COBIT

COBIT (tot versie 4.1 C ontrole- Of jectives voor I nformatie and Related T echnology , versie 5.0 alleen als een acroniem in gebruik [1] ) is een internationaal erkend kader voor IT-governance en verdeelden de taken van IT in processen en controle doelstellingen (vaak vertaald als ‘control target’, eigenlijk ‘control target’, in de huidige Duitse versie wordt de term niet meer vertaald). COBIT bepaalt niet primair hoe de vereisten moeten worden geïmplementeerd, maar vooral wat moet wordengeïmplementeerd.

Geschiedenis

COBIT is oorspronkelijk ontwikkeld (1996) door de International Information Systems Audit and Control Association (ISACA). COBIT is geëvolueerd van een hulpmiddel voor IT-auditors (accountants) een instrument voor het beheer van IT vanuit een zakelijk perspectief en is onder andere als een model voor de naleving van wettelijke vereisten ( naleving gebruikt). Dit bevordert de industrialisatie van IT .

In 1996 werd de eerste versie van het referentiemodel gepubliceerd, gevolgd in 1998 en 2000, de tweede en derde editie. COBIT 4.0 werd uitgebracht in 2005 en de herziene versie 4.1 werd in mei 2007 gepubliceerd. In april 2012 volgde COBIT 5.0 eindelijk. [2] opstaan om versie 4.1 COBIT noch als afkorting voor control Objectives for Information and Related Technology , het is alleen de afkorting gebruikt om de wijziging van het oorspronkelijke kader voor accountants in de richting controle van het gehele IT-versie 5.0 document. [1]

COBIT is ontworpen rond COSO om de integratie van IT-governance in corporate governance te waarborgen . De vordering van COBIT is de koppeling tussen de enterprise-wide control frameworks (COSO) en IT-specifieke modellen (zoals ITIL , 27001 ISO/ 27002 etc.) te zijn. Het feit dat COBIT deze claim waarmaakt, wordt aangetoond door de hoge prevalentie van COBIT als controlemodel voor de meeste grote internationale bedrijven: ISACA postuleert dat 95% van de grote bedrijven COBIT geheel of gedeeltelijk implementeert.

Controleaanpak

De controleaanpak van COBIT is eigenlijk van bovenaf. Op basis van bedrijfsdoelen worden IT-doelen gesteld, die op hun beurt de IT- architectuur beïnvloeden . Daarbij zorgen op de juiste wijze gedefinieerde en beheerde IT-processen voor de verwerking van informatie, het beheer van IT-middelen (personeel, technologie, gegevens, applicaties) en het leveren van diensten. Voor elk van deze niveaus (onderneming, IT, proces en activiteiten) worden meetwaarden en doelen ingesteld om resultaten en prestatiedrivers te evalueren. Het bereiken van het doel wordt bottom-up gemeten, wat resulteert in een controlecyclus.

Kortom, het COBIT 5-raamwerk definieert 37 IT-processen waaraan de controledoelstellingen zijn toegewezen. De besturingsdoelen zijn essentiële gebieden die in het proces moeten worden overwogen om het procesdoel (en daarmee het bedrijfsdoel door het IT-doel) te bereiken. De som van het Control Objectives zorgt voor een betrouwbare en adequate zakelijke behoeften van informatie-functie.

Bouw

COBIT 4.1

De publicaties van COBIT 4.1 bestaan ​​uit de Core Content , de IT Assurance Guide , de Implementation Guide en de Control Practices .

De COBIT 4.1 Core Content definieert voor elk van de 34 COBIT-processen:

  • proces Beschrijving
  • Procesdoelstelling ( Besturingsdoel op hoog niveau )
  • essentiële activiteiten
  • essentiële parameters
  • Beheersdoelstellingen (in totaal 210, vergeleken met een totaal van 215 in versie 4.0 en 318 in versie 3, aangeduid als 3e editie )
  • Managementrichtlijnen met de inputs en outputs van het proces, een taak- en verantwoordelijkheidsmatrix ( RACI- matrix) en gedetailleerde meetgegevens om het proces te beoordelen en de bijdrage van elke activiteit aan de doelstellingen van het proces en de bijdrage van het proces aan de doelstellingen van IT te beoordelen
  • Maturity-model , dat – op basis van CMM – de respectieve typische kenmerken van het proces beschrijft in zes volwassenheidsniveaus (0 tot 5)

