SeminarArbeit COBIT4 by 6UK6c77

VIEWS: 53 PAGES: 34

									        COBIT 4.0
              SEMINARARBEIT
             zur Lehrveranstaltung
INFORMATION SECURITY RISK MANAGEMENT




        Ulrike Mayrhofer (sec06008)



           Hagenberg, Dezember 2006
1. Generelle Informationen ...................................................................................... 3
   1.1 Entstehung von COBIT ............................................................................................. 3
   1.2 Preis von COBIT ........................................................................................................ 3
   1.3 Toolunterstützung für COBIT.................................................................................... 4
   1.4 Zielgruppen von COBIT ............................................................................................. 5
   1.5 Verbreitung von COBIT ............................................................................................. 6
2. Vorgehensweise nach COBIT .............................................................................. 7
   2.1 Analyse der Methode ................................................................................................. 7
      2.1.1 Unternehmensfokussierung ................................................................................................... 7
      2.1.2 Prozessorientierung ............................................................................................................... 9
      2.1.3 Basierend auf Maßnahmen ................................................................................................. 10
      2.1.5 Steuerung durch Kennzahlen .............................................................................................. 11
      2.1.6 Das Gesamt Framework Modell von COBIT ....................................................................... 13
      2.1.7 Navigation im Framework .................................................................................................... 14
   2.2 Risikoanalyse von COBIT ........................................................................................15
      2.2.1 Detailed Control Objectives ................................................................................................. 17
      2.2.2 Management Guidelines ...................................................................................................... 18
      2.2.2 Maturity Model ..................................................................................................................... 21
   2.3 Beitrag von COBIT zur Risikoanalyse im Unternehmen ........................................22
      2.3.1 Stärken von COBIT .............................................................................................................. 22
      2.3.2 Schwächen von COBIT ....................................................................................................... 23
3. COBIT im Vergleich zu ISO 13335-2:2006 (ISO 27005) .................................... 24
4. ENISA-Template .................................................................................................. 26
      4.1.1 Product identity card ............................................................................................................ 26
      4.1.2 Scope ................................................................................................................................... 27
      4.1.3 User viewpoint ..................................................................................................................... 28
5. Praktische Erfahrungen und Anwendungen .................................................... 30
   5.1 Einsatz von COBIT....................................................................................................30
   5.2 Verbreitung in Österreich.........................................................................................30
   5.3 Gut beschriebene Musterprojekte ...........................................................................30
   5.4 Erfahrung von Anwendern .......................................................................................30
6. Anhang I .............................................................................................................. 32
7. Quellenverzeichnis ............................................................................................. 33




                                                                                                                                                      2
1. Generelle Informationen
1.1 Entstehung von COBIT

COBIT ist eine Methode zur Auditierung und wurde vom Forschungsinstitut der
Information Systems Audit and Control Association (ISACA) entwickelt. Die
Entwicklung von COBIT begann im Jahre 1994, die erste Version wurde 1996
veröffentlicht.

Version 2 erschien im Jahre 1998. Ergänzt wurde COBIT 2 im Bereich der Control
Objectives und um das Dokument Implementation Tool Set. Im selben Jahr wurde
das IT Governance Institute (ITGI) gegründet. Diese Institution ist von ISACA
unabhängig und im Bereich der Forschung in der IT Unternehmensführung tätig [5].
Daher achten die Mitarbeiter der Institution ITGI speziell auf das COBIT Framework,
die COBIT Processes, die Control Objectives und die Maturity Models.

Die Weiterentwicklung von COBIT wurde im Jahr 1999 an die ITGI übertragen [S.12,
6].

Die dritte Version von COBIT wurde 2000 von ITGI publiziert [S.3, 10]. Hierbei
wurden die Management Guidelines sowie die Control Objectives weiter ergänzt.
COBIT 3 bestand zu diesem Zeitpunkt aus sechs Publikationen.

Das aktuelle Release der Methode ist COBIT 4, welche im Dezember 2005 erschien.
COBIT 4 stellt eine völlige Überarbeitung der bisherigen Inhalte dar. In diesem
Release wurden der Executive Overview, das COBIT Framework, die Control
Objectives und die Management Guidelines zusammengefügt [S.3, 10]. Außerdem
wurde die Domain Monitor zur Domain Monitoring und Evaluate umbenannt [S.10, 7].


1.2 Preis von COBIT

Subscription Level                                Baseline     Basic       Full
Annual Subscription Fee                             Free      ISACA    200,00 USD
                                                             members     Member
                                                                       400,00 USD
                                                                       Nonmember
Download PDFs of Executive Summary,                                   
Framework, Control Objectives and Manage-
ment Guidelines
Access Discussion/Community                                           
Browse COBIT excluding Control Practices and                           
Quickstart entries
Download PDFs of Implementation Tool Set and                           
Audit Guidelines
Access Survey Results                                                  
Browse Control Practices and Quickstart entries                         
Search function                                                         
MyCOBIT capability                                                      
Benchmarking                                                            


                                                                                    3
                     Tabelle 1: Funktionsumfang je Preisklasse [11]

Standardmäßig kann sich jeder Besucher von der Webseite www.isaca.org die
Dokumentation zu Executive Summery, Framework, Control Objectives und
Management Guidelines kostenlos herunterladen.

Bei einer Anmeldung und der Registrierung mit persönlichen Daten wie Nachname,
Vorname und E-Mailadresse in einem Kontaktformular, erhält man zusätzlich die
Möglichkeit Control Practices einzusehen und die Dokumentation vom
Implementation Tool Set und Audit Guidelines herunterzuladen.

Bei einem Beitrag von 200,00 USD als ISACA Mitglied (Nicht-Mitglied 400,00 USD)
kann das COBIT Material als MS Word oder Access Format heruntergeladen
werden.

Eine Mitgliedschaft für österreichische Niederlassungen beträgt jährlich 165,00 USD
[17]. Ein Mitglied erhält Vergünstigungen bei IT und Management Konferenzen und
Workshops, CISA-Anmeldegebühren und CISA-Lernmaterial. Die regelmäßigen
Treffen von ISACA Austria können ebenfalls besucht werden. Ein Mitglied erhält
außerdem noch Zugang zu Forschungsergebnissen und Publikationen.


1.3 Toolunterstützung für COBIT

Die Implementierung von COBIT in einem Unternehmen kann aufgrund des
Dokuments Implementation Tool Set durchgeführt werden.




          Abbildung 1: Inhalt des Dokumentes Implementation Tool Set [S.12, 4]

Dieses Dokument enthält wie in Abbildung 1 veranschaulicht Case Studies,
Projektbeschreibungen, FAQ usw.

Neben diesem Dokument von COBIT existiert das Softwaretool COBIT Advisor von
Methodware Ltd. [12], wobei hier zu beachten ist, dass dieses Tool nur COBIT 3
unterstützt. Das Tools Meycon COBIT Suite von DATASEC [13] unterstützt COBIT 4.
Der COBIT Advisor von Methodware Ltd. und Meycon COBIT Suite von DATASEC
ermöglichen die toolgestützte Durchführung von COBIT im Unternehmen.


