cobit- la gestion des changements

7/24/2019 Cobit- La Gestion Des Changements

http://slidepdf.com/reader/full/cobit-la-gestion-des-changements 1/4

Acquérir et ImplémenterGérer les changements AI6

© 2008 AFAI. Tous droits réservés. www.afai.fr 93

DESCRIPTION DU PROCESSUS

AI6 Gérer les changements

Tous les changements, y compris la maintenance et les correctifs d’urgence, concernant l’infrastructure et les applications del’environnement de production sont gérés et contrôlés de façon formelle. Les changements (y compris ceux relatifs aux procédures, processus, paramètres systèmes et services) sont enregistrés dans un fichier, évalués et autorisés avant mise en place, et confrontés auxrésultats attendus dès leur mise en œuvre. Cela réduit les risques de conséquences négatives pour la stabilité ou l’intégrité de l’environnementde production.

Le contrôle du processus informatique

Gérer les changements

qui répond à l’exigence des métiers vis-à-vis de l’informatique

réagir aux exigences des métiers en ligne avec la stratégie de l’entreprise, tout en réduisant les défauts des solutions et desservices livrés ainsi que les reprises

en se concentrant sur

le contrôle de l’évaluation des conséquences, de l’autorisation et de la mise en place de toutes les modificationsde l’infrastructure informatique, des applications et des solutions techniques ; la réduction des erreurs dues à desspécifications insuffisantes ; et l’interruption de modifications non autorisées

atteint son objectif en

• définissant et en communiquant les procédures de changement, y compris pour les modificationsd’urgence

• évaluant les changements, définissant leurs priorités, et en les autorisant• faisant un suivi des changements et en en rendant compte

et est mesuré par

• le nombre de perturbations ou de données erronées provoquées par des spécificationsinexactes ou une évaluation insuffisante de l’impact• un travail supplémentaire sur les applications ou sur l’infrastructure du fait de

spécifications inadéquates des modifications• le pourcentage de changements qui suivent le processus formel de contrôle des

changements

A p p l i

c a t i o

n s

P e r s o

n n e s

I n f o r m a t i o n

s

I n f r a

s t r u c

t u r e s

A p p l i

c a t i o

n s

P e r s o

n n e s

I n f o r m a t i o n

s

I n f r a

s t r u c

t u r e s

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

M E S U R E D E L A

P E R F O R M A N C E G

E S T I O N D E S

R I S Q U E S

A P P O R T D E

V A L E U R A L I G N E

M E N T

S T R A

T E G I Q U E

SecondairePrimaire

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

M E S U R E D E L A

P E R F O R M A N C E G

E S T I O N D E S

R I S Q U E S

A P P O R T D E

V A L E U R A L I G N E

M E N T

S T R A

T E G I Q U E

SecondairePrimaire Seconda irePrimaire

Acquérir et

Implémenter

Délivrer et

Supporter

Planifier et

Organiser

Surveiller et

Evaluer

Acquérir et

Implémenter

Acquérir et

Implémenter

Délivrer et

Supporter

Délivrer et

Supporter

Planifier et

Organiser

Planifier et

Organiser

Surveiller et

Evaluer

Surveiller et

Evaluer

E f f i c

a c i t é

I n t é

g r i t é

C o n f i d

e n t i a

l i t é

E f f i c i e

n c e

D i s

p o n i b i l i t

é

C o n f o

r m i t é

F i a b i l i t

é

PP SPP

E f f i c

a c i t é

I n t é

g r i t é

C o n f i d

e n t i a

l i t é

E f f i c i e

n c e

D i s

p o n i b i l i t

é

C o n f o

r m i t é

F i a b i l i t

é

PP SPP



Acquérir et Implémenter AI6 Gérer les changements

94 © 2008 AFAI. Tous droits réservés. www.afai.fr

OBJECTIFS DE CONTRÔLE


AI6.1 Standards et procédures de changementMettre en place des procédures formelles de gestion des changements pour traiter de façon standardisée toutes les demandes de modifications(y compris maintenance et correctifs) des applications, procédures, processus, paramètres systèmes et services, ainsi qu’aux plates-formes surlesquelles ils s’appuient.

AI6.2 Évaluation de l’impact, choix des priorités et autorisationÉvaluer toutes les demandes de changements de façon structurée en terme d’impacts sur le système en exploitation et sur ses fonctionnalités.S’assurer que les changements sont classés par catégorie, par priorité et sont autorisés.

AI6.3 Modifications d'urgenceMettre en place un processus pour définir, réaliser, tester, documenter, évaluer et autoriser les modifications d’urgence qui ne suivent pas le processus de changement établi.

