèle, 2014

Prescrit la fréquence, les lignes directrices
et la responsabilitéÿ; documente les
méthodes, solutions et outils disponibles.

Politique de gestion des données Décrit l'engagement de l'organisation

à gérer les actifs de données tout au
long du cycle de vie des données, de la
création à la livraison, la maintenance et
l'archivage.

Politique d'évaluation de la qualité des données Décrit la philosophie d'évaluation de (1) Gestion des données CMMI (1) Évaluation de la qualité des
l'assurance qualité des données de Modèle de maturité, 2014ÿ; (2) Nationale donnéesÿ; (2) 3.20 Système et informations
l'organisation pour garantir l'intégrité des Institut des normes et intégrité (SI-1)
données utilisées pour prendre des décisions Publication spéciale sur la technologie
qui ont un impact sur l'organisation. Attribue 800-53, révision 5 (ébauche),
la fréquence, les directives et la responsabilité Août 2017
de l'évaluation de la qualité des données.
Décrit les méthodes, les solutions et les
outils disponibles.

Politique de confidentialité Documente la collecte, l'utilisation, la

divulgation et la gestion des données
personnelles. Les données personnelles
peuvent être toutes les données qui peuvent
être utilisées pour identifier un individu, y
compris, mais sans s'y limiter, le nom,
l'adresse, la date de naissance, l'état civil,
les coordonnées, la délivrance de la carte
d'identité et la date d'expiration, les dossiers
financiers, les informations de crédit, les
antécédents médicaux. , la destination du
voyage et l'intention d'acquérir des biens ou
des services. La politique de confidentialité
définit la manière dont une entreprise collecte,
stocke et publie des informations personnellesÿ;
comment et quand le client est informé des

informations spécifiques qui sont collectées

et si elles sont gardées confidentielles,

partagées avec des partenaires ou vendues

à d'autres sociétés ou entreprises. La politique
exige le respect de la législation pertinente
relative à la protection des données.

149
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Créer une culture de responsabilité partagée pour les actifs de données de l'organisationÿ; Maturité de la gestion des données CMMI Gouvernance des données

reconnaître la valeur potentielle des actifs de données et veiller à ce que les rôles et les Modèle, 2014
responsabilités soient clairs pour la gouvernance et la gestion des actifs de données.

Sensibiliser à l'intégrité, l'exactitude, l'exhaustivité et la protection des données pour établir une Maturité de la gestion des données CMMI Qualité des données

culture de la qualité des données. Associez la qualité des données aux valeurs fondamentales de Modèle, 2014
l'entreprise. Communiquez en permanence l'impact et le risque de perte de données. Assurez-vous
que les employés comprennent le coût réel de l'échec de la mise en œuvre d'une culture de la qualité
des données.

G. Composante : Services, Infrastructure et Applications

• Outils de modélisation de données

• Référentiels de données

150
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

4.3 Construire, Acquérir et Implémenter (BAI)

01 Programmes gérés

02 Définition des exigences gérées

03 Identification et création de solutions gérées

04 Disponibilité et capacité gérées

05 Changement organisationnel géré

06 Changements informatiques gérés

07 Acceptation et transition des changements informatiques gérés

08 Connaissances gérées

09 Actifs gérés

10 Configuration gérée

11 projets gérés

151
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

152
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI01 — Description des programmes gérés Domaine d'interventionÿ: modèle de base COBIT

Gérer tous les programmes du portefeuille d'investissement conformément à la stratégie de l'entreprise et de manière coordonnée, sur la base d'une approche standard de gestion de programme. Initier,
planifier, contrôler et exécuter des programmes et surveiller la valeur attendue du programme.

But

Réalisez la valeur commerciale souhaitée et réduisez le risque de retards imprévus, de coûts et d'érosion de la valeur. Pour ce faire, améliorer les communications et l'implication des entreprises et
des utilisateurs finaux, assurer la valeur et la qualité des livrables du programme et le suivi des projets au sein des programmes, et maximiser la contribution du programme au portefeuille d'investissement.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG03ÿBénéfices réalisés grâce au portefeuille d'investissements et de services d'I&T

• EG08ÿOptimisation de la fonctionnalité des processus métier internes

• EG12 Programmes de transformation numérique gérés • AG09 Exécuter les programmes dans les délais, en respectant le budget et en
respectant les exigences et les normes de qualité

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG01 a. Pourcentage de produits et services qui atteignent ou dépassent les objectifs de AG03 a. Pourcentage d'investissements activés en I&T pour lesquels les avantages

chiffre d'affaires et/ou de part de marché revendiqués dans l'analyse de rentabilisation sont atteints ou dépassés

b. Pourcentage de produits et services qui satisfont ou dépassent b. Pourcentage de services I&T pour lesquels les avantages attendus (tels
objectifs de satisfaction client qu'énoncés dans les accords de niveau de service) sont réalisés
c. Pourcentage de produits et services qui offrent un avantage
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget
avec des capacités de processus métier b. Nombre de programmes nécessitant une refonte importante en raison de la qualité
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de défauts

services c. Pourcentage de parties prenantes satisfaites de la qualité du programme/projet

c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gestion BAI01.01 Exemple de métriques

Maintenir une approche standard pour la gestion du programme. une. Pourcentage de programmes réussis basés sur la norme définie
Maintenir une approche standard pour la gestion des programmes qui permet la gouvernance et approcher
l'examen de la gestion, la prise de décision et les activités de gestion de la livraison. Ces activités b. Pourcentage de parties prenantes satisfaites de la gestion du programme
doivent constamment se concentrer sur la valeur et les objectifs de l'entreprise (c'est-à-dire les
exigences, les risques, les coûts, le calendrier et les objectifs de qualité).

Activités Niveau de capacité

1. Maintenir et appliquer une approche standard de la gestion des programmes, alignée sur l'environnement spécifique de l'entreprise et 2

avec de bonnes pratiques basées sur un processus défini et l'utilisation d'une technologie appropriée. Assurez-vous que l'approche couvre le cycle de vie complet et les
disciplines à suivre, y compris la gestion de la portée, des ressources, des risques, des coûts, de la qualité, du temps, de la communication, de l'implication des parties
prenantes, de l'approvisionnement, du contrôle des modifications, de l'intégration et de la réalisation des avantages.

2. Mettre en place un bureau de programme ou un bureau de gestion de projet (PMO) qui maintient l'approche standard pour la gestion de programme et de projet dans toute 3

l'organisation. Le PMO prend en charge tous les programmes et projets en créant et en maintenant les modèles de documentation de projet requis, en fournissant une
formation et les meilleures pratiques aux gestionnaires de programme/projet, en suivant les mesures sur l'utilisation des meilleures pratiques pour la gestion de projet, etc.
Dans certains cas, le PMO peut également faire rapport sur l'avancement du programme/projet à la haute direction et/ou aux parties prenantes, aider à hiérarchiser les projets et
s'assurer que tous les projets soutiennent les objectifs commerciaux globaux de l'entreprise.

3. Évaluer les leçons apprises sur la base de l'utilisation de l'approche de gestion de programme et mettre à jour l'approche en conséquence. 4

153
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI01.02 Exemple de métriques

Lancer un programme. une. Pourcentage d'initiatives/projets I&T soutenus par les propriétaires d'entreprise
Initier un programme pour confirmer les avantages escomptés et obtenir l'autorisation de procéder. b. Pourcentage d'initiatives stratégiques avec responsabilité assignée
Cela comprend l'accord sur le parrainage du programme, la confirmation du mandat du programme c. Pourcentage de programmes entrepris sans analyses de rentabilisation approuvées
par l'approbation de l'analyse de rentabilisation conceptuelle, la nomination des membres du conseil ré. Pourcentage de parties prenantes approuvant les besoins de l'entreprise, la portée, les
d'administration ou du comité du programme, la production du résumé du programme, l'examen et résultats prévus et le niveau de risque du programme
la mise à jour de l'analyse de rentabilisation, l'élaboration d'un plan de réalisation des avantages et
l'obtention de l'approbation des commanditaires pour procéder.

Activités Niveau de capacité

1. Convenez du parrainage du programme. Nommer un conseil/comité de programme avec des membres qui ont un intérêt stratégique pour le programme, la responsabilité de la 2

prise de décision en matière d'investissement, seront considérablement impactés par le programme et seront nécessaires pour permettre la mise en œuvre du changement.

2. Nommer un gestionnaire dédié au programme, avec les compétences et les aptitudes nécessaires pour gérer le programme de manière efficace et efficiente.

3. Confirmer le mandat du programme avec les sponsors et les parties prenantes. Articulez les objectifs stratégiques du programme, les stratégies potentielles de prestation, 3

d'amélioration et les avantages attendus, et comment le programme s'intègre aux autres initiatives.

4. Développer une analyse de rentabilisation détaillée pour un programme. Impliquer toutes les parties prenantes clés pour développer et documenter une
compréhension des résultats attendus de l'entreprise, comment ils seront mesurés, la portée complète des initiatives requises, le risque encouru et l'impact sur tous les
aspects de l'entreprise. Identifier et évaluer des plans d'action alternatifs pour atteindre les résultats d'entreprise souhaités.

5. Élaborer un plan de réalisation des avantages qui sera géré tout au long du programme pour s'assurer que les avantages prévus ont toujours
propriétaires et sont atteints, soutenus et optimisés.

6. Préparer l'analyse de rentabilisation initiale (conceptuelle) du programme, en fournissant des informations essentielles à la prise de décision concernant l'objectif,
contribution aux objectifs commerciaux, valeur créée attendue, délais, etc. Soumettez-le pour approbation.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI01.03 Exemple de métriques

Gérer l'engagement des parties prenantes. une. Niveau de satisfaction des parties prenantes à l'égard de l'implication

Gérer l'engagement des parties prenantes pour assurer un échange actif d'informations b. Pourcentage de parties prenantes effectivement engagées
précises, cohérentes et opportunes pour toutes les parties prenantes concernées.
Cela comprend la planification, l'identification et l'engagement des parties prenantes et la
gestion de leurs attentes.

Activités Niveau de capacité

1. Planifier comment les parties prenantes à l'intérieur et à l'extérieur de l'entreprise seront identifiées, analysées, engagées et gérées tout au long de la vie 3

cycle des projets.

2. Identifier, engager et gérer les parties prenantes en établissant et en maintenant des niveaux appropriés de coordination, de communication et de liaison pour s'assurer qu'elles
sont impliquées dans le programme.

3. Analyser les intérêts et les exigences des parties prenantes.

4. Suivez un processus défini pour les accords de collaboration en ce qui concerne les données partagées et l'utilisation des données dans les processus métier. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 10. Gestion des communications du projet

Pratique de gestion BAI01.04 Exemple de métriques

Élaborer et tenir à jour le plan du programme. une. Fréquence des examens de l'état du programme qui ne répondent pas aux critères de valeur
Formuler un programme pour jeter les bases initiales. Positionnez-le pour une exécution réussie en b. Pourcentage de programmes actifs entrepris sans cartes de valeur de programme valides
formalisant la portée du travail et en identifiant les livrables qui satisferont les objectifs et apporteront et mises à jour
de la valeur. Maintenir et mettre à jour le plan du programme et l'analyse de rentabilisation tout au
long du cycle de vie économique complet du programme, en veillant à l'alignement sur les objectifs
stratégiques et en reflétant l'état actuel et les connaissances acquises à ce jour.

154
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Précisez le financement, le coût, le calendrier et les interdépendances de plusieurs projets. 2

2. Définir et documenter le plan de programme couvrant tous les projets. Inclure ce qui est nécessaire pour apporter des changements à l'entrepriseÿ; son objectif, sa mission, sa 3

vision, ses valeurs, sa culture, ses produits et ses servicesÿ; processus d'affaires; les compétences des gens et les chiffresÿ; les relations avec les parties prenantes, les clients,
les fournisseurs et autresÿ; besoins technologiques; et la restructuration organisationnelle nécessaire pour atteindre les résultats d'entreprise attendus du programme.

3. Veiller à ce qu'il y ait une communication efficace des plans de programme et des rapports d'avancement entre tous les projets et avec l'ensemble du programme. Assurez-
vous que toutes les modifications apportées aux plans individuels sont reflétées dans les autres plans de programme d'entreprise.

4. Maintenir le plan du programme pour s'assurer qu'il est à jour et reflète l'alignement avec les objectifs stratégiques actuels,
les progrès et les modifications importantes des résultats, des avantages, des coûts et des risques. Demandez à l'entreprise de piloter les objectifs et de hiérarchiser le travail
tout au long pour s'assurer que le programme, tel qu'il est conçu, répondra aux exigences de l'entreprise. Examinez l'avancement des projets individuels et ajustez les projets si
nécessaire pour respecter les jalons et les versions prévus.

5. Tout au long de la vie économique du programme, mettre à jour et maintenir l'analyse de rentabilisation et un registre des avantages pour identifier et définir
principaux avantages découlant de la mise en œuvre du programme.

6. Préparer un budget programme qui reflète les coûts du cycle de vie économique complet et les coûts financiers et non financiers associés.
avantages.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI01.05 Exemple de métriques

Lancer et exécuter le programme. une. Pourcentage d'approbations des parties prenantes pour les examens par étape des actifs
Lancer et exécuter le programme pour acquérir et diriger les ressources nécessaires pour programmes
atteindre les objectifs et les avantages du programme tels que définis dans le plan du programme. b. Nombre d'analyses des causes profondes des écarts par rapport au plan et des actions
Conformément aux critères d'examen d'étape ou de publication, préparez les examens d'étape, correctives nécessaires traitées
d'itération ou de publication pour rendre compte des progrès et plaider en faveur d'un financement
jusqu'à l'examen d'étape ou de publication suivant.

Activités Niveau de capacité

1. Planifiez, financez et commandez les projets nécessaires pour atteindre les résultats du programme, en fonction de l'examen du financement et des approbations à chaque 3

étape d'examen.

2. Gérer chaque programme ou projet pour s'assurer que les activités de prise de décision et de livraison sont axées sur la valeur en réalisant des avantages pour l'entreprise
et les objectifs de manière cohérente, en abordant les risques et en répondant aux exigences des parties prenantes.

3. Établir des étapes convenues du processus de développement (points de contrôle du développement). À la fin de chaque étape, animez des discussions formelles sur les
critères approuvés avec les parties prenantes. Après avoir terminé avec succès les revues de fonctionnalité, de performance et de qualité, et avant de finaliser les activités de
l'étape, obtenez l'approbation et l'approbation formelles de toutes les parties prenantes et du sponsor/
propriétaire du processus métier.

4. Entreprendre un processus de réalisation des avantages tout au long du programme pour s'assurer que les avantages prévus ont toujours des propriétaires et sont susceptibles 4

d'être atteints, soutenus et optimisés. Surveillez la livraison des avantages et établissez des rapports par rapport aux objectifs de performance à la porte de l'étape ou aux
révisions des itérations et des versions. Effectuez une analyse des causes profondes des écarts par rapport au plan et identifiez et traitez toutes les actions correctives
nécessaires.

5. Planifier des audits, des revues de qualité, des revues de phase/étape et des revues des avantages réalisés.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

155
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion BAI01.06 Exemple de métriques

Surveiller, contrôler et rendre compte des résultats du programme. une. Pourcentage des bénéfices attendus du programme réalisés
Surveiller et contrôler les performances par rapport au plan tout au long du cycle de vie b. Pourcentage de programmes pour lesquels la performance a été contrôlée et opportune
économique complet de l'investissement, couvrant la livraison de la solution au niveau du mesures correctives prises au besoin
programme et la valeur/le résultat au niveau de l'entreprise. Rendre compte des
performances au comité de pilotage du programme et aux sponsors.

Activités Niveau de capacité

1. Mettre à jour les portefeuilles d'I&T opérationnels pour refléter les changements qui résultent du programme dans le service, l'actif ou la ressource d'I&T concerné 3

portefeuilles.

2. Surveiller et contrôler la performance du programme global et des projets au sein du programme, y compris les contributions de l'entreprise et de l'informatique aux projets. 4

Rapport en temps opportun, complet et précis. Les rapports peuvent inclure le calendrier, le financement, la fonctionnalité, la satisfaction des utilisateurs, les contrôles
internes et l'acceptation des responsabilités.

3. Surveiller et contrôler les performances par rapport aux stratégies et objectifs de l'entreprise et de l'I&T. Rendre compte à la direction des changements
d'entreprise mis en œuvre, des avantages réalisés par rapport au plan de réalisation des avantages et de l'adéquation du processus de réalisation des avantages.

4. Surveiller et contrôler les services, actifs et ressources informatiques créés ou modifiés à la suite du programme. Notez les dates de mise en œuvre et de mise en service.
Rendre compte à la direction des niveaux de performance, de la prestation de services soutenue et de la contribution à la valeur.

5. Gérer les performances du programme par rapport à des critères clés (par exemple, portée, calendrier, qualité, réalisation des avantages, coûts, risques, rapidité),
identifier les écarts par rapport au plan et prendre des mesures correctives en temps opportun si nécessaire.

6. Surveiller les performances des projets individuels liés à la livraison des capacités attendues, au calendrier, à la réalisation des avantages, aux coûts, aux risques ou à
d'autres mesures. Identifier les impacts potentiels sur les performances du programme et prendre des mesures correctives en temps opportun si nécessaire.

7. Conformément aux critères d'examen de l'étape, de la publication ou de l'itération, entreprendre des examens pour rendre compte de l'avancement du programme afin
que la direction puisse prendre des décisions d'accord/de refus ou d'ajustement et approuver un financement supplémentaire jusqu'à l'étape suivante, version ou
itération.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI01.07 Exemple de métriques

Gérer la qualité du programme. une. Pourcentage de build-to-packages sans erreur

Préparer et exécuter un plan de gestion de la qualité, des processus et des pratiques b. Pourcentage de produits livrables du programme approuvés à chaque examen préliminaire
conformes aux normes de gestion de la qualité (SGQ). Décrire l'approche de la qualité et de la
mise en œuvre du programme. Le plan doit être officiellement revu et approuvé par toutes les
parties concernées et incorporé dans le plan de programme intégré.

Activités Niveau de capacité

1. Identifier les tâches et les pratiques d'assurance requises pour soutenir l'accréditation de systèmes nouveaux ou modifiés pendant le programme 3

planification et les inclure dans les plans intégrés. Veiller à ce que les tâches fournissent l'assurance que les contrôles internes et la sécurité/
les solutions de confidentialité répondent aux exigences définies.

2. Fournir une assurance qualité pour les livrables du programme, identifier la propriété et les responsabilités, les processus d'examen de la qualité,
critères de réussite et indicateurs de performance.

3. Définir toutes les exigences de validation et de vérification indépendantes de la qualité des produits livrables dans le plan. 4

4. Effectuer des activités d'assurance et de contrôle de la qualité conformément au plan de gestion de la qualité et au SMQ.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

156
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

BAI01.08 Gérer le risque du programme. une. Nombre de programmes sans évaluation adéquate des risques
Éliminer ou minimiser les risques spécifiques associés aux programmes grâce à un b. Pourcentage de programmes alignés sur la gestion des risques de l'entreprise
processus systématique de planification, d'identification, d'analyse, de réponse, de cadre

surveillance et de contrôle des zones ou des événements susceptibles de provoquer des

changements indésirables. Définir et enregistrer tout risque auquel est confrontée la gestion
du programme.

Activités Niveau de capacité

1. Établir une approche formelle de gestion des risques alignée sur le cadre de gestion des risques d'entreprise (GRE). Assurez-vous que le 3

L'approche comprend l'identification, l'analyse, la réponse, l'atténuation, la surveillance et le contrôle des risques.

2. Attribuer à un personnel qualifié la responsabilité d'exécuter le processus de gestion des risques de l'entreprise dans le cadre d'un programme et de s'assurer qu'il
est intégré aux pratiques de développement de solutions. Envisagez d'attribuer ce rôle à une équipe indépendante, surtout si un point de vue objectif est requis ou
si un programme est considéré comme critique.

3. Effectuer l'évaluation des risques d'identification et de quantification des risques en continu tout au long du programme. Gérer et communiquer les
risques de manière appropriée au sein de la structure de gouvernance du programme.

4. Identifier les propriétaires pour les actions visant à éviter, accepter ou atténuer les risques.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

BAI01.09 Fermer un programme. une. Pourcentage de programmes clôturés avec succès qui ont atteint la valeur souhaitée
Retirer le programme du portefeuille d'investissement actif lorsqu'il est convenu que la valeur b. Délai entre le lancement du programme et la détection de la faisabilité de la valeur
souhaitée a été atteinte ou lorsqu'il est clair qu'elle ne sera pas atteinte dans les critères de
valeur fixés pour le programme.

Activités Niveau de capacité

1. Amener le programme à une clôture ordonnée, y compris l'approbation formelle, la dissolution de l'organisation du programme et le soutien 3
fonction, validation des livrables et communication de la retraite.

2. Examiner et documenter les leçons apprises. Une fois le programme retiré, supprimez-le du portefeuille d'investissement actif. Déplacez toutes les capacités 4

résultantes vers un portefeuille d'actifs opérationnels pour garantir que la valeur continue d'être créée et maintenue.

3. Mettre en place la responsabilité et les processus pour s'assurer que l'entreprise continue d'optimiser la valeur du service, de l'actif ou 5

Ressources. Des investissements supplémentaires pourraient être nécessaires à l'avenir pour s'assurer que cela se produise.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Améliorations RS.IM
Cybersecurity v1.1, avril 2018

157
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

direction
Chef
de
la Directeur
Risques
des l'information
Directeur
de gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de (Programmes/
Pilotage
Projets)
Comité
de Gestionnaire
programme
de gestion
Bureau
projet
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des

Pratique de gestion des clés

BAI01.01 Maintenir une approche standard pour la gestion du programme. ARR R

BAI01.02 Lancer un programme. R RRR

BAI01.03 Gérer l'engagement des parties prenantes. RRR

BAI01.04 Élaborer et tenir à jour le plan de programme. ARR

BAI01.05 Lancer et exécuter le programme. R RRR

BAI01.06 Surveiller, contrôler et rendre compte des résultats du programme. R ARRRRR

BAI01.07 Gérer la qualité des programmes. RRR

BAI01.08 Gérer le risque du programme. R RRR R

BAI01.09 Ferme un programme. R RRR R

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Implémenter
Construire,
Acquérir
et

Pratique de gestion Contributions Les sorties

BAI01.01 Maintenir une approche standard pour le programme À partir de La description La description Pour

le management. APO03.04 Interne

• Descriptions des phases de Programme mis à jour
mise en œuvre approches de gestion
• Architecture
exigences
de gouvernance
APO05.04 Portefeuilles mis à jour de
programmes, services et
les atouts

APO10.04 Livraison fournisseur identifié

risque

EDM02.03 Exigences pour

stagegate
Commentaires

EDM02.04 Actions pour améliorer la valeur

livraison

158
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion BAI01.02 Contributions Les sorties

Lancer un programme. À partir de La description La description Pour

APO03.04 • Besoins en ressources Mandat et mémoire du APO05.02

• Descriptions des phases de programme

mise en œuvre

APO05.02 Analyse de rentabilisation du programme Analyse de rentabilisation du APO05.02

concept de programme

APO07.03 Aptitudes et compétences Plan de réalisation des APO05.02ÿ;

matrice avantages du programme APO06.05

BAI05.02 Vision et objectifs communs

BAI01.03 Gérer l'engagement des parties prenantes. Résultats de la partie prenante Interne

évaluations de
l'efficacité de
l'engagement

Engagement des parties prenantes Interne

planifier

BAI01.04 Élaborer et tenir à jour le plan de programme. APO05.02 Programmes sélectionnés avec Budget du programme et APO05.05ÿ;
Jalons du retour sur investissement
registre des prestations APO06.05

APO07.03 Aptitudes et compétences Besoins en ressources APO07.05ÿ;

matrice et rôles APO07.06

APO07.05 Inventaire des ressources Planification du programme Interne

humaines métiers et informatiques

BAI05.02 Équipe de mise en œuvre et

rôles

BAI05.03 Plan de communication visuelle

BAI05.04 Gains rapides identifiés

BAI07.03 Plan de test d'acceptation

approuvé

BAI07.05 Acceptation approuvée et

mise en production

BAI01.05 Lancer et exécuter le programme. BAI05.03 Communication de la vision Résultats de l'objectif du programme APO02.04

suivi des réalisations

Résultats de prestation APO05.05ÿ;

suivi de réalisation APO06.05

Plans d'audit du programme MEA04.02

159
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion BAI01.06 Contributions Les sorties

Surveiller, contrôler et rendre compte du programme À partir de La description Description Pour

résultats.
APO05.01 Retour sur investissement Résultats de l'examen Stage-Gate APO02.04ÿ;
attentes APO05.03ÿ;
EDM02.02

APO05.02 Évaluations de Résultats du programme MEA01.03

rentabilisation évaluations des performances

APO05.03 Portefeuille d'investissement

rapports de performances

APO05.05 •ÿRésultats des

bénéfices et
communications associées
• Actions correctives pour

améliorer la réalisation
des avantages

APO07.05 • Analyses de pénurie de

ressources
• Registres d'utilisation des
ressources

BAI05.04 Communication des

avantages

BAI06.03 Changer le statut de la demande

rapports

BAI07.05 Évaluation de l'acceptation

résultats

EDM02.04 Rétroaction sur

la performance du portefeuille
et du programme

BAI01.07 Gérer la qualité des programmes. APO11.01 Plans de gestion de la Plan de gestion de la qualité BAI02.04ÿ;
qualité BAI03.06ÿ;
BAI07.01

APO11.02 Exigences du client pour Exigences pour BAI07.03

vérification indépendante des

gestion de la qualité livrables

BAI01.08 Gérer le risque du programme. APO12.02 Résultats de l'analyse des Registre des risques du programme Interne

BAI02.03 risques • Registre des risques Évaluation des risques du programme Interne

des exigences résultats

• Mesures d'atténuation des risques

Risque d'entreprise extérieur à COBIT Plan de gestion Interne

gestion (ERM) des risques du programme

cadre

BAI01.09 Ferme un programme. BAI07.08 • Rapport d'examen post-mise Communication de APO05.04ÿ;

en œuvre retraite du programme et APO07.06

• Plan d'action correctif responsabilités continues

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4. Gestion de l'intégration du projetÿ: entrées et sortiesÿ; Partie 1ÿ: 6.
Gestion du calendrier du projetÿ: entrées et sortiesÿ; Partie 1ÿ: 10. Gestion des
communications du projetÿ: entrées et sortiesÿ; Partie 1ÿ: 11. Gestion des risques du projetÿ:
entrées et sorties

160
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion des avantages Cadre de compétences pour l'ère de l'information V6, 2015 Cadre BENM

Élaboration de plans d'affaires des compétences électroniques (e-CF)—Un cadre européen commun pour les professionnels A. Régime—A.3. Plan d'affaires
des TIC dans tous les secteurs de l'industrie—Partie 1ÿ: Cadre, 2016 Développement

Gestion de programme Cadre de compétences pour l'ère de l'information V6, 2015 Cadre PGMG

Gestion de projet et de des compétences électroniques (e-CF)—Un cadre européen commun pour les professionnels E. Gérer—E.2. Projet et
portefeuille des TIC dans tous les secteurs de l'industrie—Partie 1ÿ: Cadre, 2016 Gestion de portefeuille

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Gestion de programme/projet politique Guide la gestion des Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 2.3.1 Processus, politiques
politique risques liés aux programmes et aux projets. et procédures
Détaille le poste de direction et les attentes
concernant la gestion de programme et de
projet.
Traite la responsabilité, les buts et les
objectifs concernant la performance, le
budget, l'analyse des risques, le signalement
et l'atténuation des événements indésirables
pendant l'exécution du programme/projet.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la Conseils connexes Référence détaillée

culture Assurez-vous que l'organisation comprend et soutient la valeur de la

gestion des programmes à l'échelle de l'entreprise. Établir une culture à l'échelle de
l'entreprise qui prend en charge la mise en œuvre cohérente de la gestion des
programmes, en tenant compte de la structure organisationnelle et de l'environnement
commercial. Assurez-vous que le bureau du programme dispose d'une vue centrale de tous
les programmes du portefeuille de l'entreprise.

G. Composante : Services, Infrastructure et Applications

Outil de gestion de programme

161
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

162
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI02 — Description de la définition des exigences gérées Domaine d'interventionÿ: modèle de base COBIT

Identifier les solutions et analyser les exigences avant l'acquisition ou la création pour s'assurer qu'elles s'alignent sur les exigences stratégiques de l'entreprise couvrant les processus métier,
les applications, les informations/données, l'infrastructure et les services. Coordonner l'examen des options réalisables avec les parties prenantes concernées, y compris les coûts et avantages relatifs,
l'analyse des risques et l'approbation des exigences et des solutions proposées.

But

Créez des solutions optimales qui répondent aux besoins de l'entreprise tout en minimisant les risques.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG05ÿFourniture de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes • AG06 Agilité pour transformer les exigences métier en solutions opérationnelles
• EG12 Programmes de transformation numérique gérés • AG09 Exécuter les programmes dans les délais, en respectant le budget et en
respectant les exigences et les normes de qualité

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG01 a. Pourcentage de produits et services qui atteignent ou dépassent les objectifs de AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage livraison
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité de l'I&T

avec des capacités de processus métier aux nouvelles exigences

b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de b. Délai moyen de mise sur le marché des nouveaux services et applications liés
services à l'I&T
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
d'approvisionnement convenues et approuvées
ré. Nombre de processus métier critiques pris en charge par une infrastructure et des
applications à jour

EG12 a. Nombre de programmes dans les délais et dans les limites du budget AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme b. Nombre de programmes nécessitant une refonte importante en raison de
c. Pourcentage de programmes de transformation d'entreprise arrêtés défauts de qualité
ré. Pourcentage de programmes de transformation d'entreprise avec des c. Pourcentage de parties prenantes satisfaites du programme/projet
mises à jour régulières de l'état d'avancement qualité

163
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion Exemple de métriques

BAI02.01 Définir et tenir à jour les exigences fonctionnelles et techniques de une. Pourcentage d'exigences retravaillées en raison d'un mauvais alignement avec l'entreprise
l'entreprise. besoins et attentes
Sur la base de l'analyse de rentabilisation, identifier, hiérarchiser, spécifier et convenir b. Pourcentage d'exigences validées par des approches telles que l'examen par les pairs, la
des informations commerciales, des exigences fonctionnelles, techniques et de contrôle validation de modèles ou le prototypage opérationnel
couvrant la portée/compréhension de toutes les initiatives nécessaires pour atteindre les
résultats attendus de la solution d'affaires I&T proposée.

Activités Niveau de capacité

1. Veiller à ce que toutes les exigences des parties prenantes, y compris les critères d'acceptation pertinents, soient prises en compte, saisies, hiérarchisées et 2

enregistrées d'une manière compréhensible pour toutes les parties prenantes, en reconnaissant que les exigences peuvent changer et deviendront plus détaillées
au fur et à mesure de leur mise en œuvre.

2. Exprimer les besoins de l'entreprise en termes de la façon dont l'écart entre les capacités commerciales actuelles et souhaitées doit être
adressé et comment l'utilisateur (employé, client, etc.) va interagir avec et utiliser la solution.

3. Spécifiez et hiérarchisez les informations, les exigences fonctionnelles et techniques, en fonction de la conception de l'expérience utilisateur et confirmées
exigences des parties prenantes.

4. S'assurer que les exigences respectent les politiques et les normes de l'entreprise, l'architecture d'entreprise, les plans stratégiques et tactiques d'I&T, les 3

processus commerciaux et informatiques internes et externalisés, les exigences de sécurité, les exigences réglementaires, les compétences des personnes, la
structure organisationnelle, l'analyse de rentabilisation et la technologie habilitante.

5. Inclure les exigences de contrôle des informations dans les processus métier, les processus automatisés et les environnements I&T pour faire face aux risques liés
aux informations et se conformer aux lois, réglementations et contrats commerciaux.

6. Confirmer l'acceptation des principaux aspects des exigences, y compris les règles d'entreprise, l'expérience utilisateur, les contrôles des informations,
continuité d'activité, conformité légale et réglementaire, auditabilité, ergonomie, opérabilité et utilisabilité, sécurité, confidentialité et documentation à l'appui.

7. Suivre et contrôler la portée, les exigences et les changements tout au long du cycle de vie de la solution en tant que compréhension de la solution
évolue.

8. Définir et mettre en œuvre une procédure de définition et de maintenance des exigences et un référentiel d'exigences appropriés
pour la taille, la complexité, les objectifs et le risque de l'initiative que l'entreprise envisage d'entreprendre.

9. Valider toutes les exigences par des approches telles que l'examen par les pairs, la validation du modèle ou le prototypage opérationnel.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SD2.1 Spécifications des exigences

ISO/CEI 27002:2013/Cor.2:2015(E) 14.1 Exigences de sécurité des systèmes d'information

ITIL V3, 2011 Service Design, 5.1 Ingénierie des exigences

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 5. Gestion de la portée du projet

Pratique de gestion Exemple de métriques

BAI02.02 Effectuer une étude de faisabilité et formuler des solutions alternatives. une. Pourcentage des objectifs de l'analyse de rentabilisation atteints par la solution proposée
Réaliser une étude de faisabilité des solutions alternatives potentielles, évaluer leur viabilité et b. Pourcentage d'exigences satisfaites par la solution proposée
sélectionner l'option préférée. Le cas échéant, implémentez l'option sélectionnée en tant que
pilote pour déterminer les améliorations possibles.

Activités Niveau de capacité

1. Identifiez les actions requises pour l'acquisition ou le développement de la solution en fonction de l'architecture de l'entreprise. Tenez compte de la portée et/ou des 2

limites de temps et/ou de budget.

2. Examiner les solutions alternatives avec toutes les parties prenantes. Sélectionnez le plus approprié en fonction des critères de faisabilité, y compris
risque et coût.

3. Traduisez le plan d'action préféré en un plan d'acquisition/de développement de haut niveau qui identifie les ressources à utiliser et les étapes nécessitant une décision 3

d'aller/ne pas aller.

4. Définir et exécuter une étude de faisabilité, un pilote ou une solution de travail de base qui décrit de manière claire et concise les solutions alternatives et 4

mesure comment celles-ci satisferaient les exigences commerciales et fonctionnelles. Inclure une évaluation de leur faisabilité technologique et économique.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

164
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

BAI02.03 Gérer le risque lié aux exigences. une. Pourcentage du risque lié aux exigences non couvert par un risque approprié
Identifier, documenter, hiérarchiser et atténuer les risques fonctionnels, réponse
techniques et liés au traitement de l'information associés aux exigences de b. Niveau de détail du risque lié aux exigences documentées
l'entreprise, aux hypothèses et à la solution proposée. c. Exhaustivité de la probabilité et de l'impact estimés des exigences
énumérées et des réponses aux risques

Activités Niveau de capacité

1. Identifier les risques liés à la qualité, aux exigences fonctionnelles et techniques (dus, par exemple, au manque d'implication des utilisateurs, 3
attentes, développeurs ajoutant des fonctionnalités inutiles, hypothèses irréalistes, etc.).

2. Déterminer la réponse appropriée au risque lié aux exigences.

3. Analyser le risque identifié en estimant la probabilité et l'impact sur le budget et le calendrier. Évaluer l'impact budgétaire de 4
actions appropriées de réponse aux risques.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

BAI02.04 Obtenir l'approbation des exigences et des solutions. une. Niveau de satisfaction des parties prenantes à l'égard des exigences
Coordonner les commentaires des parties prenantes concernées. À des étapes b. Nombre d'exceptions de solution à la conception notées lors des revues d'étape

Implémen
Construir
Acquérir
et clés prédéterminées, obtenez l'approbation et la signature du sponsor commercial
ou du propriétaire du produit concernant les exigences fonctionnelles et techniques,
les études de faisabilité, les analyses de risque et les solutions recommandées.

Activités
c. Pourcentage de parties prenantes n'approuvant pas la solution par rapport à
l'analyse de rentabilisation

1. Assurez-vous que le sponsor commercial ou le propriétaire du produit fait le choix final de la solution, de l'approche d'acquisition et de la stratégie de haut niveau.
conception, selon l'analyse de rentabilisation. Obtenir les approbations nécessaires des parties prenantes concernées (par exemple, le propriétaire du processus métier, l'architecte
d'entreprise, le responsable des opérations, la sécurité, le responsable de la confidentialité).
Niveau de capacité

2. Obtenez des revues de qualité tout au long et à la fin de chaque étape clé du projet, itération ou version. Évaluer les résultats par rapport aux critères 4
d'acceptation d'origine. Demandez aux sponsors commerciaux et aux autres parties prenantes de signer chaque examen de qualité réussi.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

Directeur
Risques
des l'information
Directeur
de Propriétaires
processus
métier
de (Programmes/
Pilotage
Projets)
Comité
de Gestionnaire
programme
de projet
Chef
de gestion
Bureau
projet
de Gestionnaire
relation
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'information
Responsable
sécurité
de
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

BAI02.01 Définir et tenir à jour les exigences fonctionnelles et techniques de l'entreprise. RRRRRRR RR

BAI02.02 Réaliser une étude de faisabilité et formuler des solutions alternatives. RARRR R

BAI02.03 Gérer le risque lié aux exigences. RRRARRR RRRRR

BAI02.04 Obtenir l'approbation des exigences et des solutions. RARRR RR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

165
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI02.01 Définir et maintenir l'activité fonctionnelle et À partir de La description La description Pour

les pré-requis techniques.

APO01.07 • Directives de classification Définition des besoins BAI03.01ÿ;
des données dépôt BAI03.02ÿ;
• Directives de sécurité et BAI03.12ÿ;
de contrôle des données BAI04.01ÿ;
• Procédures BAI05.01

d'intégrité des données

APO03.01 Principes architecturaux Acceptation confirmée BAI03.01ÿ;

critères des BAI03.02ÿ;
parties prenantes BAI03.12ÿ;
BAI04.03ÿ;
BAI05.01ÿ;
BAI05.02

APO03.02 • Descriptions de Enregistrement de l'exigence BAI03.09

domaine de base et demandes de changement

définition de l'architecture
• Modèle
d'architecture d'informations

APO03.05 Développement de solutions

conseils

APO10.02 Les demandes des vendeurs pour

informations (RFI) et
demandes de propositions
(appels d'offres)

APO11.02 Critères d'acceptation

APO14.02 Lexique métier

BAI02.02 Réaliser une étude de faisabilité et formuler APO03.05 Développement de solutions Acquisition de haut niveau/ APO10.02ÿ;
Solutions alternatives. conseils plan de développement BAI03.01

APO10.01 Catalogue des fournisseurs Rapport d'étude de faisabilité BAI03.02ÿ;

BAI03.03ÿ;
BAI03.12
APO10.02 • Demandes d'informations
aux fournisseurs (RFI) et
demandes de propositions
(appels d'offres)

• Évaluations RFI et RFP

•ÿRésultats des décisions des
évaluations des fournisseurs

APO11.02 Critères d'acceptation

BAI02.03 Gérer le risque lié aux exigences. Registre des risques liés BAI01.08ÿ;
aux exigences BAI03.02ÿ;
BAI04.01ÿ;
BAI05.01ÿ;
BAI11.06

Mesures d'atténuation des risques BAI01.08ÿ;

BAI03.02ÿ;
BAI05.01

BAI02.04 Obtenir l'approbation des exigences et des solutions. BAI01.07 Plan de gestion de la qualité Revues de qualité approuvées APO11.03

BAI11.05 Qualité du projet Approbations des sponsors de BAI03.02ÿ;

plan de gestion exigences et BAI03.03ÿ;
solutions proposées BAI03.04

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 5. Périmètre de la gestion du projetÿ: entrées et sorties

166
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Référence détaillée

Conception d'applications Framework (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part A. Régime—A.6. Conception d'applications
1: Framework, 2016

Analyse commerciale Référentiel de compétences pour l'ère de l'information V6, 2015 BUAN

Amélioration des processus d'affaires Référentiel de compétences pour l'ère de l'information V6, 2015 BPRE

Identification des besoins D. Activer—D.11. Besoins

Identification

Définition des besoins et Cadre de compétences pour l'ère de l'information V6, 2015 REQM
le management

Analyse de l'expérience utilisateur Cadre de compétences pour l'ère de l'information V6, 2015 UNAN

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de développement de logiciels Normalise le développement

de logiciels dans toute

l'organisation en répertoriant tous les protocoles
et normes à suivre.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir une culture qui garantit des processus cohérents et robustes pour définir les
exigences. Assurez-vous que les processus alignent clairement les exigences de
développement sur les exigences stratégiques de l'entreprise.

G. Composante : Services, Infrastructure et Applications

Outils de définition et de documentation des exigences

167
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

168
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestionÿ: BAI03ÿ–ÿIdentification des solutions gérées et description de la version Domaine d'interventionÿ: modèle de base COBIT

Établir et maintenir des produits et services identifiés (technologie, processus commerciaux et flux de travail) conformément aux exigences de l'entreprise couvrant la conception, le développement,
l'approvisionnement/l'approvisionnement et le partenariat avec les fournisseurs. Gérer la configuration, la préparation des tests, les tests, la gestion des exigences et la maintenance des processus métier,
des applications, des informations/données, de l'infrastructure et des services.

But

Assurer une livraison agile et évolutive des produits et services numériques. Établir des solutions opportunes et rentables (technologie, processus commerciaux et flux de travail) capables de soutenir les
objectifs stratégiques et opérationnels de l'entreprise.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG05ÿFourniture de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes • AG06 Agilité pour transformer les exigences métier en solutions opérationnelles
• EG12 Programmes de transformation numérique gérés • AG09 Exécuter les programmes dans les délais, en respectant le budget et en
respectant les exigences et les normes de qualité

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG01 a. Pourcentage de produits et services qui atteignent ou dépassent les objectifs de AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage livraison
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité de l'I&T

avec des capacités de processus métier aux nouvelles exigences

b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de b. Délai moyen de mise sur le marché des nouveaux services et applications liés
services à l'I&T
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
d'approvisionnement convenues et approuvées
ré. Nombre de processus métier critiques pris en charge par une infrastructure et des
applications à jour

EG12 a. Nombre de programmes dans les délais et dans les limites du budget AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme b. Nombre de programmes nécessitant une refonte importante en raison de
c. Pourcentage de programmes de transformation d'entreprise arrêtés défauts de qualité
ré. Pourcentage de programmes de transformation d'entreprise avec des c. Pourcentage de parties prenantes satisfaites du programme/projet
mises à jour régulières de l'état d'avancement qualité

A. Composante : Processus

Pratique de gestion BAI03.01 Exemple de métriques

Concevoir des solutions de haut niveau. une. Nombre de lacunes dans la revue de conception
Développer et documenter des conceptions de haut niveau pour la solution en termes de b. Pourcentage de participation des parties prenantes à la conception et à l'approbation de chaque
technologie, de processus métier et de flux de travail. Utiliser des techniques de développement version

Agile progressives ou rapides convenues et appropriées. Assurer l'alignement avec la stratégie

I&T et l'architecture d'entreprise. Réévaluez et mettez à jour les conceptions lorsque des problèmes
importants surviennent pendant les phases de conception détaillée ou de construction, ou à
mesure que la solution évolue. Appliquer une approche centrée sur l'utilisateurÿ; s'assurer que les
parties prenantes participent activement à la conception et approuvent chaque version.

169
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Établir une spécification de conception de haut niveau qui traduit la solution proposée en une conception de haut niveau pour les processus métier, les services de support, les flux de 2

travail, les applications, l'infrastructure et les référentiels d'informations capables de répondre aux exigences de l'architecture métier et d'entreprise.

2. Impliquer des concepteurs d'expérience utilisateur et des spécialistes informatiques dûment qualifiés et expérimentés dans le processus de conception pour s'assurer que la
conception fournit une solution qui utilise de manière optimale les capacités I&T proposées pour améliorer le processus métier.

3. Créez une conception conforme aux normes de conception de l'organisation. Veiller à ce qu'il maintienne un niveau de détail approprié à la solution et à la méthode de
développement et conforme aux stratégies commerciales, d'entreprise et I&T, à l'architecture d'entreprise, au plan de sécurité/confidentialité et aux lois, réglementations
et contrats applicables.

4. Après l'approbation de l'assurance qualité, soumettre la conception finale de haut niveau aux parties prenantes du projet et au sponsor/entreprise
responsable du processus pour approbation sur la base de critères convenus. Cette conception évoluera tout au long du projet au fur et à mesure que la compréhension grandira.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, The Standard of Good Practice for Information Security 2016 Management Practice Conception du système SD2.2

BAI03.02 Concevoir des composants de solution détaillés. Exemple de métriques

une. Nombre de lacunes dans la revue de conception

Développer, documenter et élaborer progressivement des conceptions détaillées. Utiliser des b. Nombre de modifications de conception en cours
techniques de développement Agile progressives ou rapides convenues et appropriées, traitant tous
les composants (processus commerciaux et contrôles automatisés et manuels connexes, applications
I&T de soutien, services d'infrastructure et produits technologiques, et partenaires/fournisseurs). Assurez-
vous que la conception détaillée inclut des accords de niveau de service (SLA) internes et externes et
des accords de niveau opérationnel (OLA).

Activités Niveau de capacité

1. Concevoir progressivement les activités de processus métier et les flux de travail qui doivent être exécutés en conjonction avec le nouveau 2

système d'application pour atteindre les objectifs de l'entreprise, y compris la conception des activités de contrôle manuel.

