قانون گذاری سازمانی در حوزه ی IT و چارچوب های آن

  • خانه وبلاگ قانون گذاری سازمانی در حوزه ی IT و چارچوب های آن
چارچوب های قانون گذاری سازمانی در حوزه IT | نسیم اطلس
وبلاگ

قانون گذاری سازمانی در حوزه ی IT و چارچوب های آن

تقریباً همه سازمان ها به طور قابل توجهی به فناوری اطلاعات وابسته هستند. حتی کوچک‌ترین شرکت‌ها برای برقراری ارتباطات، ردیابی تراکنش‌ها، انجام تحقیقات و یا دسترسی به خدمات دولتی و خصوصی به خدمات وابسته با فناوری اطلاعات نیاز دارند. اهمیت مقوله ی فناوری اطلاعات به این معنی است که سازمان ها باید نسبت به سرمایه گذاری خود در این حوزه توجه ویژه ای نموده و همچنین خطرات ناشی از استفاده نادرست یا سوء استفاده های احتمالی را به دقت بررسی کنند. امروزه در شرکت ها تصمیمات مربوط به تعیین راهبردهای قانون گذاری سازمانی در حوزه فناوری اطلاعات (IT) به دست متخصصان فناوری اطلاعات سپرده نمی شود بلکه بالاترین سطوح رهبری در این حوزه تصمیم گیر می باشند. اکنون به این موضوع می پردازیم که قانون گذاری سازمانی در حوزه ی IT به چه معناست و چگونه سازمانها می‌توانند از طریق به کارگیری چارچوب های قانون گذاری سازمانی صحیح در حوزه ی IT، اهداف کلی کسب و کارشان را برآورده سازند.

امروزه قانون گذاری سازمانی در حوزه IT نقش مهمی در پیشبرد اهداف سازمان ها دارد

قانون گذاری سازمانی در حوزه ی IT به چه معناست؟


امروزه سازمان‌های پیشرو در دنیا در جهت رفع نیازهای خود و طی کردن مسیر رشد برنامه‌ریزی شده، از یک قانونگذاری مدون در حوزه گردش اطلاعات بهره‌مند هستند. این قانونگذاری در واقع یک استراتژی یکپارچه در زمینه بکارگیری ابزارهای فن آوری در مسیر اهداف سازمانی است.

این استراتژی برای تنظیم و نظارت پنج محور مدیریتی مرتبط با فن آوری اطلاعات تبیین می‌گردد.

1-    مدیریت انبارش،طبقه بندی، دسترسی، بازیابی و تحلیل اطلاعات 
2-    مدیریت امنیت حفظ و دسترسی اطلاعات 
3-    مدیریت ارتباطات درون و برون سازمانی 
4-    مدیریت فرآیندهای سازمانی 
5-    مدیریت انتقال محتوای اطلاعاتی تولیدی در سازمان 

به بیان دیگر قانون گذاری فن‌آوری اطلاعات یکی از مؤلفه‌های قانونگذاری در سازمان‌هاست که در صدد بالا بردن کیفیت مدیریت اطلاعات و فن‌آوری در سازمان است تا از این طریق ارزش سرمایه گذاری در سازمان را افزایش دهد. چهارچوب کارکردی قانونگذاری فن آوری اطلاعات به سازمان این قدرت را خواهد داد که مخاطرات این حوزه را کاهش داده و اطمینان حاصل کند که کلیه فعالیت‌ها و عملکردهای مرتبط با اطلاعات و فن آوری، با اهداف کلی کسب و کار و سازمان منطبق هستند. 


قانون گذاری سازمانی در حوزه ی IT یکی از مولفه های قانونگذاری در سازمان هاست
 

فعالیت هایی که قانون گذاری سازمانی در حوزه ی IT در آن ها به ایفای نقش می پردازد کدام اند؟


ارزیابی: ارزیابی نیازها، شرایط و گزینه های ذینفعان به منظور تعیین اهداف متوازن و توافق شده در شرکت شامل بررسی عملکرد کسب و کار در گذشته، توجه و بررسی الزامات آینده و همچنین مدل سازی محیط عملیاتی فعلی و آینده 
هدایت: هدایت و مدیریت سازمان از طریق اولویت بندی اهداف و تصمیم گیری های صحیح. این امر معمولاً در چارچوب استراتژی ها، سیاست ها و همچنین ایجاد مقررات کنترل کننده، میسر می گردد.
نظارت: نظارت بر عملکرد و انطباق آن با جهت گیری مقررات تعیین شده و اهداف مورد توافق سازمان. این امر معمولاً از طریق ممیزی انطباق و گزارش عملکرد انجام می شود.

