CobIT 4.1 Planlama ve Organize Etme temel alanı içerisinde yer
alan, güvenilir ve gizli bilginin sunulmasını sağlayarak yönetim karar alma
sürecinin kalitesinin iyileştirilmesi ve bilgi kaynaklarının iş stratejilerine
uygun bir sistematik ile düzenlenmesini öneren süreçtir. Süreç kapsamında,
çeşitli kaynaklardan akan verilerin daha kolay ve hızlı bir şekilde bilgiye
dönüştürülmesi için ortak kabul edilmiş, sistematik bir yaklaşımla bilgiye
dönüştürülmesi önerilmekte, bu kapsamda kurum bilgi modelinin yaratılması
önerilmektedir. Bu model de çerçeve içerisinde Bilgi Mimarisi olarak
tanımlanmaktadır.
BT Yönetişim alanlarından Stratejik Uyumluluk ve Kaynak Yönetimi
alanları ile birincil, Risk Yönetimi ve Değer Yönetimi alanları ile ikincil
dereceden ilişkili olarak tanımlanmaktadır.
Süreç, kurum tarafından ihtiyaç duyulan güvenilir ve tutarlı
bilginin çevik (agile) bir yaklaşımla iş süreçleri kullanımına sunulmasını önermektedir.
Farklı uygulamalar tarafından kullanılan bilginin, oluşturulan yapılar üzerinde
paylaşımının etkinliğini ve kontrolünü iyileştirmek gerekmektedir. Bu kapsamda
kurum bilgi modeli oluşturulmalı, düzenli olarak güncelliği takip edilmeli,
kullanımını optimize bir şekilde yönetebilmek adına uygun tanımlar
yapılmalıdır. Bu kapsamda bilgi mimarisi modeli kurulmalı, veri sözlüğü ve veri
dizimi kuralları oluşturulmalı ve güncelliği sağlanmalı, veri sınıflandırma
yapıları tanımlanmalı, verinin bütünlüğünün sağlanmasına yönelik önlemler
alınmalıdır.
PO2.1 Enterprise
Information Architecture (Bilgi Mimarisi Modeli): BT Planları ile tutarlı,
uygulama geliştirme sürecini ve karar vermeyi destekleyici aktiviteleri
kolaylaştıracak bir kurum bilgi mimarisi modelinin kurulması ve düzenli
bakımının yapılması önerilmektedir. Model, bilginin iş birimleri tarafından en
iyi şekilde yaratılmasını, kullanımını ve paylaşımını kolaylaştırmalı; esnek,
fonksiyonel, maliyet-etkin, uygun, güvenilir ve hata karşısında eski haline
kolay döndürülebilir olmalıdır. Kurum içerisinde uygulamalara yönelik veri
grupları, arayüzler ve ilişkileri Bilgi Modeli içerisinde ele alınabilir. Bu
aşamada uygulamalar ile alakalı paydaşların (geliştirme yapan BT personeli
örnek verilebilir) modele hakim olması sağlanmalıdır.
PO2.2 Enterprise
Data Dictionary and Data Syntax Rules (Veri Sözlüğü ve Veri Söz Dizimi
Kuralları): Veri söz dizimi kurallarının tanımlandığı bir kurum veri sözlüğü
oluşturulmalıdır. Sözlük, uygulamalar ve sistemler arasında veri elemanlarının
paylaşılmasını düzenlemekle birlikte BT ve iş birimleri arasında genel bir
anlayışı teşvik etmekte ve uyumsuz veri öğelerinin yaratılmasını
engellemektedir. Oluşturulan veri sözlüğü ve veri söz dizim kurallarının gözden
geçirilmesi, farklı paydaşlar tarafından veri sözlüğü üzerinde yapılan ekleme
ve güncellemelerin diğer paydaşlarla paylaşılmasının sağlanacağı bir yapı
kurulmalıdır. Yöneticilerin bilgisayarlarında oluşturulmuş, pdf formatındaki
dokümanların denetçileri güncellik durumu ve paydaşların güncelliğe hakim
olması noktasında tatmin etmediği bir gerçektir. Veri Sözlüğü gibi yaşayan
dokümanların ortak veri tabanları üzerinden yönetilmesi, tanımlanan belli
aşamalarda (trigger) ise belirlenen paydaşları bilgilendirmesi önerilmektedir.
PO2.3 Data
Classification Scheme (Veri Sınıflandırma Şeması): Kurumlar bünyesinde
üretilen verilerin iletilme, paylaşılma, saklanma, yedeklenme kararlarının
verilmesi için verilerin sınıflandırılması önem taşımaktadır. Bu
sınıflandırılmanın yapılması esnasında verinin kritikliği ve hassasiyetine göre
sınıflandırma önerilmektedir. Bu şema üzerinde verinin sahibinin kim
olduğu(veri sahipliği)*, gerekli güvenlik seviyeleri ve koruma kontrolleri,
verinin saklanmasının kısaca açıklanması, veri yok etme şartları, verilerin
kritikliği ve hassasiyeti bilgisi (gizlilik durumu gibi) gibi unsurların yer
alması önerilmektedir. Veri sınıflandırma şeması; veriye erişim kontrollerinin
belirlenmesi, veri arşivleme ve şifreleme gibi kontrollerin gerçekleştirilmesi
için alt yapı oluşturmaktadır. Belirli aralıklarla iş birimleri tarafından
güvenlik sınıflandırmasının tartışılması önerilmektedir.
