COBIT(全名Control Objectives for Information and related Technology,信息及相关技术的控制目标)在1996年由ISACA(信息系统审计与控制协会)首次发布,从那时起已经进行了多次修改,目前的最新的版本为4.1版。大家可以在ISACA的网站上免费获得COBIT的完整版本。 COBIT是一个管理框架,而不是一个技术框架。也就是说,它所规定的是控制目标而不是控制本身(例如:“你需要做哪些事情”,而不是“你应该怎么去做”)。
因此,COBIT绝对不会规定一个企业应该或者不应该使用哪些技术。相反,COBIT所提供的是一个高层次框架,我们利用……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
COBIT(全名Control Objectives for Information and related Technology,信息及相关技术的控制目标)在1996年由ISACA(信息系统审计与控制协会)首次发布,从那时起已经进行了多次修改,目前的最新的版本为4.1版。大家可以在ISACA的网站上免费获得COBIT的完整版本。
COBIT是一个管理框架,而不是一个技术框架。也就是说,它所规定的是控制目标而不是控制本身(例如:“你需要做哪些事情”,而不是“你应该怎么去做”)。因此,COBIT绝对不会规定一个企业应该或者不应该使用哪些技术。相反,COBIT所提供的是一个高层次框架,我们利用这个框架可以评估一个企业目前的或者将要实施的控制:不管是政策、程序还是技术。同时,你还应该注意的是,COBIT并不专门针对信息安全,它是一个面向IT的通用标准。COBIT框架有助于审计人员了解IT企业是如何满足各种业务需求的,包括安全需求。
COBIT由10个部分组成,而每个部门又由四个子部分组成:描述、控制目标、管理准则以及成熟度模型。“描述”是本部分内容的高层次概述;有像“管理IT投资”、“定义IT过程”、“企业和关系”这样的部分,也有跟安全从业人员最相关的部分,即PO9,“评估和管理IT风险”。“控制目标”是一个高层次的需求列表。下面列举了PO9中的一些控制目标:
PO9.1 IT风险管理框架
确立一个跟组织(企业)风险管理框架相一致的IT风险管理框架。
PO9.3 事件识别
识别出那些对企业目标以及企业运转有潜在负面影响的事件(如,重大漏洞被人利用后所构成的一个重要现实威胁),包括业务、监管、法律、技术、贸易伙伴、人力资源以及企业运作等各个方面。你需要确定影响的性质、记录这个信息,并在风险登记表中记录、保持相关的风险信息。
PO9.5 风险应对
开发并保持一个风险应对程序,目的是确保高性价比的控制能够持续减少企业暴露在风险中的机会。这个风险应对程序需要确立风险策略,比如避免、减少、分享或者接受等规则,还包括确定相关的责任并考虑风险承受的不同水平。
请注意,这在政策、程序以及技术方面是没有具体规定的。每个企业都可以自己决定哪些事情是为了满足COBIT要求而必须做的,然后再去说服审计人员企业现在做的事情已经足够了。
COBIT在明确了控制目标之后,下一个内容就是管理准则。这个准则结合了控制目标,并根据RACI模型(R = Responsible,谁负责;A = Accountable,谁批准;C = Consulted,咨询谁;I = Informed,告知谁)来分配这些目标。这个子部分还把控制目标分解成许多小目标以及高层次指标,从而衡量一个企业跟这些目标之间存在的差距。其中,与信息安全团队密切相关的两个目标是:
- 确立并减少IT风险发生的可能性及其影响
- 为关键的IT风险确立高性价比的行动计划
这些目标对应的是下面的这些“管理准则”:
- 被确立的关键IT事件已被评估的百分比
- 新发现的IT风险数量(跟以前的检测相对比)
- 由未被风险评估程序发现的风险而引起的重大突发事变数
- 带有行动计划的关键IT风险百分比