Daarnaast beschrijft de COBIT 4.1 Core Content :

  • de verbinding van bedrijfsdoel met IT-doel
  • een generiek volwassenheidsmodel
  • Meting en beoordeling van IT
  • zeven generieke (geldig voor alle processen) besturingsdoelen
  • Besturingsdoelen voor toepassingsbesturingselementen (invoer-, verwerkings-, uitvoer- en overdrachtbesturingselementen)

De IT Assurance Guide biedt een gedetailleerde handleiding voor het beoordelen van IT-processen. Bij het onderzoek van de processen, de besturingsdoelen en de controlepraktijken wordt onderscheid gemaakt .

De COBIT-controlepraktijken bepalen maatregelen voor elk van de bestaande besturingsdoelstellingen van de Core Content om hen te helpen hun doelen te bereiken. De controlepraktijken kunnen dus worden gebruikt als een leidraad voor de implementatie.

De methodologie voor de algehele implementatie van IT-governance wordt beschreven in de Implementatiegids voor IT-governance .

De processen van COBIT 4.1 kunnen vergeleken worden met de processen van ITIL V3 via een overeenkomstige mapping. [3]

COBIT 5

COBIT 5 werd uitgebracht in april 2012. [4] COBIT 5 consolideert en integreert COBIT 4.1, Val IT 2.0 evenals het Risk IT Framework en Business Model for Information Security (BMIS). [5] [6]

COBIT 5 definieert vijf basisprincipes voor het beheer en beheer van IT voor ondernemingen. Een van de belangrijkste principes is het onderscheid tussen governance (dat wil zeggen, de richting van de richting, prioritering en vaststelling van zakelijke doelen) en management (de planning, implementatie, uitvoering en monitoring van de nodige activiteiten). Twee essentiële principes zijn de alomvattende, holistische benadering en de dekking van de hele onderneming. COBIT 5 definieert hiervoor zeven enablers, die het behalen van bedrijfsdoelen mogelijk moeten maken en het hele bedrijf moeten dekken. De drijvende krachten achter alle activiteiten zijn een breed scala van groepen belanghebbenden in de IT, zoals klanten, leveranciers, wetgevers of gespecialiseerde gebieden. Het doel is om hun vereisten om te zetten in een haalbare bedrijfsstrategie. COBIT 5 voorziet hiervoor in een doelcascade, een mechanisme dat eisen van belanghebbenden opsplitst in bedrijfsdoelen, IT-gerelateerde doelen en uiteindelijk enabler-doelen. COBIT 5 definieert 17 generieke bedrijfsdoelen, die kunnen worden toegewezen aan 17 generieke IT-gerelateerde doelen via een overeenkomstige toewijzing. Deze kunnen op hun beurt worden toegewezen aan generieke en specifieke enabler-doelen, evenals aan de 37 processen die in COBIT 5 zijn gedefinieerd. die kan worden toegewezen via een overeenkomstige toewijzing van 17 generieke IT-gerelateerde doelen. Deze kunnen op hun beurt worden toegewezen aan generieke en specifieke enabler-doelen, evenals aan de 37 processen die in COBIT 5 zijn gedefinieerd. die kan worden toegewezen via een overeenkomstige toewijzing van 17 generieke IT-gerelateerde doelen. Deze kunnen op hun beurt worden toegewezen aan generieke en specifieke enabler-doelen, evenals aan de 37 processen die in COBIT 5 zijn gedefinieerd.

De vijf basisprincipes voor IT-beheer en management van bedrijven zijn:

  1. Voldoen aan de vereisten van de stakeholders
  2. Bedek het hele bedrijf
  3. Toepassen van een enkel, geïntegreerd raamwerk
  4. Een holistische benadering mogelijk maken
  5. Onderscheid tussen bestuur en management

COBIT 5 definieert en beschouwt zeven enabler-categorieën, die factoren en / of bedrijfsmiddelen die het behalen van bedrijfsdoelen mogelijk moeten maken:

  1. Principes, richtlijnen en kaders
  2. processen
  3. organisatiestructuren
  4. Cultuur, ethiek en gedrag
  5. informatie
  6. Diensten, infrastructuur en applicaties
  7. Medewerkers, vaardigheden en competenties

