แนวทางปฏิบัติที่ดีที่สุดของ COBIT

วัตถุประสงค์การควบคุมสำหรับข้อมูลและเทคโนโลยีที่เกี่ยวข้อง (COBIT) ก่อตั้งโดยสมาคมระบบสารสนเทศและการควบคุมการตรวจสอบ (ISACA) COBIT เป็นกรอบการทำงานที่พยายามให้แนวทางสำหรับการจัดการเทคโนโลยีสารสนเทศขององค์กร การจัดแนวความคิดริเริ่มด้านการรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดด้านความปลอดภัยทั้งหมดของคุณให้เป็นแนวเดียวกับแนวทางปฏิบัติที่ดีที่สุดของ COBIT จะช่วยให้องค์กรของคุณสามารถรักษาโปรแกรมการจัดการความเสี่ยงที่สม่ำเสมอ

COBIT แนวทางปฏิบัติที่ดีที่สุด

ISACA ในบทสรุป

ISACA ก่อตั้งขึ้นครั้งแรกในปี พ.ศ. 2512 หน้าที่ขององค์กรคือการสร้างการรับรองด้านไอทีที่เป็นที่ยอมรับทั่วโลก นอกเหนือจากการพัฒนาแนวทางการควบคุมการตรวจสอบ ISACA เป็นสมองที่อยู่เบื้องหลัง IT Governance Institute (ITGI) ซึ่งมุ่งเน้นในการค้นหาและเผยแพร่แหล่งข้อมูลที่เกี่ยวข้องซึ่งให้คำแนะนำและมาตรฐานแบบเรียลไทม์ในการควบคุมความปลอดภัยของข้อมูลที่เป็นปัจจุบันเท่านั้น

COBIT 5 คืออะไร?

โดยทั่วไปแล้ว COBIT 5 จะมีกรอบงานเทคโนโลยีสารสนเทศที่ผสานรวม Risk IT ที่เป็นกรรมสิทธิ์ของ ISACA, Information Technology Infrastructure Library (ITIL) และ Val IT เข้ากับมาตรฐานที่เกี่ยวข้องที่กำหนดโดย International Organization for Standardization (ISO) ด้วยการผสมผสานองค์ประกอบเหล่านี้ COBIT 5 พยายามที่จะจัดหาโปรแกรมความปลอดภัยทางไซเบอร์ที่ครอบคลุมทุกอย่างสำหรับการกำกับดูแลเทคโนโลยีสารสนเทศขององค์กร

COBIT 5 ให้ทุกองค์กรมีวิธีการประเมินและปกป้องข้อมูลซึ่งเป็นส่วนหนึ่งของกระบวนการทางธุรกิจของพวกเขา ด้วยวัตถุประสงค์ในการช่วยให้องค์กรไม่แสวงผลกำไร ภาครัฐ และบริษัทการค้าปรับปรุงกระบวนการไอทีของพวกเขา COBIT มุ่งเน้นที่การให้คำแนะนำในทางปฏิบัติเพื่อสร้างความมั่นใจในความน่าเชื่อถือ คุณภาพ และการควบคุมโครงสร้างพื้นฐานด้านไอที

ทำไมถึงเลือก COBIT 5?

COBIT 5 จะช่วยให้คุณสามารถปรับการควบคุมปัจจุบันส่วนใหญ่ของคุณให้สอดคล้องกับเกณฑ์มาตรฐานอื่นๆ และข้อกำหนดการปฏิบัติตามกฎระเบียบต่างๆ ตัวอย่างเช่น หากคุณตั้งใจที่จะปฏิบัติตามเกณฑ์มาตรฐานของกรอบงาน COSO คุณสามารถใช้ COBIT 5 เพื่อวัดและกำหนดประสิทธิภาพการควบคุมไอที นอกจากนี้ COBIT 5 ยังกำหนดรูปแบบวุฒิภาวะหลักห้าแบบที่สามารถช่วยให้คุณกำหนดได้ว่าคุณอยู่ในเส้นทางที่ถูกต้องหรือไม่เท่าที่เกี่ยวข้องกับการปฏิบัติตามข้อกำหนดโดยสมบูรณ์

