cobit- la gestion des changements
TRANSCRIPT
7/24/2019 Cobit- La Gestion Des Changements
http://slidepdf.com/reader/full/cobit-la-gestion-des-changements 1/4
Acquérir et ImplémenterGérer les changements AI6
© 2008 AFAI. Tous droits réservés. www.afai.fr 93
DESCRIPTION DU PROCESSUS
AI6 Gérer les changements
Tous les changements, y compris la maintenance et les correctifs d’urgence, concernant l’infrastructure et les applications del’environnement de production sont gérés et contrôlés de façon formelle. Les changements (y compris ceux relatifs aux procédures, processus, paramètres systèmes et services) sont enregistrés dans un fichier, évalués et autorisés avant mise en place, et confrontés auxrésultats attendus dès leur mise en œuvre. Cela réduit les risques de conséquences négatives pour la stabilité ou l’intégrité de l’environnementde production.
Le contrôle du processus informatique
Gérer les changements
qui répond à l’exigence des métiers vis-à-vis de l’informatique
réagir aux exigences des métiers en ligne avec la stratégie de l’entreprise, tout en réduisant les défauts des solutions et desservices livrés ainsi que les reprises
en se concentrant sur
le contrôle de l’évaluation des conséquences, de l’autorisation et de la mise en place de toutes les modificationsde l’infrastructure informatique, des applications et des solutions techniques ; la réduction des erreurs dues à desspécifications insuffisantes ; et l’interruption de modifications non autorisées
atteint son objectif en
• définissant et en communiquant les procédures de changement, y compris pour les modificationsd’urgence
• évaluant les changements, définissant leurs priorités, et en les autorisant• faisant un suivi des changements et en en rendant compte
et est mesuré par
• le nombre de perturbations ou de données erronées provoquées par des spécificationsinexactes ou une évaluation insuffisante de l’impact• un travail supplémentaire sur les applications ou sur l’infrastructure du fait de
spécifications inadéquates des modifications• le pourcentage de changements qui suivent le processus formel de contrôle des
changements
A p p l i
c a t i o
n s
P e r s o
n n e s
I n f o r m a t i o n
s
I n f r a
s t r u c
t u r e s
A p p l i
c a t i o
n s
P e r s o
n n e s
I n f o r m a t i o n
s
I n f r a
s t r u c
t u r e s
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
M E S U R E D E L A
P E R F O R M A N C E G
E S T I O N D E S
R I S Q U E S
A P P O R T D E
V A L E U R A L I G N E
M E N T
S T R A
T E G I Q U E
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
M E S U R E D E L A
P E R F O R M A N C E G
E S T I O N D E S
R I S Q U E S
A P P O R T D E
V A L E U R A L I G N E
M E N T
S T R A
T E G I Q U E
SecondairePrimaire Seconda irePrimaire
Acquérir et
Implémenter
Délivrer et
Supporter
Planifier et
Organiser
Surveiller et
Evaluer
Acquérir et
Implémenter
Acquérir et
Implémenter
Délivrer et
Supporter
Délivrer et
Supporter
Planifier et
Organiser
Planifier et
Organiser
Surveiller et
Evaluer
Surveiller et
Evaluer
E f f i c
a c i t é
I n t é
g r i t é
C o n f i d
e n t i a
l i t é
E f f i c i e
n c e
D i s
p o n i b i l i t
é
C o n f o
r m i t é
F i a b i l i t
é
PP SPP
E f f i c
a c i t é
I n t é
g r i t é
C o n f i d
e n t i a
l i t é
E f f i c i e
n c e
D i s
p o n i b i l i t
é
C o n f o
r m i t é
F i a b i l i t
é
PP SPP
7/24/2019 Cobit- La Gestion Des Changements
http://slidepdf.com/reader/full/cobit-la-gestion-des-changements 2/4
Acquérir et Implémenter AI6 Gérer les changements
94 © 2008 AFAI. Tous droits réservés. www.afai.fr
OBJECTIFS DE CONTRÔLE
AI6 Gérer les changements
AI6.1 Standards et procédures de changementMettre en place des procédures formelles de gestion des changements pour traiter de façon standardisée toutes les demandes de modifications(y compris maintenance et correctifs) des applications, procédures, processus, paramètres systèmes et services, ainsi qu’aux plates-formes surlesquelles ils s’appuient.
AI6.2 Évaluation de l’impact, choix des priorités et autorisationÉvaluer toutes les demandes de changements de façon structurée en terme d’impacts sur le système en exploitation et sur ses fonctionnalités.S’assurer que les changements sont classés par catégorie, par priorité et sont autorisés.