                                                                                 4
1.4 Zielgruppen von COBIT

Laut COBIT [S.8, 1] sind sowohl öffentliche als auch private Firmen oder externe
Sicherheitsbeauftragte Zielgruppen von COBIT. In einer Organisation adressiert
COBIT das Management, die IT-Anwender, die IT-Experten und den
Sicherheitsbeauftragte.




       Abbildung 2: COBIT Produkte für die Strategische Ebene, das IT-Management und für
                                     Spezialisten [S. 8, 1]

Die drei Ebenen, in die COBIT gegliedert ist, sind in Abbildung 2 dargestellt [S.8, 1]:

        Strategische Ebene (Geschäftsführung, Aufsichtsrat)

         Das primäre Dokument für die strategische Ebene heißt Board Briefing on IT-
         Governance. Hier wird erläutert, warum IT-Governance von Bedeutung ist,
         welche Probleme auftreten und welche Rollen die Gremien übernehmen
         müssen.

        Unternehmens- (Linien-) und IT-Management


                                                                                           5
       Das wichtigste Dokument für das Management sind die Management
       Guidelines. Hier wird beschrieben, wie Verantwortliche benannt werden und
       wie die Performance zu messen ist.

      Spezialisten der Bereiche Governance, Assurance, Control und Security

          o Framework: Im Framework wird erläutert, wie in COBIT die Ziele der IT-
            Governance nach Best-Practices, nach IT-Domänen und nach IT-
            Prozessen organisiert sind. Außerdem werden diese noch mit den
            Unternehmensanforderungen verbunden.

          o Control Objectives: Die Control Objectives beinhalten               die
            Steuerungsvorgaben für IT-Aktivitäten und IT-Aufgaben.

          o Control Practices: Control Practices erläutern, wie und warum welche
            Maßnahmen zu implementieren sind.

          o IT-Control Objectives for Sarbanes-Oxley: Die IT-Control Objectives for
            Sarbanes-Oxley stellen dar, wie mit den COBIT Control Objectives eine
            Übereinstimmung hergestellt werden kann.

          o IT-Governance    Implementation     Guide:    Der   IT-Government
            Implementation Guide enthält einen Leitfaden zur Umsetzung von IT-
            Governance durch die Bestandteile von COBIT ablaufen kann.

          o COBIT Quickstart: Im COBIT Quickstart werden Basis-Controls für
            kleine Organisationen erläutert. Für große Unternehmen kann dieses
            Dokument als Einstieg für die Implementierung verwendet werden.

          o COBIT Security Baseline: In der COBIT Security Baseline werden die
            Hauptschritte zur Umsetzung der Informationssicherheit erläutert.


1.5 Verbreitung von COBIT

Weltweit gibt es 170 Zweigstellen der ISACA in über 70 Ländern der Welt [15]. In
Europa beispielsweise gibt es Niederlassungen in Österreich, Deutschland, England,
Finnland, Frankreich, Schweden usw. [16].

Ein Grund für die weltweite Verbreitung ist, dass COBIT Version 3 beispielsweise in
Spanisch, Deutsch, Französisch, Italienisch und Kroatisch übersetzt wurde. COBIT
4.0 wird derzeit nur in Englisch und Deutsch publiziert.




                                                                                 6
2. Vorgehensweise nach COBIT

2.1 Analyse der Methode

Das COBIT Framework definiert vier zu erfüllende Kriterien, die in den folgenden
Abschnitten genauer erläutert werden [S.14ff, 1]:

      Unternehmensorientierung
      Prozessorientierung
      Basierend auf Maßnahmen
      Steuerung durch Kennzahlen


2.1.1 Unternehmensfokussierung




                        Abbildung 3: Konzept von COBIT [S.14, 1]

Das COBIT Framework basiert auf den in Abbildung 3 veranschaulichten Prinzipien.
Damit ein Unternehmen die benötigten Informationen erhält, um seine
Unternehmensziele zu erfüllen, müssen die IT-Ressourcen mit Hilfe von Prozessen
gesteuert und gemanagt werden. Die Prozesse stellen somit die erforderlichen
Services zur Verfügung, um die Unternehmensziele zu erfüllen. COBIT bietet
Werkzeuge, um die Unternehmenserfordernisse sicherzustellen [S.14, 1].

      Information Criteria

Um die Unternehmensziele zu erreichen müssen die Informationen nach bestimmten
Kriterien eingeteilt werden. Hierfür verwendet COBIT sieben einzelne Information
Criteria, die in der Tabelle 2 dargestellt sind.

Nr. Information      Criteria   / Erläuterung
    Geschäftsanforderung        /
    Qualitätskriterium
1   Effectiveness                 Betrifft   Informationen,    die     zu   einem
    (Wirksamkeit, Effektivität)   Geschäftsprozess gehören oder für diesen wichtig
                                  sind. Die bereitgestellten Informationen werden
                                  bezüglich Zeit, Korrektheit, Konsistenz und
                                  Verwendbarkeit bewertet.

                                                                                7
Nr. Information      Criteria      / Erläuterung
    Geschäftsanforderung           /
    Qualitätskriterium
1   Efficiency                        Bedeutet, dass die Informationen durch die
    (Wirtschaftlichkeit,              optimale      Verwendung       von     Ressourcen
    Effizienz)                        bereitgestellt werden. Hierbei ist vor allem ein
                                      akzeptabler Kosten- und Aufwandsrahmen zu
                                      beachten.
3       Confidentiality               Befasst sich mit dem Schutz von sensiblen
        (Vertraulichkeit)             Informationen. Diese sensiblen Daten dürfen
                                      keinen unautorisierten Personen offen gelegt
                                      werden.
4       Integrity (Integrität)        Umfasst die Richtigkeit und Vollständigkeit von
                                      Informationen      und     die   Gültigkeit     und
                                      Übereinstimmung mit Geschäftsanforderungen.
5       Availability (Verfügbarkeit) Heißt, dass Informationen jetzt und in Zukunft für
                                      den Geschäftsprozess verfügbar sein müssen.
                                      Hierbei müssen auch die notwendigen Ressourcen
                                      und die damit zusammenhängende Leistung
                                      geschützt werden.
6       Compliance (Compliance, Bedeutet, dass Gesetze, Richtlinien oder
        Übereinstimmung)              vertragliche       Vorgaben,       die       einem
                                      Geschäftsprozess unterliegen, eingehalten werden
                                      müssen.
7       Reliability (Verlässlichkeit) Umfasst die Bereitstellung von Information für die
                                      geschäftlichen Entscheidungen des Managements
                                      und      die   finanziellen    und     gesetzlichen
                                      Berichtsverantwortlichkeiten.

