COBIT

개념
•효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위한 통제 프레임워크 •De-facto, Best Practice 제공을 통한 참조 프레임워크 제공 •기업의 목적을 달성하기 위해 IT가 정보를 제공할 수 있도록 지원하는 프레임워크 •기업의 전략적으로 목적 달성을 IT자원을 통제, 운영, 개선 하기 위해 사용되는 프레임워크

1. “IT Control Framework” COBIT의 개요

 

  가. COBIT(Control Objectives for Information and related Technology) 정의

  • 효과적인 IT Governance 실현 및 IT 통제 수준 진단을 위한 통제 프레임워크
  • De-facto, Best Practice 제공을 통한 참조 프레임워크 제공
  • 기업의 목적을 달성하기 위해 IT가 정보를 제공할 수 있도록 지원하는 프레임워크
  • 기업의 전략적으로 목적 달성을 IT자원을 통제, 운영, 개선 하기 위해 사용되는 프레임워크

  나. COBIT의 특징

  • ISACA(국제정보시스템감사통제협회)의 Control Objectives에 기반을 둔 참조 모델
  • ITIL, CMMi, ISO/IEC 17799, ISO 9000 산업 표준에 정렬됨
  • IT 이해관계자의 효율적 IT지원을 위한 메커니즘 지원도구
  • 감사(Cobit1)->통제(Cobit2)->관리(Cobit3)->Governance(Cobit4)로 발전
  • IT BSC(Balanced Score Card)를 따름
  • 비즈니스 초점(Business-focused), 프로세스 지향(Process-oriented), 통제 기반(Control-based), 측정 주도(Measurement-driven)

특징

설명

Business Focused

Business 목적을 위해 IT를 유기적으로 연계시키는데 초점을 맞추는 활동

Process Oriented

체계적인 절차를 통해 Input, Task, Output, RACI(R&R)을 정의하는데 초점을 맞추는 활동

Control Based

Process 하위의 세부 Task들을 통제함으로써 Risk를 제거하는데 초점을 맞추는 활동

Measurement Driven

Business 목적에 일관성을 갖는 Process 성과지표를 설정하고 측정 및 모니터링 하는데 초점을 맞추는 활동

 

  다. COBIT의 목적

  • IT 프로세스를 통제하는데 가장 중요한 방법을 알려주는 각 프로세스에 대한 상위 통제 목적으로 구성
  • IT환경을 평가하고 측정하는 도구를 제공하여 관리층의 IT통제와 측정 가능성에 대한 요구에 부응하는 상당히 향상된 구조를 제공

 

2. COBIT의 구성도 및 프로세스 절차

  가. COBIT의 구성도

 

  나. COBIT 프로세스 절차

 

 - 4개의 절차에 34개의 IT 프로세스, 215개의 세부적인 통제 목표로 구성되어 있음

절차

설명

구성요소

계획수립 및 조직화
(PO: Plan & Organize)

경영목적달성을 위한 IT관점의 계획수립, 의사소통 관리, 적절한 조직 및 기술인프라 수립

- IT전략계획 수립

- 정보 아키텍처 정의

- 인적자원관리

- 프로젝트 관리

- 품질관리

도입 및 구축
(AI: Acquire & Implement)

IT솔루션의 개발 혹은 구입, 비즈니스프로세스 구현 및 통합, 기존시스템변경, 유지보수 관련업무

- 자동화 솔루션 도출

- 응용소프트웨어 도입, 기술인프라 도입 및 유지보수

- 운영 및 사용지원

- 변경관리

운영 및 지원
(DS: Deliver &Support)

필요서비스제공, 보안 및 연속성관리, 사용자에 대한 서비스지원, 데이터 및 운영설비 관리

- 서비스 수준 정의 및 관리

- 외부업체 서비스 관리

- 성능 및 용량관리

- 서비스 연속성 확보

모니터링 및 평가
(ME: Monitor & Evaluate)

품질 및 통제준수 측면에서 주기적 평가

(성과관리, 내부 통제 모니터링, 법규준수, Governance 제공)

- 품질 및 통제 요구사항의 준수 측면에서의 정기적인 평가 필요(IT 프로세스)

- 성과관리

- COBIT의 프로세스 절차는 계획 및 조직 -> 도입 및 구축 -> 운영 및 지원 -> 모니터링 및 평가를 통한 점진적 추진 절차를 따름

 

3. COBIT의 평가 측정 및 프레임워크

  가. COBIT 평가 측정

34개 IT 프로세스 각각에 0~5단계로 평가

단계

설    명

0.부재

프로세스 부재, 문제인식 불가

1.초기

필요성 인식, 표준 프로세스 부재, 개인별/사안별 임기응변 식

2.반복

유사 절차, 공식훈련/표준절차 전파 안됨, 오류가능성 높임

3.정의

절차 표준화, 문서화, 프로세스준수는 개인재량, 정교하지 않음

4.관리

프로세스 준수 모니터링 및 조치, 지속적 개선, 자동화 도구 부분적 활용

5.최적

최선의 사례 제공, 워크플로우 자동화, 품질/효과성 향상도구 제공

 

