COBITのベストプラクティス

情報および関連技術の管理目標（COBIT）は、情報システムおよび監査管理協会（ISACA）によって設立されました。 COBITは、企業の情報技術管理を組織化するためのガイドラインを提供しようとするフレームワークです。 すべてのセキュリティファースト情報とセキュリティコンプライアンスイニシアチブをCOBITのベストプラクティスに合わせると、組織は堅実なリスク管理プログラムを維持できます。

COBITのベストプラクティス

ISACAの概要

ISACAは、1969年に設立されました。組織の使命は、監査管理ガイダンスの開発に加えて、世界的に認められたIT認証を作成することです。 ISACAは、ITガバナンスインスティテュート（ITGI）の背後にある頭脳であり、最新の情報セキュリティ管理を維持するためのリアルタイムのガイダンスと標準を提供する関連リソースの発見と公開にのみ焦点を当てています。

COBIT 5とは何ですか？

COBIT 5は基本的に、ISACA独自のリスクIT、情報技術インフラストラクチャライブラリ（ITIL）、およびValITを国際標準化機構（ISO）によって規定された関連標準と統合する情報技術フレームワークを提供します。 これらの要素の組み合わせを通じて、COBIT 5は、エンタープライズ情報技術ガバナンスのための包括的なサイバーセキュリティプログラムを提供しようとしています。

COBIT 5は、すべての組織に、ビジネスプロセスの中核部分としてデータを評価および防御する方法を提供します。 非営利、公共部門、および営利企業がITプロセスを合理化できるようにすることを目的として、COBITは主に、ITインフラストラクチャの信頼性、品質、および制御を確保するための実践的なガイダンスの提供に重点を置いています。

COBIT5を選ぶ理由

COBIT 5を使用すると、現在のコントロールのほとんどを他のさまざまなベンチマークや規制コンプライアンス要件に合わせることができます。 たとえば、COSOフレームワークのベンチマークに準拠する場合は、COBIT5を使用してIT管理の有効性を測定および定義できます。 さらに、COBIT 5は、完全なコンプライアンスに関する限り、正しい方向に進んでいるかどうかを判断するのに役立つ5つのコア成熟度モデルを定義しています。

COBITフレームワークの5つの原則を使用してベストプラクティスを確保する

ISACAは、COBIT 5を、情報のガバナンスと管理に対するCOBITの独自のアプローチの根底にある5つの適切な指針に基づいています。 内部統制とITプロセスがこれらの高レベルの原則に沿っていることを確認することにより、ビジネス目標に一致するエンタープライズアプローチを簡単に確立できます。

原則1：利害関係者のニーズを満たす

ISACAは、組織にはさまざまな、時には相反するニーズを持つさまざまな利害関係者がいるという事実を認識しています。 たとえば、マーケティング部門は、ブランドイメージを構築するためにソーシャルメディアを使用する必要がある場合があります。 それにもかかわらず、サードパーティのソーシャルメディアアプリケーションは通常、IT部門が軽減する必要のあるデータの脅威を無視します。

利害関係者のニーズを満たすためのベストプラクティスは、具体的で関連性のある目標を定義し、責任のレベルを定義することです。 これは、イネーブラーの重要性を特定して伝達するのに役立ちます。

原則2：企業をエンドツーエンドでカバーする

情報ガバナンスには、IT関連のすべてのテクノロジーを組み込む必要があります。 組織内の全員が、ビジネス目標を可能にする情報資産を認識している必要があります。 組織をエンドツーエンドでカバーするためのベストプラクティスには、ガバナンスイネーブラーの定義、ガバナンススコープの定義、および役割とアクティビティの割り当てが含まれます。

原則3：単一の統合フレームワークを使用する

COBIT 5は、さまざまなフレームワークに対応しています。 IT関連のものもあれば、リスク管理に関連するものもあります。 エンタープライズ管理アプローチから、COBIT5はISO / IEC 9000、COSO ERM、ISO / IEC 31000、およびCSOを利用しています。 IT関連のアプローチから、COBITは、ITIL、TOGAF、ISO / IEC 27000シリーズ、CMMI、およびISO / IEC38500の統合に重点を置いています。

統合フレームワークを適用するためのベストプラクティスには、組織に関連する標準のレビュー、適切なリスクの特定、およびCOBIT5が組織の目標に沿っていることの確認が含まれます。

原則4：全体論的アプローチを可能にする

COBITは、情報ガバナンスに向けた全体的なアプローチの一環として、ビジネス目標の達成に集合的かつ個別に影響を与える要因を統合しようとしています。 フレームワーク、原則、およびポリシーは、組織構造、企業倫理文化、およびプロセスをサービス/アプリケーション/インフラストラクチャ、人/スキル/能力、および情報に結び付けます。

全体的なアプローチを可能にするためのベストプラクティスには、主要な意思決定エンティティの定義、目的を達成するためのアクティビティとプラクティスの概要、最も重要な組織と個々のメンバーの行動の定義、および個々のスキルと能力に基づく役割の定義が含まれます。

原則5：ガバナンスを経営陣から切り離す

ガバナンスには、導入した情報管理プログラムの監視、指示、および評価が含まれます。 一方、管理には、日常の活動の計画、監視、および実行が伴います。 組織の取締役会の役割はガバナンスであり、CEOの下の経営幹部は経営陣に義務付けられています。 COBITフレームワークは37のプロセスと5つのドメインを統合しますが、高レベルの概要は、ガバナンスを管理から分離するための概要を提供します。

ガバナンスのベストプラクティスには、エンタープライズガイダンスの原則の作成、意思決定モデルの確立、権限レベルの作成、エンタープライズガバナンスのコミュニケーションのレビュー、ガバナンスのパフォーマンスと有効性に関するフィードバックの受信が含まれる場合があります。 管理のベストプラクティスには、基本ルールの伝達、IT関連のポリシーの確立、およびIT目標の伝達が含まれます。

Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。

彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。 詳細については、ReciprocityLabs.comをご覧ください。

これについて何か考えがありますか？ コメント欄でお知らせください。

編集者の推奨事項：

• 保険コンプライアンス責任者の役割と責任
• コンプライアンスの有効性を測定するためのKPI
• リアルタイムコンプライアンスの継続的な監視