IT control -COBIT は IT governance のフレームワーク

投稿者 投稿日:

IT control 、ITにおける内部統制、IT governance

Business information system をはじめとした企業が採用している Information technology の組織的な Control(管理)を会社全体レベルで実施する。

POINT

・IT Governance で Return と Risk をはかり、会社の Strategic goals にそわせる


・It governance は、All organization の Level で行う


・COBIT の4つの Domain は、Plan and Organize、Aquire and Implement、Deliver and Support、Monitor and Support

Level

IT governance(IT control)は、All organization の Level で実施する。Board of directors only や Management only の Level で行うものではない。

Classification

IT control は大きく二つに分類できる。

  • General control
  • Application control
General control

企業の全般的な統制

Application control

Application の機能の統制

また、以下の3つにも分類できる。

  • Governance control
  • Management control
  • Technical control

他にも、Control activities の観点から以下のように分けることができる。上位の Control が Superior の Control 。

  • Preventive Controls
  • Detective Controls
  • Corrective Controls
Preventive controls

Error や Fraud を防ぐための Control。安価で実施できる。Separation of duties をあつかう。
Access control softwareなど。

Detective controls

Error や Fraud が発生したら System failures を確認する。Echo check や Hash totals など。

Corrective controls

Error や Fraud を修正する。

IT goals

IT governance により達成すべきもの。IT の System 導入で受けられる Return と、発生する Effect や Risk をはかり、Balance をとる。

また、Organization の Strategic goals と Integrate して設定する。

IT policy

ITに関する規定。以下は必須項目。

  • Title
  • Purpose
  • Scope and context
  • Statement of responsibility
  • Updating のタイミング
  • Updating の Process
  • Operation と Updating の担当者
  • Entity の Strategy と Objectives との Link

Monitoring

It policy の Monitoring

  • Compliance と Success の Monitoring 
  • Internal auditing staff による Monitoring
  • Continuous で Periodic な Monitoring

COBIT

Control Objectives for Information and related Technology の略。Management に IT Governance model を Provide する Framework 。IT security と Control の Best practices を Identify できる。

ISACA(情報システムコントロール協会)とITG(ITガバナンス協会 )によって作られ、International で広く利用されているが、導入は義務付けられてはいない。

Physical resources

COBIT model では5つの Physical resources をさだめている。

  • People
  • Applications
  • Technology
  • Facilities
  • Data

Primary target

COBIT の Primary target は、Internal auditors

Business requirements

  • Quality Requirements:
  • Fiduciary Requirements (COSO Report)
  • Security Requirements

Components

COBIT は3つの Major components をもつ。

  1. Domains and processes
  2. Information criteria
  3. IT resources

1. Domain and processes

COBITは4つの領域をもつ

  • Plan and Organize
  • Aquire and Implement
  • Deliver and Support
  • Monitor and Evaluate
Aquire and Implement

Acquire、Purchase、Implement、Develop の Assessing 。

Deliver and Support

Outsourcing contracts の Reviewing 。

Monitor and Evaluate

Privacy regulations などの Compliance の Analyzing

2. Information criterion

COBITの7つの Criteria

  • Effectiveness
  • Efficiency
  • Confidentiality
  • Integrity
  • Availability
  • Compliance
  • Reliability of information
Availability

User response time も該当する。

3. IT Resources

  • Data
  • Application systems
  • Technology
  • Facilities
  • People
Technology

IT resources となる Technology は、Hardware、Operating systems、Database management systems、Networking structure、Multimedia などが含まれる。

ura.duy

投稿者: uscpakaigai