28 Mayıs 2012 Pazartesi

CobIT 4.1: PO2 Define the Information Architecture / Bilgi Mimarisinin Tanımlanması


CobIT 4.1 Planlama ve Organize Etme temel alanı içerisinde yer alan, güvenilir ve gizli bilginin sunulmasını sağlayarak yönetim karar alma sürecinin kalitesinin iyileştirilmesi ve bilgi kaynaklarının iş stratejilerine uygun bir sistematik ile düzenlenmesini öneren süreçtir. Süreç kapsamında, çeşitli kaynaklardan akan verilerin daha kolay ve hızlı bir şekilde bilgiye dönüştürülmesi için ortak kabul edilmiş, sistematik bir yaklaşımla bilgiye dönüştürülmesi önerilmekte, bu kapsamda kurum bilgi modelinin yaratılması önerilmektedir. Bu model de çerçeve içerisinde Bilgi Mimarisi olarak tanımlanmaktadır.

BT Yönetişim alanlarından Stratejik Uyumluluk ve Kaynak Yönetimi alanları ile birincil, Risk Yönetimi ve Değer Yönetimi alanları ile ikincil dereceden ilişkili olarak tanımlanmaktadır.

Süreç, kurum tarafından ihtiyaç duyulan güvenilir ve tutarlı bilginin çevik (agile) bir yaklaşımla iş süreçleri kullanımına sunulmasını önermektedir. Farklı uygulamalar tarafından kullanılan bilginin, oluşturulan yapılar üzerinde paylaşımının etkinliğini ve kontrolünü iyileştirmek gerekmektedir. Bu kapsamda kurum bilgi modeli oluşturulmalı, düzenli olarak güncelliği takip edilmeli, kullanımını optimize bir şekilde yönetebilmek adına uygun tanımlar yapılmalıdır. Bu kapsamda bilgi mimarisi modeli kurulmalı, veri sözlüğü ve veri dizimi kuralları oluşturulmalı ve güncelliği sağlanmalı, veri sınıflandırma yapıları tanımlanmalı, verinin bütünlüğünün sağlanmasına yönelik önlemler alınmalıdır.

PO2.1 Enterprise Information Architecture (Bilgi Mimarisi Modeli): BT Planları ile tutarlı, uygulama geliştirme sürecini ve karar vermeyi destekleyici aktiviteleri kolaylaştıracak bir kurum bilgi mimarisi modelinin kurulması ve düzenli bakımının yapılması önerilmektedir. Model, bilginin iş birimleri tarafından en iyi şekilde yaratılmasını, kullanımını ve paylaşımını kolaylaştırmalı; esnek, fonksiyonel, maliyet-etkin, uygun, güvenilir ve hata karşısında eski haline kolay döndürülebilir olmalıdır. Kurum içerisinde uygulamalara yönelik veri grupları, arayüzler ve ilişkileri Bilgi Modeli içerisinde ele alınabilir. Bu aşamada uygulamalar ile alakalı paydaşların (geliştirme yapan BT personeli örnek verilebilir) modele hakim olması sağlanmalıdır.


PO2.2 Enterprise Data Dictionary and Data Syntax Rules (Veri Sözlüğü ve Veri Söz Dizimi Kuralları): Veri söz dizimi kurallarının tanımlandığı bir kurum veri sözlüğü oluşturulmalıdır. Sözlük, uygulamalar ve sistemler arasında veri elemanlarının paylaşılmasını düzenlemekle birlikte BT ve iş birimleri arasında genel bir anlayışı teşvik etmekte ve uyumsuz veri öğelerinin yaratılmasını engellemektedir. Oluşturulan veri sözlüğü ve veri söz dizim kurallarının gözden geçirilmesi, farklı paydaşlar tarafından veri sözlüğü üzerinde yapılan ekleme ve güncellemelerin diğer paydaşlarla paylaşılmasının sağlanacağı bir yapı kurulmalıdır. Yöneticilerin bilgisayarlarında oluşturulmuş, pdf formatındaki dokümanların denetçileri güncellik durumu ve paydaşların güncelliğe hakim olması noktasında tatmin etmediği bir gerçektir. Veri Sözlüğü gibi yaşayan dokümanların ortak veri tabanları üzerinden yönetilmesi, tanımlanan belli aşamalarda (trigger) ise belirlenen paydaşları bilgilendirmesi önerilmektedir.