 

در اکثر سازمان ها، قانون گذاری در شرکت بر عهده هیئت مدیره است، اما مسئولیت های حاکمیتی و قانون گذاری خاص ممکن است به ساختارهای مشخص در سطحی مناسب (به ویژه برای واحدهای پیچیده بزرگ) محول شود. یک نهاد راهبری فناوری اطلاعات ممکن است زیر مجموعه ای از هیئت مدیره ای با دانش فناوری اطلاعات بوده، یا از گروهی از مدیران ارشد حوزه ی فناوری اطلاعات که مستقیماً بر تأمین مالی، مدیریت و استفاده از مقوله ی فناوری اطلاعات نظارت می کنند، تشکیل شده باشد.
 


 بخشی از اعضای هیئت مدیره در ایجاد چارچوب های قانون گذاری سازمانی در حوزه  IT نقش دارند.
 

قانون گذاری سازمانی مناسب و نامناسب در حوزه ی فناوری اطلاعات به چه معنا است؟


حاکمیت تابعی از رفتار انسان است. بنابراین، وقتی صحبت از قانون گذاری مناسب در مقابل قانون گذاری نامناسب مطرح می شود، نتیجه به دو امر زیر وابسته است:
1.    آیا نهاد حاکمیتی وظیفه خود را مسئولانه و مؤثر انجام می دهد یا خیر؟
2.    این که آیا ذینفعان (یعنی مدیریت، کارکنان، پیمانکاران یا شرکا) متعهد به حفظ و اجرای چارچوب حاکمیتی و قانون گذاری می باشند؟


در مواردی که نهاد حاکمیت آگاهانه عمل نکرده یا کاملا متعهد نباشد، این احتمال وجود دارد که مدیریت در حوزه ی فناوری اطلاعات به سمتی هدایت شود که منجر به آسیب و یا ضرر و زیان به سازمان گردد. به عنوان نمونه، سوء استفاده از اطلاعات شخصی کاربران یا عدم تلاش مناسب در جهت حفظ و نگه داری از اطلاعات سازمانی که به عنوان مهمترین سرمایه هر شرکتی شناخته می شود در برخی از سازمان‌ها منجر به جریمه‌های نظارتی شدید و آسیب به شهرت مجموعه گشته و در نهایت ضررهای مادی و معنوی زیادی را حاصل کرده است.

قانون گذاری سازمانی در حوزه ی فناوری اطلاعات می تواند مناسب یا نا مناسب باشد

 

قانون گذاری سازمانی مناسب در زمینه IT را می توان با علائم زیر مشخص کرد:


مسئولیت پذیری: همه افراد مشغول در یک سازمان مسئولیت های خود در حوزه ی فناوری اطلاعات را درک کرده، می پذیرند و صلاحیت پاسخگویی به آنها را دارند.
استراتژی: راهبرد های تعیین شده در یک کسب‌وکار،  قابلیت‌های فعلی و آینده فناوری اطلاعات را در نظر گرفته و خدمات IT به کار گرفته شده در سازمان باید از استراتژی های تجاری جاری و آینده پشتیبانی کند.
نقشه راه: تمام سرمایه گذاری های انجام شده در زمینه فناوری اطلاعات، بر مبنای دلایل معتبر و منطقی و بر اساس تحلیل های مرتبط و تصمیم گیری شفاف و همچنین ایجاد تعادل متناسب میان منافع، هزینه ها و خطرات سازمان انجام می شود.
کارایی: فناوری اطلاعات متناسب با اهداف سازمانی است و خدماتی را ارائه می دهد که از نظر کیفیت با الزامات تجاری مطابقت دارد و نتایج آن ملموس است.
انطباق: استفاده از سیستم های فناوری اطلاعاتی که منطبق بر تمام قوانین و مقررات اجرایی و همچنین سیاست ها و شیوه های سازمانی بوده و همچنین باید به خوبی تبیین گشته و اجرا گردد.
رفتار انسانی: احترام به رفتار انسانی باید در تعیین سیاست‌ها، شیوه‌ها و تصمیمات قانون گذاری سازمانی در حوزه ی فناوری اطلاعات نشان داده شود، به خصوص زمانی که نیازها در میان تمامی ذینفعان مشترک است.


قانون گذاری سازمانی مناسب در حوزه ی IT رویکردی جامع را اتخاذ کرده و تضمین می‌کند که همه ذینفعان درگیر در سازمان، متعهد به قرار دادن تمام عناصر لازم برای ایجاد و حفظ یک چارچوب حاکمیتی مؤثر می باشند. برخی از مولفه های موثر در این حوزه عبارت اند از: فرآیندها، ساختارهای سازمانی، سیاست ها و رویه ها، جریان اطلاعات، فرهنگ و رفتارها، مهارت ها و زیرساخت ها.

قانون گذاری سازمانی در حوزه ی IT باید مناسب باشد.
 