2. Concevoir les étapes de traitement de l'application. Ces étapes incluent la spécification des types de transaction et des règles de traitement métier, les contrôles automatisés,
les définitions de données/objets métier, les cas d'utilisation, les interfaces externes, les contraintes de conception et d'autres exigences (par exemple, licences, juridiques,
normes et internationalisation/localisation).

3. Classer les entrées et les sorties de données selon les normes d'architecture d'entreprise. Spécifiez la conception de la collecte de données source.
Documenter les entrées de données (quelle qu'en soit la source) et la validation pour le traitement des transactions ainsi que les méthodes de validation. Concevoir les
extrants identifiés, y compris les sources de données.

4. Concevoir l'interface système/solution, y compris tout échange de données automatisé.

5. Concevez le stockage, l'emplacement, la récupération et la capacité de récupération des données.

6. Concevez une redondance, une récupération et une sauvegarde appropriées.

7. Concevoir l'interface entre l'utilisateur et l'application système de sorte qu'elle soit facile à utiliser et auto-documentée. 3

8. Tenez compte de l'impact du besoin de la solution en matière de performances d'infrastructure, en étant sensible au nombre d'actifs informatiques, à l'intensité de la bande passante
et à la sensibilité temporelle des informations.

9. Évaluer de manière proactive les faiblesses de conception (par exemple, incohérences, manque de clarté, défauts potentiels) tout au long du cycle de vie.
Identifier les améliorations nécessaires.

10. Fournir une capacité à auditer les transactions et à identifier les causes profondes des erreurs de traitement.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 Conception du système SD2.2

170
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion BAI03.03 Exemple de métriques

Développer des composants de solution. une. Nombre d'exceptions de solution à la conception notées lors des revues d'étape
Développer progressivement les composants de la solution dans un environnement séparé, en b. Nombre de conceptions détaillées pour les processus métier, prenant en charge
conformément aux conceptions détaillées suivant les normes et les exigences en matière de services, applications et infrastructure, et référentiels d'informations
développement et de documentation, d'assurance qualité (AQ) et d'approbation. Veiller à ce que
toutes les exigences de contrôle dans les processus opérationnels, les applications de soutien et
les services d'infrastructure d'I&T, les services et les produits technologiques, et les services des
partenaires/fournisseurs soient satisfaites.

Activités Niveau de capacité

1. Dans un environnement distinct, développer la conception détaillée proposée pour les processus métier, les services de support, les applications, 2

l'infrastructure et les référentiels d'informations.

2. Lorsque des fournisseurs tiers sont impliqués dans le développement de la solution, assurez-vous que la maintenance, le support, le développement
les normes et les licences sont abordées et respectées dans les obligations contractuelles.

3. Suivre les demandes de changement et les revues de conception, de performance et de qualité. Assurer la participation active de toutes les parties prenantes concernées.

4. Documenter tous les composants de la solution conformément aux normes définies. Maintenir le contrôle de version sur tous les composants développés
et la documentation associée.

5. Évaluer l'impact de la personnalisation et de la configuration des solutions sur les performances et l'efficacité des solutions acquises et sur l'interopérabilité avec les 3

applications, systèmes d'exploitation et autres infrastructures existants. Adaptez les processus métier selon les besoins pour tirer parti de la capacité de l'application.

6. Veiller à ce que les responsabilités liées à l'utilisation des composants d'infrastructure à haute sécurité ou à accès restreint soient clairement définies et comprises
par ceux qui développent et intègrent les composants d'infrastructure. Leur utilisation doit être surveillée et évaluée.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC SD1.2 Environnements de développement système

27002:2013/Cor.2:2015(E) 14.2 Sécurité dans les processus de développement et de support

ITIL V3, 2011 Stratégie de service, stratégie de service informatique 5.5 et développement d'applications

Publication spéciale de l'Institut national des normes et de la technologie 3.18 Acquisition de systèmes et de services (SA-3)
800-53, révision 5 (ébauche), août 2017

Pratique de gestion BAI03.04 Exemple de métriques

Acquérir les composants de la solution. une. Pourcentage de fournisseurs certifiés

Acquérir les composants de la solution, sur la base du plan d'acquisition, b. Pourcentage de fournisseurs engagés dans la conception collaborative
conformément aux exigences et aux conceptions détaillées, aux principes et normes
d'architecture, ainsi qu'aux procédures générales d'approvisionnement et de contrat de
l'entreprise, aux exigences d'assurance qualité et aux normes d'approbation. Assurez-vous que
toutes les exigences légales et contractuelles sont identifiées et traitées par le fournisseur.

Activités Niveau de capacité

1. Créer et maintenir un plan d'acquisition des composants de la solution. Envisager une flexibilité future pour les ajouts de capacité, 3

les coûts de transition, les risques et les mises à niveau tout au long de la durée de vie du projet.

2. Examiner et approuver tous les plans d'acquisition. Tenir compte des risques, des coûts, des avantages et de la conformité technique avec l'entreprise
normes architecturales.

3. Évaluer et documenter la mesure dans laquelle les solutions acquises nécessitent une adaptation des processus métier pour tirer parti des avantages
de la solution acquise.

4. Suivez les approbations requises aux points de décision clés au cours des processus d'approvisionnement.

5. Enregistrer la réception de toutes les acquisitions d'infrastructures et de logiciels dans un inventaire des actifs.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, The Standard of Good Practice for Information Security 2016 National Institute of Acquisition du logiciel SD2.3

Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity v1.1, 3.4 Décisions d'achat
avril 2018

Publication spéciale de l'Institut national des normes et de la technologie 800- 3.18 Acquisition de systèmes et de services (SA-4)
53, révision 5 (ébauche), août 2017

171
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

BAI03.05 Créer des solutions. une. Écart entre l'effort de développement estimé et final
Installez et configurez des solutions et intégrez-les aux activités des processus métier. Lors b. Nombre de problèmes logiciels signalés
de la configuration et de l'intégration du matériel et des logiciels d'infrastructure, mettre en c. Nombre d'erreurs de révision

œuvre des mesures de contrôle, de sécurité, de confidentialité et d'auditabilité pour protéger

les ressources et garantir la disponibilité et l'intégrité des données. Mettre à jour le catalogue de
produits ou de services pour refléter les nouvelles solutions.

Activités Niveau de capacité

1. Intégrer et configurer les composants des solutions métier et informatiques et les référentiels d'informations conformément aux spécifications détaillées et aux exigences de 2

qualité. Tenez compte du rôle des utilisateurs, des parties prenantes métier et du propriétaire du processus dans la configuration des processus métier.

2. Compléter et mettre à jour les processus opérationnels et les manuels opérationnels, si nécessaire, pour tenir compte de toute personnalisation ou conditions spéciales propres
à la mise en œuvre.

3. Tenez compte de toutes les exigences de contrôle des informations pertinentes lors de l'intégration et de la configuration des composants de la solution. Inclure
la mise en œuvre de contrôles commerciaux, le cas échéant, dans des contrôles d'application automatisés de sorte que le traitement soit précis, complet, opportun, autorisé et
vérifiable.

4. Mettre en œuvre des pistes d'audit lors de la configuration et de l'intégration du matériel et des logiciels d'infrastructure pour protéger les ressources et 3

assurer la disponibilité et l'intégrité.

5. Considérez quand l'effet des personnalisations et configurations cumulatives (y compris les changements mineurs qui n'ont pas été soumis à
spécifications de conception formelles) nécessite une réévaluation de haut niveau de la solution et des fonctionnalités associées.

6. Configurez le logiciel d'application acquis pour répondre aux exigences de traitement de l'entreprise.

7. Définir des catalogues de produits et de services pour les groupes cibles internes et externes pertinents, en fonction des besoins de l'entreprise.

8. Assurer l'interopérabilité des composants de la solution avec les tests de support, de préférence automatisés.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 ISF, la norme 10.05 Sécurité dans les processus de développement et de support

de bonnes pratiques pour la sécurité de l'information 2016 Construction du système SD2.4

Pratique de gestion BAI03.06 Exemple de métriques

Effectuer l'assurance de la qualité (AQ). une. Nombre de conceptions de solutions retravaillées en raison d'un mauvais alignement
Développer, ressourcer et exécuter un plan d'AQ aligné sur le SMQ pour obtenir la qualité spécifiée avec les exigences
dans la définition des exigences et dans les politiques et procédures de qualité de l'entreprise. b. Nombre et robustesse des activités de surveillance documentées réalisées

Activités Niveau de capacité

1. Définir un plan d'AQ et les pratiques comprennent, par exemple, la spécification des critères de qualité, les processus de validation et de vérification, 3

la définition de la manière dont la qualité sera examinée, les qualifications nécessaires des examinateurs de la qualité et les rôles et responsabilités pour l'atteinte de la
qualité.

2. Surveillez fréquemment la qualité de la solution en fonction des exigences du projet, des politiques de l'entreprise, du respect du développement 4

méthodologies, procédures de gestion de la qualité et critères d'acceptation.

3. Utiliser, le cas échéant, l'inspection du code, les pratiques de développement pilotées par les tests, les tests automatisés, l'intégration continue, les visites guidées et les
tests des applications. Rendre compte des résultats du processus de surveillance et des tests à l'équipe de développement de logiciels d'application et à la direction
informatique.

4. Surveillez toutes les exceptions de qualité et traitez toutes les actions correctives. Tenir un registre de tous les examens, résultats, exceptions et corrections. Répétez
les revues de qualité, le cas échéant, en fonction de la quantité de retouches et d'actions correctives.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SD1.3 Assurance qualité

172
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

BAI03.07 Se préparer aux tests de solutions. une. Nombre d'utilisateurs métier impliqués dans la création d'un plan de test
Établissez un plan de test et les environnements requis pour tester les composants individuels b. Nombre et robustesse des cas d'utilisation créés pour les tests
et intégrés de la solution. Inclure les processus métier et les services, applications et
infrastructures de support.

Activités Niveau de capacité

1. Créer un plan de test intégré et des pratiques adaptées à l'environnement de l'entreprise et aux plans technologiques stratégiques. 2

Assurez-vous que le plan et les pratiques de test intégrés permettront la création d'environnements de test et de simulation appropriés pour aider à vérifier que la
solution fonctionnera avec succès dans l'environnement réel et fournira les résultats escomptés et que les contrôles sont adéquats.

2. Créez un environnement de test qui prend en charge l'ensemble de la portée de la solution. Assurez-vous que l'environnement de test reflète, aussi fidèlement
que possible, les conditions du monde réel, y compris les processus et procédures métier, la gamme d'utilisateurs, les types de transactions et les conditions de
déploiement.

3. Créer des procédures de test qui s'alignent sur le plan et les pratiques et permettent d'évaluer le fonctionnement de la solution dans le monde réel 3

conditions. Assurez-vous que les procédures de test évaluent l'adéquation des contrôles, sur la base de normes à l'échelle de l'entreprise qui définissent les rôles,
les responsabilités et les critères de test, et sont approuvées par les parties prenantes du projet et le sponsor/propriétaire du processus métier.

4. Documentez et enregistrez les procédures de test, les cas, les contrôles et les paramètres pour les tests futurs de l'application.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 AD.DE Sauvegarder l'environnement de développement

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.10 Entretien (MA-2, MA-3)
(ébauche), août 2017

Pratique de gestion Exemple de métriques

BAI03.08 Exécuter les tests de la solution. une. Nombre d'erreurs trouvées lors des tests
Pendant le développement, exécutez les tests en continu (y compris les tests de b. Temps et efforts pour effectuer les tests
contrôle), conformément au plan de test défini et aux pratiques de développement dans
l'environnement approprié. Impliquez les propriétaires de processus métier et les
utilisateurs finaux dans l'équipe de test. Identifiez, enregistrez et hiérarchisez les erreurs et les
problèmes identifiés lors des tests.

Activités Niveau de capacité

1. Entreprendre les tests des solutions et de leurs composants conformément au plan de test. Inclure des testeurs indépendants de l'équipe de la solution, avec des 2

propriétaires de processus métier représentatifs et des utilisateurs finaux. Assurez-vous que les tests sont effectués uniquement dans les environnements de
développement et de test.

2. Utilisez des instructions de test clairement définies, telles que définies dans le plan de test. Considérez l'équilibre approprié entre les scripts automatisés
tests et tests utilisateurs interactifs.

3. Effectuez tous les tests conformément au plan et aux pratiques de test. Inclure l'intégration des processus opérationnels et des composants de la solution
informatique et des exigences non fonctionnelles (par exemple, la sécurité, la confidentialité, l'interopérabilité, la convivialité).

4. Identifier, enregistrer et classer (par exemple, les erreurs mineures, significatives et critiques) pendant les tests. Répétez les tests jusqu'à ce que toutes les erreurs
significatives aient été résolues. S'assurer qu'une piste d'audit des résultats des tests est conservée.

5. Enregistrer les résultats des tests et communiquer les résultats des tests aux parties prenantes conformément au plan de test.

Orientations connexes (normes, cadres, exigences de conformité)

CMMI Cybermaturity Platform, 2018 ISF, The Test de développement sécurisé AD.ST

Standard of Good Practice for Information Security 2016 National Institute of Test du système SD2.5ÿ; Test de sécurité SD2.6

Standards and Technology Special Publication 800-53, Revision 5 (Draft), août 2017 3.18 Acquisition de systèmes et de services (SA-11)

173
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion BAI03.09 Exemple de métriques

Gérer les modifications apportées aux exigences. une. Nombre de modifications suivies et approuvées qui génèrent de nouvelles erreurs
Suivez l'état des exigences individuelles (y compris toutes les exigences rejetées) tout b. Pourcentage de parties prenantes satisfaites des processus de gestion du changement
au long du cycle de vie du projet. Gérer l'approbation des modifications apportées aux exigences.

Activités Niveau de capacité

1. Évaluer l'impact de toutes les demandes de changement de solution sur le développement de la solution, l'analyse de rentabilisation initiale et le budget. 3

Classez-les et hiérarchisez-les en conséquence.

2. Suivre les modifications apportées aux exigences, permettant à toutes les parties prenantes de surveiller, d'examiner et d'approuver les modifications. Assurez-
vous que les résultats du processus de changement sont pleinement compris et acceptés par toutes les parties prenantes et le sponsor/propriétaire du processus
métier.

3. Appliquer les demandes de changement, en maintenant l'intégrité de l'intégration et de la configuration des composants de la solution. Évaluer l'impact de toute mise à
niveau majeure de la solution et la classer en fonction de critères objectifs convenus (tels que les exigences de l'entreprise), en fonction du résultat de l'analyse du risque
encouru (tel que l'impact sur les systèmes et processus existants ou la sécurité/la confidentialité), le rapport coût-avantage justification et autres exigences.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 Pratique de SD2.9 Examen post-mise en œuvre

gestion Exemple de métriques

BAI03.10 Maintenir les solutions. une. Nombre de demandes de maintenance non satisfaites

Élaborer et exécuter un plan de maintenance des composants de la solution et de b. Durée des demandes de maintenance satisfaites et qui vont
l'infrastructure. Inclure des examens périodiques par rapport aux besoins de l'entreprise et aux insatisfait

exigences opérationnelles.

Activités Niveau de capacité

1. Élaborer et exécuter un plan de maintenance des composants de la solution. Inclure des examens périodiques par rapport aux besoins de l'entreprise et aux exigences 2

opérationnelles telles que la gestion des correctifs, les stratégies de mise à niveau, les risques, la confidentialité, l'évaluation des vulnérabilités et les exigences de sécurité.

2. Évaluer l'importance d'une activité de maintenance proposée sur la conception, les fonctionnalités et/ou les activités actuelles de la solution 3

processus. Tenez compte des risques, de l'impact sur les utilisateurs et de la disponibilité des ressources. Assurez-vous que les responsables des processus métier comprennent l'effet de
la désignation des modifications en tant que maintenance.

3. En cas de modifications majeures des solutions existantes entraînant des modifications importantes des conceptions et/ou des fonctionnalités actuelles
et/ou des processus métier, suivez le processus de développement utilisé pour les nouveaux systèmes. Pour les mises à jour de maintenance, utilisez le processus de
gestion des modifications.

4 . Assurez-vous que le modèle et le volume des activités de maintenance sont analysés périodiquement pour détecter les tendances anormales qui indiquent des 4

problèmes sous-jacents de qualité ou de performances, le rapport coût/bénéfice d'une mise à niveau majeure ou d'un remplacement au lieu d'une maintenance.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 27002:2013/Cor.2:2015(E) 14.3 Données d'essai

Pratique de gestion BAI03.11 Exemple de métriques

Définir les produits et services informatiques et maintenir le portefeuille de services. une. Pourcentage d'intervenants approuvant les nouveaux services d'I&T
b. Pourcentage de définitions de service et d'options de niveau de service nouvelles ou
Définir et convenir des produits ou services informatiques nouveaux ou modifiés et des options de modifiées documentées dans le portefeuille de services.
niveau de service. Documenter les définitions de produits et services nouvelles ou modifiées et les c. Pourcentage de définitions de service nouvelles ou modifiées et d'options de niveau
options de niveau de service à mettre à jour dans le portefeuille de produits et services. de service mises à jour dans le portefeuille de services

174
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Proposer des définitions des produits et services informatiques nouveaux ou modifiés pour s'assurer qu'ils sont adaptés à l'objectif. Documenter le 3

définitions proposées dans la liste du portefeuille de produits et services à développer.

2. Proposer des options de niveau de service nouvelles ou modifiées (temps de service, satisfaction des utilisateurs, disponibilité, performances, capacité, sécurité,
confidentialité, continuité, conformité et convivialité) pour garantir que les produits et services informatiques sont adaptés à l'utilisation. Documenter les options de service
proposées dans le portefeuille.

3. Interface avec la gestion des relations commerciales et la gestion du portefeuille pour convenir des définitions de produits et services proposés et des options de niveau de
service.

4. Si le changement de produit ou de service relève de l'autorité d'approbation convenue, créez les produits et services ou services informatiques nouveaux ou modifiés
options de niveau. Sinon, transmettez le changement à la gestion de portefeuille pour l'examen des investissements.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI03.12 Exemple de métriques

Concevoir des solutions basées sur la méthodologie de développement définie. une. Pourcentage de projets de développement de solutions qui appliquent des
méthodologies de développement sélectionnées
Concevoir, développer et mettre en œuvre des solutions avec la méthodologie de b. Pourcentage de processus adaptés à la stratégie choisie
développement appropriée (c'est-à-dire cascade, Agile ou I&T bimodale), conformément à
la stratégie globale et aux exigences.

Activités Niveau de capacité

1. Analyser et évaluer l'impact du choix d'une méthodologie de développement (c'est-à-dire cascade, Agile, bimodal) sur les ressources disponibles, les exigences 3

d'architecture, les paramètres de configuration et la rigidité du système.

2. Établir la méthodologie de développement et l'approche organisationnelle appropriées qui fournissent la solution proposée de manière efficace et efficiente et qui sont capables de
répondre aux exigences commerciales, architecturales et système. Adapter les processus selon les besoins à la stratégie choisie.

3. Établir les équipes de projet nécessaires telles que définies par la méthodologie de développement choisie. Fournir une formation suffisante.

4. Envisagez d'appliquer un système double, si nécessaire, dans lequel des groupes interfonctionnels (usines numériques) se concentrent sur le développement d'un produit
ou d'un processus en utilisant une technologie, une méthodologie opérationnelle ou de gestion différente du reste de l'entreprise.
L'intégration de ces groupes dans des business units a l'avantage de diffuser la nouvelle culture du développement agile et de faire de cette approche d'usine numérique la
norme.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SD1.1 Méthodologie de développement du système

175
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

l'information
Directeur
de technologie
directeur
de
la numérique
Directeur Propriétaires
processus
métier
de Gestionnaire
portefeuille
de (Programmes/
Pilotage
Projets)
Comité
de Gestionnaire
programme
de projet
Chef
de gestion
Bureau
projet
de Gestionnaire
relation
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

BAI03.01 Concevoir des solutions de haut niveau. R RARRRR R R

BAI03.02 Concevoir les composants détaillés de la solution. R RARRR R

BAI03.03 Développer des composants de solutions. R RARRR R

BAI03.04 Acquérir les composants de la solution. R AR RRR

BAI03.05 Créer des solutions. R RARRR R R

BAI03.06 Effectuer l'assurance qualité (AQ). R RARRR R

BAI03.07 Se préparer pour les tests de solution. R AR RR RRRRR

BAI03.08 Exécuter les tests de solutions. R AR RR R R

BAI03.09 Gérer les modifications apportées aux exigences. R RARRR RR R R

BAI03.10 Maintenir les solutions. RA R RRR R R R

BAI03.11 Définir les produits et services informatiques et maintenir le portefeuille de services. UNE RR R

BAI03.12 Concevoir des solutions basées sur la méthodologie de développement définie. RA R RR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Implémenter
Construire,
Acquérir
et

Aucune orientation connexe pour ce composant

176
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion BAI03.01 Contributions Les sorties

Concevoir des solutions de haut niveau. À partir de La description La description Pour

APO03.01 Principes architecturaux Spécification de conception BAI04.03ÿ;

de haut niveau approuvée BAI05.01
APO03.02 Domaine de base

descriptions et
définition de l'architecture

APO04.03 Analyses de recherche de

possibilités d'innovation

APO04.04 Évaluations de l'innovation

des idées

BAI02.01 • Référentiel de définition des

exigences
• Critères d'acceptation confirmés
par les parties prenantes

BAI02.02 Acquisition de haut niveau/

plan de développement

BAI03.02 Concevoir les composants détaillés de la solution. APO03.01 Principes architecturaux Interne et externe BAI04.02
SLA

APO03.02 • Descriptions de Conception détaillée approuvée BAI04.03ÿ;

domaine de base et spécification BAI05.01
définition de l'architecture
• Modèle
d'architecture d'informations

APO03.05 Développement de solutions

conseils

APO04.06 Évaluations de

approches

BAI02.01 • Référentiel de définition des

exigences
• Critères d'acceptation confirmés
par les parties prenantes

BAI02.02 Rapport d'étude de faisabilité

BAI02.03 • Registre des risques liés

aux exigences
• Mesures d'atténuation des risques

BAI02.04 Approbations des

exigences et des
solutions proposées par le
sponsor

BAI03.03 Développer des composants de solutions. BAI02.02 Rapport d'étude de faisabilité Solution documentée BAI04.03ÿ;
Composants BAI05.05ÿ;
BAI02.04 Approbations des
BAI08.02ÿ;
exigences et des
BAI08.03
solutions proposées par le
sponsor

177
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion BAI03.04 Contributions Les sorties

Acquérir les composants de la solution. À partir de La description La description Pour

BAI02.04 Approbations Plan d'acquisition approuvé APO10.03

des exigences et des

solutions proposées par le
Mises à jour de BAI09.01
sponsor
l'inventaire des actifs

BAI03.05 Créer des solutions. Intégré et configuré BAI06.01

composants de la solution

BAI03.06 Effectuer l'assurance qualité (AQ). APO11.01 Résultats du SMQ Résultats de l'examen de la qualité, APO11.04
revues d'efficacité exceptions et
corrections

BAI01.07 Plan de gestion de la qualité Plan d'Assurance Qualité APO11.04

BAI11.05 Qualité du projet

plan de gestion

BAI03.07 Se préparer pour les tests de solution. Les procédures d'essai BAI07.03

Plan de test BAI07.03

BAI03.08 Exécuter les tests de solutions. APO04.05 Analyse des rejets Communication BAI07.03
initiatives des résultats des tests

Journaux des résultats des tests et audit BAI07.03

les sentiers

BAI03.09 Gérer les modifications apportées aux exigences. APO04.05 Résultats et Enregistrement de toutes les BAI06.03
recommandations de demandes de changement

initiatives de preuve approuvées et appliquées

de concept

BAI02.01 Enregistrement de l'exigence

demandes de changement

BAI03.10 Maintenir les solutions. Plan de maintenance APO08.05

Solution mise à jour BAI05.05

composants et associés
Documentation

BAI03.11 Définir les produits et services informatiques et maintenir APO02.04 • Lacunes et changements Portefeuille de services mis à jour APO05.04
le portefeuille de services. nécessaires pour réaliser
la capacité cible
•ÿÉnoncé des avantages de la

valeur pour l'environnement cible

APO06.02 Allocations budgétaires • Définitions des services EDM02.01ÿ;

DSS01.03
APO06.03 Budget I&T
•
Communication budgétaire

APO08.05 Définition du potentiel

projets d'amélioration

BAI10.02 Base de configuration

BAI10.03 Modifications approuvées de la

ligne de base

BAI10.04 Rapports sur l'état de la

configuration

EDM04.01 Principes directeurs pour

allouer des ressources et
capacités

178
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

BAI03.12 Concevoir des solutions basées sur les À partir de La description La description Pour

méthodologie de développement.
APO03.02 Domaine de base

descriptions et
définition de l'architecture

APO03.05 Développement de solutions

conseils

APO07.03 Aptitudes et compétences

matrice

BAI02.01 • Critères d'acceptation confirmés

par les parties prenantes

• Référentiel de définition des

exigences

BAI02.02 Rapport d'étude de faisabilité

BAI10.02 Base de configuration

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Référence détaillée

Développement d'applications Framework (e-CF)—A common European Framework for ICT Professionals in all industry sector— B. Construire—B.1. Application
Part 1: Framework, 2016 Développement

Test des processus métier Cadre de compétences pour l'ère de l'information V6, 2015 Cadre BPTS

Intégration de composants des compétences électroniques (e-CF)—Un cadre européen commun pour les professionnels des B. Construire—B.2. Composant
TIC dans tous les secteurs de l'industrie—Partie 1ÿ: Cadre, 2016 L'intégration

Conception de base de données Cadre de compétences pour l'ère de l'information V6, 2015 Cadre DBDS

Production documentaire des compétences électroniques (e-CF)—Un cadre européen commun pour les professionnels des B. Construire—B.5. Documentation

TIC dans tous les secteurs de l'industrie—Partie 1ÿ: Cadre, 2016 Production

Conception matérielle Cadre de compétences pour l'ère de l'information V6, 2015 Cadre HWDE

Portage/configuration logicielle de compétences pour l'ère de l'information V6, 2015 Cadre de PORT

Programmation/logiciel compétences pour l'ère de l'information V6, 2015 PROGRAMME

développement

Libération et déploiement Cadre de compétences pour l'ère de l'information V6, 2015 RELM

Architecture des solutions Cadre de compétences pour l'ère de l'information V6, 2015 e- CAMBRE

Déploiement de solutions Competence Framework (e-CF) — Un cadre européen commun pour les TIC B. Construire—B.4.

Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 Déploiement de solutions

Conception de systèmes Cadre de compétences pour l'ère de l'information V6, 2015 DESN

Gestion du développement Cadre de compétences pour l'ère de l'information V6, 2015 DLMG

des systèmes

Ingénierie des systèmes e-Competence Framework (e-CF)—Un cadre européen commun pour les TIC B. Construire—B.6. Ingénierie
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 des systèmes

179
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

D. Composante : Personnes, aptitudes et compétences (suite)

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Installation de systèmes/ Cadre de compétences pour l'ère de l'information V6, 2015 HSIN
déclassement

Intégration de systèmes Cadre de compétences pour l'ère de l'information V6, 2015 SINT

Essai Cadre de compétences pour l'ère de l'information V6, 2015 e- TEST

Essai Competence Framework (e-CF) — Un cadre européen commun pour les TIC B. Construire—B.3. Essai
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016

Conception de l'expérience utilisateur Cadre de compétences pour l'ère de l'information V6, 2015 VHC

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de maintenance politique Définit la prise en charge appropriée Institut national des normes et 3.10 Entretien (MA-1)
des composants logiciels et matériels pour Publication spéciale sur la technologie
assurer une durée de vie plus longue des actifs, 800-53, révision 5 (ébauche),
augmenter la productivité des employés et Août 2017
maintenir une expérience utilisateur acceptable.

Politique de développement logiciel Normalise le développement

de logiciels dans toute
l'organisation en répertoriant tous les
protocoles et normes à suivre.

Politique d'acquisition de systèmes et de Fournit des procédures pour évaluer, Institut national des normes et 3.18 Système et services
services examiner et valider les exigences pour Publication spéciale sur la technologie acquisition (SA-1)
l'acquisition du système et des services. 800-53, révision 5 (ébauche),
Août 2017

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la Conseils connexes Référence détaillée

culture Assurer une prestation agile et évolutive de services numériquesÿ;

engager un écosystème de partenaires avec lesquels l'organisation peut travailler ou
mettre en place une structure informatique bimodale avec des usines numériques, des
dirigeants et des équipes agiles, un flux continu et un état d'esprit axé sur l'amélioration.

Établissez une culture ouverte et impartiale qui évalue équitablement et objectivement les
alternatives lors de la recherche de nouvelles solutions potentielles (y compris s'il faut
construire ou acheter).

G. Composante : Services, Infrastructure et Applications

• Services d'usine numérique, séparant le "fast IT" (l'usine numérique responsable du développement des applications numériques) de l'informatique de base héritée
• Services d'évaluation et de sélection de solutions •
Outils et services de test

180
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI04 — Description de la disponibilité et de la capacité gérées Domaine d'interventionÿ: modèle de base COBIT

Équilibrez les besoins actuels et futurs en matière de disponibilité, de performances et de capacité avec une prestation de services rentable. Inclure l'évaluation des capacités actuelles, la
prévision des besoins futurs en fonction des exigences commerciales, l'analyse des impacts commerciaux et l'évaluation des risques pour planifier et mettre en œuvre des actions pour répondre
aux exigences identifiées.

But

Maintenez la disponibilité des services, la gestion efficace des ressources et l'optimisation des performances du système grâce à la prévision des performances futures et des besoins en capacité.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de Æ Objectifs d'alignement

l'entreprise • EG01 Portefeuille de produits et services compétitifs AG05 Prestation de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage livraison
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

A. Composante : Processus

Pratique de gestion BAI04.01 Exemple de métriques

Évaluer la disponibilité, les performances et la capacité actuelles et créer une base une. Pourcentage d'utilisation réelle de la capacité
de référence. b. Pourcentage de disponibilité réelle
Évaluez la disponibilité, les performances et la capacité des services et des ressources pour c. Pourcentage des performances réelles
vous assurer qu'une capacité et des performances justifiables en termes de coûts sont
disponibles pour répondre aux besoins de l'entreprise et respecter les accords de niveau de
service (SLA). Créez des lignes de base de disponibilité, de performances et de capacité pour
des comparaisons futures.

Activités Niveau de capacité

1. Tenir compte des éléments suivants (actuels et prévus) dans l'évaluation de la disponibilité, des performances et de la capacité des services et 2

ressourcesÿ: exigences des clients, priorités commerciales, objectifs commerciaux, impact budgétaire, utilisation des ressources, capacités informatiques et tendances
du secteur.

2. Identifier et suivre tous les incidents causés par une performance ou une capacité inadéquate. 3

3. Surveillez les performances réelles et l'utilisation de la capacité par rapport à des seuils définis, pris en charge, si nécessaire, avec des 4
Logiciel.

4. Évaluer régulièrement les niveaux de performance actuels pour tous les niveaux de traitement (demande commerciale, capacité de service et ressources
capacité) en les comparant aux tendances et aux SLA. Tenir compte des modifications de l'environnement.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 DP.CP Capacity Planning

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SY2.2 Gestion des performances et de la capacité

ISO/CEI 20000-1:2011(E) 6.5 Gestion de la capacité

ITIL V3, 2011 Conception de services, 4.4 Gestion de la disponibilitéÿ; 4.5 Gestion de la capacité

Publication spéciale de l'Institut national des normes et de la technologie 3.14 Planification (PL-10, PL-11)
800-53, révision 5 (ébauche), août 2017

181
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion BAI04.02 Exemple de métriques

Évaluer l'impact commercial. une. Nombre de scénarios créés pour évaluer les futures situations de disponibilité
Identifier les services importants pour l'entreprise. Mappez les services et les ressources aux processus b. Pourcentage de propriétaires de processus métier approuvant les résultats d'analyse
métier et identifiez les dépendances métier. Assurez-vous que l'impact des ressources indisponibles est
entièrement convenu et accepté par le client. Pour les fonctions commerciales vitales, assurez-vous que
les exigences de disponibilité peuvent être satisfaites par le contrat de niveau de service (SLA).

Activités Niveau de capacité

1. Identifiez uniquement les solutions ou services qui sont critiques dans le processus de gestion de la disponibilité et de la capacité. 2

2. Associez les solutions ou services sélectionnés aux applications et à l'infrastructure (informatique et installation) dont ils dépendent pour permettre 3

un accent sur les ressources critiques pour la planification de la disponibilité.

3. Collectez des données sur les modèles de disponibilité à partir des journaux des échecs passés et de la surveillance des performances. Utilisez des outils de modélisation 4

qui aident à prévoir les défaillances en fonction des tendances d'utilisation passées et des attentes de gestion du nouvel environnement ou des conditions d'utilisation.

4. Sur la base des données collectées, créez des scénarios qui décrivent les futures situations de disponibilité pour illustrer une variété de potentiels
les niveaux de capacité nécessaires pour atteindre l'objectif de performance de disponibilité.

5. Sur la base des scénarios, déterminez la probabilité que l'objectif de performances de disponibilité ne soit pas atteint.

6. Déterminer l'impact des scénarios sur les mesures de performance de l'entreprise (par exemple, revenus, bénéfices, services client).
Engager les responsables métier, fonctionnels (notamment financiers) et régionaux pour comprendre leur évaluation d'impact.

7. Assurez-vous que les propriétaires de processus métier comprennent parfaitement et acceptent les résultats de cette analyse. De la part des propriétaires d'entreprise,
obtenir une liste des scénarios de risque inacceptables qui nécessitent une réponse pour réduire le risque à des niveaux acceptables.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 6.3 Continuité de service et gestion de la disponibilité

Pratique de gestion BAI04.03 Exemple de métriques

Planifier les exigences de service nouvelles ou modifiées. une. Nombre de mises à niveau non planifiées de capacité, de performance ou de disponibilité
Planifiez et hiérarchisez les implications en matière de disponibilité, de performances et de capacité de b. Pourcentage que la direction effectue des comparaisons de la demande réelle sur
l'évolution des besoins de l'entreprise et des exigences de service. ressources par rapport à l'offre et à la demande prévues

Activités Niveau de capacité

1. Identifier les implications en matière de disponibilité et de capacité de l'évolution des besoins de l'entreprise et des opportunités d'amélioration. Utiliser la modélisation 3

techniques pour valider la disponibilité, les performances et les plans de capacité.

2. Examiner les implications en matière de disponibilité et de capacité de l'analyse des tendances des services. 4

3. Assurez-vous que la direction effectue des comparaisons entre la demande réelle de ressources et l'offre et la demande prévues afin d'évaluer les techniques de prévision
actuelles et d'apporter des améliorations lorsque cela est possible.

4. Hiérarchisez les améliorations nécessaires et créez des plans de disponibilité et de capacité justifiables en termes de coûts. 5

5. Ajuster les plans de performance et de capacité et les SLA en fonction de processus métier réalistes, nouveaux, proposés et/ou projetés et de services de support, d'applications
et de changements d'infrastructure. Incluez également des examens des performances réelles et de l'utilisation de la capacité, y compris les niveaux de charge de travail.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 5. Conception et transition de nouveaux services modifiés

Pratique de gestion BAI04.04 Exemple de métriques

Surveiller et examiner la disponibilité et la capacité. une. Nombre d'événements dépassant les limites de capacité prévues
Surveillez, mesurez, analysez, signalez et examinez la disponibilité, les performances et la capacité. b. Nombre de pics de transactions dépassant les performances cibles
Identifier les écarts par rapport aux lignes de base établies. Examiner les rapports d'analyse des
tendances identifiant les problèmes et les écarts importants.
Initier des actions si nécessaire et s'assurer que tous les problèmes en suspens sont résolus.

182
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Fournir des rapports de capacité aux processus de budgétisation. 2

2. Établir un processus de collecte de données pour fournir à la direction des informations de surveillance et de rapport sur la disponibilité, 3
performance et capacité de travail de toutes les ressources liées à l'I&T.

3. Fournir des rapports réguliers sur les résultats sous une forme appropriée pour examen par la direction informatique et commerciale et la communication 4
à la gestion d'entreprise.

4. Intégrer les activités de suivi et de rapport dans les activités itératives de gestion des capacités (suivi, analyse, réglage et
implémentations).

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

BAI04.05 Étudier et résoudre les problèmes de disponibilité, de performance une. Nombre et pourcentage de problèmes de disponibilité, de performances et de
et de capacité. capacité non résolus
Traiter les écarts en enquêtant et en résolvant les problèmes de disponibilité, de b. Nombre d'incidents de disponibilité
performances et de capacité identifiés.

Activités Niveau de capacité

1. Obtenir des conseils des manuels des produits des fournisseurs pour garantir un niveau approprié de disponibilité des performances pour le traitement de pointe 3
et charges de travail.

2. Définir une procédure d'escalade pour une résolution rapide en cas de problèmes de capacité et de performance d'urgence.

3. Identifiez les écarts de performance et de capacité en fonction de la surveillance des performances actuelles et prévues. Utilisez les spécifications connues 4
de disponibilité, de continuité et de récupération pour classer les ressources et permettre la hiérarchisation.

4. Définir des actions correctives (par exemple, déplacer la charge de travail, hiérarchiser les tâches ou ajouter des ressources en cas de problèmes de performances et de capacité) 5
sont identifiés).

5. Intégrer les actions correctives requises dans les processus de planification et de gestion du changement appropriés.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

Pratique de gestion des clés

BAI04.01 Évaluer la disponibilité, les performances et la capacité actuelles et créer une référence. RAR RR

BAI04.02 Évaluer l'impact commercial. UNE R RR

BAI04.03 Planifier les exigences de service nouvelles ou modifiées. RAR RR

BAI04.04 Surveiller et examiner la disponibilité et la capacité. UNE R RR

BAI04.05 Enquêter et résoudre les problèmes de disponibilité, de performances et de capacité. RARRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

183
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI04.01 Évaluer la disponibilité actuelle, les performances et À partir de La description Description Pour

capacité et créer une base de référence. BAI02.01 Définition des besoins Évaluations par rapport aux SLA APO09.05
dépôt

BAI02.03 Registre des risques liés Disponibilité, performances Interne

aux exigences et capacités de référence

BAI04.02 Évaluer l'impact commercial. BAI03.02 Interne et externe Disponibilité, performances Interne
Accords de Niveau de Service et affaires de capacité
(SLA) évaluations d'impact

Disponibilité, performances Interne

et scénarios de capacité

BAI04.03 Planifier les exigences de service nouvelles ou modifiées. BAI02.01 Acceptation confirmée Plans de performance APO02.02
critères des et de capacité
parties prenantes

BAI03.01 Spécification de conception Améliorations prioritaires APO02.02

de haut niveau approuvée

BAI03.02 Conception détaillée approuvée

spécification

BAI03.03 Solution documentée

Composants

BAI04.04 Surveiller et examiner la disponibilité et la capacité. Disponibilité, performances MEA01.03

et suivi des capacités
examiner les rapports

BAI04.05 Enquêter et résoudre les problèmes de Mesures correctives APO02.02

disponibilité, de performances et de capacité.

Escalade d'urgence DSS02.02

procédure

Écarts de performance Interne

et de capacité

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion des disponibilités Cadre de compétences pour l'ère de l'information V6, 2015 AVMT

Gestion de la capacité Cadre de compétences pour l'ère de l'information V6, 2015 CPMG

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de gestion de la disponibilité Informe la planification de l'infrastructure

en termes de disponibilité, d'évolutivité, de
fiabilité et potentiellement de résilience.
Comprend des directives pour identifier
la bande passante, la capacité et la
disponibilité des services (avant la conception
et la fourniture), établir des accords de niveau
de service (SLA) et mettre en œuvre une
surveillance continue des circuits, du trafic et
des temps de réponse.

184
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Pour les entreprises qui dépendent de l'information, la gestion de la disponibilité et de la capacité

est essentielle au succès des opérations. Établissez une culture dans laquelle la disponibilité et la
capacité des produits et services sont prioritaires (conformément aux exigences de l'entreprise) et
soutenues par des processus et des comportements qui non seulement identifient la disponibilité et la
capacité requises avant la conception, mais les prennent également en compte lors de
l'approvisionnement. Définissez systématiquement des SLA intelligentsÿ; surveiller en permanence les
circuits, le trafic et les temps de réponseÿ; effectuer des tests réguliers pour la continuité des activités et
la reprise après sinistre de l'infrastructure.

G. Composante : Services, Infrastructure et Applications

• Outils de planification des capacités

• Services et outils de provisionnement
• Outils de surveillance du niveau de service

185
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

186
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI05 — Description du changement organisationnel géré Domaine d'interventionÿ: modèle de base COBIT

Maximisez la probabilité de mettre en œuvre avec succès un changement organisationnel durable à l'échelle de l'entreprise rapidement et avec un risque réduit. Couvrir le cycle de vie complet du
changement et toutes les parties prenantes concernées dans l'entreprise et l'informatique.

But

Préparez et engagez les parties prenantes au changement de l'entreprise et réduisez le risque d'échec.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG03ÿBénéfices réalisés grâce au portefeuille d'investissements et de services d'I&T
• EG05 Culture du service orienté client

• EG08ÿOptimisation de la fonctionnalité des processus métier internes • AG08 Activation et prise en charge des processus métier en intégrant les applications et la
• EG12 Programmes de transformation numérique gérés technologie
• AG09 Exécuter les programmes dans les délais, en respectant le budget et en
respectant les exigences et les normes de qualité

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG01 a. Pourcentage de produits et services qui atteignent ou dépassent les objectifs de AG03 a. Pourcentage d'investissements activés en I&T pour lesquels les avantages

chiffre d'affaires et/ou de part de marché revendiqués dans l'analyse de rentabilisation sont atteints ou dépassés

b. Pourcentage de produits et services qui satisfont ou dépassent b. Pourcentage de services I&T pour lesquels les avantages attendus (tels
objectifs de satisfaction client qu'énoncés dans les accords de niveau de service) sont réalisés
c. Pourcentage de produits et services qui offrent un avantage
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG05 a. Nombre d'interruptions du service client AG08 a. Temps nécessaire pour exécuter des services ou des processus métier
b. Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation du b. Nombre de programmes commerciaux axés sur l'I&T retardés ou
service client respecte les niveaux convenus encourir des coûts supplémentaires en raison de problèmes d'intégration technologique
c. Nombre de réclamations clients c. Nombre de changements de processus métier qui doivent être retardés ou retravaillés
ré. Tendance des résultats des enquêtes de satisfaction client en raison de problèmes d'intégration technologique
ré. Nombre d'applications ou d'infrastructures critiques fonctionnant en silos et non
intégrées

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget
avec des capacités de processus métier b. Nombre de programmes nécessitant une refonte importante en raison de la qualité
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de défauts

services c. Pourcentage de parties prenantes satisfaites de la qualité du programme/projet

c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gestion BAI05.01 Exemple de métriques

Établir le désir de changement. une. Niveau d'implication de la haute direction

Comprendre la portée et l'impact du changement souhaité. Évaluer l'état de préparation et b. Niveau de désir des parties prenantes pour le changement
la volonté de changement des parties prenantes. Identifiez les actions qui motiveront l'acceptation
et la participation des parties prenantes pour que le changement fonctionne avec succès.

187
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Évaluer la portée et l'impact du changement envisagé, les différentes parties prenantes concernées, la nature de l'impact et de la participation requise de chaque groupe de 2

parties prenantes, ainsi que la préparation et la capacité actuelles à adopter le changement.

2. Établir le désir de changer, identifier, exploiter et communiquer les points faibles actuels, les événements négatifs, les risques, l'insatisfaction des clients et les problèmes
commerciaux, ainsi que les avantages initiaux, les opportunités et récompenses futures et les avantages concurrentiels.

3. Émettre des communications clés du comité exécutif ou du PDG pour démontrer l'engagement envers le changement.

4. Fournir un leadership visible de la part de la haute direction pour établir une direction et aligner, motiver et inspirer les parties prenantes à
désirer le changement.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

PROSCI® Processus de gestion des changements en 3 phases Phase 1. Préparation au changement—Définissez votre stratégie de gestion du changement

Pratique de gestion BAI05.02 Exemple de métriques

Former une équipe de mise en œuvre efficace. une. Nombre de problèmes de compétences ou de capacités identifiés dans l'équipe de mise en œuvre
Établissez une équipe de mise en œuvre efficace en rassemblant les membres appropriés, en b. Notes de satisfaction des parties prenantes de l'équipe de mise en œuvre
créant la confiance et en établissant des objectifs communs et des mesures d'efficacité.

Activités Niveau de capacité

1. Identifiez et assemblez une équipe de mise en œuvre de base efficace qui comprend des membres appropriés de l'entreprise et de l'informatique avec la capacité de consacrer le 3

temps requis et d'apporter des connaissances et de l'expertise, de l'expérience, de la crédibilité et de l'autorité.

Envisagez d'inclure des parties externes telles que des consultants pour fournir un point de vue indépendant ou pour combler les lacunes en matière de compétences.
Identifiez les agents de changement potentiels au sein de différentes parties de l'entreprise avec lesquels l'équipe principale peut travailler pour soutenir la vision et les
changements en cascade.

