COBIT


COBIT (ang. Control Objectives for Information and related Technology) jest metodyką utworzoną poprzez zbiór celów kontrolnych dla technologii informacyjnych i powiązanych. Jest to zestawienie dobrych praktyk do zarządzania IT utworzonych w 1992 roku przez stowarzyszenie ISACA oraz IT Governance Institute. Obecnie obowiązuje czwarta edycja tego pakietu.

Metodyka COBIT służy jako pomoc w zarządzaniu, kontroli i audycie systemów informatycznych. W COBIT zarządzanie IT jest oglądane z trzech perspektyw:

 

  • wymagań biznesowych,
  • procesów zachodzących w organizacji IT,
  • zasobów IT.

Każde wymaganie biznesowe jest opisane przez siedem biznesowych wymogów informacyjnych. Stanowią one jednocześnie kryteria kontrolne pozwalające zweryfikować stopień spełnienia wymagania. Są to:

 

  • skuteczność (ang. effectiveness) – zapewnienie, że informacja wykorzystywana w procesach biznesowych jest dla nich odpowiednia i adekwatna, dostarczona na czas w sposób prawidłowy, spójny i użyteczny,
  • wydajność (ang. efficiency) – zapewnienie, że dostarczenie informacji odbywa się w ramach optymalnego zużycia zasobów,
  • poufność (ang. confidentiality) – zapewnienie, że dostęp do informacji mają tylko osoby uprawnione,
  • integralność (ang. integrity) – zapewnienie, że informacja pozostaje dokładna i kompletna,
  • dostępność (ang. availability) – zapewnienie, że dostęp do informacji jest możliwy wtedy, gdy jest to wymagane w procesie biznesowym,
  • zgodność (ang. compliance) – zapewnienie, że każdy element systemu informacyjnego pozostaje zgodny z przepisami prawa, regulacjami i umowami, dla których przedmiotem jest proces biznesowy,
  • wiarygodność (ang. reliability) – zapewnienie właściwych informacji dla zarządzania organizacją i dla kierownictwa, aby mogło realizować obowiązki finansowe i sprawozdawcze.

 

Sfera procesów zachodzących w organizacji została podzielona hierarchicznie na trzy części – od ogólnych domen, poprzez procesy, do poszczególnych czynności. Zidentyfikowano cztery domeny:

 

  • Planowanie i organizacja,
  • Zakup i wdrożenie,
  • Dostarczanie i wsparcie,
  • Monitorowanie.

W obrębie tych domen zdefiniowano w sumie 34 procesy IT. Dla każdego z procesu określono cele kontrolne oraz kluczowe mierniki.

W obszarze zasobów IT wyróżniono cztery elementy: aplikacje, informację, infrastrukturę i ludzi.

W metodyce COBIT wskazuje się, które z siedmiu kryteriów informacyjnych oraz które zasoby IT są istotne dla procesów zachodzących w organizacji IT tak, aby te mogły w pełni wspierać procesy biznesowe.

Niekomercyjne użycie COBIT jest dozwolone bez ograniczeń. Oznacza to, że w przypadku gdy wykorzystuje się COBIT na własne potrzeby lub też na potrzeby własnej organizacji można to robić bez konieczności wnoszenia jakichkolwiek opłat. W przypadku komercyjnego wykorzystania czyli w przypadku gdy COBIT stanie się częścią oprogramowania lub publikacji przekazywanej klientom konieczny jest kontakt z ISACA International w celu wniesienia opłaty oraz uzyskania zgody.