قانون گذاری سازمانی نامناسب در زمینه IT را می توان با علائم زیر مشخص کرد:


•    قانون گذار تمامی تصمیمات در حوزه ی IT را براساس نگاه فنی می گیرد و توجهی به سایر ارکان کسب و کار ندارد.
•    هزینه‌های صرف شده در این بخش از کنترل خارج شده و بودجه فناوری اطلاعات نیز اغلب به واسطه ی پروژه‌های پایان‌ناپذیر یا متوقف‌شده‌ای که معمولا منافع مورد انتظار سازمان را نیز فراهم نمی‌کنند، به هدر خواهد رفت.
•    بدنه قانون گذار و حاکمیتی، ماهیت واکنشی دارد و تنها زمانی وارد عمل می‌شود که مشکلاتی مانند خرابی‌های عمده در سیستم فناوری اطلاعات، یافته‌های منفی حسابرسی یا مشکلات نظارتی پیش آید.
•    اهداف فناوری اطلاعات با اهداف استراتژیک سازمان همسو نمی باشد.

 

اگر چارچوب های قانون گذاری در حوزه IT نامناسب باشد شرکت با شکست مواجه خواهد شد.
 

ساختارها و چارچوب‌های قانون گذاری سازمانی در حوزه ی فناوری اطلاعات کدامند؟


نیاز به تسهیل مدیریت بهتر فناوری اطلاعات منجر به ایجاد و اتخاذ چارچوب‌هایی خاص در این حوزه گشته است. برخی از این ساختار ها عبارت اند از:
•    اهداف کنترلی در فناوری اطلاعات (COBIT)
•    کتابخانه زیرساخت فناوری اطلاعات (ITIL)
•    یکپارچه‌سازی مدل بلوغ قابلیت (CMMI) 
•    تحلیل عاملی ریسک اطلاعات (FAIR)

این چارچوب ها به استانداردسازی بهترین شیوه های قانون گذاری سازمانی در حوزه ی فناوری اطلاعات و تقویت مدیریت خوب کمک می کند.

 مدیریت بهتر فناوری اطلاعات منجر به ایجاد و اتخاذ چارچوب‌هایی خاص در این حوزه گشته است.
 

اهداف کنترلی در فناوری اطلاعات (COBIT)


COBIT محبوب ترین نمونه چارچوب IT Governance است. این ساختار شرکت ها را قادر می سازد تا هزینه ها را کاهش دهند، استانداردهای حفظ حریم خصوصی را ایجاد و به کار گیرند و به مدیران در سازماندهی و نظارت بر فرآیندهای فناوری اطلاعات کمک کنند. ساختار مدیریت فناوری اطلاعات COBIT به سی و هفت فرآیند فناوری اطلاعات اشاره می کند که بر ورودی ها، خروجی ها، اهداف و معیارهای عملکرد تمرکز دارد.


COBIT 2019  برای همگامی با نیازها و چالش های در حال تغییر دنیای فناوری، بر شش اصل زیر متمرکز است:
•    ارائه ارزش سهامداران از طریق برقراری تعادل میان منابع و راهبردهای عملی.
•    نگرش کل نگر به مسائل
•    درک این نکته که همه چیز پویاست و کوچکترین تغییر ممکن است کل سیستم را تحت تاثیر قرار دهد.
•    قانون گذاری و مدیریت همیشه مترادف نیستند.
•    قانون گذاری باید همیشه متناسب با نیازها و پتانسیل سازمان باشد.
•    حاکمیت بر تمام عملکردهای فنی مورد استفاده در شرکت تمرکز دارد.

یکی از چارچوب های قانون گذاری سازمانی در حوزه ی IT COBIT است.

کتابخانه زیرساخت فناوری اطلاعات (ITIL)

ITIL  به عنوان یکی از ساختارهای قانون گذاری سازمانی در حوزه ی IT شهرتی جهانی یافته است. این چارچوب بر استفاده موثر از امکانات فناوری اطلاعات در جهت رشد، توسعه و تحول کسب و کار تمرکز داشته و بهترین روش ها را در این مسیر ارائه میدهد.
ITIL 4 (آخرین نسخه موجود) در ابتدای امر به حل و فصل چالش های جاری در یک سازمان می پردازد و در عین حال توانایی سازگار نمودن خود با فرآیند های جدیدتر (مانند فناوری های ابری) را دارا است. این ساختار، مدیران را قادر می سازد تا با ارزیابی دقیق نتایج قانون گذاری سازمانی در حوزه ی فناوری اطلاعات، نسبت به ساده کردن و هموار سازی فرآیندهای عملیاتی اهتمام ورزند.