2. Créer la confiance au sein de l'équipe de mise en œuvre principale grâce à des événements soigneusement planifiés avec une communication efficace et des activités conjointes.

3. Développer une vision et des objectifs communs qui soutiennent les objectifs de l'entreprise.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

PROSCI® Pratique de gestion du processus de gestion du Phase 1. Préparation au changement—Préparez votre équipe de gestion du changement

changement en 3 phases Exemple de métriques

BAI05.03 Communiquer la vision souhaitée. une. Nombre de questions concernant le changement

Communiquer la vision souhaitée du changement dans le langage des personnes b. Commentaires des parties prenantes sur le niveau de compréhension du changement
concernées. La communication doit être faite par la haute direction et inclure la justification
et les avantages du changementÿ; les impacts de ne pas faire le changementÿ; et la vision, la
feuille de route et l'implication requise des différentes parties prenantes.

Activités Niveau de capacité

1. Élaborez un plan de communication de la vision pour aborder les principaux groupes d'audience, leurs profils comportementaux et leurs besoins en informations, 3

leurs canaux de communication et leurs principes.

2. Fournir la communication aux niveaux appropriés de l'entreprise, conformément au plan.

3. Renforcez la communication à travers de multiples forums et la répétition.

4. Rendre tous les niveaux de leadership responsables de la démonstration de la vision.

5. Vérifier la compréhension de la vision souhaitée et répondre à tout problème mis en évidence par le personnel. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

188
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion BAI05.04 Exemple de métriques

Autonomiser les acteurs et identifier les gains à court terme. une. Niveau de satisfaction des acteurs exploitant, utilisant et entretenant
Autonomisez ceux qui ont des rôles de mise en œuvre en attribuant des responsabilités. le changement
Offrir des formations et aligner les structures organisationnelles et les processus RH. b. Pourcentage d'acteurs formés
Identifiez et communiquez les gains à court terme qui sont importants du point de vue de c. Pourcentage d'acteurs disposant d'une autorité appropriée
l'activation du changement. ré. Commentaires des acteurs sur le niveau d'autonomisation
e. Auto-évaluation des acteurs sur les capacités pertinentes

Activités Niveau de capacité

1. Planifiez les opportunités de formation dont le personnel aura besoin pour développer les compétences et les attitudes appropriées pour se sentir responsabilisé. 2

2. Identifiez, hiérarchisez et offrez des opportunités de gains rapides. Celles-ci pourraient être liées à des domaines de difficulté actuellement connus ou
facteurs externes qui doivent être traités de toute urgence.

3. Tirez parti des gains rapides en communiquant les avantages aux personnes concernées pour montrer que la vision est sur la bonne voie. Affiner le
vision, garder les dirigeants à bord et créer une dynamique.

4. Identifier les structures organisationnelles compatibles avec la vision ; si nécessaire, apportez des modifications pour assurer l'alignement. 3

5. Aligner les processus RH et les systèmes de mesure (par exemple, évaluation des performances, décisions de rémunération, décisions de promotion,
recrutement et embauche) pour soutenir la vision.

6. Identifier et gérer les leaders qui continuent de résister au changement nécessaire.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI05.05 Exemple de métriques

Activer le fonctionnement et l'utilisation. une. Pourcentage d'utilisateurs suffisamment habilités pour le changement
Planifier et mettre en œuvre tous les aspects techniques, opérationnels et d'utilisation afin que b. Pourcentage de plans élaborés pour le fonctionnement et l'utilisation du changement
tous ceux qui sont impliqués dans l'environnement de l'état futur puissent exercer leur responsabilité.

Activités Niveau de capacité

1. Élaborer un plan de fonctionnement et d'utilisation du changement. Le plan doit communiquer et s'appuyer sur les gains rapides réalisés, aborder les aspects 3

comportementaux et culturels de la transition plus large et accroître l'adhésion et l'engagement. Veiller à ce que le plan couvre une vue holistique du changement et
fournisse de la documentation (par exemple, des procédures), du mentorat, de la formation, de l'encadrement, du transfert de connaissances, un soutien amélioré immédiat
après la mise en service et un soutien continu.

2. Mettre en œuvre le plan d'exploitation et d'utilisation. Définissez et suivez les mesures de réussite, y compris les mesures commerciales concrètes et les mesures de 4

perception qui indiquent ce que les gens pensent d'un changement. Prendre des mesures correctives si nécessaire.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

PROSCI® Processus de gestion du changement en 3 phases Phase 2. Gestion du changement

Pratique de gestion Exemple de métriques

BAI05.06 Intégrer de nouvelles approches. une. Niveau de satisfaction des utilisateurs avec l'adoption du changement
Intégrer de nouvelles approches en suivant les changements mis en œuvre, en évaluant b. Pourcentage d'audits de conformité qui ont identifié les causes profondes de la faible
adoption régulière. Prendre des mesures correctives, le cas échéant (qui peuvent inclure
efficacité du plan d'exploitation et d'utilisation, et maintien d'une sensibilisation continue grâce à une communication
l'application de la conformité). c. Nombre d'audits de conformité menés pour identifier les causes profondes de la faible
adoption et des mesures correctives recommandées

Activités Niveau de capacité

1. Rendre les propriétaires de processus responsables des opérations quotidiennes normales. 2

2. Célébrez les réussites et mettez en place des programmes de récompense et de reconnaissance pour renforcer le changement. 3

3. Fournir une sensibilisation continue par une communication régulière du changement et de son adoption.

4. Utiliser des systèmes de mesure des performances pour identifier les causes profondes d'une faible adoption. Prendre des mesures correctives. 4

5. Mener des audits de conformité pour identifier les causes profondes de la faible adoption. Recommander des actions correctives.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

PROSCI® Processus de gestion des changements en 3 phases Phase 3. Renforcer le changement

189
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

BAI05.07 Soutenir les changements. une. Nombre de formations et de transferts de connaissances réalisés
Soutenir les changements grâce à une formation efficace du nouveau b. Pourcentage de l'engagement de la haute direction envers le renforcement de la
personnel, des campagnes de communication continues, un engagement continu de changement

la haute direction, un suivi de l'adoption et le partage des leçons apprises dans toute
l'entreprise.
Activités Niveau de capacité

1. Soutenir et renforcer le changement grâce à une communication régulière qui démontre l'engagement de la haute direction. 2

2. Offrir du mentorat, de la formation, de l'encadrement et du transfert de connaissances au nouveau personnel pour soutenir le changement. 3

3. Effectuer des examens périodiques du fonctionnement et de l'utilisation du changement. Identifier les améliorations. 4

4. Capturer les leçons apprises relatives à la mise en œuvre du changement. Partagez les connaissances dans toute l'entreprise. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

PROSCI® Processus de gestion des changements en 3 phases Phase 3. Renforcer le changement

B. Composante : Structures organisationnelles

exécutif
Comité direction
Chef
de
la Président
directeur
général l'information
Directeur
de technologie
directeur
de
la numérique
Directeur gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de Gestionnaire
programme
de projet
Chef
de gestion
Bureau
projet
de Responsable
Ressources
Humaines Développement
tête
de
la informatiques
Responsable
opérations
des Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la

Pratique de gestion des clés

BAI05.01 Établir le désir de changer. RARRRRRRR R

Implémenter
Construire,
Acquérir
et

BAI05.02 Former une équipe de mise en œuvre efficace. UNE RRR RRR R

BAI05.03 Communiquer la vision souhaitée. UNE RRRRR RR

BAI05.04 Autonomiser les acteurs et identifier les gains à court terme. UNE RRR RR R

BAI05.05 Activer le fonctionnement et l'utilisation.

ARRRR R R RRRRR

BAI05.06 Intégrer de nouvelles approches. ARRRR R R RRRRR

BAI05.07 Soutenir les changements.

ARRRR RRRRR RRRRR

Orientations connexes (normes, cadres, exigences de conformité)

Aucune orientation connexe pour ce composant

190
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI05.01 Établir le désir de changer. À partir de La description La description Pour

APO11.02 Résultats de qualité de Communications de Interne

service, y compris les direction

commentaires des clients s'engager à changer

BAI02.01 • Référentiel de définition des Communication des Interne

exigences moteurs de changement

• Critères d'acceptation
confirmés par les parties
prenantes

BAI02.03 • Registre des risques liés

aux exigences
• Mesures d'atténuation des risques

BAI03.01 Spécification de conception

de haut niveau approuvée

BAI03.02 Conception détaillée approuvée

spécification

BAI05.02 Former une équipe de mise en œuvre efficace. BAI02.01 Acceptation confirmée Vision et objectifs communs BAI01.02
critères des
parties prenantes
Équipe de mise en œuvre BAI01.04
et rôles

BAI05.03 Communiquer la vision souhaitée. Plan de communication BAI01.04

visuelle

Communication visuelle BAI01.05

BAI05.04 Autonomiser les acteurs et identifier les gains En dehors de l'organisation de COBIT Enterprise Performance RH alignée APO07.04
à court terme. structure objectifs

Gains rapides identifiés BAI01.04

Communication des BAI01.06

avantages

BAI05.05 Activer le fonctionnement et l'utilisation. BAI03.03 Solution documentée Plan d'exploitation et d'utilisation APO08.04ÿ;
Composants BAI08.03ÿ;
DSS01.01ÿ;
DSS01.02ÿ;
DSS06.02

BAI03.10 Solution mise à jour Mesures de réussite et APO08.05ÿ;

composants et associés résultats BAI07.07ÿ;
Documentation BAI07.08ÿ;
MEA01.03

BAI05.06 Intégrer de nouvelles approches. Bilan des performances RH APO07.04

résultats

Communication Interne
de sensibilisation

Résultats de l'audit de conformité MEA02.02ÿ;

MEA03.03

BAI05.07 Soutenir les changements. Plans de transfert de connaissances BAI08.02ÿ;

BAI08.03

Communication de Interne

l'engagement de la
direction

Revues de fonctionnement MEA02.02

utiliser

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

191
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Framework Référence détaillée

Gestion du changement d'entreprise (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part 1: Framework, E. Gérer—E.7. Changement d'entreprise
2016 La gestion

Planification de la mise en œuvre du changement Cadre de compétences pour l'ère de l'information V6, 2015 CIPM

et le management

Conception de l'organisation et Cadre de compétences pour l'ère de l'information V6, 2015 ORDI

la mise en oeuvre

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de gestion du Fournit un cadre et décrit les

changement organisationnel principes de gestion du changement

organisationnel. Reflète la législation actuelle
et fournit de bonnes pratiques de gestion
des personnesÿ; assure une approche
cohérente de la gestion du changement dans
l'ensemble de l'organisation.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Réaliser de la valeur à partir d'investissements en I&T nécessite plus que de fournir des
solutions et des services d'I&T. Cela nécessite également des changements dans les
processus commerciaux, les aptitudes et les compétences, la culture et le comportement, etc., qui
doivent tous être inclus dans l'analyse de rentabilisation de l'investissement.

Le leadership doit créer une culture de changement continu grâce à la flexibilité, l'ouverture et la
confiance et établir un soutien et une communication appropriés pour la gestion du changement.

G. Composante : Services, Infrastructure et Applications

• Outils et canaux de communication

• Outils d'arpentage

192
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestionÿ: BAI06ÿ–ÿDescription des modifications informatiques Domaine d'interventionÿ: modèle de base COBIT

gérées

Gérer toutes les modifications de manière contrôlée, y compris les modifications standard et la maintenance d'urgence relatives aux processus métier, aux applications et à l'infrastructure. Cela comprend
les normes et procédures de changement, l'évaluation d'impact, la hiérarchisation et l'autorisation, les changements d'urgence, le suivi, les rapports, la clôture et la documentation.

But

Permettre une livraison rapide et fiable des changements à l'entreprise. Atténuer le risque d'impact négatif sur la stabilité ou l'intégrité de l'environnement modifié.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs d'entreprise
Æ Objectifs d'alignement
EG01 Portefeuille de produits et services compétitifs Exemple de paramètres AG06 Agilité pour transformer les exigences métier en solutions opérationnelles

pour les objectifs d'entreprise EG01 a. Pourcentage de produits et services Exemple de mesures pour les objectifs d'alignement

qui atteignent ou dépassent les objectifs de chiffre d'affaires et/ou de part de marché AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité de

l'I&T aux nouvelles exigences

b. Pourcentage de produits et services qui satisfont ou dépassent b. Délai moyen de mise sur le marché des nouveaux services et applications liés
objectifs de satisfaction client à l'I&T
c. Pourcentage de produits et services qui offrent un avantage c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
concurrentiel convenues et approuvées
ré. Délai de mise sur le marché de nouveaux produits et services ré. Nombre de processus métier critiques pris en charge par une infrastructure et
des applications à jour

A. Composante : Processus

Pratique de gestion BAI06.01 Exemple de métriques

Évaluer, prioriser et autoriser les demandes de changement. une. Quantité de retouches causées par des modifications ayant échoué

Évaluer toutes les demandes de changement pour déterminer l'impact sur les processus b. Pourcentage de changements infructueux en raison d'évaluations d'impact
opérationnels et les services d'I&T, et pour évaluer si le changement affectera négativement inadéquates

l'environnement opérationnel et introduira un risque inacceptable.

Assurez-vous que les modifications sont consignées, hiérarchisées, catégorisées, évaluées,
autorisées, planifiées et programmées.

Activités Niveau de capacité

1. Utilisez des demandes de modification formelles pour permettre aux propriétaires de processus métier et au service informatique de demander des modifications des processus métier, de 2

l'infrastructure, des systèmes ou des applications. Assurez-vous que tous ces changements surviennent uniquement via le processus de gestion des demandes de changement.

2. Catégoriser toutes les modifications demandées (par exemple, processus métier, infrastructure, systèmes d'exploitation, réseaux, systèmes d'application, logiciels d'application
achetés/packagés) et relier les éléments de configuration concernés.

3. Prioriser toutes les modifications demandées en fonction des exigences commerciales et techniquesÿ; Resources requises; et les aspects juridiques, réglementaires
et les raisons contractuelles de la modification demandée.

4. Approuver formellement chaque modification par les propriétaires de processus métier, les responsables de service et les parties prenantes techniques informatiques, le cas échéant.
Les modifications à faible risque et relativement fréquentes doivent être approuvées au préalable en tant que modifications standard.

5. Planifiez et planifiez toutes les modifications approuvées.

6. Planifiez et évaluez toutes les demandes de manière structurée. Inclure une analyse d'impact sur les processus métier, l'infrastructure, les systèmes et les applications, les plans 3

de continuité des activités (PCA) et les fournisseurs de services pour s'assurer que tous les composants concernés ont été identifiés. Évaluer la probabilité d'affecter négativement
l'environnement opérationnel et le risque de mise en œuvre du changement.
Tenez compte des implications en matière de sécurité, de confidentialité, juridiques, contractuelles et de conformité de la modification demandée. Considérez
également les interdépendances entre les changements. Impliquez les propriétaires de processus métier dans le processus d'évaluation, le cas échéant.

7. Tenir compte de l'impact des prestataires de services sous contrat (par exemple, de l'externalisation du traitement des activités, de l'infrastructure, de l'application
développement et services partagés) sur le processus de conduite du changement. Inclure l'intégration des processus de gestion du changement organisationnel avec les
processus de gestion du changement des fournisseurs de services et l'impact sur les conditions contractuelles et les SLA.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SY2.4 Gestion du changement

ISO/CEI 20000-1:2011(E) 9.2 Gestion des changements

ITIL V3, 2011 Transition de service, 4.2 Gestion du changement

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4.6 Effectuer un contrôle intégré des modifications

193
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion BAI06.02 Exemple de métriques

Gérer les changements d'urgence. une. Nombre de changements d'urgence non autorisés après l'incident
Gérez soigneusement les changements d'urgence afin de minimiser d'autres incidents. b. Pourcentage du total des modifications qui sont des correctifs d'urgence
Assurez-vous que le changement d'urgence est contrôlé et se déroule en toute sécurité.
Vérifiez que les changements d'urgence sont correctement évalués et autorisés
après le changement.

Activités Niveau de capacité

1. Définir ce qui constitue un changement d'urgence. 2

2. Assurez-vous qu'une procédure documentée existe pour déclarer, évaluer, approuver au préalable, autoriser après le changement et enregistrer une
changement d'urgence.

3. Vérifier que toutes les dispositions d'accès d'urgence pour les modifications sont dûment autorisées, documentées et révoquées après la 3

changement a été appliqué.

4. Surveiller tous les changements d'urgence et mener des examens post-mise en œuvre impliquant toutes les parties concernées. L'examen doit envisager et initier des 4

actions correctives en fonction des causes profondes telles que les problèmes liés aux processus métier, au développement et à la maintenance du système d'application,
aux environnements de développement et de test, à la documentation et aux manuels, et à l'intégrité des données.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI06.03 Exemple de métriques

Suivre et signaler l'état des modifications. une. Nombre et ancienneté des demandes de modification en attente
Maintenir un système de suivi et de rapport pour documenter les modifications rejetées et b. Pourcentage de l'état de la demande de changement signalé aux parties prenantes
communiquer l'état des modifications approuvées, en cours et terminées. Assurez-vous que les en temps opportun
modifications approuvées sont mises en œuvre comme prévu.

Activités Niveau de capacité

1. Catégoriser les demandes de changement dans le processus de suivi (par exemple, rejetées, approuvées mais pas encore initiées, approuvées et en cours, et 4

clôturées).

2. Mettre en œuvre des rapports sur l'état des modifications avec des métriques de performance pour permettre à la direction d'examiner et de surveiller à la fois l'état détaillé
des modifications et l'état général (par exemple, l'analyse chronologique des demandes de modification). Assurez-vous que les rapports d'état forment une piste d'audit
afin que les modifications puissent ensuite être suivies depuis leur création jusqu'à leur élimination finale.

3. Surveillez les changements ouverts pour vous assurer que tous les changements approuvés sont fermés en temps opportun, selon la priorité.

4. Maintenir un système de suivi et de rapport pour toutes les demandes de changement.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 IP.CC Appliquer le contrôle des modifications

Pratique de gestion BAI06.04 Exemple de métriques

Clôturer et documenter les modifications. une. Nombre d'erreurs de révision trouvées dans la documentation

Chaque fois que des modifications sont mises en œuvre, mettez à jour la solution, b. Pourcentage de mises à jour de la documentation et des procédures utilisateur effectuées en
la documentation utilisateur et les procédures affectées par la modification. temps opportun

Activités Niveau de capacité

1. Inclure les modifications de la documentation dans la procédure de gestion. Les exemples de documentation incluent les procédures opérationnelles commerciales et 2

informatiques, la documentation sur la continuité des activités et la reprise après sinistre, les informations de configuration, la documentation sur les applications, les
écrans d'aide et les supports de formation.

2. Définir une période de conservation appropriée pour la documentation des modifications et la documentation système et utilisateur avant et après les modifications. 3

3. Soumettre la documentation au même niveau d'examen que le changement réel.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

194
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

B. Composante : Structures organisationnelles

Pratique de gestion des clés

BAI06.01 Évaluer, prioriser et autoriser les demandes de changement. RA RRRRR

BAI06.02 Gérer les changements d'urgence. UNE RRRRR R

BAI06.03 Suivre et signaler l'état des modifications. ARRRRRR

BAI06.04 Fermer et documenter les changements. ARRRRRR R

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI06.01 Évaluer, prioriser et autoriser le changement À partir de La description La description Pour

demandes. BAI03.05 BAI07.01

Intégré et configuré Changer de plan et
d'horaire
composants de la solution

DSS02.03 Demandes de service Demandes approuvées pour BAI07.01

approuvées changement

DSS03.03 Les solutions proposées pour Évaluations d'impact Interne

erreurs connues

DSS03.05 Identifié durable

solutions

DSS04.08 Modifications approuvées de la

des plans

DSS06.01 Analyses des causes profondes et

recommandations

BAI06.02 Gérer les changements d'urgence. Post-implémentation Interne

examen d'urgence
changements

BAI06.03 Suivre et signaler l'état des modifications. BAI03.09 Enregistrement de toutes les Changer le statut de la demande BAI01.06ÿ;
demandes de changement rapports BAI10.03
approuvées et appliquées

BAI06.04 Fermer et documenter les modifications. Modifier la documentation Interne

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

195
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion du changement Cadre de compétences pour l'ère de l'information V6, 2015 Cadre des CHMG

Prise en charge du changement compétences électroniques (e-CF) - Un cadre européen commun pour les professionnels des TIC dans C. Course - C.2. Assistance au changement
tous les secteurs de l'industrie - Partie 1ÿ: Cadre, 2016

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de gestion du changement informatique politique Communique l'intention de la direction

selon laquelle toutes les modifications apportées
à l'informatique d'entreprise sont gérées et mises
en œuvre de manière à minimiser les risques et
l'impact sur les parties prenantes. Couvre les
actifs concernés et le processus standard de
gestion des modifications.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Les dirigeants doivent créer une culture d'amélioration continue des solutions et services informatiques,
reconnaissant que l'amélioration nécessite qu'ils comprennent l'impact du changement technologique
sur l'entreprise, son risque inhérent et l'atténuation associée, ainsi que son coût. Les dirigeants doivent
équilibrer l'impact du changement par rapport à ses avantages attendus et à sa contribution à la
stratégie I&T et aux objectifs de l'entreprise.

G. Composante : Services, Infrastructure et Applications

• Outils de gestion de configuration

• Outils de gestion du changement informatique

196
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestionÿ: BAI07ÿ–ÿAcceptation des modifications informatiques gérées et description de la Domaine d'interventionÿ: modèle de base COBIT

transition

Accepter formellement et rendre opérationnelles les nouvelles solutions. Inclure la planification de la mise en œuvre, la conversion du système et des données, les tests d'acceptation,
la communication, la préparation des versions, la promotion à la production de processus commerciaux et de services I&T nouveaux ou modifiés, le support de production précoce et un examen post-
mise en œuvre.

But

Mettre en œuvre des solutions en toute sécurité et conformément aux attentes et aux résultats convenus.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs d'entreprise Æ Objectifs d'alignement

EG01 Portefeuille de produits et services compétitifs Exemple de AG06 Agilité pour transformer les exigences métier en solutions opérationnelles

paramètres pour les objectifs d'entreprise EG01 a. Pourcentage de Exemple de mesures pour les objectifs d'alignement

produits et services qui atteignent ou dépassent les objectifs de chiffre d'affaires et/ou AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité de

de part de marché l'I&T aux nouvelles exigences

b. Pourcentage de produits et services qui satisfont ou dépassent b. Délai moyen de mise sur le marché des nouveaux services et applications
objectifs de satisfaction client liés à l'I&T
c. Pourcentage de produits et services qui offrent un avantage c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
concurrentiel convenues et approuvées
ré. Délai de mise sur le marché de nouveaux produits et services ré. Nombre de processus métier critiques pris en charge par une infrastructure
et des applications à jour

A. Composante : Processus

Pratique de gestion BAI07.01 Exemple de métriques

Établir un plan de mise en œuvre. une. Nombre et catégorie de parties prenantes signant le plan de mise en
Établissez un plan de mise en œuvre qui couvre la conversion du système et des œuvre
données, les critères de test d'acceptation, la communication, la formation, la b. Nombre de plans de mise en œuvre robustes et contenant tous les composants requis
préparation de la version, la promotion en production, le support de production précoce, un
plan de repli/sauvegarde et un examen post-mise en œuvre. Obtenir l'approbation des parties
concernées.

Activités Niveau de capacité

1. Créer un plan de mise en œuvre qui reflète la stratégie générale de mise en œuvre, la séquence des étapes de mise en œuvre, 2

les besoins en ressources, les interdépendances, les critères d'acceptation par la direction de la mise en œuvre de la production, les exigences de vérification de
l'installation, la stratégie de transition pour le soutien à la production et la mise à jour des plans de continuité des activités.

2. Des fournisseurs de solutions externes, obtenir un engagement à leur implication dans chaque étape de la mise en œuvre.

3. Identifier et documenter les processus de secours et de récupération.

4. Confirmer que tous les plans de mise en œuvre sont approuvés par les parties prenantes techniques et commerciales et examinés par l'audit interne, comme 3

approprié.

5. Examiner formellement les risques techniques et commerciaux associés à la mise en œuvre. Veiller à ce que le risque principal soit pris en compte et
pris en compte dans le processus de planification.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Transition de service, 4.1 Planification et soutien à la transition

197
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion BAI07.02 Exemple de métriques

Planifier la conversion des processus opérationnels, des systèmes et des données. une. Pourcentage de conversion réussie
Préparer la migration des processus métier, des données de service I&T et de l'infrastructure b. Pourcentage des ajustements nécessaires apportés aux procédures (y compris les rôles et
dans le cadre des méthodes de développement de l'entreprise. Incluez des pistes d'audit et un plan de responsabilités révisés et les procédures de contrôle)
récupération en cas d'échec de la migration.

Activités Niveau de capacité

1. Définir un processus d'affaires, des données de service I&T et un plan de migration de l'infrastructure. Lors de l'élaboration du plan, tenez compte, par exemple, du matériel, 2

des réseaux, des systèmes d'exploitation, des logiciels, des données de transaction, des fichiers maîtres, des sauvegardes et des archives, des interfaces avec d'autres
systèmes (internes et externes), des exigences de conformité possibles, des procédures commerciales et de la documentation du système .

2. Dans le plan de conversion des processus opérationnels, envisager tous les ajustements nécessaires aux procédures, y compris les rôles et responsabilités révisés et les
procédures de contrôle.

3. Confirmez que le plan de conversion des données ne nécessite pas de modifications des valeurs des données, sauf si cela est absolument nécessaire pour des raisons
professionnelles. Documentez les modifications apportées aux valeurs des données et obtenez l'approbation du propriétaire des données du processus métier.

4. Planifiez la conservation des données de sauvegarde et archivées pour vous conformer aux besoins de l'entreprise et aux exigences réglementaires ou de conformité.

5. Répétez et testez la conversion avant de tenter une conversion en direct.

6. Coordonner et vérifier le calendrier et l'intégralité du basculement de la conversion afin qu'il y ait une transition fluide et continue avec
aucune perte de données de transaction. Le cas échéant, en l'absence d'autre alternative, geler les opérations en direct.

7. Prévoyez de sauvegarder tous les systèmes et toutes les données prises avant la conversion. Maintenir des pistes d'audit pour permettre de retracer la conversion. Assurez-vous
qu'il existe un plan de récupération qui couvre l'annulation de la migration et le retour au traitement précédent en cas d'échec de la migration.

8. Dans le plan de conversion des données, intégrez des méthodes de collecte, de conversion et de vérification des données à convertir, et d'identification et de résolution des 3

erreurs trouvées lors de la conversion. Inclure la comparaison des données originales et converties pour l'exhaustivité et l'intégrité.

9. Tenez compte du risque de problèmes de conversion, de planification de la continuité des activités et de procédures de secours dans le plan de migration des processus métier,
des données et de l'infrastructure lorsqu'il existe une gestion des risques, des besoins métier ou des exigences réglementaires/de conformité.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Transition de service, 4.1 Planification et soutien à la transition

Pratique de gestion BAI07.03 Exemple de métriques

Planifier les tests d'acceptation. une. Pourcentage de parties prenantes satisfaites de l'exhaustivité du processus de test
Établissez un plan de test basé sur des normes à l'échelle de l'entreprise qui définissent les
rôles, les responsabilités et les critères d'entrée et de sortie. Assurez-vous que le plan est approuvé b. Nombre de plans de test documentés qui incluent toutes les phases de test et des scénarios
par les parties concernées. de test robustes et sont adaptés aux exigences opérationnelles et à l'environnement

198
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Développer et documenter le plan de test, qui s'aligne sur le programme, le plan qualité du projet et les normes organisationnelles pertinentes. 2

Communiquer et consulter les propriétaires de processus métier et les parties prenantes informatiques appropriés.

2. Assurez-vous que le plan de test reflète une évaluation des risques du projet et que toutes les exigences fonctionnelles et techniques sont testées. Sur la base de l'évaluation
du risque de défaillance du système et des défauts de mise en œuvre, inclure dans le plan les exigences en matière de performances, de stress, de convivialité, de pilote, de
tests de sécurité et de confidentialité.

3. S'assurer que le plan de test répond au besoin potentiel d'accréditation interne ou externe des résultats du processus de test
(par exemple, exigences financières ou réglementaires).

4. Assurez-vous que le plan de test identifie les ressources nécessaires pour exécuter les tests et évaluer les résultats. Des exemples de ressources peuvent être la construction
d'environnements de test et l'utilisation du temps du personnel pour le groupe de test, y compris le remplacement temporaire potentiel du personnel de test dans les
environnements de production ou de développement. Veiller à ce que les parties prenantes soient consultées sur les implications en termes de ressources du plan de test.

5. Assurez-vous que le plan de test identifie les phases de test appropriées aux exigences opérationnelles et à l'environnement. Des exemples de telles phases de test
comprennent le test unitaire, le test système, le test d'intégration, le test d'acceptation par l'utilisateur, le test de performance, le test de stress, le test de conversion de
données, le test de sécurité, le test de confidentialité, le test de préparation opérationnelle et les tests de sauvegarde et de récupération.

6. Confirmer que le plan de test prend en compte la préparation des tests (y compris la préparation du site), les exigences de formation, l'installation ou la mise à jour
d'un environnement de test défini, la planification/l'exécution/la documentation/la conservation des cas de test, la gestion des erreurs et des problèmes, la correction et
l'escalade, et approbation.

7. Confirmez que tous les plans de test sont approuvés par les parties prenantes, y compris les propriétaires de processus métier et le service informatique, le cas échéant.
Les parties prenantes peuvent inclure des responsables du développement d'applications, des chefs de projet et des utilisateurs finaux de processus métier.

8. Assurez-vous que le plan de test établit des critères clairs pour mesurer le succès de chaque phase de test. Consulter les propriétaires de processus métier et les parties 3

prenantes informatiques pour définir les critères de réussite. Déterminer que le plan établit des procédures de remédiation lorsque les critères de succès ne sont pas remplis.
Par exemple, s'il y a une défaillance importante dans une phase de test, le plan doit indiquer s'il faut passer à la phase suivante, arrêter les tests ou reporter la mise en œuvre.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

BAI07.04 Établir un environnement de test. une. Niveau de comparabilité entre l'environnement de test et les activités futures
Définir et établir un environnement de test sécurisé représentatif du processus d'affaires prévu et paysage opérationnel
et de l'environnement des opérations informatiques en termes de performances, de capacité, b. Niveau de données de test nettoyées (et/ou bases de données) représentatives de l'environnement
de sécurité, de contrôles internes, de pratiques opérationnelles, de qualité des données, de production
d'exigences de confidentialité et de charges de travail.

Activités Niveau de capacité

1. Créez une base de données de données de test représentatives de l'environnement de production. Assainir les données utilisées dans le test 2

de l'environnement de production en fonction des besoins métiers et des normes organisationnelles. Par exemple, déterminez si la conformité ou les exigences
réglementaires obligent à utiliser des données épurées.

2. Protéger les données et résultats de test sensibles contre la divulgation, y compris l'accès, la conservation, le stockage et la destruction. Prendre en compte 3

effet de l'interaction des systèmes organisationnels avec ceux des tiers.

3. Mettre en place un processus permettant de conserver ou d'éliminer correctement les résultats des tests, les supports et autres documents associés qui permettront un
examen adéquat et une analyse ultérieure ou un nouveau test efficace, comme l'exige le plan de test. Tenez compte de l'effet des exigences réglementaires ou de
conformité.

4. Assurez-vous que l'environnement de test est représentatif du futur paysage commercial et opérationnel. Inclure les procédures et les rôles des processus métier, la charge
de travail probable, les systèmes d'exploitation, les logiciels d'application nécessaires, les systèmes de gestion de base de données et l'infrastructure réseau et informatique
trouvée dans l'environnement de production.

5. Assurez-vous que l'environnement de test est sécurisé et incapable d'interagir avec les systèmes de production.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

199
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

BAI07.05 Effectuer les tests d'acceptation. une. Nombre d'écarts identifiés entre les résultats des tests d'acceptation et les
Testez les modifications indépendamment, conformément au plan de test défini, avant la critères de réussite définis

migration vers l'environnement opérationnel réel. b. Nombre de tests d'acceptation réussis

Activités Niveau de capacité

1. Passez en revue le journal catégorisé des erreurs trouvées dans le processus de test par l'équipe de développement. Vérifiez que toutes les erreurs ont été 2

remédié ou formellement accepté.

2. Évaluer l'acceptation finale par rapport aux critères de réussite et interpréter les résultats des tests d'acceptation finale. Présentez-les sous une forme compréhensible 3
pour les propriétaires de processus métier et le service informatique, afin qu'un examen et une évaluation éclairés puissent avoir lieu.

3. Approuver l'acceptation, avec l'approbation formelle des responsables du processus métier, des tiers (le cas échéant) et du service informatique
parties prenantes avant la promotion.

4. Assurez-vous que les tests des modifications sont effectués conformément au plan de test. Assurez-vous que les tests sont conçus et réalisés par un groupe de
test indépendant de l'équipe de développement. Tenez compte de la mesure dans laquelle les propriétaires de processus métier et les utilisateurs finaux sont
impliqués dans le groupe de test. Assurez-vous que les tests sont effectués uniquement dans l'environnement de test.

5. Assurez-vous que les tests et les résultats attendus sont conformes aux critères de réussite définis dans le plan de test.

6. Envisagez d'utiliser des instructions de test clairement définies (scripts) pour mettre en œuvre les tests. Assurez-vous que le groupe de test indépendant
évalue et approuve chaque scénario de test pour confirmer qu'il répond adéquatement aux critères de réussite du test définis dans le plan de test.
Envisagez d'utiliser des scripts pour vérifier dans quelle mesure le système répond aux exigences de sécurité et de confidentialité.

7. Considérez l'équilibre approprié entre les tests scriptés automatisés et les tests utilisateur interactifs.

8. Entreprendre des tests de sécurité conformément au plan de test. Mesurez l'étendue des faiblesses ou des failles de sécurité. Considérez l'effet des incidents de sécurité
depuis la construction du plan de test. Considérez l'effet sur les contrôles d'accès et de limites.
Tenez compte de la confidentialité.

9. Entreprendre des tests de performance du système et des applications conformément au plan de test. Considérez une gamme de performances
mesures (par exemple, les temps de réponse de l'utilisateur final et les performances de mise à jour du système de gestion de base de données).

10. Lorsque vous effectuez des tests, assurez-vous que les éléments de repli et d'annulation du plan de test ont été pris en compte.

11. Identifier, enregistrer et classer (par exemple, les erreurs mineures, significatives, critiques) pendant les tests. Assurez-vous qu'une piste d'audit des résultats des tests
est disponible. Conformément au plan de test, communiquer les résultats des tests aux parties prenantes pour faciliter la correction des bogues et l'amélioration de la
qualité.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Transition de service, 4.5 Validation et test de service

Pratique de gestion Exemple de métriques

BAI07.06 Promouvoir à la production et gérer les versions. une. Nombre et pourcentage de versions non prêtes à être publiées dans les délais
Promouvoir la solution acceptée auprès de l'entreprise et des opérations. Le cas échéant, b. Pourcentage de satisfaction des parties prenantes avec la solution mise en œuvre
exécutez la solution en tant que mise en œuvre pilote ou en parallèle avec l'ancienne solution
pendant une période définie et comparez le comportement et les résultats.
Si des problèmes importants surviennent, revenez à l'environnement d'origine en fonction du
plan de secours/sauvegarde. Gérer les versions des composants de la solution.

Activités Niveau de capacité

1. Préparer le transfert des procédures métier et des services, applications et infrastructures de support des tests vers le 2

environnement de production conformément aux normes de gestion du changement organisationnel.

2. Déterminer l'étendue de la mise en œuvre pilote ou du traitement parallèle de l'ancien et du nouveau système conformément aux
plan de mise en œuvre.

3. Mettre à jour rapidement la documentation pertinente sur les processus opérationnels et le système, les informations de configuration et les documents du plan
d'urgence, le cas échéant.

4. Assurez-vous que toutes les bibliothèques multimédias sont mises à jour rapidement avec la version du composant de la solution transférée de l'environnement de test
vers l'environnement de production. Archivez la version existante et sa documentation à l'appui. Assurez-vous que la promotion à la production des systèmes, des
logiciels d'application et de l'infrastructure est sous contrôle de la configuration.

5. Lorsque la distribution des composants de la solution est effectuée par voie électronique, contrôler la distribution automatisée pour s'assurer que les utilisateurs sont
informés et que la distribution n'a lieu qu'aux destinations autorisées et correctement identifiées. Dans le processus de publication, incluez des procédures de
sauvegarde pour permettre la distribution des modifications à revoir en cas de dysfonctionnement ou d'erreur.

6. Lorsque la distribution prend une forme physique, tenez un registre formel des articles qui ont été distribués, à qui, où ils ont été
mis en œuvre et quand chacun a été mis à jour.

200
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 9.3 Gestion des versions et du déploiement

ITIL V3 2011 Transition de service, gestion des versions 4.4 et du déploiement

Pratique de gestion BAI07.07 Exemple de métriques

Fournir un soutien précoce à la production. une. Nombre de ressources système d'I&T supplémentaires fournies pour le soutien
Pendant une période de temps convenue, fournir une assistance précoce aux utilisateurs et b. Nombre de ressources humaines supplémentaires fournies pour le soutien
aux opérations I&T pour résoudre les problèmes et aider à stabiliser la nouvelle solution.

Activités Niveau de capacité

1. Fournir des ressources supplémentaires, selon les besoins, aux utilisateurs finaux et au personnel d'assistance jusqu'à ce que la version soit stabilisée. 3

2. Fournir des ressources de systèmes d'I&T supplémentaires, au besoin, jusqu'à ce que la version soit dans un environnement opérationnel stable.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI07.08 Exemple de métriques

Procéder à un examen après la mise en œuvre. une. Nombre et pourcentage d'analyses des causes profondes réalisées
Effectuer un examen post-mise en œuvre pour confirmer les résultats et les résultats, identifier les b. Nombre ou pourcentage de rejets qui ne se stabilisent pas dans un délai acceptable
leçons apprises et élaborer un plan d'action. Évaluez les performances et les résultats réels du
service nouveau ou modifié par rapport aux performances et aux résultats attendus anticipés par c. Pourcentage de versions entraînant des temps d'arrêt
l'utilisateur ou le client.

Activités Niveau de capacité

1. Établir des procédures pour garantir que les revues post-mise en œuvre identifient, évaluent et rendent compte de la mesure dans laquelle 3

les événements suivants se sont produitsÿ: les exigences de l'entreprise ont été satisfaitesÿ; les avantages escomptés ont été réalisés; le système est considéré comme
utilisableÿ; les attentes des parties prenantes internes et externes sont satisfaitesÿ; des impacts inattendus sur l'entreprise se sont produitsÿ; le risque clé est atténuéÿ;
et les processus de gestion du changement, d'installation et d'accréditation ont été exécutés de manière efficace et efficiente.

2. Consulter les propriétaires de processus métier et la direction technique informatique dans le choix des paramètres de mesure du succès et 4

réalisation des exigences et des avantages.

3. Procéder à l'examen post-implantation conformément au processus de gestion du changement organisationnel. Engager des affaires
les propriétaires de processus et les tiers, le cas échéant.

4. Tenir compte des exigences relatives à l'examen post-mise en œuvre découlant de l'activité externe et de l'informatique (par exemple, audit interne, GRE, conformité).

5. Convenir d'un plan d'action et le mettre en œuvre pour résoudre les problèmes identifiés lors de l'examen post-mise en œuvre. Engager des affaires 5

les propriétaires de processus et la direction technique informatique dans l'élaboration du plan d'action.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Transition de service, 4.6 Évaluation du changement

201
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

l'information
Directeur
de Propriétaires
processus
métier
de données
Fonction
gestion
des
de Développement
tête
de
la informatiques
Responsable
opérations
des Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

BAI07.01 Établir un plan de mise en œuvre. RA R RRR

BAI07.02 Planifier le processus d'affaires, le système et la conversion des données.

ARRR RRR

BAI07.03 Planifier les tests de réception. RA RR RRR

BAI07.04 Établir un environnement de test. RA RR RR

BAI07.05 Effectuer les tests d'acceptation. RA RR RRR

BAI07.06 Promouvoir en production et gérer les versions. RA RRR R

BAI07.07 Fournir un soutien à la production précoce. RA RRR

BAI07.08 Effectuer une revue post-implantation. RA RRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI07.01 Établir un plan de mise en œuvre. À partir de La description La description Pour

BAI01.07 Plan de gestion de la Mise en œuvre de repli Interne

qualité et les processus de récupération
Implémenter
Construire,
Acquérir
et

BAI06.01 • Demandes de changement Plan de Interne

approuvées mise en œuvre approuvé
• Modifier le plan et
l'horaire

BAI11.05 Qualité du projet

plan de gestion

BAI07.02 Planifier le processus métier, le système et les données Projet de migration DSS06.02
conversion.

BAI07.03 Planifier les tests de réception. BAI01.07 Exigences pour Plan de test d'acceptation BAI01.04ÿ;
vérification indépendante approuvé BAI11.04
des livrables

BAI03.07 • Plan de test

• Les procédures d'essai

BAI03.08 •ÿJournaux des résultats des

tests et pistes d'audit

•ÿCommunication
des résultats des tests

BAI11.05 Exigences pour

vérification indépendante
des livrables du projet

202
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

BAI07.04 Établir un environnement de test. À partir de La description La description Pour

Données de test Interne

BAI07.05 Effectuer les tests d'acceptation. Acceptation approuvée et BAI01.04

mise en production

Évaluation de l'acceptation BAI01.06

résultats

Journal des résultats des tests Interne

BAI07.06 Promouvoir en production et gérer les versions. Plan de publication BAI10.01

Journal des versions Interne

BAI07.07 Fournir un soutien à la production précoce. APO11.02 Résultats de qualité de Plan de soutien supplémentaire APO08.04ÿ;
service, y compris les APO08.05ÿ;
commentaires des clients DSS02.04

BAI05.05 Mesures de réussite et

résultats

BAI07.08 Effectuer une revue post-implantation. APO11.03 • Résultats du suivi de la qualité Plan d'action correctif BAI01.09ÿ;
des solutions et des prestations BAI11.09

de services
• Causes profondes des échecs
de livraison de qualité

APO11.04 Résultats des revues de qualité Post-implémentation BAI01.09ÿ;

et audits revoir les rapports BAI11.09

BAI05.05 Mesures de réussite et

résultats

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Test des processus métier Cadre de compétences pour l'ère de l'information V6, 2015 Cadre de BPTS

Libération et déploiement compétences pour l'ère de l'information V6, 2015 Cadre de RELM

Acceptation des services compétences pour l'ère de l'information V6, 2015 Cadre de SEAC

Essai compétences pour l'ère de l'information V6, 2015 Cadre de TEST

Évaluation de l'expérience utilisateur compétences pour l'ère de l'information V6, 2015 USEV

203
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de gestion du changement informatique politique Communique l'intention de la direction

selon laquelle toutes les modifications apportées
à l'informatique d'entreprise sont gérées et mises
en œuvre de manière à minimiser les risques et
l'impact sur les parties prenantes. Couvre les
actifs concernés et le processus standard de
gestion des modifications.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir une culture qui assure la communication en temps opportun des demandes de
changement informatique aux groupes concernésÿ; consulter les groupes concernés concernant
la mise en œuvre et l'essai des changements.

G. Composante : Services, Infrastructure et Applications

• Outils de gestion du changement informatique

• Outils de gestion des versions

• Outils et services de test

204
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI08 — Description des connaissances gérées Domaine d'interventionÿ: modèle de base COBIT

Maintenir la disponibilité de connaissances et d'informations de gestion pertinentes, actuelles, validées et fiables pour soutenir toutes les activités de processus et faciliter la prise de décision
liée à la gouvernance et à la gestion de l'I&T d'entreprise. Planifier l'identification, la collecte, l'organisation, le maintien, l'utilisation et le retrait des connaissances.