                            Tabelle 2 Information Criteria [S.37, 6]


        Business und IT-Goals

Durch Business und IT-Goals ermöglicht COBIT den Bezug zwischen IT-Zielen und
Unternehmenszielen. Aufgrund dieser Ziele können Metriken entwickelt werden, um
zu messen, ob die Ziele erreicht wurden oder nicht [S.15, 1]. COBIT stellt auch für
den Zusammenhang zwischen Business und IT-Goals und den Information Criteria
eine Matrix zur Verfügung.

        IT-Ressourcen

COBIT identifiziert vier Arten von IT-Ressourcen. Diese bilden gemeinsam mit den
IT-Prozessen die Unternehmensarchitektur der IT.

IT-Ressource                      Erläuterung
Application (Anwendung)           Sind automatisierte oder manuelle Verfahren, um
                                  Informationen zu verarbeiten
Information (Information)         Sind    Daten,    die    von    Informationssystemen
                                  eingelesen, verarbeitet oder ausgegeben werden



                                                                                       8
IT-Ressource                         Erläuterung
Infrastructure (Infrastruktur)       Umfasst     die    Technologie  (wie   Hardware,
                                     Betriebssysteme, usw.) und die Anlagen, die diese
                                     Systeme beherbergen
Person (Personen)                    Sind Mitarbeiter, die für die Abwicklung der IT-
                                     Prozesse nötig sind

                                 Tabelle 3: IT-Ressourcen [S.15, 1]



2.1.2 Prozessorientierung

Die IT-Ressourcen der einzelnen Geschäftsprozesse müssen geplant, entwickelt,
implementiert, betrieben und überwacht werden [S.5, 7]. COBIT definiert 34 IT-
Prozesse. Damit die IT gesteuert werden kann, müssen die IT-Prozesse und die
damit verbundenen Risiken identifiziert und gemanagt werden. Die IT-Prozesse sind
auf vier übergeordnete Domains ungleichmäßig verteilt:

Domain                   Erläuterung
Plan and Organise        Diese Domain umfasst Strategien und Taktiken, um die IT
(Plane und               optimal auf die Unternehmensziele abzustimmen.
Organisiere, PO)              Wie sind die IT und das Unternehmen aufeinander
                                 abgestimmt?
                              Werden die IT-Ressourcen vom Unternehmen optimal
                                 ausgenutzt?
                              Sind die IT-Ziele in der Organisation klar erläutert?
Acquire and              Zur Umsetzung von IT-Strategien muss zuerst eine IT-Lösung
Implement                identifiziert, entwickelt, beschafft, umgesetzt und in die
(Beschaffe und           Geschäftsprozesse integriert werden. Außerdem werden
Implementiere, AI)       Änderungen und Wartungen bestehender Systeme
                         abgedeckt.
                              Entsprechen die Ergebnisse neuer Projekte den
                                 Unternehmensanforderungen?
                              Wird das Projekt rechtzeitig fertig und ist das Budget
                                 ausreichend?
Deliver and Support      Diese Domain befasst sich mit dem Erbringen von
(Erbringe und            erforderlichen Leistungen. Dazu zählen Service Support für
unterstütze, DS)         Benutzer, das Sicherstellen der Sicherheit oder das Verwalten
                         von Daten.
                              Sind die IT-Kosten optimiert?
                              Ist das Benutzen von IT-Systemen produktiv und
                                 sicher?
                              Sind Vertraulichkeit, Integrität und Verfügbarkeit
                                 gegeben?
Monitor and              In der vierten Domain wird die Qualität, die Einhaltung von
Evaluate                 Richtlinien oder die Überprüfung der IT-Prozesse beurteilt.
(Überwache und                Werden bei der Performancemessung Probleme
Evaluiere, ME)                   erkannt?
                              Kann die IT-Performance mit den Unternehmenszielen
                                 verknüpft werden?

                                                                                     9
                         Tabelle 4: Domains von COBIT [S.16, 1]



2.1.3 Basierend auf Maßnahmen

Der Begriff Control darf nicht als Kontrolle oder Überprüfung übersetzt werden.
Control bedeutet vielmehr Steuerung. Ein Control ist ein Maßnahme (eine Richtlinie
oder ein Verfahren), welches gewährleistet, dass ein Unternehmensziel erreicht wird.
Daher können unerwünschte Geschehnisse, die das Erreichen des Ziels verhindern,
erkannt und korrigiert werden [S.17, 1].
COBIT definiert für jeden IT-Prozess ein High-Level Control Objective. Dieses über-
geordnete Control Objective wird in mehrere Detailed Control Objectives unterteilt.
Außerdem gelten für jeden IT-Prozess generische Kontrollanforderungen.

Kontrollanforderung               Erläuterung
PC1 Process Owner (Pro-           Definiert einen Eigentümer pro COBIT Prozess.
zesseigentümer)
PC2               Repeatability   Definiert wie oft und in welcher Art und Weise ein
(Wiederholbarkeit)                COBIT Prozess wiederholbar ist.
PC3 Goals and Objectives          Entwickelt klare Ziele und Vorgaben für die
(Ziele und Vorgaben)              Ausführung eines COBIT Prozesses.
PC4          Roles        and     Definiert eindeutige Rollen, Aktivitäten und
Responsibilities (Rollen und      Verantwortlichkeiten pro COBIT Prozess.
Verantwortlichkeiten)
PC5 Process Performance           Misst die Performance und vergleicht sie mit dem
(Performance des Prozesses)       Ziel jedes COBIT Prozesses.
PC6 Policy, Plans and Proce-      Dokumentiere, prüfe, aktualisiere und unterschreibe
dures (Policy, Pläne und Ver-     alle Richtlinien, Pläne und Verfahren, die einen
fahren)                           COBIT Prozess beeinflussen und informiere die
                                  Beteiligten.

                  Tabelle 5: Generische Kontrollanforderungen [S.17, 1]




                                                                                  10
2.1.5 Steuerung durch Kennzahlen

Jedes Unternehmen will den Status der eigenen IT-Systeme verstehen. Hierfür
benötigt das Management einen objektiven Überblick über den Status des
Unternehmens. COBIT stellt für die Messung und Bewertung mehrere Tools zur
Verfügung [S.20, 1]:

      ein Maturity Model (Reifegradmodell) und
      zusätzlich Ziele und Maßzahlen zur Messung der Perfomance von IT-
       Prozessen und Activities

      Maturity Model




                        Abbildung 4: Das Maturity Model [S.21, 1]

Mit Hilfe des Maturity Models, welches in Abbildung 4 veranschaulicht ist, kann die
„Reife“ eines Prozesses festgestellt werden. Damit die „Reife“ eines Prozesses
eruiert werden kann, muss für jeden der 34 IT-Prozesse ein Maturity Model festgelegt
werden. Die Beurteilungsskala startet bei „nicht existent“ (0) und endet bei „optimal“
(5).