  나. COBIT Framework의 구조

  • 경영의 목적과 요구에 부합하는 정보기준을 달성하기 위하여 IT 프로세스를 통하여 IT 자원을 관리하는 Framework
  • 비즈니스 요구사항: 효과성, 효율성, 기밀성, 무결성, 가용성, 준수성, 정보신뢰성
  • IT 프로세스: 4개의 Domain에 34개의 Process 318개의 Activities 및 Tasks로 구성
  • IT 자원: 응용프로그램, 정보, 인프라, 인력

 

4. COBIT의 기대 효과

  • 체계적이고 효과적인 IT Governance을 위한 통제 활동에 용이
  • 적용이 용이한 사례 및 업체 표준의 제공으로 실무에 즉시 적용 가능
  • COBIT 4.0 등 지속적인 갱신으로 현실에 맞게 활용 가능. “끝”

 

5. Enterprise IT Governance 프레임워크 Cobit 5.0의 개요

  가. COBIT 5.0의 정의

  • 조직이 IT 거버넌스와 관리를 위한 자신들의 목적을 달성하는 것을 지원하는 Cobit 4.1을 계승하고 Risk IT와 Val IT를 통합하는 종합적인 프레임워크

 

  나. Cobit변화과정

Cobit은 감사,통제,관리의 범위에서 IT 전반적인 거버넌스의 과정을 거쳐 Cobit 5.0에서는 기업 전반과 비즈니스의 정렬을 위한 Enterprise IT 거버넌스 영역으로 진화 되었음.

 

6. COBIT 5.0의 5대 원칙 및 거버넌스 및 관리의 핵심영역

  가. COBIT 5.0의 5대 원칙

원칙

관련 Cobit 아키텍쳐

설명

통합적 프레임워크

지식베이스

- IT와 관련된 많은 표준과 Best Practice들과 연계

-ISO/IEC 38500, 27001, 20000, ITIL, PRINCE2, PMBOK, CMMi등 연계

이해관계자의 가치제고를 지향

목표 계층 구조

- 조직은 이해관계자들에게 가치를 창출하기 위해 존재함

- IT의 활용을 통한 비즈니스 가치 창출을 지원하는데 필요한 모든 프로세스 제공

비즈니스 초점

프로세스 가이드

- 이해관계자와 요구사항을 식별하고 요구사항을 조직의 거버넌스와 매니지먼트 관련 의사 결정과 연계하는데 기여

Enabler 기반

7대Enabler

-원칙/정책및  프레임워크(1),프로세스(2),조직구조(3),문화/윤리 및 행동(4),정보(5),서비스(6),인력(7) 등의 7개 유형의 Enabler에서 총체적인 접근방법을 적용

거버넌스와 관리의 분리

Governance & Management

- 거버넌스와 관리를 분리하여 서로 다른 조직구조와 서로 다른 목적을 충족 시킴

 

  나. COBIT 5.0의 거버넌스 및 관리의 핵심역역

 - ISO/IEC 38500과 ISO/IEC 20000등의 국제 표준과 산업의 Best Practice와 연계가 가능함.

 

7. COBIT 5.0의 주요 프로세스

프로세스

설명

EDM

- Evaluate, Direct, Monitoring

- 거버넌스 프레임워크 설정 및 유지,효과제공,위험 최적화,자원 최적화 등

APO

- Align, Plan, Organize

- 전략관리,혁신관리,포트 폴리오 관리,인적자원 관리,품질관리,보안관리 등

BAI

- Build, Acquire, Implement

- 프로그램/프로젝트 관리,요구사항 관리,변경관리,자산관리,구성관리 등

DSS

- Deliver, Service, Support

- 운영관리,문제관리,연속성관리,비즈니스 프로세스 통제 관리 등

MEA

- Monitor, Evaluate, Assess

- 성과 및 준수 및 내부 통제 시스템 모니터링,평가 및 진당 등

- COBIT 5.0의 프로세스 심사 모델은 ISO/IEC 15504기반의 프로세스 역량 심사 모델을 참고하여 6단계의 성숙도 모델을 제시함.

(Incomplete-> Performed -> Managed -> Established -> Predictable -> Optimizing)

 

 

[참고]

1. Cobit 5.0 7가지 Enabler

동인

설명

원칙, 정책 및 프레임워크

IT 지침, 정책, 내부규정

프로세스

업무 수행 절차 및 수행 역할, 업무 간의 선/후행 관계

조직구조

IT 기능을 구현하는 조직체계, 의사결정 기구

문화, 윤리관 및 행동

개인적 및 집단적 행위를 규범 짓는 조직문화

정보

조직에 의해 생산되고 사용되는 모든 정보

서비스, 인프라 및 애플리케이션

IT 관련 서비스를 제공하는데 활용되는 애플리케이션, 인프라와 같은 IT 자원

인력, 스킬 및 전문성

모든 활동 및 의사결정을 수행하는 인적 역량

 

2. Cobit 5.0 Framework

 

3. Cobit 5.0 프로세스

댓글