But

Fournir les connaissances et les informations nécessaires pour soutenir tout le personnel dans la gouvernance et la gestion de l'I&T d'entreprise et permettre une prise de décision éclairée.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise
Æ Objectifs d'alignement
• EG01 Portefeuille de produits et services compétitifs • AG12 Personnel compétent et motivé avec une compréhension mutuelle de la technologie et
• EG10 Compétences, motivation et productivité du personnel des affaires
• EG13 Innovation de produit et d'entreprise • AG13 Connaissances, expertise et initiatives pour l'innovation des entreprises

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG12 a. Pourcentage de gens d'affaires avertis en I&T (c.-à-d. ceux qui ont
les objectifs de chiffre d'affaires et/ou de part de marché les connaissances et la compréhension requises de l'I&T pour guider, diriger,
b. Pourcentage de produits et services qui satisfont ou dépassent innover et voir les opportunités d'I&T dans leur domaine d'expertise commerciale)
objectifs de satisfaction client
c. Pourcentage de produits et services qui offrent un avantage b. Pourcentage de personnes en I&T averties en affaires (c.-à-d., celles qui ont
concurrentiel les connaissances et la compréhension requises des domaines commerciaux
ré. Délai de mise sur le marché de nouveaux produits et services pertinents pour guider, diriger, innover et voir les opportunités en I&T pour le
domaine commercial)
c. Nombre ou pourcentage de gens d'affaires ayant une expérience en gestion
de la technologie

EG10 a. Productivité du personnel par rapport aux références AG13 a. Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des
b. Niveau de satisfaction des parties prenantes à l'égard de l'expertise du personnel possibilités d'innovation en I&T
et compétences b. Nombre d'initiatives approuvées résultant d'innovations
c. Pourcentage du personnel dont les compétences sont insuffisantes pour Idées I&T

compétence dans son rôle c. Nombre de champions de l'innovation reconnus/primés

ré. Pourcentage d'employés satisfaits

EG13 a. Niveau de sensibilisation et de compréhension des opportunités d'innovation

des entreprises
b. Satisfaction des parties prenantes concernant les niveaux d'expertise et
d'idées en matière de produits et d'innovation
c. Nombre d'initiatives de produits et de services approuvées résultant
d'idées novatrices

205
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion BAI08.01 Exemple de métriques

Identifier et classer les sources d'information pour la gouvernance et la gestion de l'I&T. une. Pourcentage d'informations catégorisées validées
b. Pourcentage de pertinence des types de contenu, des artefacts et des informations structurées et
Identifier, valider et classer diverses sources d'informations internes et externes nécessaires pour non structurées

permettre la gouvernance et la gestion de l'I&T, y compris les documents de stratégie, les rapports
d'incidents et les informations de configuration qui progressent du développement aux opérations
avant la mise en service.

Activités Niveau de capacité

1. Identifier les utilisateurs potentiels des connaissances, y compris les propriétaires des informations qui peuvent avoir besoin de contribuer et d'approuver les connaissances. 2

Obtenir les connaissances requises et les sources d'information des utilisateurs identifiés.

2. Tenez compte des types de contenu (procédures, processus, structures, concepts, politiques, règles, faits, classifications), des artefacts
(documents, enregistrements, vidéo, voix) et des informations structurées et non structurées (experts, médias sociaux, e-mail, messagerie vocale, flux RSS (Rich Site Summary)).

3. Classer les sources d'information en fonction d'un schéma de classification du contenu (par exemple, modèle d'architecture de l'information). Sources cartographiques 3
d'informations au schéma de classement.

4. Recueillir, rassembler et valider les sources d'information sur la base de critères de validation de l'information (par exemple, intelligibilité, pertinence, 4

importance, intégrité, exactitude, cohérence, confidentialité, actualité et fiabilité).

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI08.02 Exemple de métriques

Organiser et contextualiser l'information en connaissance. une. Nombre de relations identifiées entre les sources d'information
Organiser les informations en fonction de critères de classification. Identifier et créer des relations (marquage)
significatives entre les éléments d'information et permettre l'utilisation de l'information. Identifiez les b. Pourcentage de satisfaction des parties prenantes concernant l'organisation et la
propriétaires, exploitez et mettez en œuvre les niveaux d'information définis par l'entreprise pour contextualisation des informations en connaissances
accéder aux informations de gestion et aux ressources de connaissances.

Activités Niveau de capacité

1. Identifier les attributs partagés et faire correspondre les sources d'informations, en créant des relations entre les ensembles d'informations (marquage des informations). 3

2. Créez des vues vers des ensembles de données connexes, en tenant compte des exigences des parties prenantes et de l'organisation.

3. Concevoir et mettre en œuvre un schéma pour gérer les connaissances non structurées non disponibles via des sources formelles (par exemple, les connaissances d'experts).

4. Publier et rendre les connaissances accessibles aux parties prenantes concernées, en fonction des rôles et des mécanismes d'accès.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

COSO Enterprise Risk Management, juin 2017 10. Information, communication et signalement - Principe 18

Pratique de gestion BAI08.03 Exemple de métriques

Utiliser et partager les connaissances. une. Pourcentage des connaissances disponibles réellement utilisées
Diffuser les ressources de connaissances disponibles aux parties prenantes concernées et b. Pourcentage de satisfaction des utilisateurs de connaissances
communiquer comment ces ressources peuvent être utilisées pour répondre à différents besoins (par

exemple, résolution de problèmes, apprentissage, planification stratégique et prise de décision).

Activités Niveau de capacité

1. Définir les attentes de la direction et démontrer une attitude appropriée concernant l'utilité des connaissances et la nécessité de 2

partager les connaissances liées à la gouvernance et à la gestion de l'I&T d'entreprise.

2. Identifier les utilisateurs potentiels des connaissances par classification des connaissances.

3. Transférer les connaissances aux utilisateurs des connaissances, sur la base d'une analyse des lacunes des besoins et de techniques d'apprentissage efficaces. Créé un 3

environnement, des outils et des artefacts qui soutiennent le partage et le transfert des connaissances. Assurez-vous que des contrôles d'accès appropriés sont en place,
conformément à la classification des connaissances définie.

4 .Mesurer l'utilisation des outils et éléments de connaissance et évaluer l'impact sur les processus de gouvernance. 4

5. Améliorer les informations et les connaissances pour les processus de gouvernance qui présentent des lacunes dans les connaissances. 5

206
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 PP.IS Appliquer le partage d'informationsÿ; IR.ES Assurer le partage d'informations

ITIL V3, 2011 Transition de service, 4.7 Gestion des connaissances

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4.4 Gérer les connaissances du projet

Pratique de gestion Exemple de métriques

BAI08.04 Évaluer et mettre à jour ou supprimer l'information. une. Fréquence de mise à jour
Mesurer l'utilisation et évaluer l'actualité et la pertinence des informations. b. Niveau de satisfaction des utilisateurs
Mettez à jour les informations ou supprimez les informations obsolètes.

Activités Niveau de capacité

1. Définir les contrôles pour le retrait des connaissances et retirer les connaissances en conséquence. 3

2. Évaluer l'utilité, la pertinence et la valeur des éléments de connaissance. Mettez à jour les informations obsolètes qui ont encore de la pertinence et de la valeur 4
pour l'organisation. Identifiez les informations connexes qui ne sont plus pertinentes pour les besoins en connaissances de l'entreprise et retirez-les ou archivez-
les conformément à la politique.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Implémen
Construir
Acquérir
et B. Composante : Structures organisationnelles

l'information
Directeur
de technologie
directeur
de
la numérique
Directeur Propriétaires
processus
métier
de Gestionnaire
portefeuille
de Gestionnaire
programme
de projet
Chef
de données
Fonction
gestion
des
de Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la Conseiller
juridique

Pratique de gestion des clés

BAI08.01 Identifier et classer les sources d'information pour la gouvernance et la gestion de l'I&T. AA BAI08.02 Organiser R R RR R

et contextualiser l'information en connaissances. R RRR

BAI08.03 Utiliser et partager les connaissances. ARRRRRRR R R

BAI08.04 Évaluer et mettre à jour ou retirer l'information. UNE R RRRRRRRRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

207
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion BAI08.01 Contributions Les sorties

Identifier et classer les sources d'information pour À partir de La description La description Pour

gouvernance et gestion de l'I&T.

En dehors des exigences de connaissances COBIT Classement de Interne
et sources sources d'informations

BAI08.02 Organiser et contextualiser les informations en BAI03.03 Solution documentée Connaissances publiées APO07.03

connaissances. Composants référentiels

BAI05.07 Plans de transfert de connaissances

BAI08.03 Utiliser et partager les connaissances. BAI03.03 Solution documentée Programmes de sensibilisation APO07.03

Composants et de formation

BAI05.05 Plan d'exploitation et d'utilisation Base de données des utilisateurs de connaissances Interne

BAI05.07 Plans de transfert de connaissances

BAI08.04 Évaluer et mettre à jour ou retirer l'information. Règles de connaissance Interne

retraite

Résultats de l'évaluation Interne

de l'utilisation des connaissances

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Framework Référence détaillée

Gestion de l'information et des (e-CF)—A common European Framework for ICT Professionals in all industry sector—Part 1: Framework, D. Activer—D.10. L'information et

connaissances 2016 Gestion des connaissances

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de gouvernance sur l'utilisation des connaissances Oriente la création et l'utilisation des
actifs de connaissances liés à la gouvernance
de l'I&T. Les actifs de connaissances en I&T
doivent être facilement accessibles à titre de
référence.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Intégrer une culture de partage des connaissances dans l'entreprise. Communiquer de

manière proactive la valeur des connaissances pour encourager la création, l'utilisation, la réutilisation
et le partage des connaissances. Encourager le partage et le transfert des connaissances en identifiant
et en exploitant les facteurs de motivation.

G. Composante : Services, Infrastructure et Applications

• Plate-forme collaborative
• Référentiel de connaissances

208
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI09 — Description des actifs gérés Domaine d'interventionÿ: modèle de base COBIT

Gérez les actifs I&T tout au long de leur cycle de vie pour vous assurer que leur utilisation offre une valeur à un coût optimal, qu'ils restent opérationnels (adaptés à l'usage), et qu'ils sont
comptabilisés et physiquement protégés. Assurez-vous que les actifs essentiels à la prise en charge de la capacité de service sont fiables et disponibles.
Gérez les licences logicielles pour vous assurer que le nombre optimal est acquis, conservé et déployé en fonction de l'utilisation commerciale requise, et que le logiciel installé est conforme aux
accords de licence.

But

Comptabiliser tous les actifs I&T et optimiser la valeur apportée par leur utilisation.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de
Æ Objectifs d'alignement
l'entreprise • EG04 Qualité des informations financières AG04 Qualité des informations financières liées à la technologie
• EG07 Qualité des informations de gestion
• EG09 Optimisation des coûts des processus métier

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG04 a. Enquête de satisfaction auprès des principales parties prenantes concernant AG04 a. Satisfaction des principales parties prenantes concernant le niveau de
transparence, compréhension et exactitude des informations financières transparence, compréhension et exactitude des informations financières d'I&T
de l'entreprise

b. Coût du non-respect des réglementations financières b. Pourcentage de services d'I&T avec des coûts opérationnels définis
et approuvés et des avantages attendus
EG07 a. Degré de satisfaction du conseil d'administration et de la haute direction
avec des informations décisionnelles
b. Nombre d'incidents causés par des décisions commerciales
incorrectes basées sur des informations inexactes

c. Il est temps de fournir des informations pour une entreprise efficace

les décisions

ré. Actualité des informations de gestion

EG09 a. Ratio coût/niveaux de service atteints

b. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec les frais de traitement de l'entreprise

A. Composante : Processus

Pratique de gestion BAI09.01 Exemple de métriques

Identifier et enregistrer les actifs actuels. une. Pourcentage d'actifs correctement enregistrés dans le registre des actifs
Maintenir un registre à jour et précis de tous les actifs d'I&T qui sont nécessaires pour fournir des b. Pourcentage d'actifs adaptés à l'usage
services et qui sont détenus ou contrôlés par l'organisation dans l'attente d'avantages futurs (y c. Pourcentage d'actifs inventoriés et tenus à jour
compris les ressources à valeur économique, telles que le matériel ou les logiciels). Assurer
l'alignement avec la gestion de la configuration et la gestion financière.

Activités Niveau de capacité

1. Identifiez tous les actifs détenus dans un registre des actifs qui enregistre l'état actuel. Les actifs sont déclarés au bilan; ils sont achetés ou créés pour augmenter la 2

valeur d'une entreprise ou profiter aux opérations de l'entreprise (par exemple, le matériel et les logiciels). Identifiez tous les actifs détenus et maintenez l'alignement
avec les processus de gestion des modifications et de gestion de la configuration, le système de gestion de la configuration et les enregistrements de comptabilité
financière.

2. Identifier les exigences légales, réglementaires ou contractuelles qui doivent être respectées lors de la gestion de l'actif.

3. Vérifier que les actifs sont adaptés à l'usage (c'est-à-dire en bon état).

4. Assurer la comptabilisation de tous les actifs. 3

5. Vérifier l'existence de tous les actifs possédés en effectuant régulièrement des vérifications d'inventaire physique et logique et un rapprochement. Inclure 4

l'utilisation d'outils de découverte de logiciels.

6. Déterminez régulièrement si chaque actif continue de fournir de la valeur. Si tel est le cas, estimez la durée de vie utile prévue pour générer de la valeur.

209
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 RI.AD Asset Discovery & Identification

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 BA1.1 Registre des applications commerciales

ISO/CEI 27002:2013/Cor.2:2015(E) 8.1 Responsabilité des actifs

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.13 Protection physique et environnementale (PE-9)
(ébauche), août 2017

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 1ÿ: Inventaire des appareils autorisés et non autorisésÿ;
2016 CSC 2 : Inventaire des logiciels autorisés et non autorisés

Pratique de gestion BAI09.02 Exemple de métriques

Gérer les actifs critiques. une. Nombre d'actifs critiques

Identifiez les actifs qui sont essentiels à la fourniture de la capacité de service. Optimisez leur b. Temps d'arrêt moyen par actif critique
fiabilité et leur disponibilité pour répondre aux besoins de l'entreprise. c. Nombre de tendances d'incidents identifiées

Activités Niveau de capacité

1. Identifier les actifs qui sont essentiels à la fourniture de la capacité de service en faisant référence aux exigences dans les définitions de service, les SLA et les 2

système de gestion des configurations.

2. Tenez compte régulièrement du risque de défaillance ou de la nécessité de remplacer chaque actif critique.

3. Communiquer aux clients et utilisateurs concernés l'impact attendu (par exemple, les restrictions de performances) des activités de maintenance.

4. Intégrez les temps d'arrêt planifiés dans un calendrier de production global. Planifiez les activités de maintenance afin de minimiser l'impact négatif sur les processus métier. 3

5. Maintenir la résilience des actifs critiques en appliquant une maintenance préventive régulière. Surveillez les performances et, si nécessaire, fournissez des ressources
alternatives et/ou supplémentaires pour minimiser la probabilité d'échec.

6. Établir un plan de maintenance préventive pour tout le matériel, en tenant compte de l'analyse coûts/avantages, des recommandations du fournisseur, du risque de
panne, personnel qualifié et autres facteurs pertinents.

7. Établir des ententes de maintenance prévoyant l'accès de tiers aux installations organisationnelles d'I&T pour les activités sur place et hors site (p. ex., sous-traitance). Établir
des contrats de service formels contenant ou faisant référence à toutes les conditions de sécurité et de confidentialité nécessaires, y compris les procédures d'autorisation
d'accès, pour assurer le respect des politiques et normes de sécurité/confidentialité de l'organisation.

8. Assurez-vous que les services d'accès à distance et les profils d'utilisateurs (ou d'autres moyens utilisés pour la maintenance ou le diagnostic) sont actifs uniquement
si nécessaire.

9. Surveiller les performances des actifs critiques en examinant les tendances des incidents. Si nécessaire, prendre des mesures pour réparer ou remplacer. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Cadre de l'Institut national des normes et de la technologie pour l'amélioration de la gestion des actifs ID.AM
Cybersécurité des infrastructures critiques v1.1, avril 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.13 Protection physique et environnementale (PE-20)
(ébauche), août 2017

Pratique de gestion BAI09.03 Exemple de métriques

Gérer le cycle de vie des actifs. une. Pourcentage d'actifs gérés depuis l'approvisionnement jusqu'à la cession
Gérer les actifs de l'approvisionnement à l'élimination. Assurez-vous que les actifs sont utilisés b. Pourcentage d'utilisation par actif
aussi efficacement et efficacement que possible et sont comptabilisés et protégés physiquement c. Pourcentage d'actifs déployés suite à la mise en œuvre standard
jusqu'à ce qu'ils soient correctement retirés. cycle de la vie

210
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Acquérir tous les actifs en fonction des demandes approuvées et conformément aux politiques et pratiques d'approvisionnement de l'entreprise. 2

2. Obtenir, recevoir, vérifier, tester et enregistrer tous les actifs de manière contrôlée, y compris l'étiquetage physique requis.

3. Approuver les paiements et terminer le processus avec les fournisseurs conformément aux conditions contractuelles convenues.

4. Déployez les actifs en suivant le cycle de vie d'implémentation standard, y compris la gestion des modifications et les tests d'acceptation. 3

5. Allouer les actifs aux utilisateurs, avec acceptation des responsabilités et approbation, le cas échéant.

6. Dans la mesure du possible, réaffectez les actifs lorsqu'ils ne sont plus nécessaires en raison d'un changement de rôle d'utilisateur, d'une redondance au sein d'un
service ou le retrait d'un service.

7. Planifier, autoriser et mettre en œuvre des activités liées à la retraite, en conservant les dossiers appropriés pour répondre aux affaires courantes et
besoins réglementaires.

8. Éliminer les actifs en toute sécurité, en tenant compte, par exemple, de la suppression permanente de toutes les données enregistrées sur les appareils multimédias et des
dommages potentiels à l'environnement.

9. Éliminer les actifs de manière responsable lorsqu'ils ne servent à rien en raison du retrait de tous les services connexes, de la technologie obsolète 4

ou le manque d'utilisateurs au regard de l'impact environnemental.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 ISF, The DP.ML Gérer le cycle de vie des actifs

Standard of Good Practice for Information Security 2016 ITIL V3, 2011 National Institute of IM2.1 Gestion des documentsÿ; PA1.1 Gestion du cycle de vie du matériel

Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity Transition de service, 4.3 Gestion des actifs de service et de la configuration

v1.1, avril 2018 Maintenance PR.MA

Pratique de gestion BAI09.04 Exemple de métriques

Optimiser la valeur des actifs. une. Coûts de référence

Examinez régulièrement la base d'actifs globale pour identifier les moyens d'optimiser la valeur en b. Nombre d'actifs non utilisés

fonction des besoins de l'entreprise.

Activités Niveau de capacité

1. Sur une base régulière, passez en revue la base d'actifs globale, en vous demandant si elle est alignée sur les besoins de l'entreprise. 3

2. Évaluer les coûts de maintenance, considérer le caractère raisonnable et identifier les options à moindre coût. Inclure, si nécessaire, le remplacement 4
avec de nouvelles alternatives.

3. Examiner les garanties et envisager des stratégies d'optimisation des ressources et de remplacement pour déterminer les options les moins coûteuses. 5

4. Utilisez les statistiques de capacité et d'utilisation pour identifier les actifs sous-utilisés ou redondants qui pourraient être éliminés ou remplacés afin de réduire les coûts.

5. Examiner la base globale pour identifier les opportunités de normalisation, d'approvisionnement unique et d'autres stratégies susceptibles de réduire
les coûts d'approvisionnement, de soutien et de maintenance.

6. Examiner l'état général pour identifier les opportunités de tirer parti des technologies émergentes ou des stratégies d'approvisionnement alternatives pour réduire
coûts ou augmenter le rapport qualité-prix.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion BAI09.05 Exemple de métriques

Gérer les licences. une. Pourcentage de licences utilisées par rapport aux licences achetées
Gérez les licences logicielles pour maintenir le nombre optimal de licences et répondre aux besoins b. Pourcentage de licences encore payées mais non utilisées
de l'entreprise. Assurez-vous que le nombre de licences détenues est suffisant pour couvrir le logiciel c. Pourcentage de produits et de licences qui doivent être mis à niveau pour atteindre
installé en cours d'utilisation. meilleure valeur

211
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Maintenir un registre de toutes les licences logicielles achetées et des accords de licence associés. 2

2. Effectuez régulièrement un audit pour identifier toutes les instances de logiciels sous licence installés. 3

3. Comparez le nombre d'instances logicielles installées avec le nombre de licences détenues. Assurez-vous que la méthode de mesure de la 4
conformité de la licence est conforme à la licence et aux exigences contractuelles.

4. Lorsque le nombre d'instances est inférieur au nombre détenu, décidez s'il est nécessaire de conserver ou de résilier les licences, en tenant compte
la possibilité d'économiser sur l'entretien, la formation et d'autres coûts inutiles.

5. Lorsque le nombre d'instances est supérieur au nombre détenu, envisagez d'abord la possibilité de désinstaller les instances qui ne sont plus
nécessaires ou justifiées, puis, si nécessaire, achetez des licences supplémentaires pour vous conformer au contrat de licence.

6. Examinez régulièrement si une meilleure valeur peut être obtenue en mettant à niveau les produits et les licences associées. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

l'information
Directeur
de technologie
directeur
de
la Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

BAI09.01 Identifier et enregistrer les actifs courants. UNE RR

BAI09.02 Gérer les actifs critiques. ARRRR RR

BAI09.03 Gérer le cycle de vie des actifs. UNE RRR

Implémenter
Construire,
Acquérir
et

BAI09.04 Optimiser la valeur des actifs. ARRRRRR

BAI09.05 Gérer les licences. RA RRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

212
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI09.01 Identifier et enregistrer les actifs courants. À partir de La description La description Pour

BAI03.04 Mises à jour de Résultats de l'adaptation à l'objectif APO02.02

l'inventaire des actifs Commentaires

BAI10.02 Référentiel de configuration Registre des actifs APO06.01ÿ;

BAI10.03

Résultats de physique BAI10.03ÿ;

contrôles d'inventaire BAI10.04ÿ;
DSS05.03

BAI09.02 Gérer les actifs critiques. Communications de APO08.04

maintenance planifiée
temps d'arrêt

Contrats de maintenance Interne

BAI09.03 Gérer le cycle de vie des actifs. Actif autorisé BAI10.03

retraites

Registre des actifs mis à jour BAI10.03

Actif approuvé Interne

demandes d'approvisionnement

BAI09.04 Optimiser la valeur des actifs. Possibilités de réduire APO02.02

coûts des actifs ou augmentation
évaluer

Résultats de APO02.02

l'optimisation des coûts

Commentaires

BAI09.05 Gérer les licences. Plan d'action pour ajuster APO02.05

numéros de licence et
allocations

Registre des logiciels BAI10.02

licences

Résultats des audits des MEA03.03

licences installées

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

La gestion d'actifs Cadre de compétences pour l'ère de l'information V6, 2015 Cadre ASMG

Installation de systèmes/ de compétences pour l'ère de l'information V6, 2015 HSIN

déclassement

213
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de gestion des actifs politique Fournit des directives pour

la gestion du cycle de vie des actifs,
les mesures de protection des actifs,
la classification et la propriété du système,
la propriété des données et la classification des données

Politique de propriété intellectuelle (PI) Aborde les risques liés à l'utilisation, à

la propriété, à la vente et à la distribution des
résultats des efforts créatifs liés à l'I&T par
les employés (par exemple, le développement
de logiciels).
Oblige la documentation
appropriée, le niveau de détail, etc., dès le
début des travaux.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir une culture qui identifie, évalue et rapporte la valeur économique et stratégique
relative de chaque actif pour l'entreprise d'une manière ouverte, cohérente et transparente.

G. Composante : Services, Infrastructure et Applications

Outils de gestion d'actifs

214
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI10 — Description de la configuration gérée Domaine d'interventionÿ: modèle de base COBIT

Définir et maintenir les descriptions et les relations entre les ressources et les capacités clés requises pour fournir des services activés par l'I&T. Inclure la collecte des informations de configuration,
l'établissement de lignes de base, la vérification et l'audit des informations de configuration et la mise à jour du référentiel de configuration.

But

Fournir suffisamment d'informations sur les actifs du service pour permettre une gestion efficace du service. Évaluer l'impact des changements et traiter les incidents de service.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de Æ Objectifs d'alignement

l'entreprise • EG02 Risque commercial géré AG07 Sécurité des informations, infrastructure de traitement et applications, et vie
• EG06 Continuité et disponibilité des services commerciaux privée

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG02 a. Pourcentage d'objectifs commerciaux et de services critiques AG07 a. Nombre d'incidents de confidentialité causant des pertes financières, des
couverts par l'évaluation des risques interruptions d'activité ou de l'embarras public
b. Ratio des incidents significatifs qui n'ont pas été identifiés dans les évaluations b. Nombre d'incidents de disponibilité entraînant des pertes financières,
des risques par rapport au nombre total d'incidents des interruptions d'activité ou une gêne publique
c. Fréquence de mise à jour du profil de risque c. Nombre d'incidents d'intégrité causant des pertes financières, des
perturbations d'activité ou de l'embarras public
EG06 a. Nombre de service client ou de processus métier
interruptions provoquant des incidents significatifs
b. Coût des incidents pour l'entreprise

c. Nombre d'heures de traitement d'entreprise perdues en raison

d'interruptions de service imprévues
ré. Pourcentage de plaintes en fonction des commis
objectifs de disponibilité du service

A. Composante : Processus

Pratique de gestion Exemple de métriques

BAI10.01 Établir et maintenir un modèle de configuration. une. Nombre de parties prenantes signant le modèle de configuration
Établir et maintenir un modèle logique des services, des actifs, de l'infrastructure b. Pourcentage de précision des relations des éléments de configuration
et de l'enregistrement des éléments de configuration (CI), y compris les relations entre eux.
Inclure les CI jugés nécessaires pour gérer efficacement les services et fournir une
description unique et fiable des actifs d'un service.

Activités Niveau de capacité

1. Définir et convenir de la portée et du niveau de détail de la gestion de la configuration (c'est-à-dire quels services, actifs et éléments configurables de l'infrastructure 3

inclure).

2. Établir et maintenir un modèle logique pour la gestion de la configuration, y compris des informations sur les types de CI, les attributs,
les types de relation, les attributs de relation et les codes de statut.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Data Management Maturity Model, 2014 ISF, The Processus de support - Gestion de la configuration

Standard of Good Practice for Information Security 2016 ISO/IEC 20000-1:2011(E) Configuration du système SY1

9.1 Gestion des configurations

ITIL V3, 2011 Transition de service, 4.3 Gestion des actifs de service et de la configuration

Publication spéciale de l'Institut national des normes et de la technologie 3.5 Gestion des configurations (CM-6)
800-53, révision 5 (ébauche), août 2017

215
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion BAI10.02 Exemple de métriques

Établir et maintenir un référentiel de configuration et une ligne de base. une. Nombre d'éléments de configuration (CI) répertoriés dans le référentiel
Établissez et maintenez un référentiel de gestion de la configuration et créez des lignes de b. Pourcentage de précision des lignes de base de configuration d'un service, d'une
base de configuration contrôlées. application ou d'une infrastructure

Activités Niveau de capacité

1. Identifiez et classez les CI et remplissez le référentiel. 2

2. Créer, réviser et convenir formellement des lignes de base de configuration d'un service, d'une application ou d'une infrastructure. 3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 National IP.CB Appliquer les lignes de base de configuration

Institute of Standards and Technology Special Publication 800-37, Revision 2 (Draft), mai 3.4 Mise en œuvre (Tâche 2)
2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.19 Acquisition de systèmes et de services (SA-10)
(ébauche), août 2017

Pratique de gestion BAI10.03 Exemple de métriques

Maintenir et contrôler les éléments de configuration. une. Fréquence des modifications/mises à jour du référentiel
Maintenez à jour un référentiel d'éléments de configuration (CI) en remplissant toutes les b. Pourcentage d'exactitude et d'exhaustivité du référentiel des CI
modifications de configuration.

Activités Niveau de capacité

1. Identifiez régulièrement tous les changements apportés aux CI. 2

2. Pour garantir l'exhaustivité et l'exactitude, examiner les modifications proposées aux IC par rapport à la référence.

3. Mettez à jour les détails de configuration pour les modifications approuvées des CI.

4. Créez, révisez et acceptez formellement les modifications apportées aux lignes de base de configuration chaque fois que nécessaire. 3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.5 Gestion des configurations (CM-2)
(ébauche), août 2017

Pratique de gestion BAI10.04 Exemple de métriques

Produire des rapports d'état et de configuration. une. Nombre de modifications non autorisées identifiées
Définir et produire des rapports de configuration sur les changements d'état des b. Pourcentage de précision des changements de statut des IC par rapport à la ligne de base
éléments de configuration.

Activités Niveau de capacité

1. Identifiez les changements d'état des CI et rapportez-les par rapport à la ligne de base. 2

2. Associez toutes les modifications de configuration aux demandes de modification approuvées afin d'identifier toute modification non autorisée. Signalement non autorisé 3

changements à la gestion du changement.

3. Identifier les exigences de rapport de toutes les parties prenantes, y compris le contenu, la fréquence et les médias. Produire des rapports selon les exigences identifiées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.5 Gestion des configurations (CM-3)
(ébauche), août 2017

Pratique de gestion BAI10.05 Exemple de métriques

Vérifier et examiner l'intégrité du référentiel de configuration. une. Nombre d'écarts entre le référentiel de configuration et la configuration en direct
Examinez périodiquement le référentiel de configuration et vérifiez qu'il est complet et correct par
rapport à la cible souhaitée. b. Nombre d'écarts liés à des informations de configuration incomplètes ou
manquantes

216
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Vérifiez périodiquement les éléments de configuration en direct par rapport au référentiel de configuration en comparant les éléments physiques et logiques. 4
configurations et à l'aide d'outils de découverte appropriés, selon les besoins.

2. Signaler et examiner tous les écarts pour les corrections approuvées ou les actions visant à supprimer tout actif non autorisé.

3. Vérifiez périodiquement que tous les éléments de configuration physique, tels que définis dans le référentiel, existent physiquement. Signaler tout écart
à la direction.

4. Définissez et révisez périodiquement l'objectif d'exhaustivité du référentiel de configuration en fonction des besoins de l'entreprise.

5. Comparer périodiquement le degré d'exhaustivité et de précision par rapport aux objectifs et prendre des mesures correctives, si nécessaire, pour 5
améliorer la qualité des données du référentiel.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.5 Gestion de la configuration (CM-4)
800-53, révision 5 (ébauche), août 2017

B. Composante : Structures organisationnelles

Implémen
Construir
Acquérir
et l'information
Directeur
de technologie
directeur
de
la Architecte
chef
en Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de
Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la

Pratique de gestion des clés

BAI10.01 Établir et maintenir un modèle de configuration. UNE RRR

BAI10.02 Établir et maintenir un référentiel de configuration et une ligne de base. ARRRRR

BAI10.03 Maintenir et contrôler les éléments de configuration. RA RRR

BAI10.04 Produire des rapports d'état et de configuration. UNE RR

BAI10.05 Vérifier et examiner l'intégrité du référentiel de configuration. ARRR R

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

217
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI10.01 Établir et maintenir un modèle de configuration. À partir de La description La description Pour

BAI07.06 Plan de publication Modèle de configuration Interne

logique

Portée de la configuration Interne

modèle de gestion

BAI10.02 Établir et maintenir une configuration BAI09.05 Registre des logiciels Base de configuration BAI03.11ÿ;
référentiel et ligne de base. licences BAI03.12

Référentiel de configuration BAI09.01ÿ;

DSS02.01

BAI10.03 Maintenir et contrôler les éléments de configuration. BAI06.03 Changer le statut de la demande Modifications approuvées à BAI03.11

rapports ligne de base

BAI09.01 • Registre des actifs Référentiel mis à jour DSS02.01

• Résultats des contrôles avec les CI

d'inventaire physique

BAI09.03 • Registre des actifs mis à jour

• Mises au rebut
autorisées

BAI10.04 Produire des rapports d'état et de configuration. BAI09.01 Résultats de physique Rapports sur l'état de la BAI03.11ÿ;
contrôles d'inventaire configuration DSS02.01

BAI10.05 Vérifier et revoir l'intégrité de la configuration Résultats du référentiel Interne

dépôt. examens d'exhaustivité

Résultats de physique Interne

vérification des CI

Écarts de licence MEA03.03

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.4 Mise en œuvre (Tâcheÿ2)ÿ: entrées et sorties
800-37, révision 2, septembre 2017

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion de la configuration Cadre de compétences pour l'ère de l'information V6, 2015 CFMG

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Politique de gestion de configuration Communique des conseils

pour établir et utiliser un référentiel
de configuration complet, y compris
tous les composants technologiques, les
définitions de configuration associées et les
interdépendances avec d'autres composants
technologiques. Permet de garantir que les
modifications du système et des logiciels
perturbent le moins possible les services.
S'assure que les changements sont coordonnés
entre les groupes concernés, afin d'éviter les
conflits ou la duplication des efforts.

218
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir une culture qui prend en charge une approche structurée de la gestion de la
configuration dans tous les départements dans laquelle les utilisateurs reconnaissent la
valeur d'une gestion stricte de la configuration (par exemple, éviter les conflits de version
ou les efforts redondants) et appliquer les règles et procédures qui ont été mises en
place.

G. Composante : Services, Infrastructure et Applications

Outils et référentiels de gestion de configuration

219
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

220
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : Construire, Acquérir et Implémenter

Objectif de gestion : BAI11 — Description des projets gérés Domaine d'interventionÿ: modèle de base COBIT

Gérer tous les projets initiés au sein de l'entreprise conformément à la stratégie de l'entreprise et de manière coordonnée en fonction de l'approche standard de gestion de projet. Initiez, planifiez, contrôlez
et exécutez des projets, et clôturez par une revue post-implémentation.

But

Réalisez les résultats de projet définis et réduisez le risque de retards imprévus, de coûts et d'érosion de la valeur en améliorant les communications et l'implication des entreprises et des
utilisateurs finaux. Assurer la valeur et la qualité des livrables du projet et maximiser leur contribution aux programmes définis et au portefeuille d'investissement.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG03 Bénéfices réalisés grâce aux investissements en I&T et
• EG08ÿOptimisation de la fonctionnalité des processus métier internes portefeuille de services
• EG12 Programmes de transformation numérique gérés • AG06 Agilité pour transformer les exigences métier en solutions opérationnelles
• AG09 Exécuter les programmes dans les délais, en respectant le budget et en
respectant les exigences et les normes de qualité

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG01 a. Pourcentage de produits et services qui atteignent ou dépassent les objectifs AG03 a. Pourcentage d'investissements activés en I&T pour lesquels les avantages

de chiffre d'affaires et/ou de part de marché revendiqués dans l'analyse de rentabilisation sont atteints ou dépassés

b. Pourcentage de produits et services qui satisfont ou dépassent b. Pourcentage de services I&T pour lesquels les avantages attendus (tels
objectifs de satisfaction client qu'énoncés dans les accords de niveau de service) sont réalisés
c. Pourcentage de produits et services qui offrent un avantage concurrentiel

ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale AG06 a. Niveau de satisfaction des dirigeants d'entreprise vis-à-vis de la réactivité de l'I&T

avec des capacités de processus métier aux nouvelles exigences

b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de b. Délai moyen de mise sur le marché des nouveaux services et applications liés
services à l'I&T
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne c. Temps moyen pour transformer les objectifs stratégiques d'I&T en initiatives
d'approvisionnement convenues et approuvées
ré. Nombre de processus métier critiques pris en charge par une infrastructure et des
applications à jour

EG12 a. Nombre de programmes dans les délais et dans les limites du budget AG09 a. Nombre de programmes/projets dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme b. Nombre de programmes nécessitant une refonte importante en raison de la qualité
c. Pourcentage de programmes de transformation d'entreprise arrêtés défauts

ré. Pourcentage de programmes de transformation d'entreprise avec des c. Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
mises à jour régulières de l'état d'avancement

221
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion BAI11.01 Exemple de métriques

Maintenir une approche standard pour la gestion de projet. une. Pourcentage de projets réussis sur la base de l'approche standard définie
Maintenir une approche standard pour la gestion de projet qui permet la gouvernance et b. Nombre de mises à jour de l'approche de gestion de projet, des bonnes pratiques, des
l'examen de la gestion, la prise de décision et les activités de gestion de la livraison. Ces outils et des modèles
activités doivent constamment se concentrer sur la valeur et les objectifs de l'entreprise (c'est-
à-dire les exigences, les risques, les coûts, le calendrier et les objectifs de qualité).

Activités Niveau de capacité

1. Maintenir et appliquer une approche standard de la gestion de projet alignée sur l'environnement spécifique de l'entreprise et avec de bonnes pratiques basées sur un 2

processus défini et l'utilisation d'une technologie appropriée. Assurez-vous que l'approche couvre le cycle de vie complet et les disciplines à suivre, y compris la
gestion de la portée, des ressources, des risques, des coûts, de la qualité, du temps, de la communication, de l'implication des parties prenantes, de l'approvisionnement,
du contrôle des modifications, de l'intégration et de la réalisation des avantages.

2. Offrir une formation appropriée en gestion de projet et envisager la certification des chefs de projet.

3. Mettre en place un bureau de gestion de projet (PMO) qui maintient l'approche standard pour la gestion de programme et de projet dans toute l'organisation. Le PMO 3

prend en charge tous les projets en créant et en maintenant les modèles de documentation de projet requis, en fournissant une formation et des meilleures pratiques
aux chefs de projet, en suivant des mesures sur l'utilisation des meilleures pratiques pour la gestion de projet, etc. Dans certains cas, le PMO peut également rendre
compte de l'avancement du projet à la haute direction et/ou les parties prenantes, aider à hiérarchiser les projets et s'assurer que tous les projets soutiennent les objectifs
commerciaux globaux de l'entreprise.

4. Évaluer les leçons apprises sur l'utilisation de l'approche de gestion de projet. Mettre à jour les bonnes pratiques, les outils et les modèles 4

par conséquent.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.15 Gestion du programme (PM-2)
(ébauche), août 2017

Pratique de gestion BAI11.02 Exemple de métriques

Démarrer et initier un projet. une. Pourcentage de parties prenantes approuvant les besoins de l'entreprise, la portée, les
Définir et documenter la nature et la portée du projet pour confirmer et développer une résultats prévus et le niveau de risque du projet
compréhension commune de la portée du projet parmi les parties prenantes. b. Pourcentage de projets dans lesquels les parties prenantes ont reçu une déclaration
La définition doit être officiellement approuvée par les promoteurs du projet. écrite claire définissant la nature, la portée et les avantages du projet

Activités Niveau de capacité

1. Pour créer une compréhension commune de la portée du projet parmi les parties prenantes, fournissez-leur une déclaration écrite claire définissant le 2

la nature, la portée et les livrables de chaque projet.

2. Veiller à ce que chaque projet ait un ou plusieurs parrains disposant d'une autorité suffisante pour gérer l'exécution du projet dans le
programme global.

3. Assurez-vous que les principales parties prenantes et les sponsors au sein de l'entreprise (commercial et informatique) conviennent et acceptent les exigences du
projet, y compris la définition des critères de réussite (acceptation) du projet et des indicateurs de performance clés (KPI).

4. Nommer un responsable dédié au projet. Veiller à ce que la personne ait la compréhension requise de la technologie et des affaires, ainsi que les compétences et
les aptitudes nécessaires pour gérer le projet de manière efficace et efficiente.

5. Assurez-vous que la définition du projet décrit les exigences d'un plan de communication du projet qui identifie les
communication externe du projet.

6. Avec l'approbation des parties prenantes, maintenir la définition du projet tout au long du projet, reflétant l'évolution des exigences.

7. Pour suivre l'exécution d'un projet, mettre en place des mécanismes tels que des rapports réguliers et des étapes, des versions ou des phases
révisions, de se produire en temps opportun et avec l'approbation appropriée.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4.1 Élaborer une charte de projetÿ; Partie 1ÿ: 6. Gestion du calendrier du
projet

222
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion BAI11.03 Exemple de métriques

Gérer l'engagement des parties prenantes. une. Niveau de satisfaction des parties prenantes à l'égard de l'implication

Gérer l'engagement des parties prenantes pour assurer un échange actif d'informations b. Pourcentage de parties prenantes effectivement engagées
précises, cohérentes et opportunes qui parviennent à toutes les parties prenantes concernées.
Cela comprend la planification, l'identification et l'engagement des parties prenantes et la
gestion de leurs attentes.

Activités Niveau de capacité

1. Planifier comment les parties prenantes à l'intérieur et à l'extérieur de l'entreprise seront identifiées, analysées, engagées et gérées tout au long de la vie 3

cycle du projet.

2. Identifier, engager et gérer les parties prenantes en établissant et en maintenant des niveaux appropriés de coordination, de communication
et la liaison pour s'assurer qu'ils sont impliqués dans le projet.

3. Analyser les intérêts, les exigences et l'engagement des parties prenantes. Prendre des mesures correctives au besoin. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 13. Gestion des parties prenantes du projet
Partie 1ÿ: 10. Gestion des communications du projet

Pratique de gestion BAI11.04 Exemple de métriques

Élaborer et tenir à jour le plan de projet. une. Pourcentage de projets actifs entrepris sans cartes de valeur de projet valides et
Établir et maintenir un plan de projet officiel, approuvé et intégré (couvrant les ressources mises à jour
commerciales et informatiques) pour guider l'exécution et le contrôle du projet tout au long b. Pourcentage d'achèvement d'étape ou de tâche par rapport au plan
de sa durée de vie. La portée des projets doit être clairement définie et liée au renforcement ou
à l'amélioration des capacités de l'entreprise.

Activités Niveau de capacité

1. Élaborer un plan de projet qui fournit des informations permettant à la direction de contrôler progressivement l'avancement du projet. Le plan doit inclure des 2

détails sur les éléments livrables du projet et les critères d'acceptation, les ressources et responsabilités internes et externes requises, des structures de répartition
du travail et des modules de travail clairs, des estimations des ressources nécessaires, les jalons/plan/phases de publication, les principales dépendances, le budget et
les coûts, et l'identification des un chemin critique.

2. Tenir à jour le plan de projet et tous les plans dépendants (par exemple, plan de risque, plan de qualité, plan de réalisation des bénéfices). S'assurer que les plans
sont à jour et reflètent les progrès réels et les changements importants approuvés.

3. Veiller à ce qu'il y ait une communication efficace des plans de projet et des rapports d'avancement. Assurez-vous que toute modification apportée à
les plans se reflètent dans d'autres plans.

4. Déterminer les activités, les interdépendances ainsi que la collaboration et la communication requises au sein du projet et entre plusieurs projets au sein d'un
programme.

5. Assurez-vous que chaque jalon est accompagné d'un livrable important nécessitant un examen et une approbation.

6. Établir une base de référence du projet (par exemple, coût, calendrier, portée, qualité) qui est correctement examinée, approuvée et intégrée dans
le plan de projet intégré.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4.2 Élaborer un plan de gestion de projet

Pratique de gestion BAI11.05 Exemple de métriques

Gérer la qualité du projet. une. Pourcentage de build-to-products sans erreurs

Préparer et exécuter un plan de gestion de la qualité, des processus et des pratiques b. Nombre de projets annulés
conformes aux normes de gestion de la qualité (SGQ). Décrire l'approche de la qualité et de la mise
en œuvre du projet. Le plan doit être formellement examiné et approuvé par toutes les parties
concernées et incorporé dans les plans de projet intégrés.

223
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Fournir une assurance qualité pour les livrables du projet, identifier la propriété et les responsabilités, les processus d'examen de la qualité, 2

critères de réussite et indicateurs de performance.

2. Identifier les tâches et les pratiques d'assurance requises pour soutenir l'accréditation de systèmes nouveaux ou modifiés pendant le projet 3

Planification. Incluez-les dans les plans intégrés. Assurez-vous que les tâches fournissent l'assurance que les contrôles internes et les solutions de sécurité et de
confidentialité répondent aux exigences définies.

3. Définir toutes les exigences de validation et de vérification indépendantes de la qualité des produits livrables dans le plan.

4. Effectuer des activités d'assurance et de contrôle de la qualité conformément au plan de gestion de la qualité et au SMQ.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 8. Gestion de la qualité du projet

Pratique de gestion BAI11.06 Exemple de métriques

Gérer les risques du projet. une. Nombre de retards et de problèmes identifiés

Éliminer ou minimiser les risques spécifiques associés aux projets grâce à un processus b. Nombre de projets dotés d'une approche formelle de gestion des risques de projet alignée sur
systématique de planification, d'identification, d'analyse, de réponse, de surveillance et de le cadre de GRE
contrôle des zones ou des événements susceptibles de provoquer des changements
indésirables. Définissez et enregistrez tout risque auquel la gestion de projet est confrontée.

Activités Niveau de capacité

1. Établir une approche formelle de gestion des risques du projet alignée sur le cadre de GRE. Assurez-vous que l'approche comprend l'identification, l'analyse, la 2

réponse, l'atténuation, la surveillance et le contrôle des risques.

2. Attribuer à un personnel qualifié la responsabilité d'exécuter le processus de gestion des risques du projet de l'entreprise
au sein d'un projet et s'assurer que cela est intégré dans les pratiques de développement de solutions. Envisagez d'attribuer ce rôle à une équipe indépendante, surtout si
un point de vue objectif est requis ou si un projet est considéré comme critique.

3. Identifier les propriétaires pour les actions visant à éviter, accepter ou atténuer les risques.

4. Effectuez l'évaluation des risques du projet en identifiant et en quantifiant les risques en continu tout au long du projet. Gérer et 3

communiquer les risques de manière appropriée au sein de la structure de gouvernance du projet.

5. Réévaluer périodiquement les risques du projet, y compris au début de chaque phase majeure du projet et dans le cadre d'une demande de modification majeure
évaluations.

6. Maintenir et examiner un registre des risques du projet de tous les risques potentiels du projet et un journal d'atténuation des risques de tous les problèmes du projet et leur
résolution. Analysez périodiquement le journal pour détecter les tendances et les problèmes récurrents afin de vous assurer que les causes profondes sont corrigées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.15 Gestion du programme (PM-4)
800-53, révision 5 (ébauche), août 2017

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 11. Gestion des risques du projet

Pratique de gestion Exemple de métriques

BAI11.07 Suivre et contrôler les projets. une. Pourcentage d'activités alignées sur la portée et les résultats attendus
Mesurez les performances du projet par rapport aux critères de performance clés du projet tels b. Pourcentage d'écarts par rapport au plan traités
que le calendrier, la qualité, le coût et le risque. Identifier tout écart par rapport aux objectifs c. Fréquence des examens de l'état des projets
attendus. Évaluer l'impact des déviations sur le projet et le programme global et rendre compte
des résultats aux principales parties prenantes.