0         Non-existent (nicht existent)
Ein Prozess ist nicht existent. Der Bedarf ist nicht erkannt.
1         Initial (initial)
Das Unternehmen hat den Bedarf erkannt und weiß, dass gehandelt werden muss.
Es gibt keine standardisierte Vorgehensweise, daher wird der Ansatz nur in manchen
Fällen eingesetzt.
2         Repeatable (wiederholbar)
Der Prozess ist soweit entwickelt, dass manche Personen das Verfahren anwenden.
Es gibt weder ein formelles Training noch eine Verbreitung des Standardverfahrens.
Die Verantwortung obliegt jedem selbst.
3         Defined (definiert)
Die Verfahren werden standardisiert und dokumentiert, jedoch immer noch nicht
ausgereift. Die Einhaltung des Verfahrens obliegt dem Einzelnen.
4         Managed (gemanagt)
Die Verfahren werden überwacht und gemessen. Sie werden laufend verbessert und

                                                                                   11
sind Good-Practices. Automation und Tools sind eingeschränkt integriert.
5        Opimised (optimiert)
Die Prozesse werden mit anderen Unternehmen verglichen. Sie stellen Best
Practices dar. Die IT automatisiert die Arbeitsflüsse und stellt Werkzeuge zur
Verfügung, um die Qualität und die Effektivität zu erhöhen.

                     Tabelle 6: Inhalt vom Maturity Model [S.22 ,1]


      Performance Indikators


Mit Hilfe von Performance Indikators kann gemessen werden, wie gut ein IT-Prozess
funktioniert. COBIT unterscheidet zwei unterschiedliche Performance Indikators:

          o Performance Indikators
          o Goal Indikators.

Diese Performance Indikators werden für Aktivitätsziele, Prozessziele und IT-Ziele
festgelegt [S.25, 1].

Die beiden Messgrößen sind sich sehr ähnlich. Ein Key Goal Indikator sagt aus,
wann ein Ziel erreicht ist. Ein Key Performance Indikator hingegen besagt, wie
wahrscheinlich es ist ein Ziel zu erreichen [S.25, 1].




                                                                               12
2.1.6 Das Gesamt Framework Modell von COBIT




                       Abbildung 5: COBIT Framework [S.27, 1]

Die Abbildung 5 zeigt das gesamte COBIT Modell im Überblick mit den vier Domains
und den 34 dazugehörenden Prozessen, durch die die IT-Ressourcen gemanagt
werden.
                                                                             13
2.1.7 Navigation im Framework

Der wichtigste Teil vom COBIT Framework sind die 34 IT-Prozesse. Diese Prozesse
ermöglichen die Steuerung, Veraltung und Messung des jeweiligen High-Level
Control Objectives. Jeder Prozess wird anhand der folgenden vier Grafiken in
Abbildung 6 veranschaulicht.




                    Abbildung 6: Navigation im Framework [S.29, 1]

Am Anfang jedes IT-Prozesses wird der Prozess an sich beschrieben. Diese
Beschreibung enthält alle wesentlichen Information über den Prozess, dies sind der
Prozessname, die entsprechenden Unternehmensziele, die betroffenen IT-Ziele, die

                                                                               14
nötigen Steuerungsmechanismen und die benötigten Messwerte [S.8, 7]. Die
Beschreibung ist in Form eines Wasserfalls in Abbildung 5 dargestellt und
verdeutlicht erneut die Abhängigkeiten. Jeder IT-Prozess wird zusätzlich noch mit
den Information Criteria, den IT-Resources und den IT-Governance Domains
verknüpft. Die Kennzeichnung „P“ steht für primäre Verbindung und „S“ für
sekundäre Verbindung.

Der zweite Teil enthält die Detailed Control Objectives und die entsprechenden
Erläuterungen. Für jeden IT-Prozess werden diese Detailed Control Objectives
definiert. Diese beinhalten die wichtigsten Tätigkeiten, die ausgeführt werden müssen
um den Prozess zu steuern.

Der dritte Abschnitt enthält die Management Guidelines. Zunächst werden die Inputs
und Outputs des entsprechenden Prozesses tabellarisch dargestellt. Die Inputs
geben an, welche Informationen der Prozessverantwortliche für seinen Prozess
benötigt. Die Outputs hingegen geben an, welche Werte er für andere Prozesse
liefern muss. Darunter befindet sich die RACI-Tabelle. Die Abkürzung RACI steht für
Responsible (zuständig), Accountable (verantwortlich), Consulted (konsultiert) und
Informed (informiert). In diesem Diagramm sind die Zuständigkeiten der
durchzuführenden Tätigkeiten aufgelistet. Im Anschluss an das Diagramm befinden
sich die Ziele und die Maßeinheiten, damit die Erfüllung der Ziele geprüft werden
können.

Im vierten Teil befindet sich das Maturity Model für den entsprechenden Prozess. Für
jeden Prozess werden die sechs Stufen beschrieben, die der Umsetzung
entsprechen sollen. Anhand von diesem Model kann der Reifegrad eines Prozesses
gemessen werden. Aus den jeweiligen Stufen ist außerdem ersichtlich welche
Aufgaben noch benötigt werden um den nächsten Reifegrad zu erreichen.


2.2 Risikoanalyse von COBIT

Zum Thema Risikomanagement bietet COBIT 4.0 das High-Level Control Objective
Assess and Manage IT-Risks (PO9). Alle Einflüsse auf die Ziele, welche durch ein
ungeplantes Ereignis hervorgerufen werden, sollen identifiziert, analysiert und
bewertet werden. Das Ergebnis soll für die Stakeholder verständlich sein und mit
finanzbezogenen Kennzahlen veranschaulicht werden, um damit das Risiko auf ein
akzeptables Toleranzniveau zu bringen.




                                                                                  15
                                                                   Domains
   Information Criteria




IT-Governance-
   Domains



                                                         IT-Ressourcen




             Abbildung 7: Navigation von PO9 [S.67, 1]




                                                                     16
Die Navigation durch PO9 ist in Abbildung 7 dargestellt. Die erste Abbildung stellt die
Information Criteria dar. Die Verknüpfung der Information Criteria wird durch „P“ für
primäre Verbindung und „S“ durch eine sekundäre Verbindung veranschaulicht.

Die Einteilung des IT-Prozesses in eine der vier Domains ist in der zweiten Abbildung
dargestellt.

Im Anschluss an diese beiden Abbildungen folgt das Wasserfalldiagramm. Im
Wasserfalldiagramm ist der Namen des Prozesses, die Unternehmensanforderungen
an die IT und die Aufgaben die zu erfüllen sind. Weiters gibt es Angaben dazu wie
der Prozess erreicht werden kann und wie gemessen werden kann, ob die Ziele
erreicht wurden oder nicht. Im Wasserfalldiagramm werden die Abhängigkeiten
dargestellt.

Nach dem Wasserfalldiagramm werden die Zusammenhänge mit den IT-
Governance-Domains visualisiert.

In der vierten und letzten Abbildung wird der IT-Prozess mit den IT-Ressourcen
verknüpft.


