COBIT 最佳实践

已发表: 2018-10-26

信息和相关技术控制目标 (COBIT) 由信息系统和审计控制协会 (ISACA) 创立。 COBIT 是一个旨在为组织企业信息技术管理提供指导的框架。 将所有安全第一的信息和安全合规计划与 COBIT 最佳实践相结合,将使您的组织能够维持一个稳定的风险管理计划。

COBIT 最佳实践

ISACA 简介

ISACA 最初成立于 1969 年。该组织的任务是创建全球认可的 IT 认证,同时制定审计控制指南。 ISACA 是 IT 治理研究所 (ITGI) 背后的大脑,该研究所仅专注于发现和发布相关资源,为维护最新的信息安全控制提供实时指导和标准。

什么是 COBIT 5?

COBIT 5 基本上提供了一个信息技术框架,将 ISACA 的专有风险 IT、信息技术基础设施库 (ITIL) 和 Val IT 与国际标准化组织 (ISO) 规定的相关标准集成在一起。 通过这些要素的结合,COBIT 5 旨在为企业信息技术治理提供一个包罗万象的网络安全计划。

COBIT 5 为所有组织提供了一种评估和保护数据的方法,将其作为其业务流程的核心部分。 COBIT 旨在帮助非营利组织、公共部门和商业公司简化其 IT 流程,主要侧重于为确保 IT 基础设施的可靠性、质量和控制提供实用指导。

为什么选择 COBIT 5?

COBIT 5 将允许您将大多数当前控制与各种其他基准和法规遵从性要求保持一致。 例如,如果您打算遵守 COSO 框架的基准,您可以使用 COBIT 5 来衡量和定义 IT 控制的有效性。 此外,COBIT 5 定义了五个核心成熟度模型,可以帮助您确定就完全合规而言您是否走在正确的道路上。

使用 COBIT 框架 5 原则确保最佳实践

ISACA 将 COBIT 5 建立在五个相关的指导原则之上,这些指导原则是 COBIT 独特的信息治理和管理方法的基础。 通过确保您的内部控制和 IT 流程与这些高级原则保持一致,可以轻松建立与您的业务目标相匹配的企业方法。

原则 1:满足利益相关者的需求

ISACA 认识到您的组织拥有不同的利益相关者,这些利益相关者的需求各不相同,有时甚至相互冲突。 例如,营销部门可能需要使用社交媒体来建立您的品牌形象。 尽管如此,第三方社交媒体应用程序通常会忽略 IT 部门需要缓解的数据威胁。

满足利益相关者需求的最佳实践是定义有形和相关的目标并定义责任级别。 这将帮助您识别和传达促成因素的重要性。

原则 2:端到端覆盖企业

信息治理需要整合所有与 IT 相关的技术。 组织中的每个人都应该了解实现业务目标的信息资产。 端到端覆盖组织的最佳实践包括定义治理促成因素、定义治理范围以及分配角色和活动。

原则 3:使用单一的集成框架

COBIT 5 与各种框架保持一致。 一些与 IT 相关,而另一些与风险管理相关。 从企业管理方法来看,COBIT 5 借鉴了 ISO/IEC 9000、COSO ERM、ISO/IEC 31000 和 CSO。 从 IT 相关的方法来看,COBIT 专注于集成 ITIL、TOGAF、ISO/IEC 27000 系列、CMMI 和 ISO/IEC 38500。

应用集成框架的最佳实践需要审查与您的组织相关的标准,参与适当的风险识别,并确保 COBIT 5 与您组织的目标保持一致。

原则 4:启用整体方法

作为对信息治理采取整体方法的一部分,COBIT 寻求整合共同和单独影响您的业务目标实现的因素。 框架、原则和政策将组织结构、企业道德文化和流程与服务/应用程序/基础设施、人员/技能/能力和信息联系在一起。

启用整体方法的最佳实践包括定义关键决策实体,概述实现目标的活动和实践,定义最重要的组织和个人成员的行为,以及根据个人技能和能力定义角色。

原则 5:将治理与管理分离

治理需要监控、指导和评估您实施的信息管理计划。 另一方面,管理需要计划、监控和运行日常活动。 您组织的董事会的角色是治理,而 CEO 领导下的执行管理层则受命于管理层。 尽管 COBIT 框架集成了 37 个流程和 5 个域,但高级概述提供了将治理与管理分离的大纲。

治理的最佳实践可能包括创建企业指导原则、建立决策模型、创建权限级别、审查企业治理沟通以及接收有关治理绩效和有效性的反馈。 管理的最佳实践包括沟通基本规则、建立 IT 相关政策和沟通 IT 目标。

Ken Lynch 是一位企业软件初创公司的资深人士,他一直着迷推动员工工作的因素以及如何让工作更具吸引力。 Ken 创立 Reciprocity 就是为了追求这一点。

他推动了 Reciprocity 的成功,这一基于使命的目标是让员工参与公司的治理、风险和合规目标,以培养更多具有社会意识的企业公民。 Ken 在麻省理工学院获得计算机科学和电气工程学士学位。 在 ReciprocityLabs.com 上了解更多信息。

对此有什么想法吗? 在评论中让我们知道。

编辑推荐:

  • 保险合规官的角色和职责
  • 用于衡量合规有效性的 KPI
  • 持续监控实时合规性