224
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Établir et utiliser un ensemble de critères de projet comprenant, mais sans s'y limiter, la portée, les avantages commerciaux attendus, le calendrier, la qualité, le coût 2
et le niveau de risque.

2. Signaler aux principales parties prenantes identifiées l'avancement du projet au sein du projet, les écarts par rapport aux critères de performance clés du projet établis
(tels que, mais sans s'y limiter, les avantages commerciaux attendus) et les effets positifs et négatifs potentiels sur le projet.

3. Documenter et soumettre tous les changements nécessaires aux principales parties prenantes du projet pour leur approbation avant adoption.
Communiquer les critères révisés aux chefs de projet pour qu'ils les utilisent dans les futurs rapports sur le rendement.

4. Pour les livrables produits à chaque itération, version ou phase de projet, obtenir l'approbation et la signature des responsables désignés
et les utilisateurs des fonctions commerciales et informatiques concernées.

5. Basez le processus d'approbation sur des critères d'acceptation clairement définis et convenus par les principales parties prenantes avant le début des travaux sur la 3

phase de projet ou le livrable d'itération.

6. Évaluer le projet aux principales étapes, versions ou itérations convenues. Prendre des décisions formelles d'autorisation/d'interdiction basées sur
critères de succès critiques prédéterminés.

7. Établir et exploiter un système de contrôle des modifications pour le projet afin que toutes les modifications apportées à la base de référence du projet (par exemple, la
portée, les avantages commerciaux attendus, le calendrier, la qualité, le coût, le niveau de risque) soient correctement examinées, approuvées et incorporées dans le plan
de projet intégré conformément au cadre de gouvernance du programme et du projet.

8. Mesurer la performance du projet par rapport aux critères de performance clés du projet. Analyser les écarts par rapport aux critères de performance clés du 4

projet établis pour déterminer la cause et évaluer les effets positifs et négatifs sur le projet.

9. Surveiller les modifications apportées au projet et examiner les critères de performance clés du projet existants pour déterminer s'ils représentent toujours des mesures
de progrès valides.

10. Recommander et surveiller les mesures correctives, au besoin, conformément au cadre de gouvernance du projet.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4.5 Surveiller et contrôler les travaux du projet

Pratique de gestion BAI11.08 Exemple de métriques

Gérer les ressources du projet et les modules de travail. une. Nombre de problèmes de ressources (par exemple, compétences, capacité)

Gérez les modules de travail du projet en imposant des exigences formelles sur b. Nombre de rôles, responsabilités et prérogatives clairement définis du chef de projet, du
l'autorisation et l'acceptation des modules de travail et en affectant et en coordonnant personnel affecté et des autres parties impliquées
les ressources commerciales et informatiques appropriées.

Activités Niveau de capacité

1. Identifiez les besoins en ressources commerciales et informatiques pour le projet et cartographiez clairement les rôles et responsabilités appropriés, avec les autorités 2

d'escalade et de prise de décision convenues et comprises.

2. Identifier les compétences requises et les exigences de temps pour toutes les personnes impliquées dans les phases du projet par rapport aux rôles définis. Personnel
les rôles en fonction des informations disponibles sur les compétences (par exemple, matrice des compétences informatiques).

3. Utiliser des ressources expérimentées en gestion de projet et en chef d'équipe avec des compétences adaptées à la taille, à la complexité et au risque de
le projet.

4. Examinez et définissez clairement les rôles et responsabilités des autres parties concernées, y compris les finances, les services juridiques, les achats, les ressources
humaines, l'audit interne et la conformité.

5. Définir clairement et convenir de la responsabilité de l'approvisionnement et de la gestion des produits et services tiers, et
gérer les relations.

6. Identifier et autoriser l'exécution des travaux selon le plan de projet.

7. Identifiez les lacunes du plan de projet et fournissez des commentaires au chef de projet pour y remédier.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4.3 Diriger et gérer le travail du projet

225
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

BAI11.09 Fermer un projet ou une itération. une. Niveau de satisfaction des parties prenantes exprimé lors de la revue de clôture du projet
À la fin de chaque projet, version ou itération, demandez aux parties b. Pourcentage de résultats avec une première acceptation
prenantes du projet de vérifier si le projet, la version ou l'itération a
fourni les résultats requis en termes de capacités et a contribué comme
prévu aux avantages du programme. Identifier et communiquer toutes les
activités en suspens nécessaires pour atteindre les résultats prévus du projet
et/ou les avantages du programme. Identifier et documenter les leçons
apprises pour les futurs projets, versions, itérations et programmes.
Activités Niveau de capacité

1. Obtenir l'acceptation par les parties prenantes des livrables du projet et en transférer la propriété. 2

2. Définir et appliquer les étapes clés pour la clôture du projet, y compris les examens post-mise en œuvre qui évaluent si un projet a atteint 3
résultats désirés.

3. Planifier et exécuter des revues post-mise en œuvre pour déterminer si les projets ont livré les résultats attendus. Améliorer la méthodologie
du processus de gestion de projet et de développement de système.

4. Identifier, assigner, communiquer et suivre toutes les activités inachevées nécessaires pour s'assurer que le projet a produit les résultats requis
en termes de capacités et les résultats ont contribué comme prévu aux avantages du programme.

5. Régulièrement, et à la fin du projet, recueillir les leçons apprises des participants au projet. Passez-les en revue ainsi que les 4
principales activités qui ont généré des avantages et de la valeur. Analyser les données et faire des recommandations pour améliorer
le projet actuel et la méthode de gestion de projet pour les projets futurs.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4.7 Clôturer le projet ou la phase

B. Composante : Structures organisationnelles

Implémenter
Construire,
Acquérir
et

direction
Chef
de
la Directeur
Risques
des l'information
Directeur
de technologie
directeur
de
la Propriétaires
processus
métier
de (Programmes/
Pilotage
Projets)
Comité
de Gestionnaire
programme
de projet
Chef
de gestion
Bureau
projet
de Développement
tête
de
la l'information
Responsable
sécurité
de
de
la

Pratique de gestion des clés

BAI11.01 Maintenir une approche standard pour la gestion de projet. RA RR

BAI11.02 Démarrer et initier un projet. R RRARRRR

BAI11.03 Gérer l'engagement des parties prenantes. R RA

BAI11.04 Élaborer et maintenir le plan de projet. ARR

BAI11.05 Gérer la qualité des projets. RR RA R

BAI11.06 Gérer les risques du projet. R RA R

BAI11.07 Suivre et contrôler les projets. RARRR

BAI11.08 Gérer les ressources du projet et les modules de travail. RAR RR

BAI11.09 Fermer un projet ou une itération. ARR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 3. Le rôle du chef de projet

226
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

BAI11.01 Maintenir une approche standard pour le projet À partir de La description La description Pour

le management.
APO03.04 •ÿExigences de Mise à jour des Interne

gouvernance de approches de gestion de projet

l'architecture
• Descriptions des phases de
mise en œuvre

APO10.04 Risque de livraison

fournisseur identifié

EDM02.03 Exigences pour les

revues d'étape

EDM02.04 Actions pour améliorer la valeur

livraison

BAI11.02 Démarrer et initier un projet. Définitions de projet Interne

Énoncés de la Interne
portée du projet

BAI11.03 Gérer l'engagement des parties prenantes. Résultats de la partie prenante Interne

efficacité de
l'engagement
évaluations

Engagement des parties prenantes Interne

planifier

BAI11.04 Élaborer et maintenir le plan de projet. BAI07.03 Plan de test d'acceptation Rapports de projet et Interne

approuvé communication

Base de référence du projet Interne

Plans de projet Interne

BAI11.05 Gérer la qualité des projets. APO11.01 Plans de gestion de la qualité Qualité du projet BAI02.04ÿ;
plan de gestion BAI03.06ÿ;
BAI07.01

APO11.02 Exigences des clients en matière Exigences pour BAI07.03

de gestion de la qualité vérification indépendante des

livrables du projet

BAI11.06 Gérer les risques du projet. APO12.02 Résultats de l'analyse des Registre des risques du projet Interne

BAI02.03 risques • Registre des risques Évaluation des risques du projet Interne

des exigences résultats

• Mesures d'atténuation des risques

En dehors du cadre COBIT de gestion des Gestion des risques projet Interne

risques d'entreprise (ERM) planifier

BAI11.07 Suivre et contrôler les projets. Modifications convenues du projet Interne

Rapports d'avancement du projet Interne

Réalisation du projet Interne

Critères

BAI11.08 Gérer les ressources du projet et les modules de travail. Besoins en ressources APO07.05ÿ;
du projet APO07.06

Lacunes dans la planification du projet Interne

Rôles et responsabilités Interne

du projet

227
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion BAI11.09 Contributions Les sorties

Fermer un projet ou une itération. À partir de La description La description Pour

BAI07.08 • Rapport d'examen post-mise Résultats de l'examen après APO02.04

en œuvre la mise en œuvre

• Plan d'action correctif

Confirmations d'acceptation Interne

du projet par les parties prenantes

Leçons apprises du projet Interne

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 4. Gestion de l'intégration du projetÿ: entrées et sortiesÿ; Partie 1ÿ: 6.
Gestion du calendrier du projetÿ: entrées et sortiesÿ; Partie 1ÿ: 10. Projet
gestion des communicationsÿ: entrées et sortiesÿ; Partie 1ÿ: 11. Risque du projet
gestion : Entrées et Sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Accompagnement de portefeuille, Cadre de compétences pour l'ère de l'information V6, 2015 PROF

programme et projet

Gestion de projet et de e-Competence Framework (e-CF)—Un cadre européen commun pour les TIC E. Gérer—E.2. Gestion de projet et de
portefeuille Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 portefeuille

Gestion de projet Cadre de compétences pour l'ère de l'information V6, 2015 PRMG

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la politique Conseils connexes Référence détaillée

Gestion de programme/projet Guide la gestion des risques liés aux Guide PMBOK Sixième édition, 2017 Partie 1ÿ: 2.3.1 Processus, politiques
politique programmes et aux projets. et procédures
Détaille le poste de direction et les attentes
concernant la gestion de programme et de
projet.
Traite la responsabilité, les buts et les
objectifs concernant la performance, le budget,
l'analyse des risques, le signalement et
l'atténuation des événements indésirables
pendant l'exécution du programme/projet.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Établir une culture de gestion de projet à l'échelle de l'entreprise qui assure une mise en œuvre
cohérente et optimale de la gestion de projet dans toute l'entreprise, en tenant compte de la
structure organisationnelle et de l'environnement commercial. Veiller à ce que toutes les initiatives
soient traduites en projets (ou changements, lorsqu'ils sont mineurs); s'assurer qu'aucune action ad
hoc ne se produit en dehors de la portée de la gestion de projet.

G. Composante : Services, Infrastructure et Applications

Outils de gestion de projet

228
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

4.4 Livraison, service et assistance (DSS)

01 Opérations gérées

02 Demandes de service et incidents gérés

03 problèmes gérés

04 Continuité gérée

05 Services de sécurité gérés

06 Contrôles des processus d'entreprise gérés

229
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

230
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : livraison, service et support

Objectif de gestion : DSS01 - Description des opérations gérées Domaine d'interventionÿ: modèle de base COBIT

Coordonner et exécuter les activités et les procédures opérationnelles requises pour fournir des services I&T internes et externalisés. Inclure l'exécution de procédures opérationnelles standard
prédéfinies et les activités de surveillance requises.

But

Fournir les résultats opérationnels des produits et services I&T comme prévu.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de
Æ Objectifs d'alignement
l'entreprise • EG01 Portefeuille de produits et services compétitifs AG05 Prestation de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
dépassent les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage concurrentiel livraison

ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

A. Composante : Processus

Pratique de gestion Exemple de métriques

DSS01.01 Exécuter les procédures opérationnelles. une. Nombre d'incidents causés par des problèmes opérationnels
Maintenir et exécuter les procédures opérationnelles et les tâches opérationnelles de b. Nombre de procédures opérationnelles non standard exécutées
manière fiable et cohérente.

Activités Niveau de capacité

1. Développer et maintenir des procédures opérationnelles et des activités connexes pour soutenir tous les services fournis. 2

2. Maintenir un calendrier des activités opérationnelles et exécuter les activités.

3. Vérifiez que toutes les données attendues pour le traitement sont reçues et traitées de manière complète, précise et en temps opportun. Fournir une sortie 3

conformément aux exigences de l'entreprise. Prise en charge des besoins de redémarrage et de retraitement. Assurez-vous que les utilisateurs reçoivent les bons
résultats de manière sécurisée et en temps opportun.

4. Gérer les performances et le débit des activités planifiées. 4

5. Surveiller les incidents et les problèmes liés aux procédures opérationnelles et prendre les mesures appropriées pour améliorer la fiabilité des tâches 5
opérationnelles exécutées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 HITRUST TP.SE Sauvegarder l'environnement opérationnel

CSF version 9, septembre 2017 ISO/IEC 27002:2013/ 09.01 Documenter les procédures d'exploitation

Cor.2:2015(E) 12.1 Procédures opérationnelles et responsabilités

ITIL V3, 2011 Exploitation du service, 4.1 Gestion des événements

Publication spéciale de l'Institut national des normes et de la technologie 3.13 Protection physique et environnementale (PE-13, PE-14, PE-15)
800-53, révision 5 (ébauche), août 2017

231
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion DSS01.02 Exemple de métriques

Gérer les services I&T impartis. une. Nombre de KPI spécifiques/intelligents inclus dans les contrats d'externalisation
Gérer le fonctionnement des services I&T externalisés pour maintenir la protection des b. Fréquence de l'échec du partenaire d'externalisation à respecter les KPI
informations de l'entreprise et la fiabilité de la prestation de services.

Activités Niveau de capacité

1. Assurez-vous que les exigences de l'entreprise en matière de sécurité des processus d'information respectent les contrats et les accords de niveau de service avec des tiers 3

hébergeant ou fournissant des services.

2. Veiller à ce que les exigences et les priorités de traitement opérationnel et informatique de l'entreprise pour la prestation de services respectent
contrats et SLA avec des tiers hébergeant ou fournissant des services.

3. Intégrez les processus critiques de gestion informatique interne à ceux des prestataires de services externalisés. Cela devrait couvrir, par
par exemple, la planification des performances et des capacités, la gestion des changements, la gestion de la configuration, la gestion des demandes de service et des
incidents, la gestion des problèmes, la gestion de la sécurité, la continuité des activités et la surveillance des performances des processus et des rapports.

4. Planifier un audit indépendant et une assurance des environnements opérationnels des prestataires externalisés pour confirmer que 4

les exigences sont traitées de manière adéquate.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SC1.2 Externalisation

ISO/CEI 20000-1:2011(E) 4.2 Gouvernance des processus exploités par d'autres parties

Pratique de gestion a. Exemple de métriques

DSS01.03 Surveiller l'infrastructure

Pourcentage deI&T.
types d'événements opérationnels critiques couverts par des systèmes de détection automatique
Surveiller l'infrastructure I&T et les événements connexes. Stocker suffisamment

d'informations chronologiques dans les journaux d'opérations pour reconstruire et examiner les b. Pourcentage d'actifs d'infrastructure surveillés en fonction de la criticité des services et de la
séquences temporelles des opérations et d'autres activités entourant ou soutenant les opérations. relation entre les éléments de configuration et les services qui en dépendent

Activités Niveau de capacité

1. Enregistrez les événements. Identifiez le niveau d'informations à enregistrer, sur la base d'une prise en compte du risque et de la performance. 2

2. Identifier et maintenir une liste des actifs d'infrastructure qui doivent être surveillés, en fonction de la criticité du service et de la relation 3

entre les éléments de configuration et les services qui en dépendent.

3. Définir et mettre en œuvre des règles qui identifient et enregistrent les dépassements de seuil et les conditions d'événement. Trouver un équilibre entre
générer de faux événements mineurs et des événements significatifs afin que les journaux d'événements ne soient pas surchargés d'informations inutiles.

4. Produire des journaux d'événements et les conserver pendant une période appropriée pour faciliter les enquêtes futures.

5. Assurez-vous que les tickets d'incident sont créés en temps opportun lors de la surveillance des écarts identifiés par rapport aux seuils définis.

6. Établir des procédures de surveillance des journaux d'événements. Effectuez des revues régulières. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.10 Entretien (MA-2, MA-3)
(ébauche), août 2017

Pratique de gestion DSS01.04 Exemple de métriques

Gérer l'environnement. une. Nombre de personnes formées pour répondre à une alarme environnementale
Maintenir les mesures de protection contre les facteurs environnementaux. procédures
Installer des équipements et des dispositifs spécialisés pour surveiller et contrôler b. Nombre de scénarios de risque définis pour les menaces environnementales
l'environnement.

232
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Identifiez les catastrophes naturelles et d'origine humaine susceptibles de se produire dans la zone où se trouvent les installations informatiques. Évaluer le potentiel 2
effet sur les installations informatiques.

2. Identifier comment l'équipement I&T, y compris l'équipement mobile et hors site, est protégé contre les menaces environnementales. Assurez-vous que la politique limite ou interdit
de manger, de boire et de fumer dans les zones sensibles et interdit le stockage de papeterie et d'autres fournitures qui présentent un risque d'incendie dans les salles informatiques.

3. Gardez les sites informatiques et les salles de serveurs propres et dans un état sûr en tout temps (c'est-à-dire, pas de gâchis, pas de boîtes en papier ou en carton, pas de
poubelles remplies, pas de produits chimiques ou de matériaux inflammables).

4. Situer et construire des installations informatiques pour minimiser et atténuer la sensibilité aux menaces environnementales (par exemple, vol, air, feu, fumée, eau, vibrations, 3

terreur, vandalisme, produits chimiques, explosifs). Envisagez des zones de sécurité spécifiques et/ou des cellules ignifuges (par exemple, en éloignant les environnements/serveurs
de production et de développement les uns des autres).

5. Comparez les mesures et les plans d'urgence avec les exigences des polices d'assurance et communiquez les résultats. Points d'adresse de
non-conformité en temps opportun.

6. Répondre aux alarmes environnementales et autres notifications. Documenter et tester les procédures, qui doivent inclure la hiérarchisation des
alarmes et contact avec les autorités locales d'intervention d'urgence. Former le personnel à ces procédures.

7. Surveillez et entretenez régulièrement les appareils qui détectent de manière proactive les menaces environnementales (par exemple, le feu, l'eau, la fumée, l'humidité). 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-37, révision 2 (ébauche), 2.1 Système et éléments du systèmeÿ; 3.2 Catégorisation (Tâche 5, 6)
mai 2018

Pratique de gestion DSS01.05 Exemple de métriques

Gérer les installations. une. Temps écoulé depuis le dernier test de l'alimentation sans coupure
Gérer les installations, y compris les équipements d'alimentation et de communication, conformément b. Nombre de personnes formées aux consignes d'hygiène et de sécurité
aux lois et réglementations, aux exigences techniques et commerciales, aux spécifications des
fournisseurs et aux directives de santé et de sécurité.

Activités Niveau de capacité

1. Examiner les exigences des installations informatiques en matière de protection contre les fluctuations et les pannes de courant, en conjonction avec d'autres exigences de planification 2

de la continuité des activités. Procurez-vous un équipement d'alimentation sans interruption approprié (par exemple, des batteries, des générateurs) pour soutenir la planification de la
continuité des activités.

2. Testez régulièrement les mécanismes de l'onduleur. Assurez-vous que l'alimentation peut être commutée sur l'alimentation sans aucun effet significatif sur les opérations
commerciales.

3. Assurez-vous que les installations abritant les systèmes d'I&T disposent de plus d'une source pour les services publics dépendants (p.
télécommunications, eau, gaz). Séparez l'entrée physique de chaque utilitaire.

4. Confirmez que le câblage externe au site informatique est situé sous terre ou dispose d'une protection alternative appropriée. Déterminez que le câblage du site informatique est
contenu dans des conduits sécurisés et que l'accès aux armoires de câblage est limité au personnel autorisé.
Protégez correctement le câblage contre les dommages causés par le feu, la fumée, l'eau, l'interception et les interférences.

5. Assurez-vous que le câblage et le brassage physique (données et téléphone) sont structurés et organisés. Les structures de câblage et de conduits doivent être documentées
(p. ex., plan de construction et schémas de câblage).

6. Informez régulièrement le personnel des lois, réglementations et directives pertinentes en matière de santé et de sécurité. Sensibiliser le personnel au feu
et des exercices de sauvetage pour s'assurer des connaissances et des mesures prises en cas d'incendie ou d'incidents similaires.

7. Veiller à ce que les sites et équipements informatiques soient entretenus conformément aux intervalles d'entretien et aux spécifications recommandés par le 3

fournisseur. Assurez-vous que la maintenance est effectuée uniquement par du personnel autorisé.

8. Analyser les installations hébergeant les systèmes à haute disponibilité pour les exigences de redondance et de câblage de basculement (externe et interne).

9. Veiller à ce que les sites et installations informatiques soient en conformité permanente avec les lois, réglementations, directives et directives pertinentes en matière de santé et de sécurité.
spécifications du fournisseur.

10. Enregistrer, surveiller, gérer et résoudre les incidents des installations conformément au processus de gestion des incidents I&T. Mettre à la disposition 4

rapports sur les incidents dans les installations dont la divulgation est requise par les lois et règlements.

11. Analyser les altérations physiques des sites ou locaux informatiques pour réévaluer le risque environnemental (par exemple, incendie ou dégâts des eaux). Reportage
résultats de cette analyse à la continuité des activités et à la gestion des installations.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

233
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

Président
directeur
général l'information
Directeur
de technologie
directeur
de
la informatiques
Responsable
opérations
des l'information
Responsable
sécurité
de
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

DSS01.01 Exécuter les procédures opérationnelles. RRR

DSS01.02 Gérer les services I&T externalisés. ARRRR

DSS01.03 Surveiller l'infrastructure I&T. RRR

DSS01.04 Gérer l'environnement. RRR

DSS01.05 Gérer les installations. RRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

DSS01.01 Exécuter les procédures opérationnelles. À partir de La description La description Pour

BAI05.05 Plan d'exploitation et d'utilisation Journal de sauvegarde Interne

Interne
Implémenter
Construire,
Acquérir
et

Calendrier opérationnel

DSS01.02 Gérer les services I&T externalisés. APO09.03 • SLA Certification indépendante MEA04.02
• OLA des plans

BAI05.05 Plan d'exploitation et d'utilisation

DSS01.03 Surveiller l'infrastructure I&T. BAI03.11 Définitions des services Règles de surveillance des DSS02.01ÿ;
actifs et conditions d'événement DSS02.02

Billets d'incident DSS02.02

Journaux des événements

Interne

DSS01.04 Gérer l'environnement. Politiques environnementales APO01.09

Rapports de police d'assurance MEA03.03

DSS01.05 Gérer les installations. Santé et sécurité Interne

sensibilisation

Évaluation des installations MEA01.03

rapports

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 800- 3.2 Catégorisation (tâches 5, 6)ÿ: entrées et sorties
37, révision 2, septembre 2017

234
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Administration des bases de données Cadre de compétences pour l'ère de l'information V6, 2015 Cadre DBAD

Gestion des installations de compétences pour l'ère de l'information V6, 2015 Cadre de DCMA

infrastructure informatique compétences pour l'ère de l'information V6, 2015 Cadre de ITOP

Méthodes et outils compétences pour l'ère de l'information V6, 2015 Cadre des METL

Service de livraison compétences électroniques (e-CF)—Un cadre européen commun pour les professionnels des TIC C. Exécuter—C.3. Service de livraison
dans tous les secteurs industriels — Partie 1 : Cadre, 2016

Gestion du stockage Cadre de compétences pour l'ère de l'information V6, 2015 STMG

E. Composanteÿ: Politiques et procédures

Politique de gestion Description de la Conseils connexes Référence détaillée

du service de stratégie pertinent politique Fournit une orientation et des (1) ISO/CEI 20000-1:2011(E)ÿ; (2) (1) 4.1.2 Politique de gestion des
conseils pour assurer une gestion et une mise ITIL V3, 2011 servicesÿ; (2) Stratégie de services, 3.
en œuvre efficaces de tous les services d'I&T Principes de la stratégie de service
afin de répondre aux exigences commerciales

et des clients, dans un cadre de mesure du

rendement.
Couvre la gestion des risques liés
aux services I&T. (Le cadre ITIL V3 offre
des conseils détaillés sur la gestion des

services et l'optimisation des risques liés aux

services.)

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Créer une culture d'excellence habituelle dans toute l'organisation.

Encouragez les employés à exceller. Créez un environnement dans lequel les
procédures opérationnelles fournissent (plus que) les services nécessaires tout en permettant
aux employés de remettre en question le statu quo et d'essayer de nouvelles idées.
Gérer l'excellence opérationnelle grâce à l'engagement des employés et à l'amélioration
continue. Appliquer une approche centrée sur le client (pour les clients internes et externes).

G. Composante : Services, Infrastructure et Applications

• Services d'hébergement en nuage

• Outils de surveillance des infrastructures
• Outils de surveillance du niveau de service

235
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

236
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : livraison, service et support

Objectif de gestionÿ: DSS02 - Description des demandes de service et des incidents gérés Domaine d'interventionÿ: modèle de base COBIT

Fournir une réponse rapide et efficace aux demandes des utilisateurs et la résolution de tous les types d'incidents. Rétablir le service normalÿ; enregistrer et répondre aux demandes des
utilisateursÿ; et enregistrer, enquêter, diagnostiquer, escalader et résoudre les incidents.

But

Atteignez une productivité accrue et minimisez les interruptions grâce à une résolution rapide des requêtes et des incidents des utilisateurs. Évaluer l'impact des changements et traiter les incidents de
service. Résolvez les demandes des utilisateurs et restaurez le service en réponse aux incidents.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs AG05 Prestation de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage concurrentiel livraison

ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

A. Composante : Processus

Pratique de gestion Exemple de métriques

DSS02.01 Définir les schémas de classification des incidents et des une. Nombre total de demandes de service et d'incidents par niveau de priorité
demandes de service. b. Nombre total d'incidents remontés
Définir des schémas de classification et des modèles pour les incidents et les

demandes de service.

Activités Niveau de capacité

1. Définir les schémas de classification et de hiérarchisation des incidents et des demandes de service, ainsi que les critères d'enregistrement des problèmes. Utilisez ceci 3

informations pour assurer des approches cohérentes pour traiter et informer les utilisateurs sur les problèmes et effectuer une analyse des tendances.

2. Définir des modèles d'incidents pour les erreurs connues afin de permettre une résolution efficace et efficiente.

3. Définissez des modèles de demande de service en fonction du type de demande de service pour permettre l'auto-assistance et un service efficace pour les demandes standard.

4. Définir les règles et procédures d'escalade des incidents, en particulier pour les incidents majeurs et les incidents de sécurité.

5. Définir les sources de connaissances sur les incidents et les demandes et décrire comment les utiliser.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 HITRUST IA.IP Mettre en œuvre des processus d'enquête sur les incidents

CSF version 9, septembre 2017 ISF, The Standard of 11.01 Signalement des incidents et faiblesses de sécurité de l'information

Good Practice for Information Security 2016 ISO/IEC 20000-1:2011(E) Gestion des incidents de sécurité TM2

8.1 Gestion des incidents et des demandes de service

ISO/CEI 27002:2013/Cor.2:2015(E) 16. Gestion des incidents de sécurité de l'information

237
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion DSS02.02 Exemple de métriques

Enregistrer, classer et hiérarchiser les demandes et les incidents. une. Nombre de types et de catégories définis pour l'enregistrement des demandes de service
Identifiez, enregistrez et classez les demandes de service et les incidents et attribuez une priorité en et incidents

fonction de la criticité de l'entreprise et des accords de service. b. Nombre de demandes de service et d'incidents non catégorisés

Activités Niveau de capacité

1. Enregistrez toutes les demandes de service et tous les incidents, en enregistrant toutes les informations pertinentes, afin qu'ils puissent être traités efficacement et un historique complet 2
dossier peut être conservé.

2. Pour activer l'analyse des tendances, classez les demandes de service et les incidents en identifiant le type et la catégorie.

3. Hiérarchisez les demandes de service et les incidents en fonction de la définition du service SLA de l'impact et de l'urgence sur l'entreprise.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion DSS02.03 Exemple de métriques

Vérifier, approuver et répondre aux demandes de service. une. Temps moyen écoulé pour traiter chaque type de demande de service
Sélectionnez les procédures de demande appropriées et vérifiez que les demandes de service b. Pourcentage de demandes de service qui répondent aux critères de demande définis
remplissent les critères de demande définis. Obtenir l'approbation, si nécessaire, et répondre aux
demandes.

Activités Niveau de capacité

1. Vérifiez l'admissibilité des demandes de service à l'aide, si possible, d'un flux de processus prédéfini et de modifications standard. 2

2. Obtenir une approbation ou une approbation financière et fonctionnelle, si nécessaire, ou des approbations prédéfinies pour les modifications standard convenues.

3. Répondre aux demandes en exécutant la procédure de demande sélectionnée. Dans la mesure du possible, utilisez des menus automatisés d'auto-assistance et des 3

modèles de demande prédéfinis pour les éléments fréquemment demandés.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Fonctionnement du service, 4.3 Exécution de la demande

Pratique de gestion DSS02.04 Exemple de métriques

Enquêter, diagnostiquer et répartir les incidents. une. Nombre de symptômes d'incidents identifiés et enregistrés
Identifiez et enregistrez les symptômes de l'incident, déterminez les causes possibles et affectez- b. Nombre de causes de symptômes correctement déterminées
les à la résolution. c. Nombre de problèmes en double dans le journal de référence

Activités Niveau de capacité

1. Identifier et décrire les symptômes pertinents pour établir les causes les plus probables des incidents. Référence disponible 2

ressources de connaissances (y compris les erreurs et problèmes connus) pour identifier les résolutions d'incidents possibles (solutions de contournement temporaires et/ou
solutions permanentes).

2. Si un problème connexe ou une erreur connue n'existe pas déjà et si l'incident satisfait aux critères convenus pour l'enregistrement du problème,
consigner un nouveau problème.

3. Affectez les incidents à des fonctions spécialisées si une expertise plus approfondie est nécessaire. Engager le niveau approprié de gestion, où et
si besoin.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

DSS02.05 Résoudre et récupérer des incidents. une. Pourcentage d'incidents résolus dans le cadre du SLA convenu
Documenter, appliquer et tester les solutions ou contournements identifiés. b. Pourcentage de satisfaction des parties prenantes concernant la résolution et la récupération
Effectuez des actions de récupération pour restaurer le service lié à l'I&T. après un incident

Activités Niveau de capacité

1. Sélectionner et appliquer les résolutions d'incidents les plus appropriées (contournement temporaire et/ou solution permanente). 2

2. Enregistrez si des solutions de contournement ont été utilisées pour la résolution des incidents.

3. Effectuez des actions de récupération, si nécessaire.

4. Documenter la résolution des incidents et évaluer si la résolution peut être utilisée comme future source de connaissances.

238
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Exploitation du service, 4.2 Gestion des incidents

National Institute of Standards and Technology Framework for Improving Critical Infrastructure Planification du rétablissement RC.RP
Cybersecurity v1.1, avril 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.9 Réponse aux incidents (IR-4, IR-5, IR-6)
(ébauche), août 2017

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 19ÿ: Réponse et gestion des incidents
201

Pratique de gestion Exemple de métriques

DSS02.06 Fermer les demandes de service et les incidents. une. Niveau de satisfaction des utilisateurs concernant le traitement des demandes de service

Vérifier la résolution satisfaisante des incidents et/ou le traitement des demandes, et clôturer. b. Pourcentage d'incidents résolus dans un délai convenu/acceptable
de temps

Activités Niveau de capacité

1. Vérifiez auprès des utilisateurs concernés que la demande de service a été satisfaite de manière satisfaisante ou que l'incident a été résolu 2

de manière satisfaisante et dans un délai convenu/acceptable.

2. Fermer les demandes de service et les incidents.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

DSS02.07 Suivre l'état et produire des rapports. une. Temps moyen entre les incidents pour le service activé par I&T
Suivez, analysez et signalez régulièrement les incidents et le traitement des demandes. b. Nombre et pourcentage d'incidents perturbant les processus critiques de
Examiner les tendances afin de fournir des informations pour une amélioration continue. l'entreprise

Activités Niveau de capacité

1. Surveiller et suivre les escalades et les résolutions d'incidents et demander des procédures de traitement pour progresser vers la résolution ou 2

achèvement.

2 Identifier les acteurs de l'information et leurs besoins en données ou rapports. Identifiez la fréquence et le support des rapports. 3

3. Produisez et distribuez des rapports en temps opportun ou fournissez un accès contrôlé aux données en ligne. 4

4. Analyser les incidents et les demandes de service par catégorie et type. Établir des tendances et identifier des schémas de problèmes récurrents, SLA
manquements ou inefficacités.

5. Utilisez les informations comme données d'entrée pour la planification de l'amélioration continue. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 MI.IM assure l'atténuation des incidentsÿ; Rapport d'incident IR.IR

Publication spéciale de l'Institut national des normes et de la technologie 3.9 Réponse aux incidents (IR-7, IR-8)
800-53, révision 5 (ébauche), août 2017

239
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

technologie
directeur
de
la Propriétaires
processus
métier
de Développement
tête
de
la informatiques
Responsable
opérations
des Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la

Pratique de gestion des clés

DSS02.01 Définir les schémas de classification des incidents et des demandes de service. ARRR

DSS02.02 Enregistrer, classer et prioriser les demandes et incidents. UNE RR

DSS02.03 Vérifier, approuver et exécuter les demandes de service. ARRRR

DSS02.04 Enquêter, diagnostiquer et répartir les incidents. RA RR

DSS02.05 Résoudre et récupérer des incidents. ARRRR

DSS02.06 Fermer les demandes de service et les incidents. UNE RRR

DSS02.07 Suivre l'état et produire des rapports. UNE RR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 27002:2013/Cor.2:2015(E) 16.1.1 Responsabilités et procédures

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

DSS02.01 Définir les schémas de classification des incidents et À partir de La description La description Pour

des demandes de service. APO09.03 SLA DSS03.01

Critères du problème
enregistrement

BAI10.02 Référentiel de configuration Règles de remontée des Interne

Implémenter
Construire,
Acquérir
et
incidents

BAI10.03 Référentiel mis à jour avec Incident et service Interne

éléments de configuration demande de classement
schémas et modèles
BAI10.04 Rapports sur l'état de la
configuration

DSS01.03 Règles de surveillance des

actifs et conditions d'événement

DSS03.01 Classement des problèmes

schème

DSS04.03 Actions de réponse

aux incidents et
communications

DSS02.02 Enregistrer, classer et hiérarchiser les demandes et APO09.03 SLA Classé et priorisé APO08.03ÿ;
incidents. incident et service APO09.04ÿ;
demandes APO13.03ÿ;
DSS03.05

BAI04.05 Escalade d'urgence Incident et service Interne;

procédure journal des demandes MEA04.07

DSS01.03 • Règles de surveillance des

actifs et conditions d'événement
• Billets d'incident

DSS05.07 Tickets d'incident liés à la

sécurité

240
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion DSS02.03 Contributions Les sorties

Vérifier, approuver et répondre aux demandes de service. À partir de La description La description Pour

APO12.06 Causes profondes liées aux risques Demandes de service BAI06.01

approuvées

Demandes de service satisfaites Interne

DSS02.04 Enquêter, diagnostiquer et répartir les incidents. BAI07.07 Plan de soutien supplémentaire Journal des problèmes DSS03.01

Symptômes de l'incident Interne

DSS02.05 Résoudre et récupérer des incidents. APO12.06 Incident lié au risque Résolutions d'incidents DSS03.03ÿ;
plans d'intervention DSS03.04ÿ;
DSS03.05ÿ;
DSS03.03 Enregistrements d'erreurs connues
MEA04.07
DSS03.04 Communication de

connaissances acquises

DSS02.06 Fermer les demandes de service et les incidents. DSS03.04 Enregistrements de problèmes fermés Confirmation par l'utilisateur de APO08.03

exécution satisfaisante ou
résolution

Demandes de service fermées APO08.03ÿ;

et incidents APO09.04ÿ;
DSS03.04

DSS02.07 Suivre l'état et produire des rapports. APO09.03 OLA Statut et tendances des incidents APO08.03ÿ;
rapport APO09.04ÿ;
APO11.04ÿ;
APO12.01ÿ;
MEA01.03

DSS03.01 Rapports sur l'état des problèmes Statut d'exécution de la demande APO08.03ÿ;
et rapport sur les tendances APO09.04ÿ;
DSS03.02 Rapports de résolution de
APO11.04ÿ;
problèmes
MEA01.03
DSS03.05 Résolution des problèmes

Rapports de suivi

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Support d'application Cadre de compétences pour l'ère de l'information V6, 2015 Cadre de EN HAUT

Service & Support Client compétences pour l'ère de l'information V6, 2015 Cadre de compétences CSMG

La gestion des incidents pour l'ère de l'information V6, 2015 Cadre de compétences pour l'ère de USUP

Prise en charge du réseau l'information V6, 2015 Cadre des compétences électroniques (e-CF)— NTAS

Assistance utilisateur Un cadre européen commun pour les professionnels des TIC dans tous les secteurs industriels — Partie C. Course—C.1. Assistance utilisateur
1 : Cadre, 2016

E. Composanteÿ: Politiques et procédures

Stratégie de demande Description de la Conseils connexes Référence détaillée

de service de stratégie pertinente politique Indique la justification et fournit ITIL V3, 2011 Opération de service, 3. Service
des conseils pour les demandes de service et principes de fonctionnement
d'incident et leur documentation.

241
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la Conseils connexes Référence détaillée

culture Permettre aux employés d'identifier les incidents correctement et en temps

opportun et de mettre en œuvre des voies d'escalade appropriées. Encouragez la
prévention. Répondez aux incidents et résolvez-les immédiatement. Évitez une culture de héros.

G. Composante : Services, Infrastructure et Applications

Outils et système de suivi des incidents

242
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : livraison, service et support

Objectif de gestion : DSS03 - Description des problèmes gérés Domaine d'interventionÿ: modèle de base COBIT

Identifier et classer les problèmes et leurs causes profondes. Fournir une résolution rapide pour éviter les incidents récurrents. Fournir des recommandations d'améliorations.

But

Augmentez la disponibilité, améliorez les niveaux de service, réduisez les coûts, améliorez le confort et la satisfaction des clients en réduisant le nombre de problèmes opérationnels et identifiez les
causes profondes dans le cadre de la résolution des problèmes.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs AG05 Prestation de services I&T conformément aux exigences de l'entreprise
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

EG01 d'entreprise a. Pourcentage de produits et services qui atteignent ou AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
dépassent les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage concurrentiel livraison

ré. Délai de mise sur le marché de nouveaux produits et services

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

A. Composante : Processus

Pratique de gestion DSS03.01 Exemple de métriques

Identifier et classer les problèmes. une. Pourcentage d'incidents majeurs pour lesquels des problèmes ont été consignés
Définir et mettre en œuvre des critères et des procédures pour identifier et signaler b. Pourcentage d'incidents résolus conformément aux SLA convenus
les problèmes. Inclure la classification, la catégorisation et la priorisation des problèmes. c. Pourcentage de problèmes correctement identifiés, y compris la classification, la catégorisation
et la hiérarchisation

Activités Niveau de capacité

1. Identifiez les problèmes grâce à la corrélation des rapports d'incidents, des journaux d'erreurs et d'autres ressources d'identification des problèmes. 2

2. Traiter formellement tous les problèmes avec un accès à toutes les données pertinentes. Inclure les informations du système de gestion des changements informatiques et
Détails de la configuration/de l'actif informatique et de l'incident.

3. Définir des groupes de support appropriés pour aider à l'identification des problèmes, à l'analyse des causes profondes et à la détermination de la solution pour
soutenir la gestion des problèmes. Déterminez les groupes de support en fonction de catégories prédéfinies, telles que le matériel, le réseau, les logiciels, les applications
et les logiciels de support.

4. Définir les niveaux de priorité en consultation avec l'entreprise pour s'assurer que l'identification des problèmes et l'analyse des causes profondes sont traitées en temps
opportun conformément aux SLA convenus. Basez les niveaux de priorité sur l'impact commercial et l'urgence.

5. Signalez l'état des problèmes identifiés au service d'assistance afin que les clients et la direction informatique puissent être tenus informés.

6. Maintenir un catalogue unique de gestion des problèmes pour enregistrer et signaler les problèmes identifiés. Utilisez le catalogue pour établir des pistes d'audit des processus
de gestion des problèmes, y compris l'état de chaque problème (c'est-à-dire, ouvert, rouvert, en cours ou fermé).

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 20000-1:2011(E) 8.2 Gestion des problèmes

243
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion DSS03.02 Exemple de métriques

Enquêter et diagnostiquer les problèmes. une. Nombre de problèmes identifiés classés comme erreurs connues
Enquêter et diagnostiquer les problèmes en faisant appel à des experts en la matière pour évaluer et b. Pourcentage de problèmes étudiés et diagnostiqués tout au long de leur
analyser les causes profondes. cycle de la vie

Activités Niveau de capacité

1. Identifier les problèmes qui peuvent être des erreurs connues en comparant les données d'incident avec la base de données des erreurs connues et suspectées (par exemple, 3

celles communiquées par les fournisseurs externes). Classer les problèmes comme des erreurs connues.

2. Associez les éléments de configuration affectés à l'erreur établie/connue.

3. Produire des rapports pour communiquer les progrès dans la résolution des problèmes et pour surveiller l'impact continu des problèmes non résolus. Surveillez l'état du
processus de traitement des problèmes tout au long de son cycle de vie, y compris les données provenant des changements informatiques et de la gestion de la configuration.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

DSS03.03 Signale les erreurs connues. une. Nombre de problèmes avec une résolution satisfaisante qui ont été résolus
Dès que les causes profondes des problèmes sont identifiées, créez des enregistrements d'erreurs causes profondes

connues, documentez les solutions de contournement appropriées et identifiez les solutions b. Pourcentage de satisfaction des parties prenantes concernant l'identification des causes profondes,
potentielles. la création d'enregistrements d'erreurs connues et de solutions de contournement appropriées,
et l'identification de solutions potentielles

Activités Niveau de capacité

1. Dès que les causes profondes des problèmes sont identifiées, créez des enregistrements d'erreurs connues et développez une solution de contournement appropriée. 2

2. Identifier, évaluer, hiérarchiser et traiter (via la gestion des changements informatiques) les solutions aux erreurs connues, sur la base d'un rapport coût/bénéfice 3

analyse de rentabilisation et impact commercial et urgence.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion DSS03.04 Exemple de métriques

Résoudre et résoudre les problèmes. une. Diminution du nombre d'incidents récurrents causés par des
Identifier et initier des solutions durables s'attaquant à la cause première. problèmes
Soumettre des demandes de changement via le processus de gestion des changements établi, si b. Pourcentage de solutions de contournement définies pour les problèmes ouverts

nécessaire, pour résoudre les erreurs. Assurez-vous que le personnel concerné est au courant des
mesures prises et des plans élaborés pour éviter que de futurs incidents ne se produisent.

Activités Niveau de capacité

1. Fermez les enregistrements de problème soit après confirmation de l'élimination réussie de l'erreur connue, soit après accord avec le 2

entreprise sur la façon alternative de gérer le problème.

2. Informez le service d'assistance du calendrier de résolution des problèmes (par exemple, le calendrier de résolution des erreurs connues, les
solution de contournement ou le fait que le problème persistera jusqu'à ce que le changement soit mis en œuvre) et les conséquences de l'approche adoptée. Tenez les
utilisateurs et les clients concernés informés, le cas échéant.

3. Tout au long du processus de résolution, obtenir des rapports réguliers de la direction des changements informatiques sur les progrès réalisés dans la résolution des problèmes 3
et les erreurs.

4. Surveiller l'impact continu des problèmes et des erreurs connues sur les services. 4

5. Examiner et confirmer le succès des résolutions de problèmes majeurs.

6. Assurez-vous que les connaissances acquises lors de l'examen sont intégrées à une réunion d'examen du service avec le client commercial. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

244
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

DSS03.05 Effectuer une gestion proactive des problèmes. une. Pourcentage de problèmes consignés dans le cadre du problème proactif
Recueillir et analyser les données opérationnelles (en particulier les enregistrements d'incidents et de activité de gestion
changements) pour identifier les tendances émergentes pouvant indiquer des problèmes. Enregistrez b. Pourcentage de satisfaction des principales parties prenantes concernant la communication des
les enregistrements de problèmes pour permettre l'évaluation. informations sur les problèmes liés aux modifications et aux incidents informatiques

Activités Niveau de capacité

1. Capturez les informations sur les problèmes liés aux changements et incidents I&T et communiquez-les aux principales parties prenantes. Communiquer via des 3
rapports et des réunions périodiques entre les responsables des processus de gestion des incidents, des problèmes, des changements et de la configuration pour
examiner les problèmes récents et les actions correctives potentielles.

2. Assurez-vous que les propriétaires de processus et les responsables de la gestion des incidents, des problèmes, des changements et de la configuration se réunissent
régulièrement pour discuter des problèmes connus et des futurs changements prévus.

