COBIT
COBIT (Control Objectives for Information and Related Technologies) er et rammeverk for IT-ledelse og IT-styring (IT governance) utviklet av Information Systems Audit and Control Association (ICASA).[1] Rammeverket er forretningsfokusert og definerer et sett av generiske prosesser for styring av IT. Hver prosess er definert sammen med prosessinnganger og -utganger, viktige prosessaktiviteter, prosessmål, resultatmål og en elementær modenhetsmodell.[1]
COBIT dekker sammenkobling av forretningsmål og mål for IT-organisasjonen, og brukes av en del større selskaper som har IT-intensive arbeidsprosesser.
Et viktig element i COBIT er bruken av revisjoner, og man kan bli sertifisert COBIT-revisor og jobbe med revisjoner av IT-styring.
Historie
[rediger | rediger kilde]COBIT ble først utgitt i 1996 for å hjelpe økonomiske revisorer å navigere i IT-relaterte miljøer.[1][2] I 1998 kom en versjon 2 som var påtenkt å treffe bredere enn bare revisjon. I 2000 kom versjon 3 med ytterligere utvidelser.
I 2005[3] kom den australske standarden AS 8015, og i januar 2007[4] kom utkastet til den internasjonale standarden ISO/IEC 38500. Disse økte fokuset på IKT-styring, og førte til at COBIT ble utvidet med relaterte komponenter og rammer i versjon 4 og 4.1 i henholdsvis 2005 og 2007. Blant annet ble det lagt til IT-relaterte forretningsprosesser og ansvar i verdiskaping (Val IT) og risikostyring (Risk IT)."[1][2]
I 2012 kom COBIT 5 som er basert på COBIT 4.1, Val IT 2.0 og Risk IT-rammeverket, og bygger på ISACA sin IT Assurance Framework (ITAF) og Business Model for Information Security (BMIS).[5][6]
ISACA tilbyr sertifisering for både COBIT 2019 (COBIT Foundations, COBIT Design & Implementation, og Implementering av NIST sitt Cybersecurity Framework ved hjelp av COBIT 2019).[7][8][9]
Rammeverk
[rediger | rediger kilde]Rammeverket inneholder følgende komponenter :
- Rammeverk: setter krav til praksis ved å koble forretningsmål mot IT
- Prosessbeskrivelser med føringer for planlegging, utvikling, gjennomføring og overvåkning av alle IT-prosesser
- Kontrollmål: liste over krav som har blitt satt av ledelsen for god internkontroll innen IT
- Modenhetsmodeller: metoder for å vurder modenheten og hvor god hver prosess er, og evne til å håndtere avvik fra arbeidsprosessene
- Retningslinjer for ledelsen: retningslinjer tydeliggjør ansvar og hvordan man kan måle ytelse opp mot forretningsmålene i praksis.
Forretnings- og IT-mål knyttes sammen og måles for å definere ansvar for forretning og IT.
COBIT identifiserer 5 prosesser:[10]
- Evaluere, styre og overvåke
- Innrette, planlegge og organisere
- Bygge, anskaffe og implementere
- Levere, sørvis og støtte
- Overvåke, evaluere og vurdere
COBIT-rammeverket knytter seg til COSO, ITIL,[11] BiSL, ISO 27000, CMMI, TOGAF og PMBOK.[1] Rammeverket har som mål å hjelpe bedrifter med å følge lovverk, være mer smidige og tjene mer penger.
Komponenter
[rediger | rediger kilde]Nedenfor er COBIT-komponenter:
- Rammeverk: Organiserer It-styring mål og god praksis AV IT-domener og prosesser og knytter dem til forretningskrav.
- Prosessbeskrivelser: en referanseprosessmodell og felles språk for alle i en organisasjon. Prosessene kartlegger ansvarsområder for å planlegge, bygge, kjøre og overvåke.
- Kontrollmål: Gir et komplett sett med krav på høyt nivå som skal vurderes av ledelsen for effektiv kontroll av HVER IT-prosess.
- Ledelsesretningslinjer: hjelper med å tildele ansvar, bli enige om mål, måle ytelse og illustrere sammenheng med andre prosesser.
- Modenhetsmodeller: Vurderer modenhet og evne per prosess og bidrar til å løse hull.
Standarden oppfyller alle praksisens behov, samtidig som den opprettholder uavhengighet fra spesifikke produsenter, teknologier og plattformer. Ved utviklingen av standarden var det mulig å bruke det både for revisjon av selskapets IT-systemet og for å designe ET IT-system. I DET første tilfellet LAR COBIT deg bestemme graden av samsvar av systemet under studien til de beste eksemplene, og i det andre å designe et system som er nesten ideelt i sine egenskaper.
Se også
[rediger | rediger kilde]Referanser
[rediger | rediger kilde]- ^ a b c d e Haes, S.D.; Grembergen, W.V. «Chapter 5: COBIT as a Framework for Enterprise Governance of IT». Enterprise Governance of Information Technology: Achieving Alignment and Value, Featuring COBIT 5 (2nd utg.). Springer. ISBN 9783319145471. Besøkt 24. juni 2016.
- ^ a b Stroud, R.E. «Introduction to COBIT 5» (PDF). ISACA. Besøkt 24. juni 2016.
- ^ da Cruz, M. «10: AS 8015-2005 - Australian Standard for Corporate Governance of ICT». I van Bon, J. Frameworks for IT Management. Van Haren Publishing. ISBN 9789077212905. Besøkt 23. juni 2016.
- ^ «ISO/IEC DIS 29382: 2007 Edition, February 1, 2007». IHS, Inc. Arkivert fra originalen 23. juni 2016. Besøkt 23. juni 2016.
- ^ «COBIT 5 for Information Security». ISACA. Besøkt 24. juni 2016.
- ^ «COBIT 5 for Assurance». ISACA. Besøkt 24. juni 2016.
- ^ «COBIT Certifications | Get Your COBIT Certificate | ISACA».
- ^ «COBIT 5 Certification | Get COBIT 5 Certified | ISACA». Arkivert fra originalen 25. september 2022. Besøkt 25. september 2022.
- ^ «Home».
- ^ COBIT 2019 Framework: Introduction and Methodology from ISACA
- ^ ITIL Foundation: 4th edition. AXELOS. 2019. ISBN 9780113316076.