การใช้หลักการ COBIT Framework 5 เพื่อให้แน่ใจว่ามีแนวทางปฏิบัติที่ดีที่สุด

ISACA ใช้ COBIT 5 บนหลักการชี้นำที่เกี่ยวข้อง 5 ประการ ซึ่งสนับสนุนแนวทางเฉพาะของ COBIT ในการกำกับดูแลและการจัดการข้อมูล การตรวจสอบให้แน่ใจว่าการควบคุมภายในและกระบวนการไอทีของคุณสอดคล้องกับหลักการระดับสูงเหล่านี้ จะเป็นการง่ายที่จะสร้างแนวทางสำหรับองค์กรที่ตรงกับวัตถุประสงค์ทางธุรกิจของคุณ

หลักการที่ 1: สนองความต้องการของผู้มีส่วนได้ส่วนเสีย

ISACA ตระหนักดีว่าองค์กรของคุณมีผู้มีส่วนได้ส่วนเสียที่แตกต่างกันซึ่งมีความต้องการที่แตกต่างกันและบางครั้งขัดแย้งกัน ตัวอย่างเช่น ฝ่ายการตลาดอาจต้องใช้โซเชียลมีเดียเพื่อสร้างภาพลักษณ์แบรนด์ของคุณ อย่างไรก็ตาม แอปพลิเคชันโซเชียลมีเดียของบุคคลที่สามมักจะเพิกเฉยต่อภัยคุกคามข้อมูลที่แผนกไอทีจำเป็นต้องบรรเทา

แนวปฏิบัติที่ดีที่สุดสำหรับการตอบสนองความต้องการของผู้มีส่วนได้ส่วนเสียคือการกำหนดเป้าหมายที่เป็นรูปธรรมและเกี่ยวข้องและกำหนดระดับความรับผิดชอบ ซึ่งจะช่วยให้คุณระบุและสื่อสารถึงความสำคัญของผู้เปิดใช้งาน

หลักการที่ 2: ครอบคลุม Enterprise End-to-End

การกำกับดูแลข้อมูลจำเป็นต้องรวมเทคโนโลยีที่เกี่ยวข้องกับไอทีทั้งหมดเข้าด้วยกัน ทุกคนในองค์กรของคุณควรตระหนักถึงสินทรัพย์ข้อมูลที่ช่วยให้วัตถุประสงค์ทางธุรกิจของคุณ แนวปฏิบัติที่ดีที่สุดสำหรับการครอบคลุมองค์กรแบบ end-to-end ได้แก่ การกำหนดตัวเปิดใช้งานการกำกับดูแล การกำหนดขอบเขตการกำกับดูแล และการกำหนดบทบาทและกิจกรรม

หลักการที่ 3: ใช้ Single Integrated Framework

COBIT 5 สอดคล้องกับกรอบงานต่างๆ บางส่วนเกี่ยวข้องกับไอทีในขณะที่บางส่วนเกี่ยวข้องกับการจัดการความเสี่ยง จากแนวทางการจัดการองค์กร COBIT 5 ดึงเอา ISO/IEC 9000, COSO ERM, ISO/IEC 31000 และ CSO จากแนวทางที่เกี่ยวข้องกับไอที COBIT มุ่งเน้นไปที่การรวม ITIL, TOGAF, ISO/IEC 27000 series, CMMI และ ISO/IEC 38500

แนวทางปฏิบัติที่ดีที่สุดสำหรับการใช้กรอบงานแบบบูรณาการจะนำมาซึ่งมาตรฐานการตรวจสอบที่เกี่ยวข้องกับองค์กรของคุณ มีส่วนร่วมในการระบุความเสี่ยงที่เหมาะสม และสร้างความมั่นใจว่า COBIT 5 สอดคล้องกับเป้าหมายขององค์กรของคุณ