3. Identifier et initier des solutions durables (correctifs permanents) s'attaquant à la cause première. Faire des demandes de changement via le
processus établis de gestion du changement.

4. Pour permettre à l'entreprise de surveiller les coûts totaux des problèmes, de saisir les efforts de changement résultant des activités du processus de gestion 4
des problèmes (par exemple, les correctifs aux problèmes et les erreurs connues) et d'en faire rapport.

5. Produire des rapports pour surveiller la résolution des problèmes par rapport aux exigences commerciales et aux SLA. Assurer la bonne escalade des
problèmes, comme l'escalade à un niveau de gestion supérieur selon des critères convenus, contacter des fournisseurs externes ou se référer au
comité consultatif de changement pour augmenter la priorité d'une demande urgente de changement (RFC) afin de mettre en œuvre une solution de
contournement temporaire.

6. Pour optimiser l'utilisation des ressources et réduire les solutions de contournement, suivez les tendances des problèmes.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme de cybermaturité CMMI, MI.IC assure le confinement des incidents

2018 ITIL V3, 2011 Fonctionnement du service, 4.4 Gestion des problèmes

B. Composante : Structures organisationnelles

Pratique de gestion des clés

DSS03.01 Identifier et classer les problèmes. RARRR

DSS03.02 Rechercher et diagnostiquer les problèmes. ARRR

DSS03.03 Signale les erreurs connues. ARRR

DSS03.04 Résoudre et clore les problèmes. ARR

DSS03.05 Effectuer une gestion proactive des problèmes. RRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

245
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

DSS03.01 Identifier et classer les problèmes. À partir de La description La description Pour

APO12.06 Causes profondes liées aux risques Classification des problèmes DSS02.01
schème

DSS02.01 Critères du problème Rapports sur l'état des problèmes DSS02.07

enregistrement

DSS02.04 Journal des problèmes Registre des problèmes Causes Interne

DSS03.02 Rechercher et diagnostiquer les problèmes. APO12.06 profondes liées aux risques Rapports de résolution des problèmes DSS02.07

Causes profondes des problèmes Internesÿ;

DSS03.05

DSS03.03 Signale les erreurs connues. APO12.06 Causes profondes liées aux risques Solutions proposées pour BAI06.01
erreurs connues

DSS02.05 Résolutions d'incidents Enregistrements d'erreurs connues DSS02.05

DSS03.04 Résoudre et clore les problèmes. DSS02.05 Résolutions d'incidents Communication de APO08.04ÿ;
connaissances acquises DSS02.05

DSS02.06 Demandes de service fermées Dossiers de problèmes fermés DSS02.06

et incidents

DSS03.05 Effectuer une gestion proactive des problèmes. APO12.06 Causes profondes liées aux risques durables identifiées BAI06.01
solutions

DSS02.02 • Incidents et Résolution des problèmes DSS02.07,

demandes de service Rapports de suivi MEA04.07

classifiés et priorisés
• Résolutions d'incidents

DSS03.04 Causes profondes des problèmes

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Support d'application Référentiel de compétences pour l'ère de l'information V6, 2015 EN HAUT

Prise en charge du réseau Référentiel de compétences pour l'ère de l'information V6, 2015 NTAS

Gestion des problèmes C. Exécuter—C.4. Gestion

des problèmes

Gestion des problèmes Cadre de compétences pour l'ère de l'information V6, 2015 PBMG

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de résolution des problèmes politique Documente la justification et fournit ITIL V3, 2011 Fonctionnement du service, 3. Principes
des conseils pour résoudre les problèmes de fonctionnement du service
résultant d'incidents et identifier des solutions

de contournement validées.

246
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Soutenir une culture de gestion proactive des problèmes (détection, action et prévention)
avec des rôles et des responsabilités clairement définis. Garantir un environnement
transparent et ouvert pour signaler les problèmes en fournissant des mécanismes de
signalement indépendants et/ou en récompensant les personnes qui signalent les
problèmes.

G. Composante : Services, Infrastructure et Applications

Système de suivi/résolution des problèmes

247
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

248
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : livraison, service et support

Objectif de gestion : DSS04 - Continuité gérée Description Domaine d'interventionÿ: modèle de base COBIT

Établissez et maintenez un plan pour permettre à l'entreprise et aux organisations informatiques de réagir aux incidents et de s'adapter rapidement aux perturbations. Cela permettra la poursuite des
opérations des processus commerciaux critiques et des services d'I&T requis et maintiendra la disponibilité des ressources, des actifs et des informations à un niveau acceptable pour l'entreprise.

But

S'adapter rapidement, poursuivre les opérations commerciales et maintenir la disponibilité des ressources et des informations à un niveau acceptable pour l'entreprise en cas de perturbation importante (par
exemple, menaces, opportunités, demandes).

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs • AG05ÿFourniture de services I&T conformément aux exigences de l'entreprise
• EG02 Risque commercial géré • AG07 Sécurité des informations, infrastructure de traitement et applications, et
• EG06 Continuité et disponibilité des services commerciaux confidentialité
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage concurrentiel livraison

ré. Délai de mise sur le marché de nouveaux produits et services

EG02 a. Pourcentage d'objectifs commerciaux et de services critiques couverts par AG07 a. Nombre d'incidents de confidentialité causant des pertes financières, des interruptions
l'évaluation des risques d'activité ou de l'embarras public
b. Ratio des incidents significatifs qui n'ont pas été identifiés dans les évaluations b. Nombre d'incidents de disponibilité entraînant des pertes financières, des
des risques par rapport au nombre total d'incidents interruptions d'activité ou une gêne publique
c. Fréquence de mise à jour du profil de risque c. Nombre d'incidents d'intégrité causant des pertes financières, des
perturbations d'activité ou de l'embarras public
EG06 a. Nombre d'interruptions du service à la clientèle ou des processus d'affaires
causant des incidents importants
b. Coût des incidents pour l'entreprise

c. Nombre d'heures de traitement d'entreprise perdues en raison

d'interruptions de service imprévues
ré. Pourcentage de plaintes en fonction des commis
objectifs de disponibilité du service

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

249
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus

Pratique de gestion Exemple de métriques

DSS04.01 Définir la politique, les objectifs et la portée de la continuité des activités. une. Pourcentage des objectifs et de la portée de la continuité des activités retravaillés en raison de
Définir la politique et la portée de la continuité des activités, alignées sur les objectifs de processus et activités mal identifiés
l'entreprise et des parties prenantes, pour améliorer la résilience des activités. b. Pourcentage de parties prenantes clés participant, définissant et convenant de la
politique et de la portée de la continuité

Activités Niveau de capacité

1. Identifier les processus commerciaux internes et externalisés et les activités de service qui sont essentiels aux opérations de l'entreprise ou nécessaires pour 2

respecter les obligations légales et/ou contractuelles.

2. Identifier les principales parties prenantes et les rôles et responsabilités pour définir et convenir de la politique et de la portée de la continuité.

3. Définir et documenter les objectifs politiques minimaux convenus et la portée de la résilience des entreprises.

4. Identifier les processus opérationnels de soutien essentiels et les services d'I&T connexes.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 ISF, Norme 12.01 Aspects de sécurité de l'information de la gestion de la continuité des activités

de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC 27002:2013/ BC1.1 Stratégie de continuité des activitésÿ; BC1.2 Programme de continuité des activités

Cor.2:2015(E) 17. Aspects de sécurité de l'information de la gestion de la continuité des activités

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.6 Planification d'urgence (CP-1)
(ébauche), août 2017

Pratique de gestion Exemple de métriques

DSS04.02 Maintenir la résilience de l'entreprise. une. Temps d'arrêt total résultant d'un incident majeur ou d'une perturbation
Évaluez les options de résilience de l'entreprise et choisissez une stratégie rentable et b. Pourcentage de parties prenantes clés impliquées dans les analyses d'impact sur les
viable qui assurera la continuité de l'entreprise, la reprise après sinistre et la réponse aux activités évaluant l'impact au fil du temps d'une perturbation des fonctions commerciales
incidents face à une catastrophe ou à un autre incident ou perturbation majeur. critiques et l'effet qu'une perturbation aurait sur elles

Activités Niveau de capacité

1. Identifier les scénarios potentiels susceptibles de donner lieu à des événements susceptibles de provoquer des incidents perturbateurs significatifs. 2

2. Mener une analyse d'impact sur l'entreprise pour évaluer l'impact au fil du temps d'une perturbation des fonctions commerciales critiques et de la
l'effet qu'une perturbation aurait sur eux.

3. Établir le temps minimum requis pour récupérer un processus opérationnel et l'I&T de support, en fonction d'une durée acceptable d'interruption d'activité et d'une
panne maximale tolérable.

4. Déterminer les conditions et les propriétaires des décisions clés qui entraîneront l'invocation des plans de continuité.

5. Évaluer la probabilité de menaces susceptibles d'entraîner une perte de continuité des activités. Identifier les mesures qui réduiront la probabilité 3

et impact grâce à une prévention améliorée et à une résilience accrue.

6. Analyser les exigences de continuité pour identifier les options commerciales et techniques stratégiques possibles.

7. Identifier les besoins en ressources et les coûts pour chaque option technique stratégique et faire des recommandations stratégiques.

8. Obtenir l'approbation de la direction pour les options stratégiques sélectionnées.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, The Standard of Good Practice for Information Security 2016 ITIL V3, 2011 BC1.3 Environnements techniques résilients

National Institute of Standards and Technology Special Publication 800-53, Revision Conception de services, 4.6 Gestion de la continuité informatique

5 (Draft), août 2017 3.6 Planification d'urgence (CP-2)

250
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

DSS04.03 Élaborer et mettre en œuvre une réponse de continuité des activités. une. Nombre de systèmes métier critiques non couverts par le plan
Élaborer un plan de continuité des activités (BCP) et un plan de reprise après sinistre b. Pourcentage des principales parties prenantes impliquées dans l'élaboration des BCP et des DRP
(DRP) basés sur la stratégie. Documentez toutes les procédures nécessaires à l'entreprise pour
poursuivre les activités critiques en cas d'incident.

Activités Niveau de capacité

1. Définir les actions de réponse aux incidents et les communications à prendre en cas de perturbation. Définir les rôles associés et 2

responsabilités, y compris la responsabilité en matière de politique et de mise en œuvre.

2. Veiller à ce que les principaux fournisseurs et partenaires d'externalisation aient mis en place des plans de continuité efficaces. Obtenir des preuves vérifiées au besoin.

3. Définir les conditions et modalités de reprise qui permettraient la reprise des traitements métiers. Inclure la mise à jour et
rapprochement des bases de données d'information pour préserver l'intégrité de l'information.

4. Élaborer et tenir à jour des BCP et des DRP opérationnels qui contiennent les procédures à suivre pour permettre le fonctionnement continu des processus opérationnels
critiques et/ou des arrangements de traitement temporaires. Inclure des liens vers les plans des fournisseurs de services externalisés.

5. Définir et documenter les ressources nécessaires pour soutenir les procédures de continuité et de récupération, en tenant compte des personnes, des installations
et infrastructures informatiques.

6. Définir et documenter les exigences de sauvegarde des informations requises pour soutenir les plans. Inclure plans et documents papier
ainsi que des fichiers de données. Considérez le besoin de sécurité et de stockage hors site.

7. Déterminer les compétences requises pour les personnes impliquées dans l'exécution du plan et des procédures.

8. Distribuer les plans et les pièces justificatives en toute sécurité aux parties intéressées dûment autorisées. Assurez-vous que les plans et la documentation sont 3
accessibles dans tous les scénarios de catastrophe.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, The Standard of Good Practice for Information Security 2016 National Institute BC1.4 Gestion de criseÿ; BC2.1 Planification de la continuité des activités

of Standards and Technology Special Publication 800-53, Revision 5 (Draft), août 2017 3.6 Planification d'urgence (CP-6, CP-9, CP-10)

Pratique de gestion Exemple de métriques

DSS04.04 Exercer, tester et réviser le plan de continuité des activités (BCP) et le plan une. Fréquence des tests
d'intervention en cas de catastrophe (DRP). b. Nombre d'exercices et de tests ayant atteint les objectifs de récupération
Testez régulièrement la continuité pour appliquer des plans par rapport à des
résultats prédéterminés, maintenir la résilience de l'entreprise et permettre le
développement de solutions innovantes.

Activités Niveau de capacité

1. Définir les objectifs d'exercice et de test des systèmes commerciaux, techniques, logistiques, administratifs, procéduraux et opérationnels du plan afin de vérifier 2

l'exhaustivité du BCP et du DRP pour répondre au risque commercial.

2. Définir et convenir d'exercices d'acteurs réalistes et valider les procédures de continuité. Incluez des rôles et des responsabilités et des accords de
conservation des données qui perturbent le moins possible les processus métier.

3. Attribuez des rôles et des responsabilités pour effectuer des exercices et des tests de plan de continuité.

4. Planifier les exercices et les activités de test comme défini dans les plans de continuité. 3

5. Effectuez un débriefing et une analyse après l'exercice pour évaluer la réussite. 4

6. Sur la base des résultats de l'examen, élaborer des recommandations pour améliorer les plans de continuité actuels. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 PP.RS Élaborer et tenir à jour des plans d'interventionÿ; PP.RP Élaborer et maintenir
des plans de rétablissement

ISF, The Standard of Good Practice for Information Security 2016 The CIS Critical BC2.3 Test de continuité des activités

Security Controls for Effective Cyber Defense Version 6.1, août 2016 CSC 20ÿ: Tests d'intrusion et exercices de l'équipe rouge

251
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion DSS04.05 Exemple de métriques

Examiner, maintenir et améliorer les plans de continuité. une. Pourcentage d'améliorations convenues du plan qui ont été prises en compte
Effectuer une revue de direction de la capacité de continuité à intervalles réguliers pour s'assurer dans le régime
de sa pertinence, de son adéquation et de son efficacité. b. Pourcentage de plans de continuité et d'évaluations d'impact sur les activités qui sont
Gérer les changements apportés aux plans conformément au processus de contrôle des à jour
changements pour s'assurer que les plans de continuité sont tenus à jour et reflètent en
permanence les besoins opérationnels réels.

Activités Niveau de capacité

1. Sur une base régulière, passez en revue les plans de continuité et la capacité par rapport à toutes les hypothèses formulées et aux activités opérationnelles actuelles 3

et objectifs stratégiques.

2. Réviser régulièrement les plans de continuité pour tenir compte de l'impact des modifications nouvelles ou majeures sur l'organisation de l'entreprise, les processus métier,
les accords d'externalisation, les technologies, l'infrastructure, les systèmes d'exploitation et les systèmes d'application.

3. Déterminez si une évaluation révisée de l'impact sur les entreprises peut être nécessaire, selon la nature du changement.

4. Recommander des changements dans la politique, les plans, les procédures, l'infrastructure et les rôles et responsabilités. Communiquez-les comme
appropriée pour l'approbation et le traitement par la direction via le processus de gestion des modifications informatiques.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion DSS04.06 Exemple de métriques

Donner une formation sur le plan de continuité. une. Pourcentage de parties prenantes internes et externes ayant reçu une formation
Fournir à toutes les parties internes et externes concernées des sessions de formation régulières b. Pourcentage de parties internes et externes pertinentes dont les compétences et les
concernant les procédures et leurs rôles et responsabilités en cas de perturbation. compétences sont à jour

Activités Niveau de capacité

1. Déployer la sensibilisation et la formation BCP et DRP. 2

2. Définir et maintenir les exigences et les plans de formation pour ceux qui effectuent la planification de la continuité, les évaluations d'impact, 3

évaluations, la communication avec les médias et la réponse aux incidents. Veiller à ce que les plans de formation tiennent compte de la fréquence des formations et des
mécanismes de prestation de formation.

3. Développer des compétences basées sur une formation pratique, y compris la participation à des exercices et des tests.

4. Sur la base des résultats des exercices et des tests, surveillez les aptitudes et les compétences. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.6 Planification d'urgence (CP-4)
(ébauche), août 2017

Pratique de gestion DSS04.07 Exemple de métriques

Gérer les arrangements de sauvegarde. une. Pourcentage de supports de sauvegarde transférés et stockés en toute sécurité
Maintenir la disponibilité des informations critiques pour l'entreprise. b. Pourcentage de restauration réussie et opportune à partir d'une sauvegarde ou d'une alternative
copies des médias

Activités Niveau de capacité

1. Sauvegardez les systèmes, les applications, les données et la documentation selon un calendrier défini. Tenez compte de la fréquence (mensuelle, 2

hebdomadaire, quotidienne, etc.), mode de sauvegarde (par exemple, mise en miroir de disque pour les sauvegardes en temps réel par rapport à DVD-ROM pour une conservation à
long terme), type de sauvegarde (par exemple, complète ou incrémentielle) et type de support. Considérez également les sauvegardes en ligne automatisées, les types de données (par
exemple, voix, optique), la création de journaux, les données informatiques critiques de l'utilisateur final (par exemple, les feuilles de calcul), l'emplacement physique et logique des sources de
données, la sécurité et les droits d'accès, et le cryptage.

2. Définir les exigences pour le stockage sur site et hors site des données de sauvegarde qui répondent aux exigences de l'entreprise. Tenez compte de l'accessibilité
requise pour sauvegarder les données.

3. Testez et actualisez périodiquement les données archivées et sauvegardées.

4. Assurez-vous que les systèmes, les applications, les données et la documentation conservés ou traités par des tiers sont correctement sauvegardés ou autrement sécurisés.
Envisagez d'exiger le retour des sauvegardes de tiers. Envisagez des accords d'entiercement ou de dépôt.

252
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 IP.BP Appliquer les processus de sauvegarde

HITRUST CSF version 9, septembre 2017 ISF, 09.05 Sauvegarde des informations

The Standard of Good Practice for Information Security 2016 ISO/IEC Sauvegarde SY2.3

27002:2013/Cor.2:2015(E) 12.3 Sauvegarde

National Institute of Standards and Technology Special Publication 800-53, 3.6 Planification d'urgence (CP-3)
révision 5 (ébauche), août 2017

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version CSC 10 : Capacité de récupération de données
6.1, août 2016

Pratique de gestion Exemple de métriques

DSS04.08 Effectuer un examen après la reprise. une. Pourcentage de problèmes identifiés et traités par la suite dans le plan
Évaluer l'adéquation du plan de continuité des activités (BCP) et du plan d'intervention b. Pourcentage de problèmes identifiés et traités par la suite dans la formation
en cas de catastrophe (DRP) après une reprise réussie des processus et des services matériaux
commerciaux après une interruption.

Activités Niveau de capacité

1. Évaluer le respect des BCP et DRP documentés. 4

2. Déterminer l'efficacité des plans, les capacités de continuité, les rôles et responsabilités, les aptitudes et compétences, la résilience
à l'incident, à l'infrastructure technique et aux structures et relations organisationnelles.

3. Identifier les faiblesses ou les omissions dans les plans et les capacités et faire des recommandations d'amélioration. Obtenir l'approbation de 5
la direction pour toute modification des plans et appliquer via le processus de contrôle des modifications de l'entreprise.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

Pratique de gestion des clés

DSS04.01 Définir la politique, les objectifs et le périmètre de continuité d'activité. RAR RR RR R

DSS04.02 Maintenir la résilience de l'entreprise. RAR R R R RR

DSS04.03 Élaborer et mettre en œuvre une réponse de continuité des activités. RR R R AR

DSS04.04 Exercer, tester et réviser le plan de continuité des activités (BCP) et le plan d'intervention en cas de catastrophe (DRP).
RR R R AR

DSS04.05 Réviser, maintenir et améliorer les plans de continuité. ARRRR R R

DSS04.06 Organiser une formation sur le plan de continuité.

RR R RR AR

DSS04.07 Gérer les arrangements de sauvegarde. UNE R R RR

DSS04.08 Effectuer un examen post-reprise. RRRRR R UNE

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

253
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique managériale Contributions Les sorties

DSS04.01 Définir la politique de continuité d'activité, À partir de La description La description Pour

objectifs et portée.
APO09.03 SLA Politique et objectifs de APO01.02

continuité de l'activité

Évaluations du courant Interne

capacités et lacunes de la
continuité

Incident perturbateur Interne

scénarios

DSS04.02 Maintenir la résilience de l'entreprise. APO12.06 • Communication Options stratégiques APO02.05

sur l'impact des risques approuvées
• Racine liée au risque
Biais APO12.02
causes
Exigences de continuité Interne

DSS04.03 Développer et mettre en œuvre un plan de continuité des affaires APO09.03 OLA Actions de réponse aux DSS02.01

réponse. incidents et
communications

PCA Interne

DSS04.04 Exercer, tester et revoir l'entreprise Les résultats des tests et Interne

plan de continuité (PCA) et réponse aux catastrophes recommandations

régime (PRD).
Exercices d'essai Interne

Objectifs des tests Interne

DSS04.05 Revoir, maintenir et améliorer la continuité Modifications recommandées Interne

des plans. aux plans

Résultats des examens Interne

des plans

DSS04.06 Organiser une formation sur le plan de continuité. HEURE

Liste du personnel Suivi des résultats des APO07.03

nécessitant une formation aptitudes et compétences

Exigences de formation APO07.03

DSS04.07 Gérer les arrangements de sauvegarde. APO14.10 • Plan de sauvegarde Tester les résultats des données de Interne

• Plan de test de sauvegarde sauvegarde

Données de sauvegarde Interne;

APO14.08

DSS04.08 Effectuer un examen post-reprise. Modifications approuvées de la BAI06.01

des plans

Examen post-reprise Interne

rapport

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Gestion de la continuité Cadre de compétences pour l'ère de l'information V6, 2015 COPL

254
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de continuité des activités politique Décrit l'engagement de la

direction envers l'évaluation de l'impact

sur l'entreprise (BIA), le plan d'urgence (y compris

la récupération fiable), les exigences de
récupération pour les systèmes critiques, les
seuils et déclencheurs définis pour les éventualités,
le plan d'escalade, le plan de récupération des
données, la formation et les tests.

Politique de gestion de crise Définit les lignes directrices et la séquence de

réponse à la crise dans les principaux domaines de risque.

Avec la sécurité I&T, la gestion du réseau et

la sécurité et la confidentialité des données,
la gestion de crise est l'une des politiques
de niveau opérationnel qui doivent être
prises en compte pour une gestion complète
des risques I&T.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Intégrer le besoin de résilience de l'entreprise dans la culture d'entreprise.

Informez régulièrement et fréquemment les employés des valeurs fondamentales, des
comportements souhaités et des objectifs stratégiques afin de maintenir le sang-froid et l'image de
l'entreprise dans toutes les situations. Testez régulièrement les procédures de continuité des activités
et de reprise après sinistre.

G. Composante : Services, Infrastructure et Applications

• Services d'hébergement externe

• Outils de suivi des incidents
• Services d'installation de stockage à distance

255
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

256
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : livraison, service et support

Objectif de gestion : DSS05 - Description des services de sécurité gérés Domaine d'interventionÿ: modèle de base COBIT

Protégez les informations de l'entreprise pour maintenir le niveau de risque de sécurité de l'information acceptable pour l'entreprise conformément à la politique de sécurité.
Établir et maintenir les rôles de sécurité de l'information et les privilèges d'accès. Effectuer une surveillance de la sécurité.

But

Minimisez l'impact commercial des vulnérabilités et des incidents de sécurité des informations opérationnelles.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG02 Risque commercial géré • AG02 Gestion des risques liés à l'I&T
• EG06 Continuité et disponibilité des services commerciaux • AG07 Sécurité des informations, infrastructure de traitement et applications, et
confidentialité

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG02 a. Pourcentage d'objectifs commerciaux et de services critiques couverts AG02 a. Fréquence de mise à jour du profil de risque
par l'évaluation des risques b. Pourcentage d'évaluations des risques d'entreprise, y compris les risques
b. Taux d'incidents significatifs non identifiés dans le risque liés à l'I&T
évaluations par rapport au nombre total d'incidents c. Nombre d'incidents importants liés à l'I&T qui n'ont pas été
c. Fréquence de mise à jour du profil de risque identifié dans une évaluation des risques

EG06 a. Nombre de service client ou de processus métier AG07 a. Nombre d'incidents de confidentialité causant des pertes financières, des interruptions
interruptions provoquant des incidents significatifs d'activité ou de l'embarras public
b. Coût des incidents pour l'entreprise b. Nombre d'incidents de disponibilité entraînant des pertes financières, des
c. Nombre d'heures de traitement d'entreprise perdues en raison interruptions d'activité ou une gêne publique
d'interruptions de service imprévues c. Nombre d'incidents d'intégrité causant des pertes financières, des
ré. Pourcentage de plaintes en fonction des commis perturbations d'activité ou de l'embarras public
objectifs de disponibilité du service

A. Composante : Processus

Pratique de gestion DSS05.01 Exemple de métriques

Protégez-vous contre les logiciels malveillants. une. Nombre d'attaques de logiciels malveillants réussies
Mettre en œuvre et maintenir des mesures préventives, de détection et correctives (en particulier b. Pourcentage d'employés qui échouent aux tests d'attaques malveillantes (par exemple, test
des correctifs de sécurité à jour et un contrôle des virus) dans toute l'entreprise pour protéger les d'e-mails de phishing)
systèmes et la technologie d'information contre les logiciels malveillants (par exemple, les
rançongiciels, les logiciels malveillants, les virus, les vers, les logiciels espions, les spams).

Activités Niveau de capacité

1. Installer et activer des outils de protection contre les logiciels malveillants sur toutes les installations de traitement, avec des fichiers de définition de logiciels malveillants mis 2

à jour au besoin (automatiquement ou semi-automatiquement).

2. Filtrez le trafic entrant, tel que les e-mails et les téléchargements, pour vous protéger contre les informations non sollicitées (par exemple, les logiciels espions, les e-mails de phishing).

3. Communiquer la sensibilisation aux logiciels malveillants et appliquer les procédures et responsabilités de prévention. Effectuez des formations périodiques sur les logiciels 3

malveillants dans le courrier électronique et l'utilisation d'Internet. Formez les utilisateurs à ne pas ouvrir, mais à signaler les e-mails suspects et à ne pas installer de logiciels
partagés ou non approuvés.

4. Distribuez tous les logiciels de protection de manière centralisée (au niveau des versions et des correctifs) à l'aide d'une configuration centralisée et d'une gestion des modifications informatiques.

5. Examiner et évaluer régulièrement les informations sur les nouvelles menaces potentielles (par exemple, examiner la sécurité des produits et services des fournisseurs 4

avis).

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 DP.DC détecte le code malveillantÿ; Vulnérabilité RI.VT et identification des
menaces

HITRUST CSF version 9, septembre 2017 SF, Norme 09.04 Protection contre les codes malveillants et mobiles

de bonnes pratiques pour la sécurité de l'information 2016 SO/IEC 27002:2013/ Solutions de sécurité TS1

Cor.2:2015(E) 12.2 Protection contre les logiciels malveillants

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 4 : évaluation et correction continues de la vulnérabilitéÿ; SCC 8ÿ:
Défenses contre les logiciels malveillants
2016

257
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

DSS05.02 Gérer la sécurité du réseau et de la connectivité. une. Nombre de failles de pare-feu

Utilisez des mesures de sécurité et des procédures de gestion associées pour protéger les b. Nombre de vulnérabilités découvertes

informations sur toutes les méthodes de connectivité. c. Pourcentage de temps où le réseau et les systèmes ne sont pas disponibles pour des raisons de sécurité
incident

Activités Niveau de capacité

1. Autoriser uniquement les appareils autorisés à accéder aux informations de l'entreprise et au réseau de l'entreprise. Configurez ces appareils pour 2

forcer la saisie du mot de passe.

2. Mettre en œuvre des mécanismes de filtrage du réseau, tels que des pare-feux et des logiciels de détection d'intrusion. Appliquez les politiques appropriées pour
contrôler le trafic entrant et sortant.

3. Appliquez les protocoles de sécurité approuvés à la connectivité réseau.

4. Configurez l'équipement réseau de manière sécurisée.

5. Crypter les informations en transit selon leur classification. 3

6. Sur la base des évaluations des risques et des exigences commerciales, établir et maintenir une politique de sécurité de la connectivité.

7. Établir des mécanismes de confiance pour soutenir la transmission et la réception sécurisées des informations.

8. Effectuez des tests de pénétration périodiques pour déterminer l'adéquation de la protection du réseau. 4

9. Effectuer des tests périodiques de sécurité du système pour déterminer l'adéquation de la protection du système.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 AC.MI Gérer l'intégrité et la séparation du réseauÿ; Réseaux de surveillance CM.MNÿ;
AC.CP Gérer les protections de communication

HITRUST CSF version 9, septembre 2017 ISF, Norme 01.04 Contrôle d'accès au réseau

de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC 27002:2013/ PA2.3 Connectivité des appareils mobilesÿ; Configuration des périphériques réseau NC1.1

Cor.2:2015(E) 13.1 Gestion de la sécurité du réseau

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.20 Intégrité du système et de l'information (SI-8)
(ébauche), août 2017

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 9ÿ: Limitation et contrôle des ports, protocoles et services réseauÿ;
2016 CSC 11ÿ: Configurations sécurisées pour les périphériques réseau tels que les pare-feu,
Routeurs et commutateurs

Pratique de gestion Exemple de métriques

DSS05.03 Gérer la sécurité des terminaux. une. Nombre d'incidents impliquant des terminaux
Assurez-vous que les terminaux (par exemple, ordinateur portable, ordinateur de bureau, b. Nombre d'appareils non autorisés détectés sur le réseau ou dans le
serveur et autres appareils ou logiciels mobiles et réseau) sont sécurisés à un niveau égal ou environnement de l'utilisateur final

supérieur aux exigences de sécurité définies pour les informations traitées, stockées ou c. Pourcentage de personnes recevant une formation de sensibilisation relative à l'utilisation
transmises. des terminaux

Activités Niveau de capacité

1. Configurez les systèmes d'exploitation de manière sécurisée. 2

2. Mettre en œuvre des mécanismes de verrouillage des appareils.

3. Gérer l'accès et le contrôle à distance (par exemple, appareils mobiles, télétravail).

4. Gérez la configuration du réseau de manière sécurisée.

5. Implémentez le filtrage du trafic réseau sur les terminaux.

6. Protégez l'intégrité du système.

7. Assurer la protection physique des terminaux.

8. Débarrassez-vous des terminaux en toute sécurité.

9. Gérez les accès malveillants via les e-mails et les navigateurs Web. Par exemple, bloquer certains sites Web et désactiver les clics publicitaires
sur les liens pour smartphones.

10. Chiffrez les informations stockées en fonction de leur classification. 3

258
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 IP.MM Appliquer la gestion des appareils mobilesÿ; TP.MP Appliquer la protection des médiasÿ;
DP.DP détecte le code mobile et la protection du navigateur

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 PM1.3 Travail à distanceÿ; Configuration des appareils mobiles PA2.1ÿ; PA2.4 Appareils
appartenant aux employésÿ; Périphériques de stockage portables PA2.5ÿ; NC1.6
Télémaintenance

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.4 Évaluation, autorisation et surveillance (CA-8, CA-9); 3.19 Protection du système et des
(ébauche), août 2017 communications (SC-10)

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 3ÿ: Configurations sécurisées pour le matériel et les logiciels sur les appareils mobiles,
2016 les ordinateurs portables, les postes de travail et les serveursÿ; CSC 7ÿ: Protections des e-
mails et des navigateurs Web

Pratique de gestion Exemple de métriques

DSS05.04 Gérer l'identité des utilisateurs et l'accès logique. une. Délai moyen entre changement et mise à jour des comptes
Assurez-vous que tous les utilisateurs disposent de droits d'accès aux informations b. Nombre de comptes (vs. nombre d'utilisateurs/employés autorisés)
conformément aux exigences de l'entreprise. Coordonner avec les unités commerciales qui c. Nombre d'incidents liés à l'accès non autorisé à l'information
gèrent leurs propres droits d'accès au sein des processus commerciaux.

Activités Niveau de capacité

1. Maintenir les droits d'accès des utilisateurs conformément à la fonction commerciale, aux exigences de processus et aux politiques de sécurité. Alignez le 2

gestion des identités et des droits d'accès aux rôles et responsabilités définis, selon les principes du moindre privilège, du besoin d'avoir et du besoin de savoir.

2. Administrer tous les changements aux droits d'accès (création, modifications et suppressions) en temps opportun en se basant uniquement sur les 3

transactions documentées autorisées par des personnes désignées de la direction.

3. Séparez, réduisez au minimum le nombre nécessaire et gérez activement les comptes d'utilisateurs privilégiés. Assurer la surveillance sur tous
activité sur ces comptes.

4. Identifier de manière unique toutes les activités de traitement de l'information par rôles fonctionnels. Coordonnez-vous avec les unités commerciales pour vous assurer
que tous les rôles sont définis de manière cohérente, y compris les rôles définis par l'entreprise elle-même dans les applications de processus métier.

5. Authentifiez tous les accès aux ressources d'information en fonction du rôle ou des règles métier de l'individu. Coordonner avec les unités commerciales qui gèrent

l'authentification dans les applications utilisées dans les processus commerciaux pour s'assurer que les contrôles d'authentification ont été correctement administrés.

6. S'assurer que tous les utilisateurs (internes, externes et temporaires) et leur activité sur les systèmes informatiques (application métier, infrastructure informatique,
opérations, développement et maintenance du système) sont identifiables de manière unique.

7. Maintenir une piste de vérification de l'accès à l'information en fonction de sa sensibilité et des exigences réglementaires. 4

8. Effectuez un examen de gestion régulier de tous les comptes et des privilèges associés.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 ISF, Norme 10.03 Contrôles cryptographiques

de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC 27002:2013/ PM1.1 Cycle de vie de l'emploiÿ; Gestion des accès SA1

Cor.2:2015(E) 7.3 Cessation et changement d'emploiÿ; 9. Contrôle d'accès

ITIL V3, 2011 Exploitation du service, 4.5 Gestion des accès

Publication spéciale de l'Institut national des normes et de la technologie 3.1 Contrôle d'accès (AC-11, AC-12); 3.11 Protection des médias (MP-2,
800-53, révision 5 (ébauche), août 2017 MP-4, MP-7); 3.13 Protection physique et environnementale (PE-2, PE-3, PE-6)

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 1ÿ: Inventaire des appareils autorisés et non autorisésÿ; CSC 2ÿ: Inventaire des
2016 logiciels autorisés et non autorisésÿ; CSC 5ÿ: Utilisation contrôlée des privilèges
administratifsÿ; CSC 16ÿ: Surveillance et contrôle des comptes

259
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion DSS05.05 Exemple de métriques

Gérer l'accès physique aux actifs I&T. une. Note moyenne pour les évaluations de sécurité physique
Définir et mettre en œuvre des procédures (y compris des procédures d'urgence) pour b. Nombre d'incidents physiques liés à la sécurité des informations
accorder, limiter et révoquer l'accès aux locaux, bâtiments et zones, en fonction des besoins
de l'entreprise. L'accès aux locaux, bâtiments et zones doit être justifié, autorisé, consigné et
surveillé. Cette exigence s'applique à toutes les personnes entrant dans les locaux, y compris le
personnel, le personnel temporaire, les clients, les fournisseurs, les visiteurs ou tout autre tiers.

Activités Niveau de capacité

1. Enregistrez et surveillez tous les points d'entrée des sites informatiques. Enregistrez tous les visiteurs, y compris les entrepreneurs et les fournisseurs, sur le site. 2

2. Assurez-vous que tout le personnel affiche une pièce d'identité dûment approuvée à tout moment.

3. Exiger que les visiteurs soient accompagnés en tout temps sur place.

4. Restreindre et surveiller l'accès aux sites informatiques sensibles en établissant des restrictions de périmètre, telles que des clôtures, des murs et des dispositifs de
sécurité sur les portes intérieures et extérieures.

5. Gérer les demandes pour permettre un accès dûment autorisé aux installations informatiques. 3

6. Assurez-vous que les profils d'accès restent à jour. Basez l'accès aux sites informatiques (salles de serveurs, bâtiments, zones ou zones) sur la fonction de travail
et responsabilités.

7. Organisez régulièrement des formations de sensibilisation à la sécurité des informations physiques.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 HITRUST AC.MA Gérer l'accèsÿ; ID.DI Déterminer les impacts

CSF version 9, septembre 2017 01.01 Exigence commerciale pour le contrôle d'accèsÿ; 01.02 Accès autorisé aux systèmes
d'informationÿ; 02.0 Sécurité des ressources humaines

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC NC1.2 Gestion du réseau physique

27002:2013/Cor.2:2015(E) 11. Sécurité physique et environnementale

Pratique de gestion Exemple de métriques

DSS05.06 Gérer les documents sensibles et les périphériques de sortie. une. Nombre de périphériques de sortie volés
Établissez des protections physiques, des pratiques comptables et une gestion des stocks b. Pourcentage de documents sensibles et de périphériques de sortie identifiés dans
appropriées concernant les actifs I&T sensibles, tels que les formulaires spéciaux, les effets l'inventaire
négociables, les imprimantes à usage spécial ou les jetons de sécurité.

Activités Niveau de capacité

1. Établir des procédures pour régir la réception, l'utilisation, le retrait et l'élimination des documents sensibles et des périphériques de sortie à l'intérieur, à l'intérieur et à 2

l'extérieur de l'entreprise.

2. Assurez-vous que des contrôles cryptographiques sont en place pour protéger les informations sensibles stockées électroniquement.

3. Attribuez des privilèges d'accès aux documents sensibles et aux périphériques de sortie selon le principe du moindre privilège, en équilibrant les risques et 3

besoins de l'entreprise.

4. Établir un inventaire des documents sensibles et des périphériques de sortie, et effectuer des rapprochements réguliers.

5. Mettre en place des protections physiques appropriées sur les documents sensibles.

260
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Cybermaturity Platform, 2018 HITRUST CM.Ph Moniteur Physique

CSF version 9, septembre 2017 01.06 Contrôle d'accès aux applications et aux informationsÿ; 01.07 Informatique
Mobile & Télétravailÿ; 08.0 Sécurité physique et environnementaleÿ; 10.03 Contrôles
cryptographiquesÿ; 10.04 Sécurité des fichiers système

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 IR2.3 Évaluation de l'impact sur les entreprises - Exigences de confidentialitéÿ; IR2.4 Évaluation de
l'impact sur les entreprises - Exigences d'intégritéÿ; IR2.5 Évaluation de l'impact sur les entreprises
- Exigences de disponibilitéÿ; IM2.2 Informations physiques sensiblesÿ; PA2.2 Homme de mobilité
d'entreprise

ISO/CEI 27002:2013/Cor.2:2015(E) 10. Cryptographie

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.1 Contrôle d'accès (AC-2, AC-3, AC-4, AC-5, AC-6, AC-13, AC-24); 3.7 Identification et
(ébauche), août 2017 authentification (IA-2, IA-10, IA-11)

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 15ÿ: Contrôle d'accès sans fil
2016

Pratique de gestion DSS05.07 Exemple de métriques

Gérer les vulnérabilités et surveiller l'infrastructure pour les événements liés à la une. Nombre de tests de vulnérabilité effectués sur les appareils périmétriques
sécurité. b. Nombre de vulnérabilités découvertes lors des tests
À l'aide d'un portefeuille d'outils et de technologies (par exemple, des outils de détection c. Temps nécessaire pour corriger les vulnérabilités
d'intrusion), gérez les vulnérabilités et surveillez l'infrastructure pour détecter tout accès non ré. Pourcentage de tickets créés en temps opportun lorsque les systèmes de surveillance
autorisé. Assurez-vous que les outils de sécurité, les technologies et la détection sont intégrés identifient des incidents de sécurité potentiels
à la surveillance générale des événements et à la gestion des incidents.

Activités Niveau de capacité

1. Utiliser en permanence un portefeuille de technologies, de services et d'actifs pris en charge (par exemple, des scanners de vulnérabilité, des fuzzers et des renifleurs, 2

analyseurs de protocole) pour identifier les vulnérabilités de la sécurité de l'information.

2. Définir et communiquer les scénarios de risque, afin qu'ils puissent être facilement reconnus et que la probabilité et l'impact soient compris.

3. Examinez régulièrement les journaux d'événements pour les incidents potentiels.

4. Assurez-vous que les tickets d'incident liés à la sécurité sont créés en temps opportun lorsque la surveillance identifie des incidents potentiels.

5. Enregistrez les événements liés à la sécurité et conservez les enregistrements pendant une période appropriée. 3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, The Standard of Good Practice for Information Security 2016 National Institute of Profilage des menaces IR2.6

Standards and Technology Special Publication 800-53, Revision 5 (Draft), août 2017 3.7 Identification et authentification (IA-3); 3.11 Protection des médias (MP-1); 3.13
Protection physique et environnementale (PE-5); 3.19 Protection des systèmes et des
communications (SC-15)

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août Maintenance, surveillance et analyse des journaux d'audit
2016

261
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

l'information
Directeur
de l'information
Responsable
sécurité
de
de
la Propriétaires
processus
métier
de Responsable
Ressources
Humaines Développement
tête
de
la informatiques
Responsable
opérations
des l'information
Responsable
sécurité
de
de
la confidentialité
Responsable
de
la

Pratique de gestion des clés

DSS05.01 Protégez-vous contre les logiciels malveillants. ARRRRR

UNE RRR
DSS05.02 Gérer la sécurité du réseau et de la connectivité.

UNE RRR
DSS05.03 Gérer la sécurité des terminaux.

RA RRR
DSS05.04 Gérer l'identité des utilisateurs et l'accès logique.

UNE RRR
DSS05.05 Gérer l'accès physique aux actifs I&T.

DSS05.06 Gérer les documents sensibles et les périphériques de sortie. UNE R R

UNE RRR
DSS05.07 Gérer les vulnérabilités et surveiller l'infrastructure pour les événements liés à la sécurité.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

DSS05.01 Protégez-vous contre les logiciels malveillants. À partir de La description La description Pour

Logiciel malveillant APO01.02

politique de prévention

APO12.02ÿ;
Implémenter
Construire,
Acquérir
et

Évaluations de potentiel
des menaces APO12.03

DSS05.02 Gérer la sécurité du réseau et de la connectivité. APO01.07 Classement des données Politique de sécurité de la APO01.02

des lignes directrices connectivité

APO09.03 SLA Résultats des tests de MEA04.07

pénétration

DSS05.03 Gérer la sécurité des terminaux. APO03.02 Architecture des informations Politiques de sécurité pour APO01.02
maquette périphériques d'extrémité

APO09.03 • SLA
• OLA

BAI09.01 Résultats de physique

contrôles d'inventaire

DSS06.06 Rapports d'infractions

DSS05.04 Gérer l'identité des utilisateurs et l'accès logique. APO01.05 Définition de lié à l'I&T Résultats des examens des Interne

rôles et responsabilités comptes d'utilisateurs et des

privilèges

APO03.02 Architecture des informations Droits d'accès des utilisateurs Interne

maquette approuvés

262
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

DSS05.05 Gérer l'accès physique aux actifs I&T. À partir de La description La description Pour

Journaux d'accès DSS06.03,

MEA04.07

Demandes d'accès Interne

approuvées

DSS05.06 Gérer les documents et sorties sensibles APO03.02 Architecture des informations Privilèges d'accès Interne
dispositifs. maquette
Inventaire des sensibles Interne
documents et appareils

DSS05.07 Gérer les vulnérabilités et surveiller la Tickets d'incident de sécurité DSS02.02

infrastructure pour les événements liés à la sécurité.

Incident de sécurité Interne

les caractéristiques

Journaux des événements de sécurité Interne

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Sécurité des informations Cadre de compétences pour l'ère de l'information V6, 2015 SCTY

Gestion de la sécurité de l'information e-Competence Framework (e-CF) — Un cadre européen commun pour les TIC E. Gérer— E.8. Information
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 Gestion de la sécurité

Tests de pénétration Cadre de compétences pour l'ère de l'information V6, 2015 PENT

Administration de la sécurité Cadre de compétences pour l'ère de l'information V6, 2015 SCAD

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de sécurité des informations stratégie Définit des directives pour

protéger les informations de
l'entreprise ainsi que les systèmes et
l'infrastructure associés.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Créer une culture de sensibilisation concernant la responsabilité de l'utilisateur pour maintenir les 1) HITRUST CSF version 9, (1)ÿ01.03ÿResponsabilités de l'utilisateurÿ;
pratiques de sécurité et de confidentialité. septembre 2017ÿ; (2) ISF, Le (2) Programme de sensibilisation à la
Norme de bonnes pratiques pour sécurité PM2.1
Sécurité de l'information 2016

G. Composante : Services, Infrastructure et Applications

• Services d'annuaire
• Systèmes de filtrage des e-mails
• Système de gestion des identités et des accès
• Services de sensibilisation à la sécurité
• Outils de gestion des informations et des événements de sécurité (SIEM)
• Services du centre des opérations de sécurité (SOC)
• Services tiers d'évaluation de la sécurité
• Systèmes de filtrage d'URL

263
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

264
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaine : livraison, service et support

Objectif de gestionÿ: DSS06 - Description des contrôles des processus d'entreprise gérés Domaine d'interventionÿ: modèle de base COBIT

Définir et maintenir des contrôles de processus métier appropriés pour s'assurer que les informations liées à et traitées par des processus métier internes ou externalisés satisfont à toutes les
exigences de contrôle des informations pertinentes. Identifier les exigences pertinentes en matière de contrôle des informations. Gérer et opérer des contrôles d'entrée, de débit et de sortie adéquats
(contrôles d'application) pour s'assurer que l'information et le traitement de l'information satisfont à ces exigences.

