COBIT: Difference between revisions

From IT Wiki
No edit summary
 
(18 intermediate revisions by 5 users not shown)
Line 1: Line 1:
[[분류:경영학]]
;Control Objectives for Information and Related Technologies
;Control Objectives for Information and Related Technologies
;효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 2009년부터 발표한 Best practice 기반 프레임워크
;효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 1996년부터 발표해온 Best practice 기반 프레임워크
* '''본 문서는 대부분의 내용이 COBIT 5기준'''
** (현재는 2019년에 발표된 [[COBIT 2019]]가 최신)


== 역사 ==
= 개요 =  
* COBIT1부터 COBIT2, COBIT3, COBIT4, COBIT4.1, COBIT5, COBIT 2009로 지속 개정
== 발전 과정 ==
* COBIT1부터 COBIT2, COBIT3, COBIT4, COBIT4.1, COBIT5, COBIT 2019로 지속 개정
* 처음에는 감사 프레임워크였다가 개정이 지속되면서 범위 확대
* 처음에는 감사 프레임워크였다가 개정이 지속되면서 범위 확대
[[파일:COBIT.png]]
[[파일:COBIT.png]]


== 관점 ==
== 특징 ==
{| class="wikitable"
|-
! 특징 !! 설명
|-
| Business Focused || 비즈니스적 목적을 위한 IT 거버넌스
|-
| Process Oriented || Input, Task, R&R<ref>모든 파트별로 RACI 차트를 통해 주요 이해관계자(CEO, CISO, 개발자 등)의 역할 표현</ref>([[RACI 차트]])에 초점
|-
| Control Based || Process 하위의 Task들을 통제하는 것을 기본으로 함
|-
| Measurement Driven || 성과지표를 설정하고 측정 및 모니터링
|}
 
== 5가지 원칙 ==
* '''이해관계자의 요구사항 충족(Meeting Stakeholder Needs)'''
** 이해관계자의 요구사항에 대한 가치를 창출
* '''조직의 모든 부분 포괄(Covering the Enterprise End-to-End)'''
** 조직 계층 간 포괄적인 역할, 활동, 관계를 정의 및 프로세스 정립
* '''하나의 통합적인 프레임워크 적용(Applying a Single Integrated Framework)'''
** [[ITIL]], [[ISO/IEC 20000]], [[CMMi]] 등 활용 시에도 이를 통합 관리하기 위한 프레임워크 제공
* '''포괄적 접근방법 활용(Enabling a Holistic Approach)'''
** 원리, 정책, 프레임워크 기반으로 프로세스, 조직구조, 문화/윤리/행위, 정보, 서비스/구조/어플리케이션, 사람/기술/역량 등에 대한 접근방법 활용
* '''거버넌스와 관리의 분리(Separating Governance From Management)'''
** 거버넌스 프로세스: EDM
** 관리 프로세스: APO, BAI, DSS, MEA
 
 
= 주요 관점 및 프로세스 =
== 관점(3가지) ==
[[파일:COBIT 큐브.jpg]]
[[파일:COBIT 큐브.jpg]]
* IT 프로세스(IT Process)
* '''IT 프로세스(IT Process)'''
** Domain, Process, Activity
** Domain, Process, Activity
* IT 요구사항(IT Requirement)
* '''IT 요구사항(IT Requirement)'''
** People, Application, Technology, Facility, Data
** People, Application, Technology, Facility, Data
* 비즈니스 요구사항(Business Requirement)
* '''비즈니스 요구사항(Business Requirement)'''
** Quality, Fiduciary, Security
** Quality, Fiduciary, Security


== 프로세스 ==
== 프로세스 ==
; 거버넌스 프로세스 3가지, 관리 프로세스 4가지로 구성됨
[[파일:COBIT 구조도.png]]
{| class="wikitable"
{| class="wikitable"
|-
|-
! 프로세스 !! 설명
! 구분 !! 프로세스 !! 설명
|-
|-
| EDM ||  
| 거버넌스
! EDM  
||  
* Evaluate, Direct, Monitoring
* Evaluate, Direct, Monitoring
* 프레임워크의 설정 및 유지관리, 효과제공, 위험 최적화, 자원 최적화, 이해관계자 투명성 확보
* 프레임워크의 설정 및 유지관리, 효과제공, 위험 최적화, 자원 최적화, 이해관계자 투명성 확보
|-
|-
| APO ||  
| rowspan="4" | 관리
! 기획
APO  
||  
* Align, Plan, Organize
* Align, Plan, Organize
* 전략관리, 혁신관리, 포트폴리오 관리, 인적자원 관리, 품질관리, 보안관리
* 전략관리, 혁신관리, 포트폴리오 관리, 인적자원 관리, 품질관리, 보안관리
|-
|-
| BAI ||  
! 구축
BAI  
||  
* Build, Acquire, Implement
* Build, Acquire, Implement
* 프로그램/프로젝트 관리, 요구사항 관리, 변경관리, 자산관리, 구성관리
* 프로그램/프로젝트 관리, 요구사항 관리, 변경관리, 자산관리, 구성관리
|-
|-
| DSS ||  
! 운영
DSS  
||  
* Delivery, Service, Support
* Delivery, Service, Support
* 운영관리, 문제관리, 연속성관리, 비즈니스 프로세스 통제 관리
* 운영관리, 문제관리, 연속성관리, 비즈니스 프로세스 통제 관리
|-
|-
| MEA ||  
! 모니터링
* Monitor, Evaluate, Access
MEA  
||  
* Monitor, Evaluate, Assess
* 성과 및 준수, 내부 통제 시스템 모니터링, 평가 및 진단 등
* 성과 및 준수, 내부 통제 시스템 모니터링, 평가 및 진단 등
|}
== COBIT 2019 의 7 가지 Component (COBIT 5의 동인(Enabler)) ==
{| class="wikitable"
! 동인
! 설명
|-
| 원칙, 정책, 프레임워크
| – IT 지침, 정책, 내부 규정
|-
| 프로세스
| – 업무 수행 절차 및 수행 역할, 업무 간 선/후행 관계
|-
| 조직구조
| – IT 기능을 구현하는 조직체계, 의사결정 기구
|-
| 문화, 윤리, 행동
| – 개인적 및 집단적 행위를 규범 짓는 조직 문화
|-
| 정보
| – 조직에 의해 생산되고 사용되는 모든 정보
|-
| 서비스, 인프라, 애플리케이션
| – IT 관련 서비스를 제공하는 데 활용되는 어플리케이션, 인프라 같은 IT 자원
|-
| 인력, 스킬, 전문성
| – 모든 활동 및 의사결정 수행 인적 역량
|}
|}

