COBIT: Difference between revisions
From IT Wiki
No edit summary |
m (→프로세스) |
||
(18 intermediate revisions by 5 users not shown) | |||
Line 1: | Line 1: | ||
[[분류:경영학]] | |||
;Control Objectives for Information and Related Technologies | ;Control Objectives for Information and Related Technologies | ||
;효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 | ;효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 1996년부터 발표해온 Best practice 기반 프레임워크 | ||
* '''본 문서는 대부분의 내용이 COBIT 5기준''' | |||
** (현재는 2019년에 발표된 [[COBIT 2019]]가 최신) | |||
== | = 개요 = | ||
* COBIT1부터 COBIT2, COBIT3, COBIT4, COBIT4.1, COBIT5, COBIT | == 발전 과정 == | ||
* COBIT1부터 COBIT2, COBIT3, COBIT4, COBIT4.1, COBIT5, COBIT 2019로 지속 개정 | |||
* 처음에는 감사 프레임워크였다가 개정이 지속되면서 범위 확대 | * 처음에는 감사 프레임워크였다가 개정이 지속되면서 범위 확대 | ||
[[파일:COBIT.png]] | [[파일:COBIT.png]] | ||
== 관점 == | == 특징 == | ||
{| class="wikitable" | |||
|- | |||
! 특징 !! 설명 | |||
|- | |||
| Business Focused || 비즈니스적 목적을 위한 IT 거버넌스 | |||
|- | |||
| Process Oriented || Input, Task, R&R<ref>모든 파트별로 RACI 차트를 통해 주요 이해관계자(CEO, CISO, 개발자 등)의 역할 표현</ref>([[RACI 차트]])에 초점 | |||
|- | |||
| Control Based || Process 하위의 Task들을 통제하는 것을 기본으로 함 | |||
|- | |||
| Measurement Driven || 성과지표를 설정하고 측정 및 모니터링 | |||
|} | |||
== 5가지 원칙 == | |||
* '''이해관계자의 요구사항 충족(Meeting Stakeholder Needs)''' | |||
** 이해관계자의 요구사항에 대한 가치를 창출 | |||
* '''조직의 모든 부분 포괄(Covering the Enterprise End-to-End)''' | |||
** 조직 계층 간 포괄적인 역할, 활동, 관계를 정의 및 프로세스 정립 | |||
* '''하나의 통합적인 프레임워크 적용(Applying a Single Integrated Framework)''' | |||
** [[ITIL]], [[ISO/IEC 20000]], [[CMMi]] 등 활용 시에도 이를 통합 관리하기 위한 프레임워크 제공 | |||
* '''포괄적 접근방법 활용(Enabling a Holistic Approach)''' | |||
** 원리, 정책, 프레임워크 기반으로 프로세스, 조직구조, 문화/윤리/행위, 정보, 서비스/구조/어플리케이션, 사람/기술/역량 등에 대한 접근방법 활용 | |||
* '''거버넌스와 관리의 분리(Separating Governance From Management)''' | |||
** 거버넌스 프로세스: EDM | |||
** 관리 프로세스: APO, BAI, DSS, MEA | |||
= 주요 관점 및 프로세스 = | |||
== 관점(3가지) == | |||
[[파일:COBIT 큐브.jpg]] | [[파일:COBIT 큐브.jpg]] | ||
* IT 프로세스(IT Process) | * '''IT 프로세스(IT Process)''' | ||
** Domain, Process, Activity | ** Domain, Process, Activity | ||
* IT 요구사항(IT Requirement) | * '''IT 요구사항(IT Requirement)''' | ||
** People, Application, Technology, Facility, Data | ** People, Application, Technology, Facility, Data | ||
* 비즈니스 요구사항(Business Requirement) | * '''비즈니스 요구사항(Business Requirement)''' | ||
** Quality, Fiduciary, Security | ** Quality, Fiduciary, Security | ||
== 프로세스 == | == 프로세스 == | ||
; 거버넌스 프로세스 3가지, 관리 프로세스 4가지로 구성됨 | |||
[[파일:COBIT 구조도.png]] | |||
{| class="wikitable" | {| class="wikitable" | ||
|- | |- | ||
! 프로세스 !! 설명 | ! 구분 !! 프로세스 !! 설명 | ||
|- | |- | ||
| EDM || | | 거버넌스 | ||
! EDM | |||
|| | |||
* Evaluate, Direct, Monitoring | * Evaluate, Direct, Monitoring | ||
* 프레임워크의 설정 및 유지관리, 효과제공, 위험 최적화, 자원 최적화, 이해관계자 투명성 확보 | * 프레임워크의 설정 및 유지관리, 효과제공, 위험 최적화, 자원 최적화, 이해관계자 투명성 확보 | ||
|- | |- | ||
| APO || | | rowspan="4" | 관리 | ||
! 기획 | |||
APO | |||
|| | |||
* Align, Plan, Organize | * Align, Plan, Organize | ||
* 전략관리, 혁신관리, 포트폴리오 관리, 인적자원 관리, 품질관리, 보안관리 | * 전략관리, 혁신관리, 포트폴리오 관리, 인적자원 관리, 품질관리, 보안관리 | ||
|- | |- | ||
! 구축 | |||
BAI | |||
|| | |||