But

Maintenir l'intégrité des informations et la sécurité des actifs informationnels gérés dans le cadre des processus métier de l'entreprise ou de ses opérations externalisées.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise Æ Objectifs d'alignement

• EG01 Portefeuille de produits et services compétitifs AG08 Activation et prise en charge des processus métier en intégrant les applications et la
• EG05 Culture du service orienté client technologie
• EG08ÿOptimisation de la fonctionnalité des processus métier internes
• EG12 Programmes de transformation numérique gérés

Exemple de mesures pour les objectifs d'entreprise Exemple de mesures pour les objectifs d'alignement

EG01 a. Pourcentage de produits et services qui atteignent ou dépassent les objectifs AG08 a. Temps nécessaire pour exécuter des services ou des processus métier
de chiffre d'affaires et/ou de part de marché b. Nombre de programmes commerciaux axés sur l'I&T retardés ou
b. Pourcentage de produits et services qui satisfont ou dépassent encourir des coûts supplémentaires en raison de problèmes d'intégration technologique
objectifs de satisfaction client c. Nombre de changements de processus métier qui doivent être retardés ou retravaillés
c. Pourcentage de produits et services qui offrent un avantage concurrentiel en raison de problèmes d'intégration technologique
ré. Nombre d'applications ou d'infrastructures critiques fonctionnant en silos et non
ré. Délai de mise sur le marché de nouveaux produits et services intégrées

EG05 a. Nombre d'interruptions du service client

b. Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation du

service client respecte les niveaux convenus

c. Nombre de réclamations clients
ré. Tendance des résultats des enquêtes de satisfaction client

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation de
services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

EG12 a. Nombre de programmes dans les délais et dans les limites du budget
b. Pourcentage d'intervenants satisfaits de la prestation du programme
c. Pourcentage de programmes de transformation d'entreprise arrêtés
ré. Pourcentage de programmes de transformation d'entreprise avec des
mises à jour régulières de l'état d'avancement

A. Composante : Processus

Pratique de gestion DSS06.01 Exemple de métriques

Aligner les activités de contrôle intégrées dans les processus métier avec une. Pourcentage de l'inventaire achevé des processus critiques et des contrôles clés
objectifs de l'entreprise. b. Pourcentage de contrôles de traitement alignés sur les besoins de l'entreprise
Évaluer et surveiller en permanence l'exécution des activités de processus métier et des
contrôles associés (en fonction du risque d'entreprise), pour s'assurer que les contrôles de traitement
correspondent aux besoins de l'entreprise.

265
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Identifier et documenter les activités de contrôle nécessaires pour les processus métier clés afin de satisfaire aux exigences de contrôle pour les stratégies, 2

objectifs opérationnels, de reporting et de conformité.

2. Prioriser les activités de contrôle en fonction du risque inhérent à l'entreprise. Identifier les contrôles clés.

3. Assurer la propriété des principales activités de contrôle.

4. Mettre en place des contrôles automatisés. 3

5. Surveiller en permanence les activités de contrôle de bout en bout pour identifier les opportunités d'amélioration. 4

6. Améliorer continuellement la conception et le fonctionnement des contrôles des processus opérationnels. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-37, révision 2 3.1 Préparation (Tâches 10, 11)
(ébauche), mai 2018

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 14 : Accès contrôlé basé sur le besoin de savoir

2016

Pratique de gestion Exemple de métriques

DSS06.02 Contrôler le traitement de l'information. une. Nombre d'incidents et conclusions des rapports d'audit indiquant l'échec de
Opérer l'exécution des activités de processus d'affaires et des contrôles connexes, en commandes clés
fonction du risque d'entreprise. Veiller à ce que le traitement des informations soit valide, complet, b. Pourcentage de couverture des contrôles clés dans les plans de test
exact, opportun et sécurisé (c'est-à-dire qu'il reflète une utilisation commerciale légitime et
autorisée).

Activités Niveau de capacité

1. Authentifier l'initiateur des transactions et vérifier que la personne a l'autorité pour lancer la transaction. 2

2. Assurer une séparation adéquate des tâches concernant l'origination et l'approbation des transactions.

3. Vérifiez que les transactions sont exactes, complètes et valides. Les contrôles peuvent inclure la séquence, la limite, la plage, la validité, le caractère raisonnable, les 3

recherches de table, l'existence, la vérification de clé, le chiffre de contrôle, l'exhaustivité, les vérifications de relations en double et logiques et les modifications de temps.
Les critères et paramètres de validation doivent faire l'objet d'examens et de confirmations périodiques. Validez les données d'entrée et modifiez-les ou, le cas
échéant, renvoyez-les pour correction aussi près que possible du point d'origine.

4. Sans compromettre les niveaux d'autorisation de transaction d'origine, corrigez et soumettez à nouveau les données saisies par erreur. Où
approprié pour la reconstruction, conservez les documents sources originaux pendant la durée appropriée.

5. Maintenir l'intégrité et la validité des données tout au long du cycle de traitement. S'assurer que la détection des transactions erronées
ne perturbe pas le traitement des transactions valides.

6. Traitez la sortie de manière autorisée, remettez-la au destinataire approprié et protégez les informations pendant la transmission.
Vérifier l'exactitude et l'exhaustivité de la sortie.

7. Maintenir l'intégrité des données lors d'interruptions imprévues du traitement de l'entreprise. Confirmer l'intégrité des données après le traitement
les échecs.

8. Avant de transmettre des données de transaction entre des applications internes et des fonctions commerciales/opérationnelles (à l'intérieur ou à l'extérieur de
l'entreprise), vérifiez le bon adressage, l'authenticité de l'origine et l'intégrité du contenu. Maintenir l'authenticité et l'intégrité pendant la transmission ou le transport.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 13.01 Ouverture et transparenceÿ; 13.02 Choix et participation individuels

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 BA1.4 Validation des informations

266
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

DSS06.03 Gérer les rôles, les responsabilités, les privilèges d'accès et les niveaux une. Nombre d'incidents et de constatations d'audit dus à des violations de l'accès ou de la
d'autorité. séparation des tâches

Gérer les rôles commerciaux, les responsabilités, les niveaux d'autorité et la b. Pourcentage de rôles de processus métier avec des droits d'accès et des niveaux d'autorité
séparation des tâches nécessaires pour soutenir les objectifs des processus attribués
commerciaux. Autoriser l'accès à tous les actifs informationnels liés aux processus c. Pourcentage de rôles de processus métier avec une séparation claire des tâches
d'information de l'entreprise, y compris ceux sous la garde de l'entreprise, de l'informatique et
des tiers. Cela garantit que l'entreprise sait où se trouvent les données et qui traite les données
en son nom.

Activités Niveau de capacité

1. Attribuez les rôles et les responsabilités en fonction des descriptions de poste approuvées et des activités de processus métier. 2

2. Attribuez des niveaux d'autorité pour l'approbation des transactions, les limites de transaction et toute autre décision relative au processus métier, en fonction des
rôles de travail approuvés.

3. Attribuez des rôles aux activités sensibles afin qu'il y ait une séparation claire des tâches.

4. Attribuez des droits d'accès et des privilèges en fonction du minimum requis pour effectuer des activités de travail, en fonction de rôles de travail prédéfinis. Supprimez ou 3

révisez immédiatement les droits d'accès si le poste change ou si un membre du personnel quitte la zone de processus métier.
Révisez périodiquement pour vous assurer que l'accès est adapté aux menaces, aux risques, à la technologie et aux besoins commerciaux actuels.

5. Sur une base régulière, offrir une sensibilisation et une formation sur les rôles et les responsabilités afin que chacun comprenne son rôle.
responsabilités; l'importance des contrôles; et la sécurité, l'intégrité, la confidentialité et la confidentialité des informations de l'entreprise sous toutes ses formes.

6. Veiller à ce que les privilèges administratifs soient suffisamment et efficacement sécurisés, suivis et contrôlés pour éviter les abus.

7. Examinez périodiquement les définitions de contrôle d'accès, les journaux et les rapports d'exception. Assurez-vous que tous les privilèges d'accès sont valides et 4

aligné sur les membres actuels du personnel et les rôles qui leur sont attribués.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 ISO/IEC 13.04 Collecte, utilisation et divulgation

27002:2013/Cor.2:2015(E) 7. Sécurité des ressources humaines

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 5 : Utilisation contrôlée des privilèges administratifs
2016

Pratique de gestion Exemple de métriques

DSS06.04 Gérer les erreurs et les exceptions. une. Fréquence des inefficacités de traitement dues à une saisie incomplète des données
Gérez les exceptions et les erreurs de processus métier et facilitez la résolution, en b. Nombre d'erreurs détectées en temps opportun
exécutant les actions correctives définies et en les faisant remonter si nécessaire. Ce c. Nombre d'erreurs de traitement de données qui ont été efficacement corrigées
traitement des exceptions et des erreurs garantit l'exactitude et l'intégrité du processus
d'information métier.

Activités Niveau de capacité

1. Examinez les erreurs, les exceptions et les écarts. 2

2. Suivre, corriger, approuver et resoumettre les documents sources et les transactions.

3. Conserver les preuves des actions correctives.

4. Définir et maintenir des procédures pour attribuer la propriété des erreurs et des exceptions, corriger les erreurs, annuler les erreurs et les gérer 3
conditions d'équilibre.

5. Signaler les erreurs de traitement des informations commerciales pertinentes en temps opportun pour effectuer une analyse des causes profondes et des tendances. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

267
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion DSS06.05 Exemple de métriques

Assurer la traçabilité et la responsabilité des événements d'information. une. Nombre d'incidents dans lesquels l'historique des transactions ne peut pas être récupéré
Assurez-vous que les informations commerciales peuvent être retracées jusqu'à un b. Pourcentage d'exhaustivité du journal des transactions traçable
événement commercial d'origine et associées à des parties responsables. Cette
possibilité de découverte donne l'assurance que les informations commerciales sont fiables et
ont été traitées conformément aux objectifs définis.

Activités Niveau de capacité

1. Capturez les informations sources, les preuves à l'appui et l'enregistrement des transactions. 2

2. Définir les exigences de conservation, en fonction des besoins de l'entreprise, pour répondre aux besoins opérationnels, de reporting financier et de conformité. 3

3. Éliminer les informations sources, les preuves à l'appui et l'enregistrement des transactions conformément à la politique de conservation.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

DSS06.06 Sécuriser les actifs informationnels. une. Cas de données de transaction sensibles livrées au mauvais destinataire
Sécuriser les actifs informationnels accessibles par l'entreprise par le biais de méthodes b. Fréquence de compromission de l'intégrité des données critiques
approuvées, y compris les informations sous forme électronique (par exemple, les appareils
multimédias portables, les applications utilisateur et les périphériques de stockage, ou d'autres
méthodes qui créent de nouveaux actifs sous quelque forme que ce soit), les informations sous
forme physique (par exemple, les documents source ou rapports de sortie) et des informations
pendant le transit. Cela profite à l'entreprise en fournissant une protection de bout en bout des
informations.

Activités Niveau de capacité

1. Restreindre l'utilisation, la distribution et l'accès physique aux informations en fonction de leur classification. 2

2. Offrir une sensibilisation et une formation à l'utilisation acceptable.

3. Appliquer la classification des données et les politiques et procédures d'utilisation acceptable et de sécurité pour protéger les actifs 3
contrôle de l'entreprise.

4. Identifier et mettre en œuvre des processus, des outils et des techniques pour vérifier raisonnablement la conformité.

5. Signaler aux entreprises et aux autres parties prenantes les violations et les écarts. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 AC.MP Gérer les autorisations d'accès

Les contrôles de sécurité critiques de CIS pour une cyberdéfense efficace Version 6.1, août CSC 18ÿ: Sécurité des logiciels d'application
2016

268
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

B. Composante : Structures organisationnelles

Pratique de gestion des clés

DSS06.01 Aligner les activités de contrôle intégrées dans les processus métier avec les objectifs de l'entreprise. RAR

DSS06.02 Maîtriser le traitement de l'information. RARRR R

DSS06.03 Gérer les rôles, les responsabilités, les privilèges d'accès et les niveaux d'autorité. RRR R

DSS06.04 Gérer les erreurs et les exceptions. R RAR

DSS06.05 Assurer la traçabilité et la responsabilité des événements d'information. R AR

DSS06.06 Sécuriser les actifs informationnels. R AR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

DSS06.01 Aligner les activités de contrôle intégrées dans les À partir de La description La description Pour

processus avec les objectifs de l'entreprise. APO01.07 • Directives de classification Analyses des causes profondes et BAI06.01ÿ;
des données recommandations MEA02.04ÿ;
• Procédures MEA04.04ÿ;
d'intégrité des données MEA04.06ÿ;
MEA04.07

Résultats du traitement MEA02.04

revues d'efficacité

DSS06.02 Maîtriser le traitement de l'information. BAI05.05 Plan d'exploitation et d'utilisation Traitement des rapports Interne
de contrôle
BAI07.02 Projet de migration

DSS06.03 Gérer les rôles, les responsabilités, l'accès APO11.01 Rôles du système de Niveaux d'autorité APO01.05
privilèges et niveaux d'autorité. gestion de la qualité (SMQ), attribués
responsabilités et
droits de décision

APO13.01 Sécurité des informations Rôles attribués et APO01.05

Système de gestion responsabilités
(ISMS) déclaration de portée

DSS05.05 Journaux d'accès Droits d'accès attribués APO07.04

EDM04.02 Responsabilités assignées

pour la gestion des ressources

269
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

DSS06.04 Gérer les erreurs et les exceptions. À partir de La description La description Pour

Rapports d'erreurs et racine Interne

analyse des causes

Preuve d'erreur MEA02.04

correction et
remédiation

DSS06.05 Assurer la traçabilité et la responsabilité des Registre des transactions Interne

événements informatifs.
Exigences de conservation Interne;
APO14.09

DSS06.06 Sécuriser les actifs informationnels. Rapports d'infractions DSS05.03

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.1 Préparation (Tâche 10, 11)ÿ: entrées et sorties
800-37, révision 2, septembre 2017

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Sécurité des informations Cadre de compétences pour l'ère de l'information V6, 2015 Cadre de SCTY

Administration de la sécurité compétences pour l'ère de l'information V6, 2015 SCAD

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Directives sur les contrôles de l'entreprise politique Définit les contrôles des processus
métier pour garantir un contrôle adéquat et
réduire les risques de fraude et d'erreurs.
Identifie les contrôles manuels pour

protéger les documents (par exemple, les

documents source, d'entrée, de traitement et
de sortie); identifie les contrôles de surveillance
pour examiner le flux de documents et assurer
un traitement correct. Comprend I&T général

contrôles (par exemple, la sécurité physique,

l'accès et l'authentification, et la gestion des
modifications) et les contrôles d'application
(par exemple, la vérification des modifications,
la configuration du système et les paramètres de
sécurité).

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Créez une culture qui englobe le besoin de contrôles solides dans les processus métier, en les

intégrant dans des applications en développement ou en les exigeant dans des applications achetées
ou accessibles en tant que service. Encouragez tous les employés à avoir une conscience des
contrôles pour protéger tous les actifs de l'organisation (par exemple, les dossiers papier et les
installations).

G. Composante : Services, Infrastructure et Applications

• Contrôles d'application automatisés

• Outils d'audit du journal des événements

270
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

4.5 Surveiller, évaluer et évaluer (MEA)

01 Surveillance gérée des performances et de la conformité

02SystèmeGérédeContrôleInterne

03 Conformité gérée avec les exigences externes

04 Assurance gérée

271
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

272
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Surveiller, évaluer et évaluer

Objectif de gestionÿ: MEA01ÿ–ÿSurveillance gérée des performances et de la conformité Description Domaine d'interventionÿ: modèle de base COBIT

Collectez, validez et évaluez les objectifs et les mesures de l'entreprise et de l'alignement. Surveillez que les processus et les pratiques fonctionnent par rapport aux objectifs et aux mesures de
performance et de conformité convenus. Fournir des rapports systématiques et opportuns.

But

Assurer la transparence des performances et de la conformité et favoriser la réalisation des objectifs.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l'entreprise
Æ Objectifs d'alignement
• EG01 Portefeuille de produits et services compétitifs • AG05ÿFourniture de services I&T conformément aux exigences de l'entreprise
• EG04 Qualité des informations financières • AG10 Qualité des informations de gestion I&T
• EG07 Qualité des informations de gestion
• EG08ÿOptimisation de la fonctionnalité des processus métier internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG01 a. Pourcentage de produits et services qui atteignent ou dépassent AG05 a. Pourcentage d'intervenants commerciaux convaincus que le service I&T
les objectifs de chiffre d'affaires et/ou de part de marché la livraison respecte les niveaux de service convenus
b. Pourcentage de produits et services qui satisfont ou dépassent b. Nombre d'interruptions d'activité dues à des incidents de service I&T
objectifs de satisfaction client c. Pourcentage d'utilisateurs satisfaits de la qualité du service I&T
c. Pourcentage de produits et services qui offrent un avantage livraison
concurrentiel
ré. Délai de mise sur le marché de nouveaux produits et services

EG04 a. Enquête de satisfaction auprès des principales parties prenantes concernant AG10 a. Niveau de satisfaction des utilisateurs concernant la qualité, la rapidité et
transparence, compréhension et exactitude des informations financières de disponibilité des informations de gestion liées à l'I&T, compte tenu des ressources
l'entreprise disponibles

b. Coût du non-respect des réglementations financières b. Ratio et étendue des décisions commerciales erronées dans lesquelles des
informations erronées ou indisponibles liées à l'I&T étaient un facteur clé
EG07 a. Degré de satisfaction du conseil d'administration et de la haute direction
avec des informations décisionnelles
c. Pourcentage d'informations répondant aux critères de qualité
b. Nombre d'incidents causés par des décisions commerciales
incorrectes basées sur des informations inexactes

c. Il est temps de fournir des informations pour une entreprise efficace

les décisions

ré. Actualité des informations de gestion

EG08 a. Niveaux de satisfaction du conseil d'administration et de la direction générale

avec des capacités de processus métier
b. Niveaux de satisfaction des clients à l'égard des capacités de prestation
de services
c. Niveaux de satisfaction des fournisseurs concernant les capacités de la chaîne

d'approvisionnement

A. Composante : Processus

Pratique de gestion MEA01.01 Exemple de métriques

Établir une approche de surveillance. une. Pourcentage de processus avec des objectifs et des métriques définis
S'engager avec les parties prenantes pour établir et maintenir une approche de surveillance b. Pourcentage d'intégration de l'approche de surveillance au sein de l'entreprise
afin de définir les objectifs, la portée et la méthode de mesure de la solution commerciale et système de gestion de la performance
de la prestation de services et de la contribution aux objectifs de l'entreprise. Intégrez cette
approche au système de gestion de la performance de l'entreprise.

273
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Identifier les parties prenantes (par exemple, la direction, les propriétaires de processus et les utilisateurs). 2

2. S'engager avec les parties prenantes et communiquer les exigences et les objectifs de l'entreprise en matière de surveillance, d'agrégation et de reporting, en
utilisant des définitions communes (par exemple, glossaire métier, métadonnées et taxonomie), la référence et l'analyse comparative.

3. Aligner et maintenir en permanence l'approche de suivi et d'évaluation avec l'approche d'entreprise et les outils à utiliser pour la collecte de données et les rapports
d'entreprise (par exemple, les applications d'informatique décisionnelle).

4. Convenez des types d'objectifs et de mesures (par exemple, conformité, performance, valeur, risque), taxonomie (classification et
relations entre les objectifs et les métriques) et la conservation des données (preuves).

5. Demander, hiérarchiser et allouer des ressources pour le suivi, tenir compte de la pertinence, de l'efficience, de l'efficacité et de la confidentialité.

6. Valider périodiquement l'approche utilisée et identifier les parties prenantes, les exigences et les ressources nouvelles ou modifiées. 3

7. Convenir d'un processus de gestion du cycle de vie et de contrôle des changements pour le suivi et la production de rapports. Incluez des opportunités d'amélioration pour les
rapports, les mesures, l'approche, l'établissement de références et l'analyse comparative.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

CMMI Data Management Maturity Model, 2014 SF, The Processus de soutien - Mesure et analyse

Standard of Good Practice for Information Security 2016 ISO/IEC 27001:2013/ Performances de sécurité SI2

Cor.2:2015(E) 9.1 Surveillance, mesure, analyse et évaluation

ISO/CEI 27004:2016(E) 6. Caractéristiquesÿ; 7. Types de mesures ; 8. Processus

ISO/CEI 38500:2015(E) 5.5 Principe 4 : Performances ; 5.6 Principe 5 : Conformité

National Institute of Standards and Technology Special Publication 800-37, révision 2 3.1 Préparation (Tâche 13); 3.3 Sélection (Tâche 2); 3.7 Surveillance (Tâche 1)
(ébauche), mai 2018

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.4 Évaluation, autorisation et surveillance (CA-2, CA-7); 3.20 Intégrité du système et de
(ébauche), août 2017 l'information (SI-4)

Pratique de gestion Exemple de métriques

MEA01.02 Fixer des objectifs de performance et de conformité. une. Pourcentage d'objectifs et de mesures approuvés par les parties prenantes
Travailler avec les parties prenantes pour définir, réviser périodiquement, mettre à b. Pourcentage de processus dont l'efficacité des objectifs et des mesures a été examinée
jour et approuver les objectifs de performance et de conformité au sein du système de mesure et amélioré
de la performance.

Activités Niveau de capacité

1. Définir les objectifs et les métriques. Examinez-les périodiquement avec les parties prenantes pour identifier tout élément manquant important et définir le caractère 2

raisonnable des objectifs et des tolérances.

2. Évaluer si les objectifs et les mesures sont adéquats, c'est-à-dire spécifiques, mesurables, atteignables, pertinents et limités dans le temps (SMART).

3. Communiquer les modifications proposées aux objectifs de performance et de conformité et aux tolérances (relatives aux métriques) avec les clés dues
parties prenantes de la diligence (par exemple, juridique, audit, RH, éthique, conformité, finance).

4. Publier les cibles et les tolérances modifiées aux utilisateurs de ces informations.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Processus de soutien - Gestion des processus

National Institute of Standards and Technology Special Publication 800-53, Revisionv5 3.4 Évaluation, autorisation et surveillance (CA-5)
(Brouillon), août 2017

Pratique de gestion Exemple de métriques

MEA01.03 Recueillir et traiter les données de performance et de conformité. une. Pourcentage de processus critiques surveillés
Collectez et traitez des données opportunes et précises alignées sur les approches de b. Pourcentage de l'environnement de contrôle surveillé, étalonné et amélioré pour atteindre
l'entreprise. les objectifs organisationnels

274
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Recueillir des données à partir de processus définis (automatisés, si possible). 2

2. Évaluer l'efficacité (effort par rapport aux informations fournies) et la pertinence (utilité et signification) des données collectées et valider l'intégrité des données
(exactitude et exhaustivité).

3. Agréger les données pour prendre en charge la mesure des paramètres convenus.

4. Aligner les données agrégées sur l'approche et les objectifs de reporting de l'entreprise. 3

5. Utiliser des outils et des systèmes appropriés pour le traitement et l'analyse des données. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.20 Intégrité du système et de l'information (SI-2)
(ébauche), août 2017

Pratique de gestion Exemple de métriques

MEA01.04 Analyser et rendre compte du rendement. une. Pourcentage d'objectifs et de mesures alignés sur le système de surveillance de l'entreprise
Examiner et rendre compte périodiquement des performances par rapport aux objectifs. b. Pourcentage de rapports sur les performances livrés comme prévu
Utilisez une méthode qui fournit une vue d'ensemble succincte des performances I&T et s'intègre c. Pourcentage de processus dont les résultats garantis atteignent les objectifs dans les délais
dans le système de surveillance de l'entreprise. tolérances

Activités Niveau de capacité

1. Concevoir des rapports de performance de processus concis, faciles à comprendre et adaptés aux divers besoins de gestion et 3

publics. Faciliter une prise de décision efficace et opportune (par exemple, cartes de pointage, rapports de feux de circulation). Assurez-vous que la relation de cause à
effet entre les objectifs et les métriques est communiquée de manière compréhensible.

2. Distribuer les rapports aux parties prenantes concernées.

3. Analysez la cause des écarts par rapport aux objectifs, initiez des actions correctives, attribuez des responsabilités pour la correction et effectuez un suivi. Au moment 4

opportun, examinez tous les écarts et recherchez les causes profondes, si nécessaire. Documentez les problèmes pour obtenir des conseils supplémentaires si le
problème se reproduit. Documenter les résultats.

4. Dans la mesure du possible, intégrer la performance et la conformité dans les objectifs de performance individuels des membres du personnel et lier la
réalisation des objectifs de performance au système de rémunération de l'organisation.

5. Comparer les valeurs de performance aux objectifs et références internes et, si possible, aux références externes (industrie
et principaux concurrents).

6. Analyser les tendances en matière de performances et de conformité et prendre les mesures appropriées.

7. Recommander des modifications aux objectifs et aux mesures, le cas échéant. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Processus de soutien - Mesure et analyse

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.3 Audit et responsabilité (AU-6)
(ébauche), août 2017

Pratique de gestion Exemple de métriques

MEA01.05 Assurer la mise en œuvre des actions correctives. une. Nombre d'anomalies récurrentes
Aider les parties prenantes à identifier, initier et suivre les actions correctives pour traiter b. Nombre d'actions correctives mises en place
les anomalies.

Activités Niveau de capacité

1. Examiner les réponses, les options et les recommandations de la direction pour résoudre les problèmes et les écarts majeurs. 2

2. Assurez-vous que l'attribution de la responsabilité des mesures correctives est maintenue.

3. Suivre les résultats des actions engagées.

4. Rendre compte des résultats aux parties prenantes.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ITIL V3, 2011 Amélioration continue du service, 4.1 Le processus d'amélioration en 7 étapes

Publication spéciale de l'Institut national des normes et de la technologie 3.7 Surveillance (Tâche 3)
800-37, révision 2 (ébauche), mai 2018

Publication spéciale de l'Institut national des normes et de la technologie 3.3 Audit et responsabilité (AU-5)
800-53, révision 5 (ébauche), août 2017

275
 Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

B. Composante : Structures organisationnelles

exécutif
Comité direction
Chef
de
la Directeur
financier Président
directeur
général l'information
Directeur
de gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de Gestionnaire
relation
de Développement
tête
de
la informatiques
Responsable
opérations
des Gestionnaire
services
de

Pratique de gestion des clés

MEA01.01 Établir une approche de surveillance. RARRRR

MEA01.02 Fixer des objectifs de performance et de conformité. UNE RRRRR

MEA01.03 Recueillir et traiter les données de performance et de conformité. ARRRRR

MEA01.04 Analyser et rendre compte des performances. ARRRRR

MEA01.05 S'assurer de la mise en place des actions correctives. ARRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

MEA01.01 Établir une approche de surveillance. À partir de Description • La description Pour

EDM05.01 Évaluation des exigences de Objectifs et mesures de Interne

déclaration de l'entreprise surveillance approuvés
• Rapports et
Exigences de surveillance Interne
communication
des principes

EDM05.02 Règles de validation et

approbation obligatoire
rapports

EDM05.03 Évaluation des rapports

efficacité

MEA01.02 Fixer des objectifs de performance et de conformité. APO01.11 Objectifs de performances et Objectifs de surveillance Tous APOÿ;

métriques pour le processus Tous les BAIÿ;

suivi des améliorations Tous les SSDÿ;

Tous les AEM

Surveiller,
évaluer
et

276
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion Contributions Les sorties

MEA01.03 Recueillir et traiter les performances et À partir de La description La description Pour

données de conformité.
APO01.11 Capacité du processus Données de surveillance traitées Interne
évaluations

APO05.03 Portefeuille d'investissement

rapports de performances

APO09.04 Rapports sur les

performances du niveau de service

APO10.05 Résultats de

la conformité des fournisseurs

revue de suivi

BAI01.06 Résultats du programme

évaluations des performances

BAI04.04 Disponibilité, performances

et surveillance des capacités
examiner les rapports

BAI05.05 Mesures de succès et résultats

DSS01.05 Rapports d'évaluation des

installations

DSS02.07 • Rapport sur l'état et les

tendances des incidents

• Demander un rapport sur
l'état d'exécution et les tendances

MEA01.04 Analyser et rendre compte des performances. Rapports de performances Tous APOÿ;

Tous les BAIÿ;

Tous les SSDÿ; Tous

AEMÿ;
EDM01.03

MEA01.05 Veiller à la mise en œuvre des mesures correctives APO01.09 Remédiation à la non-conformité Actions correctives et Tous APOÿ;
Actions. Actions affectations Tous les BAIÿ;

Tous les SSDÿ;

Tous les AEM

EDM05.02 Consignes d'escalade Statut et résultats des actions EDM01.03

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.1 Préparation (Tâche 13)ÿ: Entrées et sortiesÿ; 3.3 Sélection (Tâche 2)ÿ: Entrées et sortiesÿ; 3.7
800-37, révision 2, septembre 2017 Surveillance (Tâche 1, Tâche 3)ÿ: entrées et sorties

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Examen de conformité Cadre de compétences pour l'ère de l'information V6, 2015 Cadre des CŒUR

Gestion de la qualité des TIC compétences électroniques (e-CF)—Un cadre européen commun pour les professionnels des TIC dans E. Gérer—E.6. Qualité des TIC
tous les secteurs de l'industrie—Partie 1ÿ: Cadre, 2016 La gestion

Assurance qualité Cadre de compétences pour l'ère de l'information V6, 2015 QUAS

277
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique d' auto-évaluation politique Fournit des conseils sur

les responsabilités de la direction dans
l'évaluation des opérations dans le cadre
du programme d'amélioration continue.
Souvent utilisé pour rendre compte en
interne aux cadres ou au conseil
d'administration des capacités, des progrès
et des améliorations actuels, en fonction des
besoins de l'entreprise. Les évaluations
peuvent être utilisées pendant ou après un
programme d'amélioration des processus
(c'est-à-dire pour évaluer les progrès après
avoir terminé une amélioration).

Politique de dénonciation Encourage les employés à faire part de

leurs préoccupations et de leurs
questions en toute confiance. Garantit
aux employés qu'ils recevront une réponse
et qu'ils pourront faire remonter leurs
préoccupations s'ils ne sont pas satisfaits
de la réponse. Assure que les employés sont
protégés lorsqu'ils soulèvent des problèmes
et ne doivent pas craindre de représailles.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Pour atteindre les objectifs de l'organisation et optimiser les performances, promouvoir une
culture d'amélioration continue des processus d'affaires et d'I&T.

G. Composante : Services, Infrastructure et Applications

• Système de mesure du rendement (p. ex. tableau de bord prospectif, outils de gestion des compétences)
• Outils d'auto-évaluation

278
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Surveiller, évaluer et évaluer

Objectif de gestion : MEA02 — Système géré de contrôle interne Description Domaine d'interventionÿ: modèle de base COBIT

Surveiller et évaluer en permanence l'environnement de contrôle, y compris les auto-évaluations et la conscience de soi. Permettre à la direction d'identifier les lacunes et les inefficacités de contrôle
et d'initier des actions d'amélioration. Planifier, organiser et maintenir des normes d'évaluation du contrôle interne et d'efficacité du contrôle des processus.

But

Obtenir la transparence pour les principales parties prenantes sur l'adéquation du système de contrôles internes et ainsi assurer la confiance dans les opérations, la confiance dans la
réalisation des objectifs de l'entreprise et une compréhension adéquate du risque résiduel.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de Æ Objectifs d'alignement

l'entreprise • EG03 Conformité aux lois et réglementations externes AG11 Conformité I&T avec les politiques internes
• EG11 Conformité aux politiques internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG03 a. Coût de la non-conformité réglementaire, y compris les règlements AG11 a. Nombre d'incidents liés au non-respect des politiques relatives à l'I&T
et les amendes

b. Nombre de problèmes de non-conformité réglementaire provoquant b. Nombre d'exceptions aux politiques internes
des commentaires publics ou une publicité négative c. Fréquence de l'examen et de la mise à jour de la politique
c. Nombre de cas de non-conformité notés par les régulateurs
ré. Nombre de problèmes de non-conformité réglementaire liés aux accords
contractuels avec des partenaires commerciaux

EG11 a. Nombre d'incidents liés à la non-conformité à la politique

b. Pourcentage de parties prenantes qui comprennent les politiques
c. Pourcentage de politiques appuyées par des normes et des pratiques de
travail efficaces

A. Composante : Processus

Pratique de gestion Exemple de métriques

MEA02.01 Surveiller les contrôles internes. une. Nombre de manquements majeurs au contrôle interne
Surveiller, comparer et améliorer en permanence l'environnement de contrôle I&T b. Pourcentage de l'environnement et du cadre de contrôle surveillés, étalonnés et
et le cadre de contrôle pour atteindre les objectifs organisationnels. améliorés en permanence pour atteindre les objectifs organisationnels

Activités Niveau de capacité

1. Identifier les limites du système de contrôle interne. Par exemple, considérez comment les contrôles internes de l'organisation prennent en 3

compte des activités de développement ou de production externalisées et/ou offshore.

2. Évaluer l'état des contrôles internes des prestataires de services externes. Confirmez que les prestataires de services respectent les exigences légales et
réglementaires et les obligations contractuelles.

3. Effectuer des activités de surveillance et d'évaluation du contrôle interne en fonction des normes de gouvernance organisationnelle et de l'industrie
cadres et pratiques acceptés. Inclure également le suivi et l'évaluation de l'efficience et de l'efficacité des activités de supervision de la direction.

4. Veiller à ce que les exceptions de contrôle soient rapidement signalées, suivies et analysées, et que les actions correctives appropriées soient
hiérarchisés et mis en œuvre selon le profil de gestion des risques (par exemple, classer certaines exceptions comme un risque clé et d'autres comme un risque non clé).

5. Envisager des évaluations indépendantes du système de contrôle interne (par exemple, par un audit interne ou des pairs).

6. Maintenir le système de contrôle interne, en tenant compte des changements continus dans les risques commerciaux et I&T, l'environnement de contrôle 4

organisationnel et les processus commerciaux et I&T pertinents. Si des lacunes existent, évaluez et recommandez des changements.

7. Évaluer régulièrement la performance du cadre de contrôle, en comparant les normes acceptées par l'industrie et la bonne 5

les pratiques. Envisager l'adoption formelle d'une approche d'amélioration continue de la surveillance du contrôle interne.

279
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 ISO/IEC 09.10 Surveillance

38502:2017(E) 5.5 Gouvernance et contrôle interne

National Institute of Standards and Technology Special Publication 800-53, révision 5 3.3 Audit et responsabilité (AU-2)
(ébauche), août 2017

Pratique de gestion Exemple de métriques

MEA02.02 Examiner l'efficacité des contrôles des processus opérationnels. une. Nombre de faiblesses identifiées par les rapports externes de qualification et de
Examinez le fonctionnement des contrôles, y compris la surveillance et les preuves de test, pour certification
vous assurer que les contrôles au sein des processus opérationnels fonctionnent efficacement. b. Nombre de contrôles surveillés et testés pour s'assurer que les contrôles au sein des
Inclure des activités pour conserver la preuve du fonctionnement efficace des contrôles processus opérationnels fonctionnent efficacement
grâce à des mécanismes tels que des tests périodiques, une surveillance continue, des
évaluations indépendantes, des centres de commandement et de contrôle et des centres
d'exploitation du réseau. Cette preuve garantit à l'entreprise que les contrôles répondent aux
exigences liées aux responsabilités commerciales, réglementaires et sociales.

Activités Niveau de capacité

1. Comprendre et hiérarchiser les risques par rapport aux objectifs organisationnels. 3

2. Identifier les contrôles clés et développer une stratégie appropriée pour valider les contrôles.

3. Identifier les informations qui indiqueront si l'environnement de contrôle interne fonctionne efficacement.

4. Conserver la preuve de l'efficacité des contrôles. 4

5. Élaborer et mettre en œuvre des procédures rentables pour obtenir ces informations conformément aux critères de qualité des informations applicables.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

MEA02.03 Effectuer des auto-évaluations de contrôle. une. Nombre d'auto-évaluations réalisées

Encourager la direction et les propriétaires de processus à améliorer les contrôles de b. Nombre de lacunes identifiées dans les auto-évaluations par rapport aux normes de l'industrie
manière proactive grâce à un programme continu d'auto-évaluation qui évalue ou aux bonnes pratiques
l'exhaustivité et l'efficacité du contrôle de la direction sur les processus, les politiques et les
contrats.

Activités Niveau de capacité

1. Définir une approche convenue et cohérente pour la réalisation des auto-évaluations des contrôles et la coordination avec les auditeurs internes et externes. 3

2. Tenir à jour les plans d'évaluation, ainsi que la portée et identifier les critères d'évaluation pour la conduite des auto-évaluations. Planifier la communication des résultats
du processus d'auto-évaluation à la direction commerciale, informatique et générale et au conseil d'administration. Tenir compte des normes d'audit interne dans la
conception des auto-évaluations.

3. Déterminer la fréquence des auto-évaluations périodiques, en tenant compte de l'efficacité et de l'efficience globales des
surveillance.

4. Attribuez la responsabilité de l'auto-évaluation aux personnes appropriées pour garantir l'objectivité et la compétence.

5. Prévoir des examens indépendants pour garantir l'objectivité de l'auto-évaluation et permettre le partage des bonnes pratiques de contrôle interne
pratiques d'autres entreprises.

6. Comparez les résultats des auto-évaluations avec les normes et les bonnes pratiques de l'industrie. 4

7. Résumer et rapporter les résultats des auto-évaluations et des analyses comparatives pour les actions correctives. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISO/CEI 27001:2013/Cor.2:2015(E) 9.3 Revue de direction

National Institute of Standards and Technology Special Publication 800-37, révision 2 3.7 Surveillance (Tâche 2)
(ébauche), mai 2018

280
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

MEA02.04 Identifier et signaler les lacunes de contrôle. une. Délai entre l'apparition d'une déficience de contrôle interne et le signalement
Identifier les lacunes de contrôle et analyser et identifier leurs causes profondes b. Délai entre l'identification de l'exception et les actions convenues traitées
sous-jacentes. Escalader les lacunes de contrôle et signaler aux parties prenantes. c. Pourcentage de mise en œuvre des actions correctives découlant du contrôle
évaluations

Activités Niveau de capacité

1. Communiquer les procédures pour l'escalade des exceptions de contrôle, l'analyse des causes profondes et les rapports aux propriétaires de processus et à l'I&T 3
les parties prenantes.

2. Tenir compte du risque d'entreprise connexe pour établir des seuils d'escalade des exceptions et des pannes de contrôle.

3. Identifiez, signalez et enregistrez les exceptions de contrôle. Attribuez la responsabilité de les résoudre et de faire rapport sur l'état.

4. Décidez quelles exceptions de contrôle doivent être communiquées à la personne responsable de la fonction et quelles exceptions
devrait être escaladé. Informer les propriétaires de processus et les parties prenantes concernés.

5. Suivre toutes les exceptions pour s'assurer que les actions convenues ont été prises en compte. 4

6. Identifier, initier, suivre et mettre en œuvre des actions correctives découlant des évaluations de contrôle et des rapports. 5

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

B. Composante : Structures organisationnelles

Directeur
financier Directeur
Risques
des l'information
Directeur
de technologie
directeur
de
la gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de gestion
Bureau
projet
de Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de
Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la

Surveiller
évaluer
et Pratique de gestion des clés
MEA02.01 Surveiller les contrôles internes.

MEA02.02 Examiner l'efficacité des contrôles des processus opérationnels.

MEA02.03 Effectuer des auto-évaluations de contrôle.

MEA02.04 Identifier et signaler les lacunes des contrôles.

RARRR
RAR

RAR

RA
RRRRRRRRR

RRRRRRRRR

RRRRRRRRR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

281
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

MEA02.01 Surveiller les contrôles internes. À partir de La description La description Pour

APO12.04 Résultats du risque tiers Résultats de l'analyse comparative Tous APOÿ;

évaluations et autres évaluations Tous les BAIÿ;

Tous les
SSDÿ; Tous
MEAÿ; EDM01.03

APO13.03 Sécurité des informations Résultats de la surveillance Tous APOÿ;

Système de gestion et des revues du contrôle interne Tous les BAIÿ;

(ISMS) rapports d'audit Tous les

SSDÿ; Tous
En dehors des normes de l'industrie COBIT et
MEAÿ; EDM01.03
bonnes pratiques

MEA02.02 Examiner l'efficacité du processus opérationnel BAI05.06 Résultats des audits de conformité Preuve de contrôle Interne
contrôles. efficacité
BAI05.07 Revues de fonctionnement
utiliser

MEA02.03 Effectuer des auto-évaluations de contrôle. Plans et critères d'auto-évaluation Tous APOÿ;
Tous les BAIÿ;

Tous les SSDÿ;

Tous les AEM

Résultats des examens des Tous APOÿ;

auto-évaluations Tous les BAIÿ;

Tous les SSDÿ;

Tous MEAÿ;
EDM01.03

Résultats des Interne

auto-évaluations

MEA02.04 Identifier et signaler les lacunes des contrôles. APO11.03 Les causes profondes de l'échec à Des mesures correctives Tous APOÿ;

livrer de la qualité Tous les BAIÿ;

Tous les SSDÿ;

Tous les AEM

APO12.06 Causes profondes liées aux risques Lacunes dans le contrôle Tous APOÿ;
Tous les BAIÿ;

Tous les SSDÿ;

Tous les AEM

DSS06.01 • Résultats des examens de
l'efficacité du traitement

• Analyses des causes profondes

et recommandations

DSS06.04 Preuve d'erreur

correction et
remédiation

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Publication spéciale de l'Institut national des normes et de la technologie 3.7 Surveillance (tâche 2)ÿ: entrées et sorties
800-37, révision 2, septembre 2017

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) e-Competence Framework (e-CF) Référence détaillée

Gestion des risques —A common European Framework for ICT Professionals in all industry sector—Part 1: Framework, 2016 E. Gérer—E.3. Gestion des
risques

282
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

E. Composanteÿ: Politiques et procédures

Politique concernée Description de la Conseils connexes Référence détaillée

Politique de contrôle interne politique Communique les objectifs de

contrôle interne de la direction.
Établit des normes pour la conception
et le fonctionnement du système de
contrôle interne de l'entreprise afin de
réduire l'exposition à tous les risques.
Fournit des conseils pour surveiller et
évaluer en permanence l'environnement
de contrôle, y compris la conscience de soi
et les auto-évaluations.

Auto-évaluation du contrôle interne Recommande une surveillance

conseils continue des contrôles internes pour
identifier les lacunes et les lacunes dans
l'efficacité, déterminer leurs causes profondes
et initier des plans d'action et des jalons
correctifs pour les rapports aux parties
prenantes.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la culture Conseils connexes Référence détaillée

Sensibiliser à l'importance d'un environnement de contrôle efficace. Encourager

une culture proactive de conscience des risques et de conscience de soi, y compris un
engagement envers l'auto-évaluation et des examens d'assurance indépendants.

G. Composante : Services, Infrastructure et Applications

• COBIT et produits/outils associés

• Services tiers d'évaluation du contrôle interne

283
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

284
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Surveiller, évaluer et évaluer

Objectif de gestion : MEA03 — Conformité gérée avec les exigences externes Description Domaine d'interventionÿ: modèle de base COBIT

Évaluer que les processus d'I&T et les processus commerciaux pris en charge par l'I&T sont conformes aux lois, aux réglementations et aux exigences contractuelles. Obtenir l'assurance
que les exigences ont été identifiées et respectéesÿ; intégrer la conformité informatique à la conformité globale de l'entreprise.

But

Assurez-vous que l'entreprise est conforme à toutes les exigences externes applicables.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de l' Æ Objectifs d'alignement

entreprise EG03 Conformité aux lois et réglementations externes AG01 Conformité I&T et soutien à la conformité de l'entreprise aux lois et réglementations
externes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG03 a. Coût de la non-conformité réglementaire, y compris les AG01 a. Coût de la non-conformité informatique, y compris les règlements et les amendes,
règlements et les amendes et l'impact de la perte de réputation
b. Nombre de problèmes de non-conformité réglementaire provoquant des b. Nombre de problèmes de non-conformité liés à l'informatique signalés au conseil
commentaires publics ou une publicité négative d'administration ou provoquant des commentaires publics ou de l'embarras
c. Nombre de cas de non-conformité notés par les régulateurs c. Nombre de problèmes de non-conformité liés aux accords contractuels
ré. Nombre de problèmes de non-conformité réglementaire liés aux avec les fournisseurs de services informatiques
accords contractuels avec des partenaires commerciaux

A. Composante : Processus

Pratique de gestion Exemple de métriques

MEA03.01 Identifier les exigences de conformité externes. une. Fréquence des examens des exigences de conformité
Sur une base continue, surveiller les modifications apportées aux lois, réglementations et b. Pourcentage de satisfaction des principales parties prenantes dans le processus de
autres exigences externes locales et internationales et identifier les mandats de conformité du conformité à l'examen réglementaire
point de vue de l'I&T.