Het COBIT 5-procesreferentiemodel definieert 37 processen gegroepeerd in vijf domeinen, één governance domein (EDM) en vier managementdomeinen (APO, BAI, DSS en MEA), ook wel PBRM genoemd (Plan, Build, Run, Monitor ) verwezen. Deze processen kunnen worden vergeleken met de 26 processen van ITIL 2011, die zijn gegroepeerd in de vijf modules Service Strategy (SS), Service Design (SD), Servicetransitie (ST), Service Operation (SO) en Continue Service Improvement (CSI) , [7]

  • EDM – Evalueer, voorspel en monitor (Engels: “Evaluate, Direct en Monitor”)
    • EDM01 Zorgen voor de instelling en het onderhoud van het governancekader
    • EDM02 Zorgen voor de levering van toegevoegde waarde
    • EDM03 Risico-optimalisatie garanderen
    • EDM04 Zorgen voor optimalisatie van bronnen
    • EDM05 Zorgen voor transparantie jegens belanghebbenden
  • APO – Aanpassen, plannen en organiseren (Engels: “Align, Plan and Organize”)
    • APO01 Beheer van het IT Management Framework
    • APO02 Beheer van de strategie
    • APO03 Enterprise-architectuur beheren
    • APO04 Innovatie beheren
    • APO05 het beheer van de portefeuille
    • APO06 Beheer budget en kosten
    • APO07 het beheer van het personeel
    • APO08 Relaties beheren
    • APO09 Beheer van serviceovereenkomsten
    • APO10 Leveranciers beheren
    • APO11 beheert de kwaliteit
    • APO12 risicobeheer
    • APO13 beheren van beveiliging
  • BAI – Build, Procure and Implement (Engels: “Build, Acquire and Implement”)
    • BAI01 Beheer van programma’s en projecten
    • BAI02 Beheer de definitie van vereisten
    • BAI03 Oplossingidentificatie en Solution Engineering beheren
    • BAI04 Beschikbaarheid en capaciteit beheren
    • BAI05 Beheer van het faciliteren van organisatorische veranderingen
    • BAI06 Wijzigingen beheren
    • BAI07 Beheer de acceptatie en overdracht van wijzigingen
    • BAI08 Kennis beheren
    • BAI09 Beheer van bronnen
    • BAI10 Beheer de configuratie
  • DSS – Implementeren, bedienen en ondersteunen (Engels: “Deliver, Service and Support”)
    • DSS01 De bewerking beheren
    • DSS02 Serviceaanvragen en fouten beheren
    • DSS03 Problemen beheren
    • DSS04 Continuïteit beheren
    • DSS05 Beheer van beveiligingsdiensten
    • DSS06 Business Process Controls beheren
  • MEA – Monitor, Evaluate and Assess (Engels: “Monitor, Evalueer en Beoordeel”)
    • MEA01 Monitor, evalueer en beoordeel prestaties en naleving
    • MEA02 Monitor, evalueer en beoordeel het interne controlesysteem
    • MEA03 Monitor, evalueer en beoordeel de naleving van externe vereisten

Het proceskwalificatiemodel voor de evaluatie en continue verbetering van processen is gebaseerd op COBIT 5 volgens de internationale norm ISO / IEC 15504 . [8]

Geldigheid

COBIT 5 wordt erkend door verschillende overheids- of openbare instellingen in de volgende staten:

  • Argentinië
  • Australië
  • Botswana
  • Brazilië
  • Costa Rica
  • Dubai
  • EU-landen
  • Guatemala
  • Indië
  • Israël
  • Japan
  • Canada
  • Colombia
  • Mauritius
  • Mexico
  • Nigeria
  • Noorwegen
  • Paraguay
  • Filippijnen
  • Zambia
  • Zwitserland
  • Zuid-Afrika
  • Turkije
  • Uruguay
  • VS
  • Venezuela

COBIT-relevante publicaties

Verdere COBIT-relevante publicaties van ISACA zijn:

