연관토픽
- [상위] IT 거버넌스(Governance)
- [연관] CoBIT 4.0(Control OBjectives for Information and related Technology 4.0)
- [연관] COBIT 2019
개념 : 기업 IT 거버넌스 프레임워크
- 조직이 IT 거버넌스와 관리를 위한 자신들의 목적을 달성하는 것을 지원하는 CoBIT 4.1을 계승하고, Risk IT와 Val IT를 통합하는 종합적인 프레임워크
- Cobit 5.0에서는 거버넌스 영역과 IT관리를 분리
- IT 거버넌스 : Evaluate, Direct, Monitor
- IT 관리 : Plan, Build, Run, Monitor를 APO, BAI, DSS, MEA 확장
- IT 거버넌스를 위한 세계적인 프레임워크로 정보 기술의 보안 및 통제 지침에 대한 틀을 제공하는 실무 지침서
- 조직이 IT거버넌스와 관리를 위한 자신들의 목적을 달성하는 것을 지원하는 종합적인 프레임워크를 제공하여 조직이 효과실현과 위험 수준 및 자원활동의 최적화 간에 균형을 유지하여 IT로부터 최적의 가치를 창출하는 것을 도와주는 체계
- ISACA에서 개발된 감사(audit) 도구로 개발되어, 현재는 IT와 관련된 통제 및 관리를 목적으로 하는 IT 통제 프레임워크
Cobit의 진화과정
- 감사, 통제, 관리의 범위에서 IT 전반적인 거버넌스의 과정을 거쳐, Cobit 5.0에서는 기업전반과 비즈니스의 정렬을 위한 Enterprise IT 거버넌스 영역으로 진화되었음
Cobit 5.0의 특징
특징 | 설명 |
통합프레임워크 | COBIT4.1, Val IT, Risk IT 의 통합 |
타 표준 연계강화 | ISO/IEC 38500, ISO/IEC 15504(SPICE), ITIL V3 등의 국제표준 수용 |
추가적인 가이드 | 엔터프라이즈 아키텍처, IT 자산관리 등과 같은 중요한 주제에 대해 추가적인 가이드를 제공 |
One Source Multi Use | 보안과 같은 특정 주제와 관련된 내용만을 쉽게 발췌하여 사용할 수 있도록 지침서 간의 내용중복을 최소화하고 일관성을 확보 |
CoBIT 5.0의 5가지 원칙
원칙 | 설명 |
1. 이해관계자의 Needs 충족 |
|
2. 조직의 모든 부문 포괄 |
|
3. 하나의 통합적인 프레임워크 적용 |
|
4. 총체적인 접근방법의 활용 |
|
5. 거버넌스와 관리의 분리 |
|
Cobit 5.0의 거버넌스 및 관리의 핵심영역
- ISO/IEC 38500과 ISO/IEC 20000 등의 국제표준과 산업의 Best Practice와 연계가 가능
Cobit 5.0의 7가지 가능수단(Enabler)
- 원칙, 정책 및 프레임워크 : IT지침, 정책, 내부규정
- 프로세스 : 업무 수행절차 및 수행역할, 업무 간의 선/후행 관계
- 조직구조 : IT 기능구현 조직체계, 의사결정 기구
- 문화, 윤리관 및 행동 : 개인적 및 집단적 행위를 규범 짓는 조직문화
- 정보 : 조직에 의해 생산, 사용되는 모든 정보
- 서비스, 인프라 및 애플리케이션 : IT 관련 서비스를 제공하는데 활용되는 애플리케이션, 인프라 같은 IT 자원
- 인력, 스킬 및 전문성 : 모든 활동 및 의사결정을 수행하는 인적 역량
CoBIT 5.0의 프로세스
- IT 거버넌스 프로세스 : 평가, 지휘, 모니터링(EDM)을 위한 5개 프로세스
- EDM(Evaluate, Direct, Monitoring) : 거버넌스 프레임워크 설정 및 유지관리, 효과제공, 위험 최적화, 자원 최적화 등
- IT 관리 프로세스 : 4개 프로세스 도메인, 32개 세부 프로세스
- APO(Align, Plan and Organize, 연계, 계획수립, 조직화) : 13개 세붓 프로세스
- BAI(Build, Acquire and Implement, 구축, 도입, 구현) : 10개 세부 프로세스
- DSS(Deliver, Service and Support, 운영, 서비스, 지원) : 6개 세부 프로세스
- MEA(Monitor, Evaluate and Asses, 감시, 평가, 감사) : 3개 세부 프로세스
도메인 | 설명 |
계획수립 및 조직화 (APO) |
|
도입 및 구축 (BAI) |
|
운영 및 지원 (DSS) |
|
감시 및 평가 (MEA) |
|
Cobit 5.0 프로세스 역량모델
구분 | 단계 | 설명 |
수준 5 | 최적화 | [수준4]에서 예측 가능한 프로세스가 지속적으로 개선되어, 관련된 현재 및 계획된 비즈니스 목표를 충족 |
수준 4 | 예측가능 | [수준3]에서 수립된 프로세스가 정의된 한계 내에서 운영되어, 프로세스 성과를 달성 |
수준 3 | 수립 | 프로세스 성과를 달성할 수 있는 정의된 프로세스를 이용하여 [수준2]의 관리되는 프로세스가 구현 |
수준 2 | 관리 | [수준1]의 수행되는 프로세스가 관리(계획, 모니터링 및 조정)되고 있으며, 작업 산출물이 적절하게 수립되고, 통제되고, 유지/관리되고 있는 상태 |
수준 1 | 수행 | 구현된 프로세스가 프로세스 목적을 달성 |
수준 0 | 미달성 | 프로세스가 구현되어 있지 않거나, 목적을 달성하지 못함 |
도메인의 변화
COBIT 4.1 도메인 | COBIT 5.0 도메인 |
계획수립 및 조직화 (PO) | Align, Plan and Organize (APO) |
도입 및 구축(AI) | Build, Acquire and Implement (BAI) |
운영 및 지원(DS) | Deliver, Service and Support (DSS) |
감시 및 평가(ME) | Monitor, Evaluate and Assess (MEA) |
모범답안