AI6.3 Modifications d'urgenceMettre en place un processus pour définir, réaliser, tester, documenter, évaluer et autoriser les modifications d’urgence qui ne suivent pas le processus de changement établi.
AI6.4 Suivi et compte-rendu des changementsMettre en place un système de suivi et de reporting pour documenter les changements refusés et communiquer sur la situation deschangements approuvés, en cours et achevés. S’assurer que les changements approuvés sont mis en œuvre comme planifiés.
AI6.5 Clôture et documentation des changementsA chaque mise en œuvre de changement, mettre à jour les systèmes associés, la documentation utilisateur et les procédures.
7/24/2019 Cobit- La Gestion Des Changements
http://slidepdf.com/reader/full/cobit-la-gestion-des-changements 3/4
Acquérir et ImplémenterGérer les changements AI6
© 2008 AFAI. Tous droits réservés. www.afai.fr 95
GUIDE DE MANAGEMENT
AI6 Gérer les changements
De EntréesPO1 Portefeuille de projets informatiques
PO8 Actions pour l’amélioration de la quali té
PO9Plans d’actions pour remédier aux risques
informatiques
PO10Principes généraux de gestion de projets et plans
de projets détaillés
DS3 Changements demandés
DS5 Changements de sécurité demandés
DS8 Demande de service/demande de changement
DS9-10Demande de changement (où et comment faire la
modification)
DS10 Historique des problèmes
SortiesModifier la description du processus
Modifier le rapport sur le statut SE1
Modifier l’autorisation AI7 DS8 DS10
AI1…AI3Vers
Activités
Développer et mettre en place un processus pour enregistrer et évaluer les demandes de changements et lesclasser par priorités.
A I R C R C C C
Évaluer l’impact des changements et définir leur priorité en fonction des besoins des métiers. I R A/R C R C R C
S’assurer que toute modification d’urgence ou critique suit le processus approuvé. I I A/R I R C
Autoriser les changements. I C A/R R
Gérer et diffuser les informations utiles concernant les modifications. A I R C R I R C
Un tableau RACI identifie qui est Responsable, Approuve, est Consulté et/ou Informé.
Tableau RACI Fonctions
Objectifs et Métriques
Informatique Processus Activités
O b j e c t i f s
• Réagir aux exigences des métiers en ligne avec lastratégie de l’entreprise.• Réduire les défauts et les reprises touchant à la fourniturede solutions et de services.• S’assurer qu’un incident ou un changement dans lafourniture d’un service informatique n’ait qu’un impactminimum sur l’activité.• Déterminer comment traduire les exigences des métiers de
fonctionnement et de contrôle en solutions automatiséesefficaces et efficientes.• Maintenir l’intégrité de l’information et de l’infrastructurede traitement.
définit
• Appliquer les changements autorisés à l’infrastructure etaux applications informatiques.• Évaluer l’impact des changements de l’infrastructure etdes applications informatiques ainsi que des solutionstechniques.• Suivre le statut des changements et en rendre compte aux
parties prenantes clés.• Réduire le nombre d’erreurs dues à des spécifications
incomplètes dans les demandes.
définit
• Définir et communiquer les procédures de changement, ycompris les modifications et les correctifs d’urgence.• Évaluer les changements, définir leurs priorités, et lesautoriser.• Programmer les changements.• Faire un suivi des changements et en rendre compte.
mesure
i n d u i t mesure
i n d u i t mesure
M é t r i q u e s
• Nb de perturbations ou de données erronées provoqués pardes spécifications inexactes ou une évaluation insuffisantede l’impact.
• Nombre de reprises dues à des spécifications inadéquatesde changements.• Diminution du temps et des efforts nécessaires poureffectuer les changements.• Pourcentage du total des changements qui sont descorrectifs d’urgence.• Pourcentage d’échec des changements d’infrastructure dufait de spécifications de changement inadéquates.• Nb de changements non formellement suivis, nonautorisés, ou sans compte-rendu.
• Nb de demandes de changements encore non traitées.
• Pourcentage de changements enregistrés et suivis par desoutils automatisés.• Pourcentage de changements respectant le processusformel de contrôle des changements.• Ratio demandes de changements acceptées/refusées.• Nb de versions différentes de chaque application ouinfrastructure métiers maintenues.• Nb et type de modifications d’urgence apportées auxcomposants de l’infrastructure.• Nb et type de correctifs apportés aux composants de
l’infrastructure.