  • Board Briefing op IT Governance – Om bewustwording van de noodzaak in te zamelen voor enterprise-wide beheer van IT
  • COBIT Mapping – Een reeks documenten, verkregen door het naast elkaar plaatsen van COBIT en andere IT-standaarden (zoals ITIL , ISO 17799 , IT Baseline Protection Catalogs , NIST , FIPS , ISO 13335 , TOGAF omvat, etc.). Als onderdeel van het COBIT mapping was met OGC een publicatie op de optimale combinatie van COBIT, de uitgever van ITIL ITIL en ISO 27001 gemaakt.
  • Beheersdoelstellingen voor Sarbanes Oxley – Een handleiding voor het definiëren van belangrijke besturingsactiviteitendie gewoonlijk worden gedefinieerddoor SOX- implementaties.
  • Beheersdoelstellingen voor Basel II – een handleiding voor het implementeren van de vereisten van Basel II met behulp van het COBIT-raamwerk (momenteel in voorbereiding)

Persoonscertificering

ISACA biedt de volgende certificeringen:

  • Certified Information Systems Auditor (CISA) – Deze certificering is voornamelijk gericht op IT-auditors / auditors .
  • Certified Information Security Manager (CISM) – Deze certificering is voornamelijk gericht op IT- beveiligingsmanagers .
  • Gecertificeerd in de Governance of Enterprise IT (CGEIT) – deze certificering is bedoeld voor IT Governance Officers.
  • Gecertificeerd in Risk and Information Systems Control (CRISC) – Deze certificering is bedoeld voor IT-risico- en controleambtenaren.
  • COBIT 5 Foundation [9]
  • COBIT 5-implementatie [10]
  • COBIT 5 assessor [11]

ISACA organiseert elk jaar regionale (Europese) en internationale conferenties evenals verschillende COBIT-gebruikersconventies . Binnen deze platforms worden lezingen en workshops over COBIT en IT-governance aangeboden.

Zie ook

Een andere IT governance standaard is gepubliceerd in 2008, ISO / IEC 38500: 2008 . [12] [13] Vanuit het perspectief van ISACA, de ISO 38500, maar geen vervanging voor COBIT, maar moet een hoger niveau top-down view, terwijl ITIL en PRINCE2 zijn de basis voor IT service management en projectmanagement en COBIT, de koppeling laag daartussen. [14]

Webkoppelingen

  • ISACA website met de Engels-talige versie van COBIT 4.1 door ISACA
  • ISACA Zwitserland Hoofdstuk
  • ISACA Duits hoofdstuk
  • ISACA Oostenrijks hoofdstuk
  • COBIT-campus, officiële training over COBIT van ISACA International

Individuele proeven

  1. ↑ Springen naar:a COBIT 5 – Enterprise IT Governance en Management Framework – Bijlage H – Woordenlijst, pagina 91-92 . ISBN 978-1-60420-245-8
  2. Jump up↑ COBIT – Geschiedenis en geschiedenis . Betreden op 6 september 2014.
  3. Jump up↑ ISACA – COBIT-mapping: mapping van ITIL V3 met COBIT 4.1 . Betreden op 6 september 2014. ISBN 978-1-60420-035-5
  4. Jump up↑ ISACA Issues COBIT 5 Governance Framework. In: ISACA.org. Betreden op 12 juni 2013 .
  5. Jump up↑ ISACA – Factsheet bedrijfsmodel voor informatiebeveiliging (BMIS) . Betreden op 6 september 2014.
  6. Jump up↑ ISACA – Bedrijfsmodel voor informatiebeveiliging (BMIS) . Betreden op 6 september 2014.
  7. Jump up↑ De processen van ITIL 2011 in kaart brengen met de COBIT 5-processen .
  8. Jump up↑ COBIT 5 – Kader voor bestuur en beheer van bedrijfs-IT . ISBN 978-1-60420-245-8
  9. Spring omhoog↑ http://www.isaca.org/Education/COBIT-Education/Pages/COBIT-Foundation.aspx
  10. Spring omhoog↑ http://www.isaca.org/Education/COBIT-Education/Pages/COBIT-Implementation.aspx
  11. Spring omhoog↑ http://www.isaca.org/Education/COBIT-Education/Pages/COBIT-Assessor.aspx
  12. Spring omhoog↑ ISO 38500 IT Governance Standard .
  13. Jump up↑ ISO / IEC-norm voor bedrijfsbeheer van informatietechnologie Artikel van 5 juni 2008, teruggehaald op 6 september 2014.
  14. Spring omhoog↑ ICASA – ISO 38500 – Waarom een ​​andere standaard? , Artikel van april 2011, teruggehaald op 6 september 2014.

Leave a Reply

Your email address will not be published. Required fields are marked *