Activités Niveau de capacité

1. Attribuer la responsabilité d'identifier et de surveiller toute modification des exigences légales, réglementaires et autres exigences contractuelles externes relatives 2

à l'utilisation des ressources informatiques et au traitement des informations au sein des activités commerciales et informatiques de l'entreprise.

2. Identifier et évaluer toutes les exigences de conformité potentielles et l'impact sur les activités d'I&T dans des domaines tels que le flux de données, la confidentialité,
contrôles internes, rapports financiers, réglementations spécifiques à l'industrie, propriété intellectuelle, santé et sécurité.

3. Évaluer l'impact des exigences légales et réglementaires liées à l'I&T sur les contrats tiers liés aux opérations informatiques, aux fournisseurs de services et aux
partenaires commerciaux.

4. Définir les conséquences de la non-conformité.

5. Obtenir un conseil indépendant, le cas échéant, sur les modifications apportées aux lois, réglementations et normes applicables. 3

6. Tenir à jour un registre de toutes les exigences légales, réglementaires et contractuelles pertinentesÿ; leur impact et les actions requises.

7. Maintenir un registre global harmonisé et intégré des exigences de conformité externes pour l'entreprise.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 BC.RR Déterminer les exigences légales/réglementaires

HITRUST CSF version 9, septembre 2017 06.01 Conformité aux exigences légales

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SM2.3 Conformité légale et réglementaire

285
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

MEA03.02 Optimiser la réponse aux exigences externes. une. Délai moyen entre l'identification des problèmes de conformité externes
Examiner et ajuster les politiques, principes, normes, procédures et méthodologies et résolution

pour s'assurer que les exigences légales, réglementaires et contractuelles sont traitées b. Pourcentage de satisfaction du personnel concerné concernant la communication des
et communiquées. Envisagez d'adopter et d'adapter les normes de l'industrie, les codes de exigences de conformité réglementaires nouvelles et modifiées
bonnes pratiques et les conseils de bonnes pratiques.

Activités Niveau de capacité

1. Réviser et ajuster régulièrement les politiques, principes, normes, procédures et méthodologies pour leur efficacité à assurer 3

la conformité nécessaire et la gestion des risques d'entreprise. Utiliser des experts internes et externes, au besoin.

2. Communiquer les exigences nouvelles et modifiées à tout le personnel concerné.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Rapport King IV sur la gouvernance d'entreprise pour l'Afrique du Sud, 2016 Partie 5.4 : Domaines fonctionnels de gouvernance - Principe 13

Pratique de gestion MEA03.03 Confirmer la conformité externe. Exemple de métriques

une. Nombre de problèmes critiques de non-conformité identifiés par an

Confirmer la conformité des politiques, principes, normes, procédures et méthodologies avec b. Pourcentage de propriétaires de processus signant, confirmant la conformité
les exigences légales, réglementaires et contractuelles.

Activités Niveau de capacité

1. Évaluer régulièrement les politiques, normes, procédures et méthodologies organisationnelles dans toutes les fonctions de l'entreprise pour s'assurer 3

le respect des exigences légales et réglementaires applicables en matière de traitement des informations.

2. Corriger les écarts de conformité dans les politiques, les normes et les procédures en temps opportun.

3. Évaluer périodiquement les processus et activités commerciaux et informatiques pour garantir le respect des exigences légales, réglementaires et
contractuelles applicables.

4. Examinez régulièrement les schémas récurrents de non-conformité et évaluez les leçons apprises. 4

5. Sur la base de l'examen et des enseignements tirés, améliorer les politiques, les normes, les procédures, les méthodologies et les processus associés et 5
Activités.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

MEA03.04 Obtenir l'assurance de la conformité externe. une. Nombre de rapports de conformité obtenus
Obtenir et rapporter l'assurance de la conformité et du respect des politiques, principes, normes, b. Pourcentage de conformité des fournisseurs de services sur la base d'examens indépendants
procédures et méthodologies. Confirmer que les actions correctives pour combler les lacunes c. Délai entre l'identification de l'écart de conformité et l'action corrective
de conformité sont fermées en temps opportun ré. Nombre de rapports de mesures correctives traitant des écarts de conformité fermés
manière. en temps opportun

Activités Niveau de capacité

1. Obtenir une confirmation régulière de la conformité aux politiques internes de la part des propriétaires de processus commerciaux et informatiques et des chefs d'unité. 2

2. Effectuer des examens internes et externes réguliers (et, le cas échéant, indépendants) pour évaluer les niveaux de conformité.

3. Si nécessaire, obtenir des affirmations des fournisseurs de services I&T tiers sur les niveaux de leur conformité aux lois applicables et
règlements.

4. Si nécessaire, obtenir des déclarations des partenaires commerciaux sur leur niveau de conformité aux lois et réglementations applicables au fur et à mesure qu'ils
concernent les transactions électroniques interentreprises.

5. Intégrer les rapports sur les exigences légales, réglementaires et contractuelles à l'échelle de l'entreprise, impliquant toutes les unités commerciales. 3

6. Surveiller et signaler les problèmes de non-conformité et, si nécessaire, enquêter sur la cause profonde. 4

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Processus de soutien - Assurance de la qualité des processus

ISO/IEC 27002:2013/Cor.2:2015(E) 18. Conformité

286
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

B. Composante : Structures organisationnelles

direction
Chef
de
la Directeur
financier Président
directeur
général l'information
Directeur
de gouvernance
Conseil
I&T
de Propriétaires
processus
métier
de gestion
Bureau
projet
de Développement
tête
de
la informatiques
Responsable
opérations
des l'administration
informatique
Responsable
de Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la confidentialité
Responsable
de
la Conseiller
juridique Conformité Audit

Pratique de gestion des clés

MEA03.01 Identifier les exigences de conformité externes. R R RAR

MEA03.02 Optimiser la réponse aux exigences externes. RRRRRRRRRRRRRRRRA

MEA03.03 Confirmer la conformité externe. RRRRR RRA

MEA03.04 Obtenir l'assurance de la conformité externe. R AR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

MEA03.01 Identifier les exigences de conformité externes. À partir de La description La description Pour

Hors COBIT Juridique et réglementaire Journal des actions Interne

les exigences de conformité de conformité requises

Les exigences Interne

de conformité
S'inscrire

MEA03.02 Optimiser la réponse aux exigences externes. Communication de Tous APOÿ;

Surveiller
évaluer
et MEA03.03 Confirmer la conformité externe. BAI05.06 Résultats des audits de conformité Confirmations
conformité modifiée
conditions

Politiques, principes,
procédures et normes mis
à jour
Tous les BAIÿ;

Tous les
SSDÿ; Tous
MEAÿ; EDM01.01

APO01.09ÿ;
APO01.11

EDM01.03
de conformité

BAI09.05 Résultats des audits des Écarts de conformité MEA04.08

licences installées identifiés

BAI10.05 Écarts de licence

DSS01.04 Rapports de police d'assurance

MEA03.04 Obtenir l'assurance de la conformité externe. EDM05.02 Règles de validation et Garantie de conformité EDM01.03
approbation obligatoire rapports
rapports

EDM05.03 Évaluation des rapports Rapports de EDM01.03ÿ;

efficacité non-conformité MEA04.04
problèmes et causes profondes

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

287
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Sécurité des informations Cadre de compétences pour l'ère de l'information V6, 2015 SCTY

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Politique de conformité politique Identifie les exigences de

conformité réglementaires, contractuelles
et internes. Explique le processus
d'évaluation de la conformité aux
exigences réglementaires, contractuelles
et internes. Répertorie les rôles et les
responsabilités des différentes activités
du processus et fournit des conseils sur
les mesures permettant de mesurer la
conformité. Obtient des rapports de
conformité et confirme la conformité ou
les actions correctives pour remédier aux
lacunes de conformité en temps opportun.

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la Conseils connexes Référence détaillée

culture Promouvoir une culture soucieuse de la conformité, y compris la tolérance

zéro en cas de non-conformité aux exigences légales et réglementaires.

G. Composante : Services, Infrastructure et Applications

• Services de Veille Réglementaire

• Services tiers d'évaluation de la conformité

288
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

Domaineÿ: Surveiller, évaluer et évaluer

Objectif de gestion : MEA04 — Description de l'assurance gérée Domaine d'interventionÿ: modèle de base COBIT

Planifier, définir et exécuter des initiatives d'assurance pour se conformer aux exigences internes, aux lois, aux réglementations et aux objectifs stratégiques. Permettre à la direction de fournir
une assurance adéquate et durable dans l'entreprise en effectuant des revues et des activités d'assurance indépendantes.

But

Permettre à l'organisation de concevoir et de développer des initiatives d'assurance efficientes et efficaces, en fournissant des conseils sur la planification, la portée, l'exécution et le suivi
des revues d'assurance, en utilisant une feuille de route basée sur des approches d'assurance bien acceptées.

L'objectif de gestion soutient la réalisation d'un ensemble d'objectifs principaux d'entreprise et d'alignementÿ:

Objectifs de
Æ Objectifs d'alignement
l'entreprise • EG03 Conformité aux lois et réglementations externes AG11 Conformité I&T avec les politiques internes
• EG11 Conformité aux politiques internes

Exemple de mesures pour les objectifs Exemple de mesures pour les objectifs d'alignement

d'entreprise EG03 a. Coût de la non-conformité réglementaire, y compris les AG11 a. Nombre d'incidents liés au non-respect des politiques relatives à l'I&T
règlements et les amendes

b. Nombre de problèmes de non-conformité réglementaire provoquant des b. Nombre d'exceptions aux politiques internes
commentaires publics ou une publicité négative c. Fréquence de l'examen et de la mise à jour de la politique
c. Nombre de cas de non-conformité notés par les régulateurs
ré. Nombre de problèmes de non-conformité réglementaire liés aux
accords contractuels avec des partenaires commerciaux

EG11 a. Nombre d'incidents liés à la non-conformité à la politique

b. Pourcentage de parties prenantes qui comprennent les politiques
c. Pourcentage de politiques appuyées par des normes et des pratiques de
travail efficaces

A. Composante : Processus

Pratique de gestion Exemple de métriques

MEA04.01 S'assurer que les prestataires d'assurance sont indépendants et une. Pourcentage de processus faisant l'objet d'un examen indépendant
qualifiés. b. Pourcentage de qualifications et de compétences réunies par les prestataires de services
Assurez-vous que les entités réalisant l'assurance sont indépendantes de la
fonction, des groupes ou des organisations concernées. Les entités réalisant
l'assurance doivent démontrer une attitude et une apparence appropriées, la compétence
dans les compétences et les connaissances nécessaires pour effectuer l'assurance, et le
respect des codes de déontologie et des normes professionnelles.

Activités Niveau de capacité

1. Établir le respect des codes d'éthique et des normes applicables (par exemple, le code d'éthique professionnelle de l'ISACA) et des normes d'assurance (spécifiques 2

à l'industrie et à la géographie) (par exemple, les normes d'audit et d'assurance informatiques de l'ISACA et les normes du Conseil des normes internationales
d'audit et d'assurance [ IAASB] Cadre international pour les missions d'assurance [IAASB Assurance Framework]).

2. Établir l'indépendance des prestataires d'assurance.

3. Établir la compétence et la qualification des prestataires d'assurance.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

HITRUST CSF version 9, septembre 2017 06.03 Considérations relatives à l'audit du système d'information

289
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

MEA04.02 Élaborer une planification fondée sur les risques des initiatives d'assurance. une. Pourcentage d'initiatives d'assurance conformes aux normes approuvées du
Déterminer les objectifs d'assurance en fonction des évaluations de l'environnement et du programme et du plan d'assurance
contexte internes et externes, du risque de ne pas atteindre les objectifs de l'entreprise et b. Pourcentage d'initiatives de plan d'assurance basées sur le risque
des opportunités associées à la réalisation des mêmes objectifs.

Activités Niveau de capacité

1. Comprendre la stratégie et les priorités de l'entreprise. 2

2. Comprendre le contexte interne de l'entreprise. Cette compréhension aidera le professionnel de l'assurance à mieux évaluer les objectifs de l'entreprise et l'importance
relative des objectifs de l'entreprise et de l'alignement, ainsi que les menaces les plus importantes pour ces objectifs. Cela aidera à son tour à définir une portée
meilleure et plus pertinente pour la mission d'assurance.

3. Comprendre le contexte externe de l'entreprise. Cette compréhension aidera le professionnel de l'assurance à mieux comprendre les objectifs de l'entreprise et
l'importance relative des objectifs de l'entreprise et de l'alignement, ainsi que les menaces les plus importantes pour ces objectifs. Cela aidera à son tour à définir une
portée meilleure et plus pertinente pour la mission d'assurance.

4. Élaborer un plan annuel global pour les initiatives d'assurance contenant les objectifs d'assurance consolidés. 3

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

King IV Report on Corporate Governance for South Africa, 2016 Management Partie 5.4 : Domaines fonctionnels de gouvernance — Principe 15

Practice MEA04.03 Déterminer les objectifs de l'initiative d'assurance. Exemple de métriques

une. Pourcentage des objectifs atteints grâce à l'initiative d'assurance

Définir et convenir avec toutes les parties prenantes des objectifs de l'initiative d'assurance. b. Pourcentage de satisfaction des parties prenantes à l'égard de l'initiative d'assurance
objectifs

Activités Niveau de capacité

1. Définir l'objectif d'assurance de l'initiative d'assurance en identifiant les parties prenantes de l'initiative d'assurance et 2
leurs intérêts.

2. Convenir des objectifs généraux et des limites organisationnelles de la mission d'assurance.

3. Envisager l'utilisation de la cascade des objectifs COBIT et de ses différents niveaux pour exprimer l'objectif d'assurance. 3

4. Veiller à ce que les objectifs de la mission d'assurance prennent en compte les trois composantes de l'objectif de valeurÿ: fournir des avantages
qui soutiennent les objectifs stratégiques, en optimisant le risque que les objectifs stratégiques ne soient pas atteints et en optimisant les niveaux de ressources
nécessaires pour atteindre les objectifs stratégiques.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Modèle de maturité de la gestion des données CMMI, 2014 Processus de soutien - Assurance de la qualité des processus

Pratique de gestion Exemple de métriques

MEA04.04 Définir la portée de l'initiative d'assurance. une. Nombre de plans d'engagement, basés sur la portée, qui tiennent compte des
Définir et convenir avec toutes les parties prenantes de la portée de l'initiative d'assurance, informations à collecter et des parties prenantes à interroger

sur la base des objectifs d'assurance. b. Pourcentage de satisfaction des parties prenantes concernant la portée de l'initiative
d'assurance, sur la base des objectifs d'assurance

Activités Niveau de capacité

1. Définir toutes les composantes de la gouvernance dans la portée de l'examen, c'est-à-dire les principes, les politiques et les cadresÿ; processusÿ; 2

Structures organisationnelles; culture, éthique et comportement; information; services, infrastructures et applicationsÿ; personnes, aptitudes et compétences

2. Sur la base de la définition du périmètre, définir un plan d'engagement, en tenant compte des informations à collecter et des parties prenantes à 3
être interviewé.

3. Confirmer et affiner la portée en fonction de la compréhension de l'architecture d'entreprise.

4. Affiner la portée de la mission d'assurance, en fonction des ressources disponibles.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Plateforme Cybermaturité CMMI, 2018 TP.LA Appliquer les processus de journalisation et d'audit

290
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

A. Composante : Processus (suite)

Pratique de gestion Exemple de métriques

MEA04.05 Définir le programme de travail pour l'initiative d'assurance. une. Pourcentage de contrôles de gestion identifiés comme faibles sans pratiques définies
Définir un programme de travail détaillé pour l'initiative d'assurance, structuré en fonction pour réduire le risque résiduel
des objectifs de gestion et des composantes de gouvernance visées. b. Nombre de contrôles revus

c. Pourcentage de satisfaction des parties prenantes concernant le programme de travail

de l'initiative d'assurance

Activités Niveau de capacité

1. Définir les étapes détaillées de collecte et d'évaluation des informations issues des contrôles de gestion dans le périmètre. Concentrez-vous sur l'évaluation de la 2

définition et de l'application des bonnes pratiques liées à la conception des contrôles et à la réalisation des objectifs de contrôle liés à l'efficacité des contrôles.

2. Comprendre le contexte des objectifs de gestion et les contrôles de gestion à l'appui qui sont mis en place.
Comprendre comment ces contrôles de gestion contribuent à la réalisation des objectifs d'alignement et des objectifs de l'entreprise.

3. Comprendre toutes les parties prenantes et leurs intérêts.

4. S'accorder sur les bonnes pratiques attendues pour les contrôles de gestion. 3

5. Si un contrôle de gestion est faible, définir des pratiques pour identifier le risque résiduel (en préparation du reporting).

6. Comprendre l'étape du cycle de vie des contrôles de gestion et convenir des valeurs attendues.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

MEA04.06 Exécuter l'initiative d'assurance en se concentrant sur l'efficacité de une. Pourcentage d'initiatives d'assurance qui tiennent compte de la rentabilité
la conception. de conception
Exécuter l'initiative d'assurance prévue. Valider et confirmer la conception des contrôles b. Pourcentage de satisfaction des parties prenantes concernant la conception de l'assurance
internes en place. De plus, et plus particulièrement dans les missions d'audit interne, initiative

tenez compte du rapport coût-efficacité de la conception de la composante de gouvernance.

Activités Niveau de capacité

1. Affiner la compréhension du sujet de l'assurance informatique. 2

2. Affiner le périmètre du sujet d'assurance informatique.

3. Observer/inspecter et revoir l'approche de contrôle de gestion. Validez la conception avec le propriétaire du contrôle pour l'exhaustivité, la pertinence, l'actualité et la 3

mesurabilité.

4. Demandez au propriétaire du contrôle si les responsabilités pour la composante de gouvernance et la responsabilité globale ont été
attribué. Confirmez la réponse. Testez si la redevabilité et les responsabilités sont comprises et acceptées. Vérifiez que les bonnes compétences et les ressources
nécessaires sont disponibles.

5. Reconsidérer l'équilibre entre les activités de contrôle de gestion de type prévention vs détection et correction.

6. Considérez l'effort consacré au maintien des contrôles de gestion et le rapport coût/efficacité associé.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 ISO/IEC Audit de sécurité SI1

27001:2013/Cor.2:2015(E) 9.2 Audit interne

Pratique de gestion Exemple de métriques

MEA04.07 Exécuter l'initiative d'assurance, en se concentrant sur l'efficacité une. Pourcentage d'initiatives d'assurance qui testent le résultat des principaux objectifs de
opérationnelle. gestion dans le périmètre
Exécuter l'initiative d'assurance prévue. Tester si les contrôles internes en place sont b. Pourcentage de satisfaction des parties prenantes concernant l'exécution
appropriés et suffisants. Tester le résultat des objectifs de gestion clés dans le cadre de de l'initiative d'assurance
l'initiative d'assurance.

291
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

A. Composante : Processus (suite)

Activités Niveau de capacité

1. Évaluer si les résultats attendus pour chacun des contrôles de gestion dans la portée sont atteints. c'est-à-dire évaluer la 3

efficacité du contrôle de gestion (efficacité du contrôle).

2. Veiller à ce que le professionnel de l'assurance teste le résultat ou l'efficacité du contrôle de gestion en recherchant des preuves directes et indirectes de l'impact
sur les objectifs des contrôles de gestion. Cela implique la justification directe et indirecte de la contribution mesurable des objectifs de gestion aux objectifs
d'alignement, enregistrant ainsi des preuves directes et indirectes de la réalisation effective des résultats attendus.

3. Déterminer si le professionnel de l'assurance obtient des preuves directes ou indirectes pour des éléments/périodes sélectionnés en appliquant une sélection de
techniques de test pour s'assurer que le contrôle de gestion examiné fonctionne efficacement. Veiller à ce que le professionnel de l'assurance effectue également un
examen limité de l'adéquation des résultats du contrôle de gestion et détermine le niveau des tests de validation et des travaux supplémentaires nécessaires pour
fournir l'assurance que la performance du contrôle de gestion est adéquate.

4. Étudier si un contrôle de gestion peut être rendu plus efficace et si sa conception peut être plus efficace en optimisant
étapes ou recherche de synergies avec d'autres contrôles de gestion.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

ISF, Norme de bonnes pratiques pour la sécurité de l'information 2016 SO/IEC Audit de sécurité SI1

27001:2013/Cor.2:2015(E) 9.2 Audit interne

Pratique de gestion Exemple de métriques

MEA04.08 Rapport et suivi de l'initiative d'assurance. une. Acceptation du rapport d'assurance par les parties prenantes
Fournir des avis d'assurance positifs, le cas échéant, et des recommandations b. Acceptation par les parties prenantes des recommandations d'amélioration
d'amélioration concernant les performances opérationnelles identifiées, la conformité relatives à la performance opérationnelle identifiée, à la conformité externe et aux
externe et les faiblesses du contrôle interne. faiblesses du contrôle interne

Activités Niveau de capacité

1. Documenter l'impact des faiblesses de contrôle. 2

2. Communiquer avec la direction pendant l'exécution de l'initiative afin qu'il y ait une compréhension claire du travail effectué et un accord et une acceptation des
conclusions et recommandations préliminaires.

3. Fournir à la direction un rapport (aligné sur les termes de référence, la portée et les normes de rapport convenues) qui appuie 3
les résultats de l'initiative et permet de se concentrer clairement sur les questions clés et les actions importantes.

4. Superviser les activités d'assurance et s'assurer que le travail effectué est complet, atteint les objectifs et est d'une qualité acceptable. 4
Révisez l'approche ou les étapes détaillées si des lacunes de qualité se produisent.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

Pratique de gestion Exemple de métriques

MEA04.09 Faire le suivi des recommandations et des actions. une. Nombre de faiblesses récurrentes
Convenir, suivre et mettre en œuvre les recommandations d'amélioration identifiées. b. Nombre de faiblesses identifiées résolues

Activités Niveau de capacité

1. Convenir et mettre en œuvre en interne, au sein de l'organisation, les actions nécessaires qui doivent être prises pour résoudre 2
faiblesses et lacunes.

2. Faire un suivi, au sein de l'organisation, pour déterminer si des mesures correctives ont été prises et si les faiblesses du contrôle interne ont été résolues.

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune directive connexe pour cette pratique de gestion

292
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

B. Composante : Structures organisationnelles

Président
directeur
général Directeur
Risques
des l'information
Directeur
de technologie
directeur
de
la d'entreprise
risques
Comité
des Propriétaires
processus
métier
de données
Fonction
gestion
des
de informatiques
Responsable
opérations
des Gestionnaire
services
de l'information
Responsable
sécurité
de
de
la Responsable
continuité
d'activité
de
la Conseiller
juridique Audit

Pratique de gestion des clés

MEA04.01 S'assurer que les prestataires d'assurance sont indépendants et qualifiés. RRRRR AR

MEA04.02 Élaborer une planification fondée sur les risques des initiatives d'assurance.
RRRRR R AR

MEA04.03 Déterminer les objectifs de l'initiative d'assurance. RRRRR R AR

MEA04.04 Définir la portée de l'initiative d'assurance. RRRRR R AR

MEA04.05 Définir le programme de travail pour l'initiative d'assurance. R RR R AR

MEA04.06 Exécuter l'initiative d'assurance, en se concentrant sur l'efficacité de la conception. R RR RRRRRRRRA

MEA04.07 Exécuter l'initiative d'assurance, en se concentrant sur l'efficacité opérationnelle. R RR RRRRRRRRA

MEA04.08 Rapport et suivi de l'initiative d'assurance. R RR R AR

MEA04.09 Suivi des recommandations et actions. RAR R R RR

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

C. Composante : flux d'informations et éléments (voir également la section 3.6)

Pratique de gestion Contributions Les sorties

MEA04.01 S'assurer que les prestataires d'assurance À partir de La description La description Pour

indépendant et qualifié.

Surveiller
évaluer
et MEA04.02 Développer une planification de l'assurance basée sur les risques
initiatives.
BAI01.05 Plans d'audit du programme
Résultats de l'assurance
évaluations des fournisseurs

Régimes d'assurance
Interne

Tous APOÿ;

Tous les BAIÿ;

Tous les SSDÿ;

Tous

AEMÿ;
EDM01.03

DSS01.02 Certification indépendante Critères d'évaluation Interne

des plans
Évaluations de haut niveau Interne

MEA04.03 Déterminer les objectifs de l'assurance MEA04.02 Régimes d'assurance Objectifs d'assurance et Interne
initiative. bénéfices attendus

MEA04.04 Définir la portée de l'initiative d'assurance. APO11.03 Les causes profondes de l'échec à Pratiques d'examen Interne
livrer de la qualité d'assurance

APO12.06 Causes profondes liées aux risques Plan d'engagement Interne

DSS06.01 Analyses des causes profondes et

recommandations

MEA03.04 Rapports sur Périmètre de la revue d'assurance Interne

les problèmes de non-conformité
et les causes profondes

293
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

C. Composante : flux et éléments d'information (voir également la section 3.6) (suite)

Pratique de gestion MEA04.05 Contributions Les sorties

Définir le programme de travail pour l'assurance À partir de La description La description Pour

initiative.
APO12.04 Analyse des risques et risque Portée raffinée Interne

rapports de profil pour

Travail d'assurance détaillé MEA04.06
les parties prenantes
programme

MEA04.06 Exécuter l'initiative d'assurance, en se concentrant sur APO12.06 Causes profondes liées aux risques Conception documentée des MEA04.07

efficacité de la conception. contrôles internes

DSS06.01 Analyses des causes profondes et

recommandations

MEA04.05 Travail d'assurance détaillé

programme

MEA04.07 Exécuter l'initiative d'assurance, en se concentrant sur DSS02.02 Incident et service Efficacité du contrôle MEA04.08ÿ;
efficacité opérationnelle. journal des demandes essai MEA04.09

DSS02.05 Résolutions d'incidents

DSS03.05 Résolution des problèmes

Rapports de suivi

DSS05.02 Résultats des tests de

pénétration

DSS05.05 Journaux d'accès

DSS06.01 Analyses des causes profondes et

recommandations

MEA04.06 Conception documentée de

contrôles internes

MEA04.08 Rapport et suivi de l'assurance MEA03.03 Écarts de conformité identifiés Rapport d'examen d'assurance Tous APOÿ; Tous
initiative. les BAIÿ;
Tous les
SSDÿ; Tous
MEAÿ; EDM05.03

MEA04.07 Efficacité du contrôle Résultats de l'examen d'assurance Tous APOÿ;

essai Tous les BAIÿ;
Tous les

SSDÿ; Tous MEAÿ;

EDM05.03ÿ;
MEA04.09

MEA04.09 Suivi des recommandations et actions. MEA04.07 Efficacité du contrôle Des mesures correctives Tous APOÿ;

essai Tous les BAIÿ;

Tous les SSDÿ;

MEA04.08 Résultats de l'examen d'assurance
Tous les AEM

Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Aucune orientation connexe pour ce composant

294
Machine Translated by Google
CHAPITRE 4
OBJECTIFS DE GOUVERNANCE ET DE GESTION DE COBIT – CONSEILS DÉTAILLÉS

D. Composanteÿ: personnes, aptitudes et compétences

Compétence
Orientations connexes (normes, cadres, exigences de conformité) Référence détaillée

Un certain nombre de principes Principes fondamentaux pour la pratique professionnelle de l'audit interne, L'Institut cfr. Site Web de l'IIA—Normes et
fondamentaux, décrits par des auditeurs internes Orientation - Principes fondamentaux
l'Institute of Internal Auditors®,
soutiennent l'efficacité et l'efficience
de la fonction d'audit (interne).
Ces principes comprennent,
entre autres, l'importance de
l'indépendance, des compétences
de communication efficaces, de la
proactivité, etc.

Gestion des risques e-Competence Framework (e-CF)—Un cadre européen commun pour les TIC E. Gérer—E.3. Gestion
Professionnels de tous les secteurs de l'industrie — Partie 1 : Cadre, 2016 des risques

E. Composanteÿ: Politiques et procédures

Politique pertinente Description de la Conseils connexes Référence détaillée

Guide de garantie politique Fournit des conseils sur

l'exécution des activités d'assurance.
Permet le développement efficient et
efficace d'initiatives d'assurance I&T, y
compris la planification, la portée et
l'exécution d'examens d'assurance, sur la
base d'approches d'assurance bien
acceptées. Fournit des étapes d'assurance
pour tester la conception du contrôle, tester
le résultat de l'efficacité opérationnelle du
contrôle et documenter les faiblesses du
contrôle et leur impact.

Charte d'audit interne Fournit l'indépendance pour

entreprendre des examens d'audit et
rendre compte des conclusions et des
recommandations directement à la haute
direction. La fonction d'audit interne doit
être une entité distincte relevant soit du
directeur général, soit du directeur de
l'exploitation. En ce qui concerne l'I&T, la
charte devrait stipuler que la fonction est
chargée d'examiner les contrôles généraux
et d'application pour déterminer si les
contrôles ont été conçus conformément
aux directives de la direction, aux normes
et procédures établies et aux exigences
légales connues, et si les contrôles sont
fonctionner efficacement pour assurer la
fiabilité et la sécurité des données traitées
(c'est-à-dire la confidentialité, l'intégrité et
la disponibilité). La charte devrait stipuler
que la fonction d'audit interne est
responsable de l'examen de la conception,
du développement et de la mise en œuvre
de nouveaux systèmes ou de modifications
majeures de systèmes existants.

295
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

F. Composanteÿ: Culture, éthique et comportement

Éléments clés de la Conseils connexes Référence détaillée

culture Créer une culture qui englobe les résultats de l'audit interne et de l'assurance et
recommandations, basées sur l'analyse des causes profondes. Les dirigeants doivent
s'assurer que l'audit et l'assurance internes sont impliqués dans les initiatives
stratégiques et reconnaître la nécessité (et la valeur) des rapports d'audit et d'assurance.

Assurer une culture éthique de l'audit interne grâce à un code de déontologie approprié. Code de déontologie, L'Institut de cfr. Site Web de l'IIA—Normes et lignes
Auditeurs internes directrices—Code de déontologie

G. Composante : Services, Infrastructure et Applications

• Outils de mission d'assurance

• Outils d'audit du journal des événements

• Services de provisionnement d'assurance tiers

296
Machine Translated by Google
CHAPITRE 5
ANNEXES

Annexes
5.1 Annexe A : Cascade d'objectifs — Tableaux de correspondance

Les tableaux de mappage de l'annexe A informent la cascade des objectifs. Le premier tableau établit une correspondance entre les objectifs d'alignement et les objectifs de
l'entrepriseÿ; le deuxième tableau met en correspondance les objectifs de gouvernance et de gestion avec les objectifs d'alignement. Le «ÿPÿ» dans le tableau fait référence au
primaire et le «ÿSÿ» au secondaire.

5.1.1 Tableau de correspondanceÿ: Objectifs d'entreprise—Objectifs d'alignement

Figure 5.1—Cartographie des objectifs d'entreprise et des objectifs d'alignement

EG01 EG03
EG02 EG04 EG05 EG07
EG06 EG08 Optimisation de la fonctionnalité des processus métier internes EG09 EG10 EG11 EG12 EG13
Portefeuille de Continuité
produits et Respect des Culture du et Optimisation des Compétences, Pilotage de
services Risque lois et Qualité des service disponibilité Qualité des coûts des motivation et Conformité aux
compétitifs commercial réglementations informations orienté des informations de processus productivité politiques programmes de Innovation
maîtrisé externes financières client services métiers gestion métiers du personnel internes produit
transformation digitale et métier

AG01 Conformité I&T et

soutien à la conformité
S P S
de l'entreprise aux lois et
réglementations externes
AG02 Gestion des risques liés à l'I&T P S
AG03 Bénéfices réalisés de
Portefeuille d'investissements et S S S S P
de services axés sur l'I&T

AG04 Qualité des informations

financières liées à la P P P
technologie
AG05 Prestation de services I&T
conformément aux exigences P S S S S
de l'entreprise

AG06 Agilité pour transformer les exigences

métier en solutions P S S S S
opérationnelles

AG07 Sécurité des informations, infrastructure

de traitement et applications, et
vie privée
P P

AG08 Activation et prise en charge des

processus métier en intégrant
les applications et la technologie
P P S S P S

AG09 Exécuter les programmes dans

les délais, en respectant le
budget et en respectant les P S S S P S
exigences et les normes de qualité

AG10 Qualité des informations

de gestion I&T
P P S
AG11 Conformité I&T avec les
politiques internes
S P P
AG12 Personnel compétent et
motivé avec
compréhension mutuelle de la
S P
technologie et des affaires

AG13 Connaissances, expertise et initiatives

pour l'innovation des entreprises P S S P

297
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

5.1.2 Tableau de correspondance : objectifs d'alignement—objectifs de gouvernance et de gestion

Figure—5.2 Mise en correspondance des objectifs de gouvernance et de gestion avec les objectifs d'alignement
AG01 AG02 AG03 AG04 AG05 AG06 AG07 AG08 AG09 AG10 AG11 AG12 AG13

CE
conformité et Activer et Exécuter les
accompagnement Sécurité des soutenir les programmes
des entreprises Bénéfices Agilité pour tourner informations, entreprises dans les délais, Personnel
le respect des réalisés de Qualité des Livraison de les affaires infrastructure processus en en respectant le compétent et Connaissance,
lois Investissements informations Des services I&T exigences en de traitement et intégrant des budget et en Qualité CE motivé avec mutuelle
expertise et
externes et Géré et services financières en adéquation applications et respectant les de l'I&T respect des compréhension initiatives pour
Risque lié à basés sur l'I&T liées à la avec les métiers solutions applications et exigences et les information de règles internes de la technologie l'innovation des
règlements l'I&T portefeuille technologie conditions opérationnelles confidentialité La technologie normes de qualité gestion Stratégies et des affaires entreprises

EDM01 Mise en place et maintenance

du cadre de gouvernance P S P S S
assuré

EDM02 Prestation assurée P S S S S

EDM03 Optimisation des risques assurée S P P S
EDM04 Ressource assurée
optimisation
S S S S P S
EDM05 Engagement assuré des
parties prenantes
S P S
APO01 I&T gérée
cadre de gestion
S S P S S S S S P
APO02 Stratégie managée S S S P S S
APO03 Architecture d'entreprise
gérée S S P S P
APO04 Innovation managée S P S S P
APO05 Portefeuille géré P P S S S
APO06 Budget et coûts maîtrisés
S P P S
APO07 Managé humain
Ressources S S S P P
APO08 Relations gérées S P P S S P P
APO09 Contrats de services
gérés
P S
APO10 Fournisseurs gérés P S S
APO11 Qualité maîtrisée S S S P P
APO12 Risque géré P P
APO13 Sécurité managée S S P
APO14 Données gérées S S S S P
BAI01 Programmes gérés P S S P
BAI02 Définition des exigences gérées
S P P S P S
BAI03 Identification et construction
de solutions gérées S P P S P
BAI04 Disponibilité et capacité gérées
P S S
BAI05 Changements organisationnels
gérés
P S S P P S
BAI06 Changements informatiques gérés S S P S
BAI07 Gestion de l'acceptation et de la
transition des changements S P S
informatiques

BAI08 Connaissances gérées S S S S P P

BAI09 Actifs gérés P S
BAI10 Configuration gérée S P
BAI11 Projets gérés P S P P
DSS01 Opérations gérées P S
DSS02 Demandes et incidents de service
gérés S P S
DSS03 Problèmes gérés S P S
DSS04 Continuité gérée S P P
DSS05 Services de sécurité gérés S P S P S
DSS06 Contrôles des processus
d'affaires gérés
S S S P S
MEA01 Surveillance gérée des
performances et de la S S P S P S
conformité

MEA02 Système managé de

contrôle interne S S S S S S S P
MEA03 Conformité gérée aux exigences
externes
P S
MEA04 Assurance gérée S S S S S S P

298
Machine Translated by Google
CHAPITRE 5
ANNEXES

5.2 Annexe B : Structures organisationnelles—Aperçu et descriptions

Tout au long des directives détaillées du chapitre 4, les composants des structures organisationnelles s'inspirent des rôles et des structures décrits
dans la figure 5.3 (voir également la section 3.5 pour un aperçu du composant des structures organisationnelles).

D'une entreprise à l'autre, la nomenclature appliquée à chaque rôle ou structure sera probablement différente. Sur la base des descriptions ci-
dessous, chaque entreprise peut identifier les rôles et les structures appropriés, compte tenu de son propre contexte commercial, de son organisation
et de son environnement opérationnel, et attribuer des niveaux de responsabilité en conséquence.

Figure 5.3—Rôles et structures organisationnelles de COBIT

Rôle/Structure La description

Planche Groupe des plus hauts dirigeants et/ou administrateurs non exécutifs responsables de la gouvernance et du contrôle global des ressources de l'entreprise

Comité exécutif Groupe de cadres supérieurs nommés par le conseil pour s'assurer que le conseil est impliqué et tenu informé des décisions importantes

(Le comité exécutif est responsable de la gestion des portefeuilles d' investissements en I&T, des services d'I&T et des actifs d'I&Tÿ; de s'assurer que la valeur est
délivréeÿ; et de gérer les risques. Le comité est normalement présidé par un membre du conseil d'administration.)

Directeur général
Officier le plus haut gradé chargé de la gestion totale de l'entreprise
Officier

Chef financier Le plus haut fonctionnaire responsable de tous les aspects de la gestion financière, y compris les risques et contrôles financiers et des comptes fiables et exacts
Officier

Chef d'exploitation Le plus haut fonctionnaire responsable du fonctionnement de l'entreprise

Officier

Directeur des Risques Le plus haut fonctionnaire responsable de tous les aspects de la gestion des risques dans l'entreprise

(Une fonction de responsable des risques I&T peut être établie pour superviser les risques liés à l'I&T.)

Informations sur le chef Le plus haut fonctionnaire responsable de l'alignement des stratégies informatiques et commerciales et responsable de la planification, du ressourcement et de la
Officier gestion de la fourniture de services et de solutions d'I&T

Chef de la technologie Le plus haut fonctionnaire chargé des aspects techniques de l'I&T, y compris la gestion et le suivi des décisions liées aux services, aux solutions et aux infrastructures
Officier d'I&T

(Ce rôle peut également être assumé par le CIO.)

Chief Digital Officer Le plus haut fonctionnaire chargé de mettre en pratique l'ambition numérique de l'entreprise ou de l'unité commerciale

(Ce rôle peut être assumé par le CIO ou un autre membre du comité exécutif.)

Gouvernance informatique
Groupe d'intervenants et d'experts chargés d'orienter les questions et les décisions liées à l'I&T, y compris la gestion des investissements activés par l'I&T, la création de
Planche
valeur et la surveillance des risques

Conseil d'architecture
Groupe de parties prenantes et d'experts chargés d'orienter les questions et les décisions liées à l'architecture d'entreprise et d'établir des politiques et des normes
architecturales

Risque d'entreprise
Groupe de cadres responsables de la collaboration et du consensus au niveau de l'entreprise requis pour soutenir les activités et les décisions de gestion des risques
Comité
d'entreprise (ERM)

(Un conseil des risques I&T peut être créé pour examiner plus en détail les risques I&T et conseiller le comité des risques d'entreprise.)

Informations sur le chef Le plus haut fonctionnaire responsable de tous les aspects de la gestion de la sécurité dans l'entreprise
Agent de sécurité

Processus d'affaires Personne responsable de l'exécution des processus et/ou de la réalisation des objectifs du processus, de la conduite de l'amélioration des processus et de l'approbation
Propriétaire des changements de processus

Gestionnaire de portefeuille Personne chargée de guider la gestion du portefeuille, d'assurer la sélection des programmes et projets corrects, de gérer et de surveiller les programmes et projets pour une

valeur optimale et de réaliser les objectifs stratégiques à long terme de manière efficace et efficiente

Pilotage (Programmes/ Groupe de parties prenantes et d'experts responsables de l'orientation des programmes et des projets, y compris la gestion et le suivi des plans, l'allocation des
Comité des Projets) ressources, la fourniture d'avantages et de valeur, et la gestion des risques du programme et du projet

Gestionnaire de programme Personne responsable de l'orientation d'un programme spécifique, y compris l'articulation et le suivi des buts et objectifs du programme et la gestion des risques et de l'impact
sur l'entreprise

299
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Figure 5.3—Rôles et structures organisationnelles de COBIT (suite)

Rôle/Structure La description

Chef de projet Personne chargée de guider un projet spécifique, y compris la coordination et la délégation du temps, du budget, des ressources et des tâches au sein de l'équipe de projet

Gestion de projet Fonction chargée de soutenir les gestionnaires de programmes et de projets et de collecter, évaluer et rapporter des informations sur la conduite des programmes et des
Bureau projets constitutifs

Gestion de données Fonction responsable de la prise en charge des actifs de données de l'entreprise tout au long du cycle de vie des données et de la gestion de la stratégie, de
Une fonction l'infrastructure et des référentiels de données

Tête humaine Le plus haut fonctionnaire responsable de la planification et des politiques relatives aux ressources humaines dans l'entreprise
Ressources

Responsable des relations Personne senior responsable de la supervision et de la gestion de l'interface interne et des communications entre l'entreprise et
Fonctions informatiques

Architecte en chef Personne sénior responsable du processus d'architecture d'entreprise

Développement de la tête
Personne principale responsable des processus de développement de solutions liées à l'I&T

Responsable des opérations informatiques Personne senior responsable des environnements opérationnels et de l'infrastructure informatique

Responsable informatique

Personne principale responsable des dossiers liés à l'I&T et responsable du soutien des questions administratives liées à l'I&T
Administration

Gestionnaire de services Personne qui gère le développement, la mise en œuvre, l'évaluation et la maintenance continue de produits et services nouveaux et existants pour un client
(utilisateur) ou un groupe de clients (utilisateurs) spécifique

Sécurité des informations Personne qui gère, conçoit, supervise et/ou évalue la sécurité des informations d'une entreprise
Directeur

Continuité de l'activité Personne qui gère, conçoit, supervise et/ou évalue la capacité de continuité des activités d'une entreprise, afin de s'assurer que les fonctions critiques de l'entreprise continuent
Directeur de fonctionner après des événements perturbateurs

Responsable de la confidentialité Personne responsable de la surveillance des risques et de l'impact commercial des lois sur la protection de la vie privée et de l'orientation et de la coordination de
la mise en œuvre des politiques et des activités qui garantissent la conformité aux directives sur la protection de la vie privée

(Dans certaines entreprises, le poste peut être référencé comme délégué à la protection des données.)

Conseiller juridique Fonction chargée de l'orientation sur les questions juridiques et réglementaires

Conformité Fonction responsable de toutes les orientations sur la conformité externe

Audit Fonction responsable de la fourniture des audits internes

5.3 Annexe C : Liste détaillée des références

Les normes et orientations suivantes contribuent aux références détaillées des 40 principaux objectifs de gouvernance et de
gestion de COBIT® 2019.

• CIS® Center for Internet Security®, Les contrôles de sécurité critiques CIS pour une cyberdéfense efficace, version 6.1, août 2016

• Plateforme CMMI® Cybermaturité, 2018

• Modèle CMMI® Data Management Maturity (DMM)SM , 2014

• Cadre de gestion des risques d'entreprise (GRE) du Comité des organisations de parrainage (COSO), juinÿ2017
• Comité européen de normalisation (CEN), e-Competence Framework (e-CF) - Un cadre européen commun pour

300
Machine Translated by Google
CHAPITRE 5
ANNEXES

Professionnels des TIC dans tous les secteurs industriels - Partie 1ÿ: Cadre, EN 16234-1:2016

• HITRUST® Common Security Framework, version 9, septembre 2017 • Information

Security Forum (ISF), The Standard of Good Practice for Information Security 2016 • Normes de l'Organisation

internationale de normalisation / Commission électrotechnique internationale (ISO/CEI)

¡ ISO/CEI 20000-1:2011(E)

¡ ISO/CEI 27001:2013/Cor.2:2015(E)

¡ ISO/CEI 27002:2013/Cor.2:2015(E)

¡ ISO/CEI 27004:2016(E)

¡ ISO/CEI 27005:2011(E)

¡ ISO/CEI 38500:2015(E)

¡ ISO/CEI 38502:2017(E)

• Information Technology Infrastructure Library (ITIL®) v3, 2011 • Institut des

auditeurs internes® (IIA®), « Principes fondamentaux pour la pratique professionnelle de l'audit interne » • Rapport King IV
sur la gouvernance d'entreprise™, 2016

• Rapport King IV sur la gouvernance d'entreprise™, 2016

• Normes du National Institute of Standards and Technology (NIST) des États-Unis

¡ Framework for Improving Critical Infrastructure Cybersecurity V1.1, avril 2018 ¡ Publication

spéciale 800-37, révision 2 (ébauche), mai 2018 ¡ Publication spéciale 800-53, révision 5

(ébauche), août 2017

• A Guide to the Project Management Body of Knowledge: PMBOK® Guide Sixth Edition, 2017 • PROSCI® 3-

Phase Change Management Process • Scaled Agile Framework for Lean Enterprises (SAFe®) • Skills

Framework for the Information Age (SFIA®) V6 , 2015 • L'architecture de référence Open Group IT4IT® , version

2.0 • La norme Open Group TOGAF® version 9.2, 2018

301
Machine Translated by Google

CADRE COBIT® 2019ÿ: OBJECTIFS DE GOUVERNANCE ET DE GESTION

Page volontairement laissée vierge

302