ساختار ITIL به هنگام به کارگیری در یک سازمان، در چهار بعد تاثیرگذاری و اثر بخشی خود را تضمین می کند:
•    بر تعریف دقیق نقش ها، وظایف و مسئولیت ها در یک سازمان (میان کارکنان و مدیران) تمرکز دارد.
•    بر امنیت به کارگیری فناوری های جدید در سازمان تاکید داشته و از نفوذ و یا نشر اطلاعات جلوگیری می کند.
•    این چارچوب، همکاری بخشی از شرکا و تامین کنندگان را میسر می کند.
•    این چارچوب، در نقش یک هماهنگ کننده میان بخشی از شرکا و تامین کنندگان سازمان ظاهر شده و شیوه های همکاری میان آن ها را بازتعریف می کند.
•    این ساختار به واسطه ی ایجاد یک مدل عملیاتی و قابل اجرا، گردش کار هر بخش، سطوح دسترسی و کنترلی در هر قسمت و به طور کلی اهداف نهایی مجموعه را تعریف می کند. فرآیندهای موجود در این چارچوب یک مدل عملیاتی ایجاد می کنند که گردش کار، سطوح کنترل و اهداف را تعریف می کند.

 

ITIL از چارچوب های قانون گذاری سازمانی در حوزه ی IT می باشد.

یکپارچه‌سازی مدل بلوغ قابلیت (CMMI) 


مدل یکپارچه‌سازی بلوغ قابلیت ها چارچوبی است که شرکت‌ها را قادر می‌سازد تا فرآیندها را ساده‌سازی کنند و فرهنگ سازمانی کارآمد را بهبود بخشند. CMMI اغلب بر کاهش خطرات در حوزه ی توسعه محصول و خدمات تمرکز دارد. 
CMMI از 5 مقیاس برای ارزیابی میزان بلوغ سازمان ها استفاده می کند. سطوح 4 و 5 (اندازه گیری و بهینه سازی) رده هایی اند هستند که شرکت ها برای قرارگرفتن در آن تلاش می کنند. شرکت هایی که در این دو سطح قرار گرفته اند به عنوان شرکت های به بلوغ رسیده معرفی می شوند و در واقع این سطوح نشان دهنده ی پیشرفت مستمر و انعطاف‌پذیری آن‌ها در برابر ذینفعان و نیازهای مشتریان می باشد.

CMMI از چارچوب های قانون گذاری سازمانی در حوزه ی فناوری اطلاعات می باشد.
 

تحلیل عاملی ریسک اطلاعات (FAIR)


در حقیقت، این ساختار چارچوبی است که عوامل مولد ریسک و تقویت کننده آن را شناسایی کرده و روش‌های در هم تنیده شدن و ادغام آنان را نیز ارزیابی می‌کند. هدف اولیه ساختار FAIR محافظت از سازمان ها در برابر تهدیدات امنیت سایبری و رویدادهایی هایی است که منجر به از دست رفتن داده ها و اطلاعات سازمان می شود. این ساختار همچنین ارائه دهنده بینش های لازم برای تصمیم گیری در حوزه ی قانون گذاری سازمانی است.
FAIR عمدتاً بر اندازه‌گیری احتمال وقوع خطرات و ریسک های احتمالی تمرکز دارد تا شرکت‌ها بتوانند مشکلات را کاهش داده و مخاطرات را پیشبینی نمایند.

یکی از چارچوب های قانون گذاری سازمانی در حوزه ی IT FAIR است.


در نهایت می توان بیان داشت که توجه به کارکرد فناوری اطلاعات در شرکت ها و کسب و کارهای مختلف و قانون گذاری سازمانی مناسب در حوزه ی IT بر مبنای چارچوب های قانون گذاری سازمانی موجود در حوزه فناوری اطلاعات، این قدرت را به سازمان ها خواهد داد که مخاطرات این حوزه را کاهش داده و اطمینان حاصل کنند که کلیه فعالیتها و عملکردهای مرتبط با اطلاعات و فن آوری، با اهداف کلی کسب و کار و سازمان منطبق می باشد. گروه بین المللی نسیم اطلس از طریق ساختار ایجاد شده در شرکت نسیم اطلس راهکار یک نسخه محلی، کاربردی و قابل اجرا از مفهوم قانون گذاری فن آوری اطلاعات را بر مبنای استاندار ها و مدل های تمرین شده و تایید شده در دنیا طراحی کرده و در تلاش است تا با آزمون های عملی و دستیابی به تجربه و سلیقه کاربری، مفاهیم به روزتر و جامع‌تری در این مقوله به سازمان های خرد و کلان داخلی و بین المللی ارائه نماید.

اشتراک گذاری

0 نظر

برای این مطلب هیچ نظری ثبت نشده است. شما اولین نظر را ثبت کنید.

پیام بگذارید

00 80 49 42 - 021

گروه بین المللی نسیم اطلس

فرآیندهای پیچیده در یک راهکار ساده