Quelle: ISACA
COBIT 5 - IT-Governance-Framework auch für die Sicherheitsspezialisten
Artikel erschienen in Swiss IT Magazine 2013/03
Artikel erschienen in Swiss IT Magazine 2013/03
Im Artikel von Peter Josi wird COBIT 5 erwähnt, das umfassende und weltweit akzeptierte IT-Governance Framework. In den letzten 16 Jahren hat COBIT zahlreiche Anhänger gewonnen, da sich das ursprünglich für die Prüfer konzipierte Framework in mehreren Stufen zu einem umfassenden Management- und Governance-Modell entwickelt hat, das einen Vergleich mit dem COSO-Modell nicht scheuen muss.
Auch wenn die meisten COBIT-Anwender realisiert haben, dass eine neue Version erschienen ist, haben wohl die wenigsten verstanden, welche wichtigen Änderungen und Erweiterungen vorgenommen wurden. Nachfolgend ist eine Zusammenfassung aufgeführt – die Bedeutung dieser teils fundamentalen Schritte erschliesst sich einem jedoch erst nach einem sorgfältigen Studium resp. im alltäglichen Einsatz. Die wohl wichtigsten Änderungen sind:
Auch wenn die meisten COBIT-Anwender realisiert haben, dass eine neue Version erschienen ist, haben wohl die wenigsten verstanden, welche wichtigen Änderungen und Erweiterungen vorgenommen wurden. Nachfolgend ist eine Zusammenfassung aufgeführt – die Bedeutung dieser teils fundamentalen Schritte erschliesst sich einem jedoch erst nach einem sorgfältigen Studium resp. im alltäglichen Einsatz. Die wohl wichtigsten Änderungen sind:
-Erweiterung um fünf neue Governance-Prozesse und klare Trennung in Governance- Praktiken resp. Management-Praktiken
- bessere Fokussierung auf die wichtigsten 16 internationalen Frameworks (wie COSO, King III, OEDC-Richtlinien, ISO9000, ISO20000, ISO27000, ISO38500, ITIL V3, Prince2/PMBOK, TOGAF, NIST 800 usw.) und Elimination von eher sekundären weiteren zwei Dutzend Frameworks
- Einbezug von bis anhin fehlenden oder sehr schwach abgedeckten Themen wie Grundsätze, Richtlinien und Frameworks, Organisationsstrukturen oder z.B. Kultur, Ethik und Verhalten
- sehr sorgfältige Überarbeitung der Struktur und Inhalte der einzelnen Prozesse mit feineren Input/Output-Charts (zeigen auf, welche Informationen ein Subprozess von welchem anderen Subprozess benötigt resp. an diesen liefert), neue generische Funktionen und deutlich erweiterte RACI-Charts (also Rollen und Verantwortlichkeiten)
- sehr präzis ausformulierte Ziele und Metriken für sämtliche 37 Prozesse, ergänzt mit 22 generellen IT-Ziele und passenden Metriken
- bessere Fokussierung auf die wichtigsten 16 internationalen Frameworks (wie COSO, King III, OEDC-Richtlinien, ISO9000, ISO20000, ISO27000, ISO38500, ITIL V3, Prince2/PMBOK, TOGAF, NIST 800 usw.) und Elimination von eher sekundären weiteren zwei Dutzend Frameworks
- Einbezug von bis anhin fehlenden oder sehr schwach abgedeckten Themen wie Grundsätze, Richtlinien und Frameworks, Organisationsstrukturen oder z.B. Kultur, Ethik und Verhalten
- sehr sorgfältige Überarbeitung der Struktur und Inhalte der einzelnen Prozesse mit feineren Input/Output-Charts (zeigen auf, welche Informationen ein Subprozess von welchem anderen Subprozess benötigt resp. an diesen liefert), neue generische Funktionen und deutlich erweiterte RACI-Charts (also Rollen und Verantwortlichkeiten)
- sehr präzis ausformulierte Ziele und Metriken für sämtliche 37 Prozesse, ergänzt mit 22 generellen IT-Ziele und passenden Metriken
Obwohl ISO27001/2 (resp. 17799) bereits seit vielen Jahren in COBIT integriert sind, wurde in der Vergangenheit COBIT von Sicherheitsspezialisten häufig gemieden. Wer sich die Mühe nimmt, das Framework sowie den zusätzlichen Professional Guide “COBIT 5 for Security” genauer anzuschauen, müsste begeistert sein: Einerseits wird das eigentliche COBIT-Framework absolut konsistent mit sicherheitsspezifischen Aktivitäten, Informationen, Zielen und Metriken erweitert – andererseits definiert COBIT verschiedene sicherheitsrelevante Rollen in zahlreichen Einzelheiten und beschäftigt sich z.B. auch mit der optimalen Unterstellung eines “Chief Security Officer”. COBIT 5 for Security enthält unter anderem auch Aufstellungen von sicherheitsrelevanten Informationen, eigentlichen Sicherheitsservices, den notwendigen Sicherheitsrichtlinien und vieles andere mehr.
ISACA hat mit der aktuellen Version 5 einen entscheidenden Schritt in Richtung umfassendes Kontroll- und Governance-Framework gemacht. Als COBIT-Anwender der ersten Stunde und profunder Kenner der letzten Version 4 (bei deren Übersetzung ich persönlich engagiert war) bin ich absolut begeistert von den bis anhin veröffentlichten Unterlagen (Framework, Enabler Guide, Professional Guide). Ich warte mit grosser Spannung auf die beiden bereits angekündigten Professional Guides “COBIT for Risk” und “COBIT for Assurance”.
Die wichtigsten Kernelemente von COBIT 5 (also das eigentliche Framework und den “Enabler Guide” COBIT Enabling Processes) wurden bereits auf Deutsch übersetzt und sind bei www.isaca.org erhältlich. Wer aktuelle Ausbildungen sucht, wird auf www.isaca.ch fündig, wo neben COBIT 5 Foundation u.a. auch ein extrem verdichteter Eintageskurs angeboten wird.
Peter R. Bitterli, CISA, CISM, CGEIT, ISACA Switzerland Chapter, Aus- und Weiterbildung
ISACA hat mit der aktuellen Version 5 einen entscheidenden Schritt in Richtung umfassendes Kontroll- und Governance-Framework gemacht. Als COBIT-Anwender der ersten Stunde und profunder Kenner der letzten Version 4 (bei deren Übersetzung ich persönlich engagiert war) bin ich absolut begeistert von den bis anhin veröffentlichten Unterlagen (Framework, Enabler Guide, Professional Guide). Ich warte mit grosser Spannung auf die beiden bereits angekündigten Professional Guides “COBIT for Risk” und “COBIT for Assurance”.
Die wichtigsten Kernelemente von COBIT 5 (also das eigentliche Framework und den “Enabler Guide” COBIT Enabling Processes) wurden bereits auf Deutsch übersetzt und sind bei www.isaca.org erhältlich. Wer aktuelle Ausbildungen sucht, wird auf www.isaca.ch fündig, wo neben COBIT 5 Foundation u.a. auch ein extrem verdichteter Eintageskurs angeboten wird.
Peter R. Bitterli, CISA, CISM, CGEIT, ISACA Switzerland Chapter, Aus- und Weiterbildung
Artikel kommentieren
