COBIT(Control Objectives for Information and related Technology)は、組織における情報システム管理に関するガイドラインです。
COBITは、IT統制に関する国際的な団体ITGI(IT Governance Institute)およびISACA(Information Systems Audit and Control Association)が公表しています。
COBITは情報システム管理についてのベストプラクティス集(フレームワーク)であり、ITガバナンスや内部統制に関する指標となります。
COBITは日本でも活用されており、経済産業省「システム管理基準」も、COBITを参考に作られています。
COBITの5つの原則
1.ステークホルダーのニーズを充足
事業体は、ステークホルダーに向けて価値を生み出すために存在しています。
価値創出とは「リスクを最適化しつつ、最適なリソースコストで効果を実現すること」と定義しています。
2.事業体全体の包含
COBITは情報とそれに関わる技術を事業価値創出に向けた重要イネーブラーとして取り扱います。
3.一つに統合されたフレームワークの適用
COBITは、他の関連する標準やフレームワークと整合をとっています。
ITガバナンスに係るガイドラインや、COBIT以外のフレームワークであるValIT、RiskIT などを取り込み、ISOや、ITILとも整合性を取ったことで、ITガバナンスの中核とすることができます。
4.包括的アプローチの実現
COBITは事業体のITガバナンスとITマネジメントを効率的にするために、7つのカテゴリのイネーブラーを定義しています。
イネーブラーとは、事業体の目標達成を支援する影響要因を指します。
7つのカテゴリーに定義されたイネーブラーは以下の通りです。
定義されたイネーブラー
- 原則、ポリシーおよびフレームワーク
- プロセス
- 組織構造
- 文化、倫理および行動
- 情報
- サービス、インフラストラクチャおよびアプリケーション
- 人材、スキルおよび遂行能力
5.ガバナンスとマネジメントの分離
COBITフレームワークは、ガバナンスとマネジメントの間に明確な区別を設けてい
ます。
ガバナンス
ITマネジメントのフレームワークに対するステークホルダーのニーズや、条件、選択肢を「評価」し、優先順位の設定と意思決定によって方向性を定めます。
合意した「方向性」と目標に沿ってパフォーマンスや準拠性を「モニター」することで事業体の目標が達成されることを保証する全体監理の統治プロセスです。
ほとんどの事業体においては取締役会長のリーダーシップのもと、取締役会がガバナンス全体の実行責任を負います。
マネジメント
事業体の目標の達成に向けてガバナンス主体が定めた方向性に沿ってアクティビティを計画、構築、実行し、評価する実働の管理プロセスです。
ほとんどの事業体において、最高経営責任者(CEO)のリーダーシップのもとに、経営幹部がマネジメントの実行責任を負います。
COBITのプロセス参照モデルでは、組織におけるIT関連の実践とアクティビティをガバナンスとマネジメントに分け、それぞれのプロセスを定義しています。
参考にさせていただいたサイト
Information Technology - Information Security – Information Assurance | ISACA
http://www.ism-research.com/common_uploaded_files/file/20131215COBIT5fworReferencechapter1.pdf
http://www.isaca.gr.jp/standard/img/COBIT5_140214r2.pdf