2.2.1 Detailed Control Objectives

Das High-Level Control Objective PO9 enthält sechs Detailed Control Objectives.
Diese beschreiben die Richtlinien und Verfahren, die entwickelt wurden, damit
sichergestellt wird, dass die Unternehmensziele erreicht werden. Die unerwünschten
Ereignisse werden dadurch frühzeitig erkannt und können durch Korrekturen
verhindert    werden.     Die   Detailed  Control     Onjectives   sind   nur  die
Minimalanforderungen für die wirksame Steuerung jedes IT-Prozesses.

PO9.1       IT and Business Risk Management Alignment (Abstimmung des
            Risikomanagement der IT und des Unternehmens)
PO9.1 befasst sich mit der Integration von IT-Risikomanagement und den IT-Controls
in ein unternehmensweites Risikomanagement. Hierbei sind vor allem die
Risikoaffinität und die Risikotoleranz des Unternehmens zu berücksichtigen.
PO9.2       Establishing of Risk Context (Festlegung des Risikokontext)
Nun soll ein Kontext für das Risikomanagement geschaffen werden, um die
Ergebnisse sicher zu stellen. Dazu müssen die internen und externen
Rahmenbedingungen für jede Risikobewertung, für die Ziele der Bewertung und die
Kriterien der Risikoevaluierung definiert werden.
PO9.3       Event Identification (Ereignisidentifikation)
In diesem Control Objective werden alle Ergebnisse (z.B. Bedrohungen,
Schwachstellen) die Einfluss auf die Ziele oder den Betrieb des Unternehmens
haben, identifiziert und die positive oder negative Art der Auswirkung bestimmt.
PO9.4       Risk Assessment (Bewertung der Risiken)
PO9.4 werden unter Anwendung von qualitativen und quantitativen Methoden die
Wahrscheinlichkeit und die Auswirkung aller identifizierten Risiken bewertet. Die
Restrisiken werden einzeln behandelt.
PO9.5       Risk Response (Maßnahmen zur Risikobehandlung)
In diesem Control Objective werden die Risikoeigentümer und die betroffenen
Prozesseigentümer bestimmt. Außerdem ist sicherzustellen, dass kostengünstige

                                                                                    17
Controls und Sicherheitsmaßnahmen für die Behandlung von Risiken entwickelt
werden. Die Reaktion auf die Risiken sollten Risikostrategien (wie Vermeidung,
Reduktion, Teilung oder Akzeptanz) sein. Hierbei ist vor allem auf die Kosten und
den Nutzen der gewählten Maßnahme zu achten.
PO9.6      Maintenance and Monitoring of a Risk Action Plan (Erhalt und Monitoring
           eines Plans zur Risikobehandlung)
In diesem Schritt werden die identifizierten Maßnahmen geplant und diese werden
mit Prioritäten versehen. Außerdem müssen die Kosten, der Nutzen und die
Verantwortlichkeit für die Ausführung bestimmt werden. Zusätzlich müssen
Bewilligungen für die Durchführung aller geplanten Maßnahmen und für die
verbleibenden Restrisiken eingeholt werden. Aufgrund des Monitoring kann die
Umsetzung des Risk Action Plan überprüft und sämtliche Abweichungen der
Geschäftsleitung berichtet werden.

                 Tabelle 7: Detailed Control Objectives von PO9 [S.68, 1]



2.2.2 Management Guidelines

In den Management Guidelines bietet COBIT weitere Werkzeuge und zusätzliche
Informationen bezüglich Risikomanagement. Die Beziehungstabelle ist in Abbildung
8, die RACI-Tabelle in Abbildung 9 und die Ziele und Metriken in Abbildung 10
veranschaulicht.




                                                                               18
      Prozessbeziehungen




                        Abbildung 8: Beziehungstabellen [S.69, 1]

In der Input-Tabelle ist ersichtlich, welche IT-Prozesse Einfluss auf den
Risikomanagementprozess von COBIT haben. Hierzu zählen beispielsweise die
Lieferanten-Risiken (DS2) oder die Security-Bedrohungen und Schwachstellen
(DS5).

In der Output-Tabelle werden die Informationen, die für andere IT-Prozesse benötigt
werden dargestellt. Die Risikobewertung beeinflusst den IT-Prozess Define a
Strategic IT Plan (PO1) oder Ensure Continuous Service (DS4).

      RACI-Tabelle:




                           Abbildung 9: RACI-Tabelle [S.69, 1]

Die Rollen in der RACI-Tabelle sind [S.30, 1]:

          o Chief Executive Officer (CEO) stellt die Geschäftsleitung dar.
          o Chief Financial Officer (CFO) ist für der Finanzchef.
          o Business Executive ist die Führungskraft im Fachbereich.
          o Chief Information Officer (CIO) leitet die Informatik.
          o Geschäftsprozesseigner       ist     der     Verantwortliche   für   die
            Geschäftsprozesse:
          o Leitung Betrieb
          o Chief Architect
          o Leitung Entwicklung
                                                                                 19
          o Leitung IT-Administration umfasst bei großen Unternehmen Funktionen
            wie HR-Management, Budgetierung und Internal Control.
          o Projektbüro
          o Compliance, Audit, Risk und Security stellt ein Gruppen dar, die mit
            Funktionen im Control Bereich betraut sind und die keine operativen
            Verantwortungen in der IT tragen.

Aufgrund von diesen Rollen können aus der RACI-Tabelle die einzelnen
Verantwortlichkeiten für die Aktivität Bestimme die Ausrichtung des
Risikomanagements (z.B. beurteile Risiken) abgelesen werden.

          o Die Zuständigkeit dieser Aktivität obliegt dem CFO und dem
            Geschäftsprozesseigner.
          o Verantwortlich    sind    der   CEO,       der   CFO     und  der
            Geschäftsprozesseigner.
          o Der Business Executive und der CIO müssen für diese Aktivität
            konsultiert werden.
          o Die Informationen müssen an die Leitung Betrieb und an die Gruppe
            Compliance, Audit, Risk und Security weitergegeben werden.

Diese als Beispiel veranschaulichte Aktivität und die dazugehörigen Rollen sind in
der Tabelle in Abbildung 9 nachzulesen.

      Ziele und Metriken:




                        Abbildung 10: Ziele und Metriken [S.69, 1]




                                                                               20
Ein Aktivitätsziel für PO9 ist z.B. Sicherstellen, dass das Risikomanagement
vollständig in Managementprozess eingebettet ist. Weitere sind in Abbildung 10
veranschaulicht.

Die Aktivitätsziele werden durch die Key Performance Indikators gemessen. Ein Key
Performance Indikator gibt an, wie gut die Performance von IT-Prozessen hinsichtlich
der Zielerreichung ist. Hier wird beispielsweise die Häufigkeit des Reviews des IT-
Management-Prozesses          oder       die     Anzahl      der     durchgeführten
Risikoüberwachungsberichte in der vereinbarten Häufigkeit festgelegt. Weitere Key
Performance Indikators sind in Abbildung 10 dargestellt.

Die Key Performance Indikators treiben die Prozessziele. Ein Prozessziel für PO9 ist
z.B. Bestimme und reduziere die Wahrscheinlichkeit und Auswirkung von IT-Risiken.
Weitere Prozessziele sind in Abbildung 10 ersichtlich.

