COBIT (bis Version 4.1 Control Objectives for Information and Related Technology, ab Version 5.0 nur mehr als Akronym in Verwendung9

COBIT 5 wurde im April 2012 veröffentlicht und konsolidiert und integriert COBIT 4.1, Val IT 2.0 sowie das Risk IT Framework und BMIS (Business Model for Information Security).

COBIT wurde ursprünglich (1996) vom internationalen Verband der IT-Prüfer (Information Systems Audit and Control Association, ISACA) entwickelt und hat sich von einem Werkzeug für IT-Prüfer (Auditoren) zu einem Werkzeug für die Steuerung der IT aus Unternehmenssicht entwickelt und wird unter anderem auch als Modell zur Sicherstellung der Einhaltung gesetzlicher Anforderungen (Compliance) eingesetzt.  Stand bis Version 4.1 COBIT noch als Abkürzung für Control Objectives for Information and Related Technology, so wird ab Version 5.0 nur mehr das Akronym verwendet um den Wechsel vom ursprünglichen Framework für Auditoren hin in Richtung Steuerung der gesamten Unternehmens-IT zu dokumentieren.

COBIT ist in starker Anlehnung an COSO erstellt worden, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten. Der Anspruch von COBIT ist, das Bindeglied zwischen den unternehmensweiten Steuerungs-Frameworks (COSO) und den IT-spezifischen Modellen (z.B. ITIL, ISO 27001/27002 etc.) zu sein. Dass COBIT diesem Anspruch gerecht wird, zeigt die hohe internationale  Verbreitung von COBIT als Steuerungsmodell vieler grosser Unternehmen.

Dem Konzept werden fünf grundlegende Prinzipien für die Governance und das Management der Unternehmens-IT zugrunde gelegt:

  • Erfüllung der Anforderungen der Anspruchsgruppen
  • Abdeckung des gesamten Unternehmens
  • Anwendung eines einheitlichen, integrierten Rahmenwerks
  • Ermöglichung eines ganzheitlichen Ansatzes
  • Unterscheidung zwischen Governance und Management

Ausbildung und Zertifizierungen                  

Für die Ausbildung und Zertifizierung nach COBIT5 hat der Markeninhaber ISACA (mit dem deutschen Chapter pflegt das itSMF eine Kooperation) ein Akkreditierungsmodell mit APMG-International aufgesetzt.

Verfügbare Zertifizierungsebenen:

 

ZertifizierungInhalt
COBIT5 Foundation  
  • Verständnis von Governance und Management von IT
  • Sensibilisierung von Unternehmens- und IT-Leitung 
  • Bewertung des aktuellen Zustands der IT auf Abteilungs- oder Unternehmensebene
  • Auswahl der zur Anwendung geeigneten COBIT 5 Aspekte.
COBIT5 Implementation  
  • Analyse von Geschäftstreibern
  • Verständnis für Herausforderungen bei der Anwendung, Grundursachen und Erfolgsfaktoren
  • Bestimmung und Bewertung der gegenwärtigen Prozessfähigkeit
  • Festlegung des Umfangs und Planung von Verbesserungen
  • Verständnis für potenzielle Umsetzungsschwierigkeiten
  • Kenntnis der aktuellsten Best Practices.
COBIT5 Assessor  
  • Durchführung einer Prozessfähigkeitsbeurteilung mithilfe des Assessor Guide unter Einsatz von COBIT 5
  • Anwendung des Process Assessment Model (PAM) bei der Durchführung einer Prozessfähigkeitsbewertung, insbesondere:
    • Anwendung des Process Reference Model, insbesondere zur Nutzung der 37 im PRM enthaltenen Prozesse
    • Anwendung und Analyse des Messmodells bei der Bewertung von Prozessfähigkeitsstufen
    • Anwendung und Analyse der Fähigkeitsdimension mithilfe allgemeiner Kriterien, die im PAM festgelegt sind
  • Identifikation und Bewertung der Rollen und Verantwortlichkeiten im Bewertungsprozess der Prozessfähigkeit
  • Durchführung und Bewertung der 7 Schritte des Assessor-Guide, insbesondere:
    • Initiierung einer Prozessbewertung
    • Festlegung des Bewertungsumfangs mithilfe der zur Verfügung stehenden Tools und des PAM zur Auswahl der angemessenen Prozesse
    • Zusammenstellung und Briefing der Teams
    • Erfassung und Prüfung der Daten
    • Rating der Prozessmerkmale
    • Berichterstattung über die Ergebnisse der Bewertung
    • Anwendung des Self-Assessment Guide
COBIT5 Assessor for Security  
  • How to perform a process capability assessment using the Assessor Guide: using COBIT 5.
  • How to apply the Process Assessment Model (the PAM) in performing a process capability assessment. Specifically:
    • To use the Process Reference Model, in particular to be able to use the 37 processes outlined in the PRM.
    • To apply and analyse the measurement model in assessing process capability levels.
    • To apply and analyse the capability dimension using generic criteria outlined in the PAM.
  • How to identify and assess the roles and responsibilities in the process capability assessment process.
  • How to perform and assess the 7 steps outlined in the Assessor Guide. Specifically:
    • Initiate a process assessment
    • Scope an assessment, using the tools provided and the PAM for the selection of the appropriate processes
    • Plan & Brief the teams
    • Collect & Validate the data
    • Do a process attribute rating
    • Report the findings of the assessment.
    • How to use the self-assessment guide.
Implementing the NIST standard for COBIT5
  • Levels of IT-related risk and make informed decisions to reduce information security incidents
  • Awareness of business impacts
  • Understanding relationship of business systems and their associated risk appetite
  • Understanding of business requirements and mission objectives and their priorities
  • Enhanced view of the operational environment to discern the likelihood of a cybersecurity event
  • Understanding of cyber threats to the business units and their mission objectives
  • Understanding of all compliance requirements for each business unit
  • Understanding of security controls and their importance in managing operational security risks
  • Detailed understanding of required actions to close gaps in cybersecurity requirements
  • Understanding of cybersecurity requirements for their associated business systems

 

Zu den eigenen Zertifizierungen der ISACA