PO2.3 Data Classification Scheme (Veri Sınıflandırma Şeması): Kurumlar bünyesinde üretilen verilerin iletilme, paylaşılma, saklanma, yedeklenme kararlarının verilmesi için verilerin sınıflandırılması önem taşımaktadır. Bu sınıflandırılmanın yapılması esnasında verinin kritikliği ve hassasiyetine göre sınıflandırma önerilmektedir. Bu şema üzerinde verinin sahibinin kim olduğu(veri sahipliği)*, gerekli güvenlik seviyeleri ve koruma kontrolleri, verinin saklanmasının kısaca açıklanması, veri yok etme şartları, verilerin kritikliği ve hassasiyeti bilgisi (gizlilik durumu gibi) gibi unsurların yer alması önerilmektedir. Veri sınıflandırma şeması; veriye erişim kontrollerinin belirlenmesi, veri arşivleme ve şifreleme gibi kontrollerin gerçekleştirilmesi için alt yapı oluşturmaktadır. Belirli aralıklarla iş birimleri tarafından güvenlik sınıflandırmasının tartışılması önerilmektedir.  

PO2.4 Integrity Management ( Bütünlük Yönetimi): Veri tabanı, veri ambarı ve veri arşivleri gibi yapılarda elektronik olarak saklanan verinin bütünlüğünün ve tutarlılığının garanti altına alınacağı prosedürler tanımlanmalı ve işletilmelidir. Bahsi geçen yapılarda tutulan verilerin kalitesi belirli aralıklarla gözden geçirilmeli, üretilmiş kalitesiz öğelerden bu yapılar arındırılmalı, yapılarda yer alan kalitesiz verinin oluşma nedenleri incelenmeli ve mümkünse kontrollerle tekrar oluşma olasılığı kontrol altına alınmalıdır.

COBIT 5 kapsamında;

CobIT 4.1 kapsamında sadece bilgi mimarisi olarak ele alınan yapı, kurumsal mimariye doğru genişlemektedir. Bir önceki sürümde sadece bilgi mimarisi olarak ele alınan süreç, COBIT 5 kapsamında TOGAF’tan da faydalanarak yapısını veri, uygulama, süreç ve altyapı/teknoloji başlıklarında da genişletmiştir. Bu süreç COBIT 5 kapsamında APO1 Define the Managemet Framework for IT ve APO3 Manage Entreprise Architecture süreçlerinde ele alınmaktadır. COBIT 5 ile öne çıkan Kurumsal mimari kavramı ile ele alınan bilgi mimarisinin ağırlığının da azaltıldığı görülmektedir. Veri sınıflandırması ve veri sahipliği başlıkları ise BT Yönetim Çerçevesinin Kurulması süreci altında ele alınmaktadır (APO1 Define the Managemet Framework for IT). İki süreç kapsamında da verinin nerede üretildiği, nasıl kullanıldığı, nasıl saklandığı, nasıl yok edildiği hususlarında yoğunlaşılır.

Özetle,

CobIT 4.1 kapsamında Sürece ilişkin önemle vurgulanan iki aşama vardır. Birincisi veri sınıflandırma, ikincisi bilgi mimarisi yönetimidir. Veri sınıflandırma çalışmasında bilgi envanterinin oluşturulması, bilgi sahiplerinin belirlenmesi, bilginin sınıflandırılması (genel uygulamalarda gizliliğe göre, sürekliliğe göre, yasal duruma göre sınıflandırmalar mevcuttur.), gerekli kontrollerin belirlenmesi, kontrollerin uygulanması ve sürekli iyileşmeye yönelik izleme mekanizmasının kurulup, işletilmesi aktiviteleri gerçekleştirilmelidir. Veri isimlendirme kurallarının belirlenmesi be veri sözlüğü tanımlanması gibi işlemlerin de bu aşamada yapılması önerilir. (Burada öne çıkan bir diğer husus ise veri sahipliğinde verinin sahibinin kim olduğuna karar verilmesidir. Verinin sahibi veriyi üreten midir, veriyi kullanan mıdır, veriyi saklayan mıdır?) İkinci aşamada ise bilginin yönetilebileceği bir Bilgi Mimarisi Yönetim standardı oluşturulmalıdır.

*Veri sahipliği neden önemlidir? Veri sahipliği verinin yönetilmesi, yedeklenmesi, yasal mevzuata uygun bir şekilde kullanılması  için sorumluların belirlenmesi noktasında önemlidir.

0 yorum:

Yorum Gönder