Prozessrisiken werden durch Key Goal Indikators gemessen. Ein Key Goal Indikator
stellt dar, ob ein IT-Prozess die Unternehmenserfordernisse erfüllt oder nicht. Ein
Key Goal Indikator für PO9 ist beispielsweise die Anzahl der neu identifizierten
Risiken (im Vergleich zum vorherigen Durchlauf). Weitere Indikatoren sind in
Abbildung 10 dargestellt.

Die Key Goal Indikators treiben die IT-Ziele. IT-Ziele definieren die Erwartungen der
Geschäftsbereiche an die IT. Bezüglich PO9 sind IT-Ziele beispielsweise Schützen
der Erreichung der IT-Ziele oder Schaffe Klarheit über die Geschäftsauswirkungen
der Risiken von IT-Zielen und IT-Ressourcen. Weitere IT-Ziele sind in Abbildung 10
veranschaulicht.

IT-Ziele werden durch IT-Key Goal Indikators gemessen. Ein Beispiel hierfür ist %
von kritischen IT-Zielen, die durch Risikobeurteilung abgedeckt sind. Weitere IT-Goal
Indikators sind in Abbildung 10 dargestellt.

2.2.2 Maturity Model

0           Non-existent (nicht existent)
Es gibt keine Risikoeinschätzung für Prozesse oder Geschäftsentscheidungen. Die
Auswirkung        von         Sicherheitsschwachstellen und   Unsicherheiten      der
Projektentwicklung wird nicht berücksichtigt. Risikomanagement ist irrelevant für die
Beschaffung von IT-Lösungen und die IT-Services.
1           Initial (initial)
IT-Risiken werden teilweise berücksichtigt. Je nach Anforderung des Projektes
werden Projektrisiken beurteilt. Risikoeinschätzungen werden manchmal in einem
Projektplan veranschaulicht. IT-bezogene Risken, wie Sicherheit, Verfügbarkeit und
Integrität werden für Projekte manchmal, für alltägliche Betriebsprozesse hingegen
selten betrachtet. Werden Risiken beachtet, dann sind die risikomindernden
Maßnahmen inkonsistent.
2           Repeatable (wiederholbar)
Es gibt einen Ansatz zur Risikoeinschätzung, jedoch ist es dem Projektmanager
überlassen, ob dieser Ansatz eingesetzt wird oder nicht. Risikomanagement existiert
in höheren Ebenen und wird meist nur bei wesentlichen Projekten oder als Reaktion
auf ein Problem durchgeführt. Nachdem Risiken identifiziert werden, werden
Maßnahmen zur Reduktion implementiert.
                                                                                  21
3            Defined (definiert)
Eine unternehmensweite Risikomanagement-Politik definiert wie und wann
Risikoeinschätzung vorgenommen wird. Das Risikomanagement hält sich an einen
festgelegten und dokumentierten Prozess. Es werden auch entsprechende
Risikomanagementschulungen           angeboten.    Den   Risikomanagement-Prozess
anzuwenden und sich schulen zu lassen kann jeder selbst entscheiden.
4            Managed (gemanagt)
Das Risiko wird sowohl bei Projekten als auch beim IT-Gesamtbetrieb eingeschätzt
und reduziert. Das Management wird bei Veränderungen der IT-bezogenen
Risikoszenarien von Geschäfts- und IT-Umgebungen benachrichtigt. Allen
identifizierten Risiken ist ein Eigentümer zugewiesen und ein tolerierbarer Risikolevel
ist vom IT-Management festgelegt worden. Zur Risikoeinschätzung werden
standardisierte Metriken verwendet. Strategien für die Risikoreduktion werden
berücksichtigt.
5            Opimised (optimiert)
Das Risikomanagement ist ein strukturierter, unternehmensweit durchgesetzter und
gut verwalteter Prozess. Aufzeichnungen, Analysen und Berichte sind stark
automatisiert. Leitlinien werden von Verantwortlichen festgelegt. „Das
Risikomanagement ist in alle Geschäfts- und IT-Prozesse wirklich integriert, wird
akzeptiert und involviert die User der IT-Services umfassend.“ [S.70, 1].
Werden Entscheidungen bezüglich Betrieb und Investition ohne Risikomangement
entschieden, dann erkennt das Management dies sofort und reagiert
dementsprechend.

                        Tabelle 8: Maturity Model von PO9 [S.70,1]



2.3 Beitrag von COBIT zur Risikoanalyse im Unternehmen


2.3.1 Stärken von COBIT

COBIT beinhaltet die Sichtweise von unterschiedlichen Experten, die ihren Fokus auf
die Steuerung und weniger auf die Umsetzung legen. Diese Best-Practices
unterstützen bei der Verbesserung der Investitionen im Bereich der IT, sichern die
Leistungserbringung und die Beurteilungsmaßnahmen, falls Unregelmäßigkeiten
auftreten [S.6, 1].

Ein weiterer Vorteil von COBIT ist, dass es einerseits laufend aktualisiert wird und
andererseits bei der Entwicklung viele unterschiedliche Standards und
Referenzmodelle mit einbezogen wurden. Wenn ein Unternehmen COBIT umsetzt,
kann es COBIT ohne weiteres mit anderen Rahmenwerken und Standards
kombinieren. Einige mögliche Kombinationen sind ITIL oder ISO17799. Die
fehlerfreie Umsetzung dieser Standards kann mit Hilfe von COBIT überprüft werden.

Durch das COBIT Framework wird außerdem eine einheitliche Sprache aufgrund der
Definitionen und Begriffe etabliert.

COBIT orientiert sich an dem Kerngeschäft, welches aus der Verbindung mit den
Unternehmenszielen zu den IT-Zielen, dem Bereitstellen von Messgrößen und


                                                                                    22
Reifegradmodellen zur Berechnung der Zielerreichung und aus der Identifikation der
Verantwortlichkeit besteht.

COBIT stellt weiters ein generisches Prozessmodel zur Verfügung und beinhaltet für
die IT übliche Aktivitäten. Die IT-Control Objectives sind nach Prozessen strukturiert
und bieten eine klare Verbindung zwischen den Anforderungen von IT-Governance,
IT-Processes und IT-Controls.

Die dargestellten IT-Processes und Control Objectives sind sehr detailliert erklärt und
können als Good Practices für die IT-Governance gesehen werden. Die
Formulierungen der Definitionen sind sehr allgemein gehalten. Vorteilhaft ist auch,
dass die Control Objectives technologieunabhängig sind. Somit ist der
Einsatzbereich von COBIT für alle Unternehmen quasi unbegrenzt.

Ein weiterer Vorteil ist, dass eine große Anzahl von Control Objectives für jedes
High-Level Control Objective definiert ist. Es muss jedoch nicht jedes dieser Control
Objectives umgesetzt werden. Daher wird jedes Unternehmen nur die relevanten
Control Objectives verwirklichen.

