- Control Objectives for Information and Related Technologies
- 효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 1996년부터 발표해온 Best practice 기반 프레임워크
(현재는 2019년에 발표된 COBIT 2019가 최신)
개요
발전 과정
- COBIT1부터 COBIT2, COBIT3, COBIT4, COBIT4.1, COBIT5, COBIT 2019로 지속 개정
- 처음에는 감사 프레임워크였다가 개정이 지속되면서 범위 확대
특징
| 특징 | 설명 |
|---|---|
| Business Focused | 비즈니스적 목적을 위한 IT 거버넌스 |
| Process Oriented | Input, Task, R&R[1](RACI 차트)에 초점 |
| Control Based | Process 하위의 Task들을 통제하는 것을 기본으로 함 |
| Measurement Driven | 성과지표를 설정하고 측정 및 모니터링 |
5가지 목표
- 이해관계자의 요구사항 충족(Meeting Stakeholder Needs)
- 이해관계자의 요구사항에 대한 가치를 창출
- 조직의 모든 부분 포괄(Covering the Enterprise End-to-End)
- 조직 계층 간 포괄적인 역할, 활동, 관계를 정의 및 프로세스 정립
- 하나의 통합적인 프레임워크 적용(Applying a Single Integrated Framework)
- ITIL, ISO/IEC 20000, CMMi 등 활용 시에도 이를 통합 관리하기 위한 프레임워크 제공
- 포괄적 접근방법 활용(Enabling a Holistic Approach)
- 원리, 정책, 프레임워크 기반으로 프로세스, 조직구조, 문화/윤리/행위, 정보, 서비스/구조/어플리케이션, 사람/기술/역량 등에 대한 접근방법 활용
- 거버넌스와 관리의 분리(Separating Governance From Management)
- 거버넌스 프로세스: EDM
- 관리 프로세스: APO, BAI, DSS, MEA
주요 관점 및 프로세스
관점(3가지)
- IT 프로세스(IT Process)
- Domain, Process, Activity
- IT 요구사항(IT Requirement)
- People, Application, Technology, Facility, Data
- 비즈니스 요구사항(Business Requirement)
- Quality, Fiduciary, Security
프로세스
- 거버넌스 프로세스 1가지, 관리 프로세스 4가지, 프로세스별로 3가지 세부 프로세스
| 구분 | 프로세스 | 설명 |
|---|---|---|
| 거버넌스 | EDM |
|
| 관리 | APO |
|
| BAI |
| |
| DSS |
| |
| MEA |
|
7 가지 동인(Enabler)
| 동인 | 설명 |
|---|---|
| 원칙, 정책 및프레임워크 | – IT 지침, 정책, 내부 규정 |
| 프로세스 | – 업무 수행 절차 및 수행 역할, 업무 간 선/후행 관계 |
| 조직구조 | – IT 기능을 구현하는 조직체계, 의사결정 기구 |
| 문화, 윤리관및 행동 | – 개인적 및 집단적 행위를 규범 짓는 조직 문화 |
| 정보 | – 조직에 의해 생산되고 사용되는 모든 정보 |
| 서비스, 인프라및 어플리케이션 | – IT 관련 서비스를 제공하는 데 활용되는 어플리케이션, 인프라 같은 IT 자원 |
| 인력, 스킬및 전문성 | – 모든 활동 및 의사결정 수행 인적 역량 |
- ↑ 모든 파트별로 RACI 차트를 통해 주요 이해관계자(CEO, CISO, 개발자 등)의 역할 표현