AI6.4 Suivi et compte-rendu des changementsMettre en place un système de suivi et de reporting pour documenter les changements refusés et communiquer sur la situation deschangements approuvés, en cours et achevés. S’assurer que les changements approuvés sont mis en œuvre comme planifiés.

AI6.5 Clôture et documentation des changementsA chaque mise en œuvre de changement, mettre à jour les systèmes associés, la documentation utilisateur et les procédures.



Acquérir et ImplémenterGérer les changements AI6

© 2008 AFAI. Tous droits réservés. www.afai.fr 95

GUIDE DE MANAGEMENT


De EntréesPO1 Portefeuille de projets informatiques

PO8 Actions pour l’amélioration de la quali té

PO9Plans d’actions pour remédier aux risques

informatiques

PO10Principes généraux de gestion de projets et plans

de projets détaillés

DS3 Changements demandés

DS5 Changements de sécurité demandés

DS8 Demande de service/demande de changement

DS9-10Demande de changement (où et comment faire la

modification)

DS10 Historique des problèmes

SortiesModifier la description du processus

Modifier le rapport sur le statut SE1

Modifier l’autorisation AI7 DS8 DS10

AI1…AI3Vers

Activités

Développer et mettre en place un processus pour enregistrer et évaluer les demandes de changements et lesclasser par priorités.

A I R C R C C C

Évaluer l’impact des changements et définir leur priorité en fonction des besoins des métiers. I R A/R C R C R C

S’assurer que toute modification d’urgence ou critique suit le processus approuvé. I I A/R I R C

Autoriser les changements. I C A/R R

Gérer et diffuser les informations utiles concernant les modifications. A I R C R I R C

Un tableau RACI identifie qui est Responsable, Approuve, est Consulté et/ou Informé.

Tableau RACI Fonctions

Objectifs et Métriques

Informatique Processus Activités

O b j e c t i f s

• Réagir aux exigences des métiers en ligne avec lastratégie de l’entreprise.• Réduire les défauts et les reprises touchant à la fourniturede solutions et de services.• S’assurer qu’un incident ou un changement dans lafourniture d’un service informatique n’ait qu’un impactminimum sur l’activité.• Déterminer comment traduire les exigences des métiers de

fonctionnement et de contrôle en solutions automatiséesefficaces et efficientes.• Maintenir l’intégrité de l’information et de l’infrastructurede traitement.

définit

• Appliquer les changements autorisés à l’infrastructure etaux applications informatiques.• Évaluer l’impact des changements de l’infrastructure etdes applications informatiques ainsi que des solutionstechniques.• Suivre le statut des changements et en rendre compte aux

parties prenantes clés.• Réduire le nombre d’erreurs dues à des spécifications

incomplètes dans les demandes.

définit

• Définir et communiquer les procédures de changement, ycompris les modifications et les correctifs d’urgence.• Évaluer les changements, définir leurs priorités, et lesautoriser.• Programmer les changements.• Faire un suivi des changements et en rendre compte.

mesure

i n d u i t mesure

i n d u i t mesure

M é t r i q u e s

• Nb de perturbations ou de données erronées provoqués pardes spécifications inexactes ou une évaluation insuffisantede l’impact.

• Nombre de reprises dues à des spécifications inadéquatesde changements.• Diminution du temps et des efforts nécessaires poureffectuer les changements.• Pourcentage du total des changements qui sont descorrectifs d’urgence.• Pourcentage d’échec des changements d’infrastructure dufait de spécifications de changement inadéquates.• Nb de changements non formellement suivis, nonautorisés, ou sans compte-rendu.

• Nb de demandes de changements encore non traitées.

• Pourcentage de changements enregistrés et suivis par desoutils automatisés.• Pourcentage de changements respectant le processusformel de contrôle des changements.• Ratio demandes de changements acceptées/refusées.• Nb de versions différentes de chaque application ouinfrastructure métiers maintenues.• Nb et type de modifications d’urgence apportées auxcomposants de l’infrastructure.• Nb et type de correctifs apportés aux composants de

l’infrastructure.