Jedes Unternehmen möchte den Status seiner IT-Systeme verstehen und messen
können, wo sie stehen und welche Maßnahmen zur Verbesserung nötig sind.
Außerdem müssen Werkzeuge zur Verfügung gestellt werden, um die
Verbesserungen entsprechend zu überwachen. Mit Hilfe von Key Goal Indikators und
Performance Indikators kann die Performance von Prozessen bewertet werden.
Darum eignet sich COBIT besonders für die Prüfung, wie effizient, effektiv und sicher
die IT in einem Unternehmen funktioniert.

Die Beurteilung der Prozesse erfolgt bei COBIT aufgrund des Maturity Models. Nach
dem Eruieren von kritischen IT-Prozessen und IT-Control Objectives ermöglicht das
Maturity Model das Erkennen von Lücken. Diese können im Anschluss dem
Management präsentiert werden. Aufgrund eines Umsetzungsplans kann ein
Prozess auf einen gewünschten Reifegrad gebracht werden.


2.3.2 Schwächen von COBIT

Da COBIT sehr allgemein formuliert ist und auf keine Technologien eingeht, werden
für die Umsetzung von Control Objectives weitere Informationen und Unterlagen
benötigt. COBIT definiert nicht, wie die Control Objectives umgesetzt werden sollen.
COBIT ermöglicht das Prüfen, ob alle IT-Prozesse vorhanden sind. Zusätzlich kann
der Reifegrad der IT-Prozesse bestimmt werden. Um die benötigten Maßnahmen zu
bestimmen und umzusetzen wird eine zusätzliche Methode oder ein zusätzliches
Rahmenwerk benötigt.




                                                                                    23
3. COBIT im Vergleich zu ISO 13335-2:2006 (ISO 27005)
Der COBIT Prozess PO9 stellt alle Schritte des Risikomanagementprozesses vom
ISO13335-2:2006 Standard dar. Die inhaltliche Formulierung von COBIT ist nicht mit
der aus dem ISO-Standard zu vergleichen, da der ISO-Standard den
Risikomanagementprozess viel detaillierter erläutert.

Die Prozessschritte von ISO 13335-2:2006 sind in Abbildung 11 auf die Control
Objectives von COBIT abgebildet.




         Abbildung 11: Vergleich zwischen ISO 13335-2:2006 und COBIT [S.36, 9]

Die Abbildung der Prozessschritte von ISO 13335-2:2006 auf den Prozess PO9 sind
in der unten angeführten Tabelle dargestellt.

                                            ISO 13335-2:2006         (ISO COBIT 4.0
                                            27005)
                                            Establishing Context            PO9.1 und
                                                                            PO9.2
                                            Risk Identification             PO9.3
                                            Risk Estimation                 PO9.3 und
                                                                            PO9.4
                                            Risk Treatment                  PO9.5
                                            Risk Acceptance                 PO9.5
                                            Risk Communication              PO9.6
                                            Risk Monitoring and Review      PO9.6




 Abbildung 12: Riskomanagementprozesse
                 [S.19, 8]



                                                                                   24
Erwähnenswert ist sicher auch, dass COBIT nicht alleine für Risikomanagement
gedacht ist. Das Control Objective ist eine Maßnahme, damit das Risikomanagement
in COBIT nicht außer Acht gelassen wird. Obwohl die einzelnen Prozessschritte von
ISO    13335-2:2006       von     COBIT       unterstützt werden,     kann    der
Risikomanagementprozess von ISO nicht mit COBIT verglichen werden.




                                                                              25
4. ENISA-Template

4.1.1 Product identity card

      General information


          Methode or tool name                       Vendor name        Country of origin
Control Objectives for Information and re-       IT Governance Insti-   United States of
lated Technology 4.0 (COBIT 4.0)                 tute (ITGI)            America

      Level of reference of the product


  National Stan-        International Stan-   Private sector organi-     Public / govern-
 dardization body        dardization body      sation / association      ment organisa-
                                                                               tion
                                              Information System
                                              Audit and Control
                                              Foundation (ISACA)

      Identification


R.A. Method         R.M. Method      National standard      International standard
                    yes

R.M. Method phases             Included? (0-3)               Comments
Risk assessment                3                             Maturity Model in every
                                                             Control Objective
                                                             PO9 [p. 63, 1]
Risk treatment                 1                             PO9 [p. 63, 1]
Risk acceptance                1                             Maturity Model
Risk communication             3                             PO9 [p. 52, 1]

      Live Cycle


Date of first release                         Data and identification of the last version
1996                                          Version 4.0, January 2006

      Useful Links


Official web site                             www.isaca.org/COBIT
User group web site                           www.controlit.org

                                                                                        26
Relevant web site                           www.itgi.org



      Language


Available in European languages             English, German

      Price



Free                         Not free                      Updating free
yes                          To download some docu-        -
                             ments you must be a
                             member of ISACA.


4.1.2 Scope

      Target organisation


Governments,      Large compa- SME                 Commercial         Non-profit
agencies          nies                             companies
yes               yes             Yes              yes                yes
Specific sector   External Assurance Professionals

      Geographical spread


Used in EU        Austria, Belgium, Czech republic, Denmark, Estonia, Finland,
member            France, Germany, Hungary, Ireland, Italy, Latvia, Lithuania, Luxem-
states            burg, Malta, The Netherlands, Poland, Slovenia, Spain, Sweden,
                  United Kingdom
Used in non-      More than 170 ISACA chapters worldwide
EU member
states

      Level of Management


Management level             Operational level             Technical level
yes                          Yes                           no

      License and certification scheme



                                                                                   27
Recognized licensing       Certified Information Systems Auditor (CISA), Certified In-
scheme                     formation Security Manager (CISM)
Existing certification     No
scheme


4.1.3 User viewpoint

      Skills needed


To introduce                   To use                       To maintain
Specialist                     Standard                     Specialist

      Consultancy support


Open market                                  Company specific
CISM or CISA certificates are possible       Audit companies

      Regulatory compliance


Sarbane’s Oxley

      Compliance to IT standards


ITIL                     ISO/IEC 17799       ISO/IEC 13335          COSO
ISO/IEC 15408            FIPS PUB 200        NIST 800-14            IT BPM
TOGAF 8.1                PRINCE2             PMBOK                  TickIT
CMMI

      Trial before purchase


CD or download available              Registration required          Trail period
COBIT 4.0 can be downloaded for free. Therefore no trail version is needed. Before
the download starts a registration is required.

      Maturity level of the Information system:


It is possible to measure the I.S.S. maturity level     Maturity Model

      Tools supporting the method



                                                                                         28
Non commercial tools                         Commercial tools
Implementation Tool Set (ITIG)               Corex (Innomenta GmbH & Co. KG)
                                             COBIT Advisor (Methodware Ltd.)
                                             Meycor COBIT Suite (DATASEC)

      Technical integration of available tools


Tools can be integrated with other tools     No

      Organisation processes integration


Method provides interfaces to other or-      Linking to Business Goals
ganisational processes

      Flexible knowledge database


Method allows use of sector adapted          Yes
database




                                                                               29
5. Praktische Erfahrungen und Anwendungen

5.1 Einsatz von COBIT

COBIT wendet sich an unterschiedliche Anwender [S. 9, 9]:

      Alle öffentlichen und privaten Firmen
      Management
      IT-Anwender
      IT-Spezialisten
      Revisoren

Die Hauptanwender von COBIT sind aber die Revisoren, die ein Unternehmen nach
COBIT prüfen.