Latest revision as of 15:42, 15 August 2023

Control Objectives for Information and Related Technologies
효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 1996년부터 발표해온 Best practice 기반 프레임워크
  • 본 문서는 대부분의 내용이 COBIT 5기준
    • (현재는 2019년에 발표된 COBIT 2019가 최신)

개요[edit | edit source]

발전 과정[edit | edit source]

  • COBIT1부터 COBIT2, COBIT3, COBIT4, COBIT4.1, COBIT5, COBIT 2019로 지속 개정
  • 처음에는 감사 프레임워크였다가 개정이 지속되면서 범위 확대

COBIT.png

특징[edit | edit source]

특징 설명
Business Focused 비즈니스적 목적을 위한 IT 거버넌스
Process Oriented Input, Task, R&R[1](RACI 차트)에 초점
Control Based Process 하위의 Task들을 통제하는 것을 기본으로 함
Measurement Driven 성과지표를 설정하고 측정 및 모니터링

5가지 원칙[edit | edit source]

  • 이해관계자의 요구사항 충족(Meeting Stakeholder Needs)
    • 이해관계자의 요구사항에 대한 가치를 창출
  • 조직의 모든 부분 포괄(Covering the Enterprise End-to-End)
    • 조직 계층 간 포괄적인 역할, 활동, 관계를 정의 및 프로세스 정립
  • 하나의 통합적인 프레임워크 적용(Applying a Single Integrated Framework)
  • 포괄적 접근방법 활용(Enabling a Holistic Approach)
    • 원리, 정책, 프레임워크 기반으로 프로세스, 조직구조, 문화/윤리/행위, 정보, 서비스/구조/어플리케이션, 사람/기술/역량 등에 대한 접근방법 활용
  • 거버넌스와 관리의 분리(Separating Governance From Management)
    • 거버넌스 프로세스: EDM
    • 관리 프로세스: APO, BAI, DSS, MEA


주요 관점 및 프로세스[edit | edit source]

관점(3가지)[edit | edit source]

COBIT 큐브.jpg

  • IT 프로세스(IT Process)
    • Domain, Process, Activity
  • IT 요구사항(IT Requirement)
    • People, Application, Technology, Facility, Data
  • 비즈니스 요구사항(Business Requirement)
    • Quality, Fiduciary, Security

프로세스[edit | edit source]

거버넌스 프로세스 3가지, 관리 프로세스 4가지로 구성됨

COBIT 구조도.png

구분 프로세스 설명
거버넌스 EDM
  • Evaluate, Direct, Monitoring
  • 프레임워크의 설정 및 유지관리, 효과제공, 위험 최적화, 자원 최적화, 이해관계자 투명성 확보
관리 기획

APO

  • Align, Plan, Organize
  • 전략관리, 혁신관리, 포트폴리오 관리, 인적자원 관리, 품질관리, 보안관리
구축

BAI

  • Build, Acquire, Implement
  • 프로그램/프로젝트 관리, 요구사항 관리, 변경관리, 자산관리, 구성관리
운영

DSS

  • Delivery, Service, Support
  • 운영관리, 문제관리, 연속성관리, 비즈니스 프로세스 통제 관리
모니터링

MEA

  • Monitor, Evaluate, Assess
  • 성과 및 준수, 내부 통제 시스템 모니터링, 평가 및 진단 등

COBIT 2019 의 7 가지 Component (COBIT 5의 동인(Enabler))[edit | edit source]

동인 설명
원칙, 정책, 프레임워크 – IT 지침, 정책, 내부 규정
프로세스 – 업무 수행 절차 및 수행 역할, 업무 간 선/후행 관계
조직구조 – IT 기능을 구현하는 조직체계, 의사결정 기구
문화, 윤리, 행동 – 개인적 및 집단적 행위를 규범 짓는 조직 문화
정보 – 조직에 의해 생산되고 사용되는 모든 정보
서비스, 인프라, 애플리케이션 – IT 관련 서비스를 제공하는 데 활용되는 어플리케이션, 인프라 같은 IT 자원
인력, 스킬, 전문성 – 모든 활동 및 의사결정 수행 인적 역량
  1. 모든 파트별로 RACI 차트를 통해 주요 이해관계자(CEO, CISO, 개발자 등)의 역할 표현