D G

D F

D i r e

c t i o n

m é t i e

r

D S I

P r o p r i é t a

i r e p r o c

e s s u

s m é t i e r

R e s p o

n s a b l e

e x p l o i t a

t i o n

R e s p o

n s a b l e

a r c h i t e

c t u r e

R e s p o

n s a b l e

d é v

e l o p p e

m e n t s

R e s

p o n s

a b l e a d

m i n i s t r

a t i f d e s S I

B u r e a u p r o j e t

C o n f o r

m i t é ,

A u d i t ,

R i s q

u e s e t S

é c u r i t é

D G

D F

D i r e

c t i o n

m é t i e

r

D S I

P r o p r i é t a

i r e p r o c

e s s u

s m é t i e r

R e s p o

n s a b l e

e x p l o i t a

t i o n

R e s p o

n s a b l e

a r c h i t e

c t u r e

R e s p o

n s a b l e

d é v

e l o p p e

m e n t s

R e s

p o n s

a b l e a d

m i n i s t r

a t i f d e s S I

B u r e a u p r o j e t

C o n f o r

m i t é ,

A u d i t ,

R i s q

u e s e t S

é c u r i t é



Acquérir et Implémenter AI6 Gérer les changements

96 © 2008 AFAI. Tous droits réservés. www.afai.fr

MODÈLE DE MATURITÉ


La gestion du processus Gérer les changements qui répond à l'exigence des métiers vis-à-vis de l’informatique réagir aux exigencesdes métiers en ligne avec la stratégie de l’entreprise, tout en réduisant les défauts des solutions et des services livrés ainsi que les reprises

est :

0 Inexistante quand

Il n'existe pas de processus défini de gestion des changements, et les changements peuvent être faits pratiquement en dehors de tout contrôle.On n'a pas conscience que les changements peuvent perturber le fonctionnement de l'informatique et celui de l'entreprise, et on n'est pasconscient non plus des bénéfices qu'apporterait une bonne gestion des changements.

1 Initialisée, au cas par cas quand

On reconnaît qu’il faudrait gérer et contrôler les changements. Les pratiques varient, et il est probable que des changements non autorisés ontlieu. La documentation des changements est pauvre ou absente, et celle de la configuration est incomplète et peu fiable. Des erreurs se produisent vraisemblablement ainsi que des interruptions dans l'environnement de production du fait d'une mauvaise gestion deschangements.

2 Reproductible mais intuitive quand

Il existe un processus informel de gestion des changements, et la plupart des changements le suivent. Il est cependant mal structuré,rudimentaire, et sujet à erreurs. La documentation de la configuration n'est pas précise, et avant un changement on se contente d'une planification et d'une évaluation de l'impact limitées.

3 Définie quand

Il existe un processus défini et formel de gestion des changements qui comporte leur répartition par catégories et par priorités, les procéduresd’urgence, les autorisations de changements et la gestion de leur diffusion, et on s’y conforme peu à peu. On improvise des solutions et les processus sont souvent court-circuités. Des erreurs peuvent toujours se produire, et de temps en temps des changements sont pratiqués sansautorisation. On commence à formaliser l'analyse de l'impact des changements informatiques sur les activités métiers pour soutenir ledéploiement programmé de nouvelles applications et technologies.

4 Gérée et mesurable quand

Le processus de gestion des changements est bien développé et suivi avec constance dans tous les cas. Le management est convaincu qu'il n'ya qu’un minimum d'exceptions. Le processus est efficace et efficient, mais s'appuie sur de nombreuses procédures et contrôles manuels pourgarantir le niveau de qualité. Tous les changements sont assujettis à une planification complète et à une évaluation d'impact de façon àminimiser la probabilité de problèmes après la mise en production. On a mis en place un processus d'approbation des changements. Ladocumentation de la gestion des changements est bien faite et à jour, les changements étant formellement suivis de près. La documentationde la configuration est en général précise. La planification et la mise en place de la gestion des changements informatiques sont de plus en plus intégrées aux évolutions des processus métiers, de manière à s'assurer que les questions concernant la formation, les changementsorganisationnels, et la continuité de l'activité sont bien prises en compte. Il y a une coordination accrue entre la gestion des changementsinformatiques et la redéfinition des processus métiers. Il existe un processus continu de surveillance de la qualité et de la performance du processus de gestion des changements.

5 Optimisée quand

Le processus de gestion des changements est régulièrement révisé et mis à jour pour rester au niveau des bonnes pratiques. Le processus derevue est le reflet des résultats de la surveillance. L'information sur la configuration est informatisée et permet de contrôler les différentes

versions. Le suivi des changements est élaboré et comporte des outils de détection des logiciels non autorisés et/ou sans licence. La gestiondes changements informatiques est intégrée à la gestion des changements métiers pour s’assurer que l’informatique apporte un plus en productivité et en nouvelles opportunités métiers pour l’entreprise.

cobit- la gestion des changements

Documents