Welche Standards gibt es?

Cobit

Cobit

Titel: Informationstechnik
Arbeitsgebiet: IT-Governance
Name des Standards: Control Objectives for Information and Related Technology

Inhalt und Anwendungsbereich

Das Management eines Unternehmens ist unter anderem für die Erreichung der Geschäftsziele, die Kontrolle der dabei verwendeten Ressourcen hinsichtlich Effektivität und Effizienz, die Einhaltung rechtlicher Rahmenbedingungen sowie die Handhabung der mit der Geschäftstätigkeit und dem Ressourceneinsatz verbundenen Risiken (Beispiel: Sicherheitsrisiken) verantwortlich. Dies gilt insbesondere für den Einsatz der IT als Ressource zur Realisierung von Geschäftsprozessen.

Zur Unterstützung des Managements und der damit befassten Fachabteilungen wie beispielsweise Interne Revision bei der Wahrnehmung dieser Verantwortung wurde mit Cobit (Control Objectives for Information and Related Technology) von der ISACA (Information Systems Audit and Control Association – Verband Internationaler Auditoren der Informatik) ein umfassendes Kontrollsystem respektive Rahmenwerk geschaffen, das alle Aspekte des IT-Einsatzes von der Planung bis zum Betrieb und der Entsorgung berücksichtigt und somit eine ganzheitliche Sicht auf die IT einnimmt.

Die Cobit umfasst eine Sammlung international akzeptierter und allgemein einsetzbarer Kontrollziele. Diese repräsentieren drei Sichten auf die IT und stellen die Interessen der jeweiligen Gruppe und deren Ziele dar. Sie umfassen folgende Aspekte:

  • Managementsicht: Unterstützung bei der Risikobehandlung in der sich ständig ändernden Umgebung und bei der Entscheidung über Investitionen, die zur Gestaltung der Kontrolle nötig sind
  • Anwendersicht: Kontrolle und Sicherheit der Informatikdienstleistungen
  • Revisionssicht: Einheitliche Grundlage für die Wertung der inneren Kontrollen
  • Damit unterstützt Cobit die Ziele der IT-Governance  im Unternehmen (als Teil der „Corporate beziehungsweise Enterprise Governance“)
  • Ausrichtung der IT auf die Geschäftstätigkeit: Nutzenmaximierung
  • Wirtschaftlicher Einsatz von IT-Ressourcen
  • Angemessenes Risikomanagement IT-bezogener Risiken

Methodik

Cobit stellt sich als Sammlung von Informationen, Werkzeugen und Richtlinien dar, die die Sichtweisen der einzelnen durch IT-Governance angesprochenen Gruppen umfassend und spezifisch abbilden. Die Elemente von Cobit (und die jeweilige Zielgruppe im Unternehmen) sind:

  • Executive Summary (Senior Executives wie CEO, CIO)
  • Framework (Senior Operational Management)
  • Implementation Toolset (Mittleres Management, Direktoren)
  • Management Richtlinien (Mittleres Management, Direktoren)
  • Kontrollziele (Mittleres Management)
  • Audit-Richtlinien (Linien-Management und Revisoren)

Das Cobit-Framework enthält Anforderungen an die Geschäftsprozesse in den Kategorien Qualität, Sicherheit und Ordnungsmäßigkeit und den sieben Zielkriterien Vertraulichkeit, Verfügbarkeit, Integrität, Effektivität, Effizienz, Zuverlässigkeit und Einhaltung rechtlicher Erfordernisse.

Diese werden mit den verwendeten IT-Ressourcen in den Kategorien Daten, Anwendungen, Technologien, Anlagen und Personal in Zusammenhang gestellt und in die Gesamtsicht des zyklischen Prozesses „Planung & Organisation, Beschaffung & Implementierung, Betrieb & Unterstützung und Überwachung“ eingefügt, der den gesamten Lebenszyklus aller Ressourcen umfasst. Dabei steht das Ziel im Vordergrund, dass IT-Ressourcen kontrolliert geplant, entwickelt, implementiert sowie betrieben und überwacht werden. Diese vier übergeordneten Prozesse sind in insgesamt 34 kritische IT-Prozesse unterteilt, die für ein angemessenes Management der IT ausschlaggebend sind.

Durch Berücksichtigung entsprechender Prozesse und Festlegung von Kontrollziele werden die Ziele der Informationssicherheit im Unternehmen systematisch berücksichtigt. Durch Audit-Richtlinien wird der Stand der Implementierung überprüfbar und im Rahmen des zugehörigen Cobit-Reifegradmodelles mit sechs Reife-Stufen, beispielsweise nicht-existent, definierter Prozess, optimiert, differenziert bewertbar und der Fortschritt in der Implementierung messbar.

Aktuelle Ausgabe

Cobit 5: April 2012
 

4. Der Begriff IT-Governance bezeichnet die Organisation, Steuerung und Kontrolle der IT eines Unternehmens durch die Unternehmensfüh¬rung zur konsequenten Ausrichtung der IT-Prozesse an der Unternehmensstrategie. Diese Steuerung (engl. "Governance") durch die Unternehmensführung ist notwendig, da die Informationsfunktion in vielen Unternehmen eine zunehmend wichtige Rolle spielen und somit deren reibungsloser Ablauf und konsequente Verbesserung der IT-Prozesse ein wesentlicher Erfolgsfaktor für die Unternehmen darstellt.

Standards in diesem Bereich

PCI DSS
Titel: Informationstechnik
Arbeitsgebiet:IT-Sicherheitsverfahren
Name des Standards:Payment Card Industry Data Security Standard v 1.2
Richtlinie VDI/VDE2182
Titel: Informationstechnik
Arbeitsgebiet:Automatisierungstechnische Anwendungen
Name des Standards:Informationssicherheit in der industriellen Automatisierung
Cobit
Titel: Informationstechnik
Arbeitsgebiet:IT-Governance
Name des Standards:Control Objectives for Information and Related Technology
ITIL
Titel: Informationstechnik
Arbeitsgebiet:IT-Governance
Name des Standards:Information Technology Infrastructure Library