请注意,这两个目标依然是高层次和抽象的,而它们所对应的管理准则,虽然也属于高层次,但却更加具体。其中,又以第三个准则的效果尤其明显,因为它可以帮助审计人员了解风险的状况。
最后是“成熟度模型”子部分,它给审计人员提供了一个框架,以便他们根据特定部分的内容来决定一个企业的成熟度。这类似于编程人员使用的能力成熟度模型(CMM)和新型安全成熟度模型,比如BSIMM 和OpenSAMM。在COBIT中,一个企业可以被划分为6个级别(0到5级),其中级别5代表最好的级别。让我们来比较一下COBIT4.1版本PO9中的级别0、3和5:
0级 不存在级别(Non-existent):不存在任何的风险评估程序以及商业决策。企业没有考虑任何跟安全漏洞以及开发项目不确定性有关的业务影响,在IT方案获取以及IT服务交付时也没有把风险管理作为必要的一部分。
3级 已定义级别(Defined):企业范围的风险管理政策规定了何时、以什么方式进行风险评估。风险管理按照书面规定的程序进行。所有员工都可以得到风险管理培训。是否遵守风险管理程序以及是否接受培训则由个人决定。风险评估的方法是令人信服的,并能确保跟业务相关的关键风险能被识别。一旦确认有风险就会执行一个减少关键风险的程序。工作描述中考虑到了风险管理责任。
5级 最优化级别(Optimized):风险管理发展成为结构化的、企业范围内的程序,并且执行得很好,管理也很妥善。良好的做法被应用到整个企业。风险管理数据的捕获、分析以及报告高度自动化。指导意见来自本领域的权威人物,企业中同等级别的IT小组之间会相互交流经验。风险管理真正融合到了所有的业务以及IT运营中,能够被人们很好的接受,并且扩展到了IT服务的用户中。如果主要的IT运营以及投资决策未能考虑风险管理计划,风险管理能够将其检测出来并采取行动。管理将持续不断地对风险规避策略进行评估。
到了这一步,你可能会说,“这一切倒是不错,但是当我跟审计人员打交道的时候,他们并没有谈到控制目标或者成熟度模型,他们只是问我关于防火墙、IDS以及访问控制列表的一些东西。这些跟COBIT有什么关系呢?”这个问题问得很好。COBIT是和其他流行的标准框架相结合的,比如ISO 27001、CMM 以及ITIL等,这些标准的控制建议更加具体,而且ISACA也已经发布了如何把这些标准跟COBIT相结合的指导方针。
从本质上讲,每个审计公司都会选择他们感觉最好的控制列表,以便评估企业是否已经实现了COBIT的控制目标。他们可能会从ISO 27001标准、SEC需求、PCI DSS中抽出或者生成他们的控制列表,或选择自己喜欢的习惯做法。因此,针对有时审计人员所要求的控制,你可以跟审计人员进行协商所需报告的详细程度,甚至协商对有的控制可以不进行审计。所以,尽管你不希望跟你的审计人员发生冲突,但这并不意味着审计人员总是对的,或者说你必须向他们提供所要求的一切东西。
如果你想找一个框架来开展自己的安全项目,那么COBIT是一个很好的选择,尤其是在你的项目需要符合ISO 27001标准或者其他安全标准的时候。COBIT能够提供必要的条件,以确保你的项目能够满足业务的需求;而遵守相应的标准(比如ISO 27001)将确保安全项目拥有必要的成熟度,并且具有适当的控制,以便切实保护业务的安全,这两个方面缺一不可。
翻译
相关推荐
-
如何选择合适的IT安全框架及标准
IT安全框架和标准可以帮助企业建立信息安全计划,信息安全专业人员可以利用这些框架对构建安全性到企业的任务来定义和优先排序。
-
云计算合规教程
企业在盲目部署云服务前,必须考虑到云计算的合规问题。本技术手册将带你一起讨论云合规问题,帮助企业全面的看待云计算所带来的影响。
-
准备迎接风险管理挑战
对于每个努力保护组织的网络用户和数据的人来说,迁移到云计算会引起巨大的变化和挑战。云计算改变了企业应用信息系统、以及如何达到安全风险管理和合规遵从的方式。
-
智慧城建:如何防范信息安全风险?
日前,绿盟科技应邀参加 “2011政府及公共事业单位信息安全论坛”,与会人员就如何满足合规要求,有效、精准地把各种安全威胁拒之门外等问题进行了深入的交流与讨论。