หลักการที่ 4: เปิดใช้งานแนวทางแบบองค์รวม

ส่วนหนึ่งของการมีแนวทางแบบองค์รวมในการกำกับดูแลข้อมูล COBIT พยายามที่จะรวมปัจจัยต่างๆ ที่มีอิทธิพลโดยรวมและเป็นรายบุคคลในการบรรลุวัตถุประสงค์ทางธุรกิจของคุณ กรอบงาน หลักการ และนโยบายเชื่อมโยงโครงสร้างองค์กร วัฒนธรรมจริยธรรมขององค์กร และกระบวนการสู่บริการ/แอปพลิเคชัน/โครงสร้างพื้นฐาน บุคคล/ทักษะ/ความสามารถ และข้อมูลเข้าด้วยกัน

แนวปฏิบัติที่ดีที่สุดสำหรับการเปิดใช้แนวทางแบบองค์รวม ได้แก่ การกำหนดหน่วยงานในการตัดสินใจที่สำคัญ การสรุปกิจกรรมและแนวทางปฏิบัติเพื่อให้บรรลุวัตถุประสงค์ของคุณ การกำหนดพฤติกรรมขององค์กรและสมาชิกแต่ละคนที่สำคัญที่สุด และการกำหนดบทบาทตามทักษะและความสามารถส่วนบุคคล

หลักการที่ 5: ปลดการกำกับดูแลออกจากผู้บริหาร

การกำกับดูแลประกอบด้วยการติดตาม กำกับ และประเมินผลโปรแกรมการจัดการข้อมูลที่คุณกำหนด ในทางกลับกัน การจัดการเกี่ยวข้องกับการวางแผน การเฝ้าติดตาม และดำเนินกิจกรรมประจำวัน บทบาทของคณะกรรมการในองค์กรของคุณคือการกำกับดูแล ในขณะที่ผู้บริหารระดับสูงภายใต้ CEO ได้รับมอบอำนาจจากฝ่ายจัดการ แม้ว่ากรอบงาน COBIT จะรวม 37 กระบวนการและ 5 โดเมน ภาพรวมระดับสูงเสนอโครงร่างสำหรับการแยกการกำกับดูแลออกจากการจัดการ

แนวทางปฏิบัติที่ดีที่สุดสำหรับการกำกับดูแลอาจรวมถึงการสร้างหลักการชี้นำองค์กร การสร้างแบบจำลองการตัดสินใจ การสร้างระดับอำนาจ การทบทวนการสื่อสารด้านการกำกับดูแลกิจการ และรับข้อเสนอแนะเกี่ยวกับประสิทธิภาพการกำกับดูแลและประสิทธิผล แนวทางปฏิบัติที่ดีที่สุดสำหรับการจัดการ ได้แก่ การสื่อสารกฎพื้นฐาน การกำหนดนโยบายที่เกี่ยวข้องกับไอที และการสื่อสารวัตถุประสงค์ด้านไอที

Ken Lynch เป็นผู้เชี่ยวชาญในการเริ่มต้นซอฟต์แวร์ระดับองค์กร ผู้ซึ่งหลงใหลใน สิ่งจูงใจให้พนักงานทำงานอยู่เสมอ และวิธีทำให้งานมีส่วนร่วมมากขึ้น Ken ก่อตั้ง Reciprocity เพื่อไล่ตามสิ่งนั้น

เขาได้ขับเคลื่อนความสำเร็จของ Reciprocity ด้วยเป้าหมายตามภารกิจในการมีส่วนร่วมกับพนักงานด้วยเป้าหมายด้านการกำกับดูแล ความเสี่ยง และการปฏิบัติตามข้อกำหนดของบริษัท เพื่อสร้างพลเมืององค์กรที่มีใจรักในสังคมมากขึ้น เคนสำเร็จการศึกษาระดับปริญญาตรีสาขาวิทยาการคอมพิวเตอร์และวิศวกรรมไฟฟ้าจาก MIT เรียนรู้เพิ่มเติมที่ ReciprocityLabs.com

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? แจ้งให้เราทราบลงในความคิดเห็น

คำแนะนำของบรรณาธิการ:

• บทบาทและความรับผิดชอบของเจ้าหน้าที่กำกับดูแลการปฏิบัติตามหลักประกัน
• KPI สำหรับการวัดประสิทธิภาพการปฏิบัติตามข้อกำหนด
• การตรวจสอบอย่างต่อเนื่องสำหรับการปฏิบัติตามแบบเรียลไทม์