* Build, Acquire, Implement | * Build, Acquire, Implement | ||
* 프로그램/프로젝트 관리, 요구사항 관리, 변경관리, 자산관리, 구성관리 | * 프로그램/프로젝트 관리, 요구사항 관리, 변경관리, 자산관리, 구성관리 | ||
|- | |- | ||
! 운영 | |||
DSS | |||
|| | |||
* Delivery, Service, Support | * Delivery, Service, Support | ||
* 운영관리, 문제관리, 연속성관리, 비즈니스 프로세스 통제 관리 | * 운영관리, 문제관리, 연속성관리, 비즈니스 프로세스 통제 관리 | ||
|- | |- | ||
! 모니터링 | |||
* Monitor, Evaluate, | MEA | ||
|| | |||
* Monitor, Evaluate, Assess | |||
* 성과 및 준수, 내부 통제 시스템 모니터링, 평가 및 진단 등 | * 성과 및 준수, 내부 통제 시스템 모니터링, 평가 및 진단 등 | ||
|} | |||
== COBIT 2019 의 7 가지 Component (COBIT 5의 동인(Enabler)) == | |||
{| class="wikitable" | |||
! 동인 | |||
! 설명 | |||
|- | |||
| 원칙, 정책, 프레임워크 | |||
| – IT 지침, 정책, 내부 규정 | |||
|- | |||
| 프로세스 | |||
| – 업무 수행 절차 및 수행 역할, 업무 간 선/후행 관계 | |||
|- | |||
| 조직구조 | |||
| – IT 기능을 구현하는 조직체계, 의사결정 기구 | |||
|- | |||
| 문화, 윤리, 행동 | |||
| – 개인적 및 집단적 행위를 규범 짓는 조직 문화 | |||
|- | |||
| 정보 | |||
| – 조직에 의해 생산되고 사용되는 모든 정보 | |||
|- | |||
| 서비스, 인프라, 애플리케이션 | |||
| – IT 관련 서비스를 제공하는 데 활용되는 어플리케이션, 인프라 같은 IT 자원 | |||
|- | |||
| 인력, 스킬, 전문성 | |||
| – 모든 활동 및 의사결정 수행 인적 역량 | |||
|} | |} |
Latest revision as of 15:42, 15 August 2023
- Control Objectives for Information and Related Technologies
- 효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위해 ISACA에서 1996년부터 발표해온 Best practice 기반 프레임워크
- 본 문서는 대부분의 내용이 COBIT 5기준
- (현재는 2019년에 발표된 COBIT 2019가 최신)
개요[edit | edit source]
발전 과정[edit | edit source]
- COBIT1부터 COBIT2, COBIT3, COBIT4, COBIT4.1, COBIT5, COBIT 2019로 지속 개정
- 처음에는 감사 프레임워크였다가 개정이 지속되면서 범위 확대
특징[edit | edit source]
특징 | 설명 |
---|---|
Business Focused | 비즈니스적 목적을 위한 IT 거버넌스 |
Process Oriented | Input, Task, R&R[1](RACI 차트)에 초점 |
Control Based | Process 하위의 Task들을 통제하는 것을 기본으로 함 |
Measurement Driven | 성과지표를 설정하고 측정 및 모니터링 |
5가지 원칙[edit | edit source]
- 이해관계자의 요구사항 충족(Meeting Stakeholder Needs)
- 이해관계자의 요구사항에 대한 가치를 창출
- 조직의 모든 부분 포괄(Covering the Enterprise End-to-End)
- 조직 계층 간 포괄적인 역할, 활동, 관계를 정의 및 프로세스 정립
- 하나의 통합적인 프레임워크 적용(Applying a Single Integrated Framework)
- ITIL, ISO/IEC 20000, CMMi 등 활용 시에도 이를 통합 관리하기 위한 프레임워크 제공
- 포괄적 접근방법 활용(Enabling a Holistic Approach)
- 원리, 정책, 프레임워크 기반으로 프로세스, 조직구조, 문화/윤리/행위, 정보, 서비스/구조/어플리케이션, 사람/기술/역량 등에 대한 접근방법 활용
- 거버넌스와 관리의 분리(Separating Governance From Management)
- 거버넌스 프로세스: EDM
- 관리 프로세스: APO, BAI, DSS, MEA
주요 관점 및 프로세스[edit | edit source]
관점(3가지)[edit | edit source]
- IT 프로세스(IT Process)
- Domain, Process, Activity
- IT 요구사항(IT Requirement)
- People, Application, Technology, Facility, Data
- 비즈니스 요구사항(Business Requirement)
- Quality, Fiduciary, Security
프로세스[edit | edit source]
- 거버넌스 프로세스 3가지, 관리 프로세스 4가지로 구성됨
구분 | 프로세스 | 설명 |
---|---|---|
거버넌스 | EDM |
|
관리 | 기획
APO |
|
구축
BAI |
| |
운영
DSS |
| |
모니터링
MEA |
|
COBIT 2019 의 7 가지 Component (COBIT 5의 동인(Enabler))[edit | edit source]
동인 | 설명 |
---|---|
원칙, 정책, 프레임워크 | – IT 지침, 정책, 내부 규정 |
프로세스 | – 업무 수행 절차 및 수행 역할, 업무 간 선/후행 관계 |
조직구조 | – IT 기능을 구현하는 조직체계, 의사결정 기구 |
문화, 윤리, 행동 | – 개인적 및 집단적 행위를 규범 짓는 조직 문화 |
정보 | – 조직에 의해 생산되고 사용되는 모든 정보 |
서비스, 인프라, 애플리케이션 | – IT 관련 서비스를 제공하는 데 활용되는 어플리케이션, 인프라 같은 IT 자원 |
인력, 스킬, 전문성 | – 모든 활동 및 의사결정 수행 인적 역량 |
- ↑ 모든 파트별로 RACI 차트를 통해 주요 이해관계자(CEO, CISO, 개발자 등)의 역할 표현