PO2.4 Integrity
Management ( Bütünlük Yönetimi): Veri tabanı, veri ambarı ve veri arşivleri gibi yapılarda
elektronik olarak saklanan verinin bütünlüğünün ve tutarlılığının garanti
altına alınacağı prosedürler tanımlanmalı ve işletilmelidir. Bahsi geçen
yapılarda tutulan verilerin kalitesi belirli aralıklarla gözden geçirilmeli,
üretilmiş kalitesiz öğelerden bu yapılar arındırılmalı, yapılarda yer alan
kalitesiz verinin oluşma nedenleri incelenmeli ve mümkünse kontrollerle tekrar
oluşma olasılığı kontrol altına alınmalıdır.
COBIT 5 kapsamında;
CobIT 4.1 kapsamında sadece bilgi mimarisi olarak ele alınan yapı, kurumsal mimariye doğru genişlemektedir. Bir önceki sürümde sadece bilgi mimarisi olarak ele alınan süreç, COBIT 5 kapsamında TOGAF’tan da faydalanarak yapısını veri, uygulama, süreç ve altyapı/teknoloji başlıklarında da genişletmiştir. Bu süreç COBIT 5 kapsamında APO1 Define the Managemet Framework for IT ve APO3 Manage Entreprise Architecture süreçlerinde ele alınmaktadır. COBIT 5 ile öne çıkan Kurumsal mimari kavramı ile ele alınan bilgi mimarisinin ağırlığının da azaltıldığı görülmektedir. Veri sınıflandırması ve veri sahipliği başlıkları ise BT Yönetim Çerçevesinin Kurulması süreci altında ele alınmaktadır (APO1 Define the Managemet Framework for IT). İki süreç kapsamında da verinin nerede üretildiği, nasıl kullanıldığı, nasıl saklandığı, nasıl yok edildiği hususlarında yoğunlaşılır.
CobIT 4.1 kapsamında sadece bilgi mimarisi olarak ele alınan yapı, kurumsal mimariye doğru genişlemektedir. Bir önceki sürümde sadece bilgi mimarisi olarak ele alınan süreç, COBIT 5 kapsamında TOGAF’tan da faydalanarak yapısını veri, uygulama, süreç ve altyapı/teknoloji başlıklarında da genişletmiştir. Bu süreç COBIT 5 kapsamında APO1 Define the Managemet Framework for IT ve APO3 Manage Entreprise Architecture süreçlerinde ele alınmaktadır. COBIT 5 ile öne çıkan Kurumsal mimari kavramı ile ele alınan bilgi mimarisinin ağırlığının da azaltıldığı görülmektedir. Veri sınıflandırması ve veri sahipliği başlıkları ise BT Yönetim Çerçevesinin Kurulması süreci altında ele alınmaktadır (APO1 Define the Managemet Framework for IT). İki süreç kapsamında da verinin nerede üretildiği, nasıl kullanıldığı, nasıl saklandığı, nasıl yok edildiği hususlarında yoğunlaşılır.
Özetle,
CobIT
4.1 kapsamında Sürece ilişkin önemle vurgulanan iki aşama vardır. Birincisi
veri sınıflandırma, ikincisi bilgi mimarisi yönetimidir. Veri sınıflandırma
çalışmasında bilgi envanterinin oluşturulması, bilgi sahiplerinin belirlenmesi,
bilginin sınıflandırılması (genel uygulamalarda gizliliğe göre, sürekliliğe
göre, yasal duruma göre sınıflandırmalar mevcuttur.), gerekli kontrollerin
belirlenmesi, kontrollerin uygulanması ve sürekli iyileşmeye yönelik izleme
mekanizmasının kurulup, işletilmesi aktiviteleri gerçekleştirilmelidir. Veri
isimlendirme kurallarının belirlenmesi be veri sözlüğü tanımlanması gibi
işlemlerin de bu aşamada yapılması önerilir. (Burada öne çıkan bir diğer husus
ise veri sahipliğinde verinin sahibinin kim olduğuna karar verilmesidir.
Verinin sahibi veriyi üreten midir, veriyi kullanan mıdır, veriyi saklayan
mıdır?) İkinci aşamada ise bilginin yönetilebileceği bir Bilgi Mimarisi Yönetim
standardı oluşturulmalıdır.
*Veri sahipliği neden önemlidir? Veri sahipliği verinin
yönetilmesi, yedeklenmesi, yasal mevzuata uygun bir şekilde kullanılması için sorumluların belirlenmesi noktasında
önemlidir.
0 yorum:
Yorum Gönder