D G
D F
D i r e
c t i o n
m é t i e
r
D S I
P r o p r i é t a
i r e p r o c
e s s u
s m é t i e r
R e s p o
n s a b l e
e x p l o i t a
t i o n
R e s p o
n s a b l e
a r c h i t e
c t u r e
R e s p o
n s a b l e
d é v
e l o p p e
m e n t s
R e s
p o n s
a b l e a d
m i n i s t r
a t i f d e s S I
B u r e a u p r o j e t
C o n f o r
m i t é ,
A u d i t ,
R i s q
u e s e t S
é c u r i t é
D G
D F
D i r e
c t i o n
m é t i e
r
D S I
P r o p r i é t a
i r e p r o c
e s s u
s m é t i e r
R e s p o
n s a b l e
e x p l o i t a
t i o n
R e s p o
n s a b l e
a r c h i t e
c t u r e
R e s p o
n s a b l e
d é v
e l o p p e
m e n t s
R e s
p o n s
a b l e a d
m i n i s t r
a t i f d e s S I
B u r e a u p r o j e t
C o n f o r
m i t é ,
A u d i t ,
R i s q
u e s e t S
é c u r i t é
7/24/2019 Cobit- La Gestion Des Changements
http://slidepdf.com/reader/full/cobit-la-gestion-des-changements 4/4
Acquérir et Implémenter AI6 Gérer les changements
96 © 2008 AFAI. Tous droits réservés. www.afai.fr
MODÈLE DE MATURITÉ
AI6 Gérer les changements
La gestion du processus Gérer les changements qui répond à l'exigence des métiers vis-à-vis de l’informatique réagir aux exigencesdes métiers en ligne avec la stratégie de l’entreprise, tout en réduisant les défauts des solutions et des services livrés ainsi que les reprises
est :
0 Inexistante quand
Il n'existe pas de processus défini de gestion des changements, et les changements peuvent être faits pratiquement en dehors de tout contrôle.On n'a pas conscience que les changements peuvent perturber le fonctionnement de l'informatique et celui de l'entreprise, et on n'est pasconscient non plus des bénéfices qu'apporterait une bonne gestion des changements.
1 Initialisée, au cas par cas quand
On reconnaît qu’il faudrait gérer et contrôler les changements. Les pratiques varient, et il est probable que des changements non autorisés ontlieu. La documentation des changements est pauvre ou absente, et celle de la configuration est incomplète et peu fiable. Des erreurs se produisent vraisemblablement ainsi que des interruptions dans l'environnement de production du fait d'une mauvaise gestion deschangements.
2 Reproductible mais intuitive quand
Il existe un processus informel de gestion des changements, et la plupart des changements le suivent. Il est cependant mal structuré,rudimentaire, et sujet à erreurs. La documentation de la configuration n'est pas précise, et avant un changement on se contente d'une planification et d'une évaluation de l'impact limitées.
3 Définie quand
Il existe un processus défini et formel de gestion des changements qui comporte leur répartition par catégories et par priorités, les procéduresd’urgence, les autorisations de changements et la gestion de leur diffusion, et on s’y conforme peu à peu. On improvise des solutions et les processus sont souvent court-circuités. Des erreurs peuvent toujours se produire, et de temps en temps des changements sont pratiqués sansautorisation. On commence à formaliser l'analyse de l'impact des changements informatiques sur les activités métiers pour soutenir ledéploiement programmé de nouvelles applications et technologies.
4 Gérée et mesurable quand
Le processus de gestion des changements est bien développé et suivi avec constance dans tous les cas. Le management est convaincu qu'il n'ya qu’un minimum d'exceptions. Le processus est efficace et efficient, mais s'appuie sur de nombreuses procédures et contrôles manuels pourgarantir le niveau de qualité. Tous les changements sont assujettis à une planification complète et à une évaluation d'impact de façon àminimiser la probabilité de problèmes après la mise en production. On a mis en place un processus d'approbation des changements. Ladocumentation de la gestion des changements est bien faite et à jour, les changements étant formellement suivis de près. La documentationde la configuration est en général précise. La planification et la mise en place de la gestion des changements informatiques sont de plus en plus intégrées aux évolutions des processus métiers, de manière à s'assurer que les questions concernant la formation, les changementsorganisationnels, et la continuité de l'activité sont bien prises en compte. Il y a une coordination accrue entre la gestion des changementsinformatiques et la redéfinition des processus métiers. Il existe un processus continu de surveillance de la qualité et de la performance du processus de gestion des changements.
5 Optimisée quand
Le processus de gestion des changements est régulièrement révisé et mis à jour pour rester au niveau des bonnes pratiques. Le processus derevue est le reflet des résultats de la surveillance. L'information sur la configuration est informatisée et permet de contrôler les différentes
versions. Le suivi des changements est élaboré et comporte des outils de détection des logiciels non autorisés et/ou sans licence. La gestiondes changements informatiques est intégrée à la gestion des changements métiers pour s’assurer que l’informatique apporte un plus en productivité et en nouvelles opportunités métiers pour l’entreprise.