Cobit
Cobit
© fotolia.com - Volker Pape
© fotolia.com - Volker Pape
Titel: | Informationstechnik |
Arbeitsgebiet: | IT-Governance |
Name des Standards: | Control Objectives for Information and Related Technology |
Inhalt und Anwendungsbereich
Das Management eines Unternehmens ist unter anderem für die Erreichung der Geschäftsziele, die Kontrolle der dabei verwendeten Ressourcen hinsichtlich Effektivität und Effizienz, die Einhaltung rechtlicher Rahmenbedingungen sowie die Handhabung der mit der Geschäftstätigkeit und dem Ressourceneinsatz verbundenen Risiken (Beispiel: Sicherheitsrisiken) verantwortlich. Dies gilt insbesondere für den Einsatz der IT als Ressource zur Realisierung von Geschäftsprozessen.
Zur Unterstützung des Managements und der damit befassten Fachabteilungen wie beispielsweise Interne Revision bei der Wahrnehmung dieser Verantwortung wurde mit Cobit (Control Objectives for Information and Related Technology) von der ISACA (Information Systems Audit and Control Association – Verband Internationaler Auditoren der Informatik) ein umfassendes Kontrollsystem respektive Rahmenwerk geschaffen, das alle Aspekte des IT-Einsatzes von der Planung bis zum Betrieb und der Entsorgung berücksichtigt und somit eine ganzheitliche Sicht auf die IT einnimmt.
Die Cobit umfasst eine Sammlung international akzeptierter und allgemein einsetzbarer Kontrollziele. Diese repräsentieren drei Sichten auf die IT und stellen die Interessen der jeweiligen Gruppe und deren Ziele dar. Sie umfassen folgende Aspekte:
Methodik
Cobit stellt sich als Sammlung von Informationen, Werkzeugen und Richtlinien dar, die die Sichtweisen der einzelnen durch IT-Governance angesprochenen Gruppen umfassend und spezifisch abbilden. Die Elemente von Cobit (und die jeweilige Zielgruppe im Unternehmen) sind:
Das Cobit-Framework enthält Anforderungen an die Geschäftsprozesse in den Kategorien Qualität, Sicherheit und Ordnungsmäßigkeit und den sieben Zielkriterien Vertraulichkeit, Verfügbarkeit, Integrität, Effektivität, Effizienz, Zuverlässigkeit und Einhaltung rechtlicher Erfordernisse.
Diese werden mit den verwendeten IT-Ressourcen in den Kategorien Daten, Anwendungen, Technologien, Anlagen und Personal in Zusammenhang gestellt und in die Gesamtsicht des zyklischen Prozesses „Planung & Organisation, Beschaffung & Implementierung, Betrieb & Unterstützung und Überwachung“ eingefügt, der den gesamten Lebenszyklus aller Ressourcen umfasst. Dabei steht das Ziel im Vordergrund, dass IT-Ressourcen kontrolliert geplant, entwickelt, implementiert sowie betrieben und überwacht werden. Diese vier übergeordneten Prozesse sind in insgesamt 34 kritische IT-Prozesse unterteilt, die für ein angemessenes Management der IT ausschlaggebend sind.
Durch Berücksichtigung entsprechender Prozesse und Festlegung von Kontrollziele werden die Ziele der Informationssicherheit im Unternehmen systematisch berücksichtigt. Durch Audit-Richtlinien wird der Stand der Implementierung überprüfbar und im Rahmen des zugehörigen Cobit-Reifegradmodelles mit sechs Reife-Stufen, beispielsweise nicht-existent, definierter Prozess, optimiert, differenziert bewertbar und der Fortschritt in der Implementierung messbar.
Aktuelle Ausgabe
Cobit 5: April 2012
4. Der Begriff IT-Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT eines Unternehmens durch die Unternehmensfüh¬rung zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie. Diese Steuerung (engl. "Governance") durch die Unternehmensführung ist notwendig, da die Informationsfunktion in vielen Unternehmen eine zunehmend wichtige Rolle spielen und somit deren reibungsloser Ablauf und konsequente Verbesserung der IT-Prozesse ein wesentlicher Erfolgsfaktor für die Unternehmen darstellt.
PCI DSS |
|
||||||
Richtlinie VDI/VDE2182 |
|
||||||
Cobit |
|
||||||
ITIL |
|