COBIT 最佳實踐

已發表: 2018-10-26

信息和相關技術控制目標 (COBIT) 由信息系統和審計控制協會 (ISACA) 創立。 COBIT 是一個旨在為組織企業信息技術管理提供指導的框架。 將您所有的安全第一信息和安全合規計劃與 COBIT 最佳實踐相結合,將使您的組織能夠維持一個穩定的風險管理計劃。

COBIT 最佳實踐

ISACA 簡介

ISACA 最初成立於 1969 年。該組織的任務是創建全球認可的 IT 認證,同時制定審計控制指南。 ISACA 是 IT 治理研究所 (ITGI) 背後的大腦,該研究所僅專注於發現和發布相關資源,為維護最新的信息安全控制提供實時指導和標準。

什麼是 COBIT 5?

COBIT 5 基本上提供了一個信息技術框架,將 ISACA 的專有風險 IT、信息技術基礎設施庫 (ITIL) 和 Val IT 與國際標準化組織 (ISO) 規定的相關標準集成在一起。 通過這些要素的結合,COBIT 5 旨在為企業信息技術治理提供一個包羅萬象的網絡安全計劃。

COBIT 5 為所有組織提供了一種評估和保護數據的方法,將其作為其業務流程的核心部分。 COBIT 旨在幫助非營利組織、公共部門和商業公司簡化其 IT 流程,主要側重於為確保 IT 基礎設施的可靠性、質量和控制提供實用指導。

為什麼選擇 COBIT 5?

COBIT 5 將允許您將大多數當前控制與各種其他基準和法規遵從性要求保持一致。 例如,如果您打算遵守 COSO 框架的基準,您可以使用 COBIT 5 來衡量和定義 IT 控制的有效性。 此外,COBIT 5 定義了五個核心成熟度模型,可以幫助您確定就完全合規而言您是否走在正確的道路上。

使用 COBIT 框架 5 原則確保最佳實踐

ISACA 將 COBIT 5 建立在五個相關的指導原則之上,這些指導原則是 COBIT 獨特的信息治理和管理方法的基礎。 通過確保您的內部控制和 IT 流程與這些高級原則保持一致,可以輕鬆建立與您的業務目標相匹配的企業方法。

原則 1:滿足利益相關者的需求

ISACA 認識到您的組織擁有不同的利益相關者,這些利益相關者的需求各不相同,有時甚至相互衝突。 例如,營銷部門可能需要使用社交媒體來建立您的品牌形象。 儘管如此,第三方社交媒體應用程序通常會忽略 IT 部門需要緩解的數據威脅。

滿足利益相關者需求的最佳實踐是定義有形和相關的目標並定義責任級別。 這將幫助您識別和傳達促成因素的重要性。

原則 2:端到端覆蓋企業

信息治理需要整合所有與 IT 相關的技術。 組織中的每個人都應該了解實現業務目標的信息資產。 端到端覆蓋組織的最佳實踐包括定義治理促成因素、定義治理範圍以及分配角色和活動。

原則 3:使用單一的集成框架

COBIT 5 與各種框架保持一致。 一些與 IT 相關,而另一些與風險管理相關。 從企業管理方法來看,COBIT 5 借鑒了 ISO/IEC 9000、COSO ERM、ISO/IEC 31000 和 CSO。 從 IT 相關的方法來看,COBIT 專注於集成 ITIL、TOGAF、ISO/IEC 27000 系列、CMMI 和 ISO/IEC 38500。

應用集成框架的最佳實踐需要審查與您的組織相關的標準,參與適當的風險識別,並確保 COBIT 5 與您組織的目標保持一致。

原則 4:啟用整體方法

作為對信息治理採取整體方法的一部分,COBIT 尋求整合共同和單獨影響您的業務目標實現的因素。 框架、原則和政策將組織結構、企業道德文化和流程與服務/應用程序/基礎設施、人員/技能/能力和信息聯繫在一起。

啟用整體方法的最佳實踐包括定義關鍵決策實體,概述實現目標的活動和實踐,定義最重要的組織和個人成員的行為,以及根據個人技能和能力定義角色。

原則 5:將治理與管理分離

治理需要監控、指導和評估您實施的信息管理計劃。 另一方面,管理需要計劃、監控和運行日常活動。 您組織的董事會的角色是治理,而 CEO 領導下的執行管理層則受命於管理層。 儘管 COBIT 框架集成了 37 個流程和 5 個域,但高級概述提供了將治理與管理分離的大綱。

治理的最佳實踐可能包括創建企業指導原則、建立決策模型、創建權限級別、審查企業治理溝通以及接收有關治理績效和有效性的反饋。 管理的最佳實踐包括溝通基本規則、建立 IT 相關政策和溝通 IT 目標。

Ken Lynch 是一位企業軟件初創公司的資深人士,他一直著迷推動員工工作的因素以及如何讓工作更具吸引力。 Ken 創立 Reciprocity 就是為了追求這一點。

他推動了 Reciprocity 的成功,這一基於使命的目標是讓員工參與公司的治理、風險和合規目標,以培養更多具有社會意識的企業公民。 Ken 在麻省理工學院獲得計算機科學和電氣工程學士學位。 在 ReciprocityLabs.com 上了解更多信息。

對此有什麼想法嗎? 在評論中讓我們知道。

編輯推薦:

  • 保險合規官的角色和職責
  • 用於衡量合規有效性的 KPI
  • 持續監控實時合規性