5.2 Verbreitung in Österreich

In Österreich sind Firmen wie Hewlett-Packard, IBM, Österreichische National Bank,
Generali, Austria Tabak AG & Co.AG, RedBull oder die Lenzing AG mit COBIT
geprüft [18].


5.3 Gut beschriebene Musterprojekte

Als Musterprojekt kann sicher Sun Microsystems [19] erwähnt werden. Sun
Microssystems setzt jedoch COBIT 3 im Unternehmen ein. Dieses Musterprojekt ist
mit Grafiken veranschaulicht und sehr gut beschrieben.

Ein weiteres Musterprojekt stellt Unisys Coporation [20] dar. Auch dieses
Unternehmen setzt COBIT 3 ein.

Das Unternehmen Harley-Davidson [21] setzt seit September 2006 das aktuelle
COBIT 4 Release ein.


5.4 Erfahrung von Anwendern
Das Unternehmen Sun Microsystems ist mit der COBIT sehr zufrieden, was auch aus
ihrem Feedback ersichtlich ist [19]:

       „Sun will COBIT auch weiterhin einsetzen. Die Implementierung von COBIT
       war nur möglich, weil das IT-Management sehr offen war. Die Akzeptanz für
       COBIT wuchs und das Management versucht andere Organisationen für den
       Einsatz von COBIT zu begeistern.“

Das Unternehmen Unisys Corporation ist mit der Umsetzung von COBIT ebenfalls
zufrieden. Dies erkannt man auch aus ihrem Feedback [20]:

                                                                               30
     „COBIT hilft Unisys eine standardisierte IT-Strategie zu unterstützen, globale
     Operationen zwischen IT Infrastruktur und den Business Strategies
     abzugleichen. Außerdem hilft COBIT beim Einhalten von Sarbanes-Oxley.“

Eine völlig konträre Meinung hat die Firma Princewaterhousecoopers aus den
Niederlanden [S.63, 2]:

     „Der einzige Vorteil von COBIT ist, dass ITIL einer der globalen Standards ist,
     auf denen COBIT basiert.“




                                                                                 31
6. Anhang I
In der folgenden Tabelle sind die vier Domains von COBIT mit den dazugehörigen
IT-Prozessen dargestellt. Außerdem sind in der ersten Tabelle die Information
Criteria der einzelnen IT-Prozesse veranschaulicht. Die Zuordnungen der Information
Criteria werden durch P für primäre und S für sekundäre Abhängigkeit verdeutlicht.
Außerdem sind die Abhängigkeiten der IT-Ressouces für jeden IT-Prozess in der
zweiten Tabelle dargestellt.




     Abbildung 13: Verbindung zwischen Control Objectives, Information Criteria und IT-
                                  Ressourcen [S.20, 2]




                                                                                          32
7. Quellenverzeichnis
[1] IT GOVERNANCE INSTITUTE:
    COBIT 4.0
    Dezember 2005
    http://www.isaca.at/Ressourcen/CobiT%204.0%20Deutsch.pdf

[2] IT GOVERNANCE INSTITUTE:
    COBIT Implementation Tool Set
    Juli 2000
    www.isaca.org (Download Section)

[3] IT GOVERNANCE INSTITUTE, OFFICE OF GOVERNMENT COMMERCE AND
    IT SERVICE MANGEMENT FORUM:
    November 2005
    www.isaca.org (Download Section)

[4] IT GOVERNANCE INSTITUTE:
    Executive Summery
    Juli 2000
    www.isaca.org (Download Section)

[5] IT GOVERNANCE INSTITUTE:
    Aufgabenbereiche von ITGI
    Vom 01.12.2006
    http://www.itgi.org/template_ITGI.cfm?Section=About_ITGI&Template=/ContentM
    anagement/HTMLDisplay.cfm&ContentID=19648

[6] Wolfgang Goltsche
    COBIT kompakt und verständlich
    1. Aufl. September 2006

[7] Clemens Peither, Stefan Schiebeck, Wu Feiliang
    COBIT 4.0 – Control Objectives for Information and related Technologie
    1. Aufl. April 2006

[8] Univ.-Doz. DI Dr. Ingrid Schaumüller-Bichl
    Vorlesungsunterlagen zu Information Security Risk Management
    FH Hagenberg
    WS 06/07

[9] IT GOVERNANCE INSTITUTE:
    COBIT Mapping: Overview of International IT Guidance, 2nd Edition
    März 2006
    http://www.isaca.org/AMTemplate.cfm?Section=Deliverables&Template=/Content
    Management/ContentDisplay.cfm&ContentID=24759

[10] IT GOVERNANCE INSTITUTE:
   COBIT 4.0 Brochure
   http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/O
   btain_COBIT/COBIT40-Brochure.pdf

                                                                             33
[11] IT GOVERNANCE INSTITUTE:
   Funktionsverteilung je nach Preisklasse
   Von 10.12.2006
   http://www.isaca.org/Template.cfm?Section=COBIT_Online&Template=/Content
   Management/ContentDisplay.cfm&ContentID=15633

[12] Methodware Ltd.
   Softwaretool COBIT Advisor
   www.methodware.com

[13] Datasec:
   Softwaretool Meycor COBIT Suite
   www.datasec-soft.com

[14] Innomenta GmbH & Co. KG
   Softwaretool Corex
   www.innomenta.de

[15] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION:
   Überblick und Geschichte von ISACA
   http://www.isaca.org/template.cfm?section=Overview_and_History

[16] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION:
   Niederlassungen von ISACA in Europa und Afrika
   http://www.isaca.org/Content/NavigationMenu/About_ISACA/Chapters/ISACA_Ch
   apters_in_Africa_and_Europe.htm

[17] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION:
   Mitgliedschaft bei ISACA
   www.isaca.at/modules.php?name=Content&pa?showpage&pid=2

[18] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION:
   Unternehmen, die von ISACA-Mitgliedern vertreten werden
   www.isaca.at/modules.php?name=Content&pa?showpage&pid=5

[19] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION:
   Einsatz von COBIT bei Sun Microsystems
   http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/ContentManage
   ment/ContentDisplay.cfm&ContentID=20640

[20] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION:
   Einsatz von COBIT bei Unisys Corporation
   http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/ContentManage
   ment/ContentDisplay.cfm&ContentID=21715

[21] INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION:
   Einsatz von COBIT bei Harley-Davidson
   http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/ContentManage
   ment/ContentDisplay.cfm&ContentID=27030




                                                                          34

								
To top