Österreich
Secure Your Business
 

Neue COBIT 5 Version: Hand in Hand
mit ISO 20000 und ISO 27001

 

Die neue Version COBIT 5 unterstützt die Implementierung von Informationssicherheit und IT-Service-Management durch inhaltliche Synergien. Ein Beitrag von CIS-Auditor Gerd Brunner.


(CIS-Newsletter März 2013) - Vor zehn Jahren wurde COBIT in unseren Breitengraden vorwiegend als methodischer Ansatz zum Prüfung von IT-Prozessen aus Sicht der Wirtschaftsprüfer betrachtet. Seitdem fand eine ständige Weiterentwicklung statt und in seiner aktuellen Version versteht sich 03_Brunner_web_mrCOBIT 5 als ausgereiftes Modell zur Unterstützung bei der Implementierung der unternehmensweiten Governance und des Managements der Unternehmens-IT (Governance and Management of Enterprise IT – kurz GEIT) dar. Durch seine Ausrichtung an relevanten Regelwerken und ISO-Standards in diesen Bereichen lässt sich COBIT 5 besser als seine Vorgängerversionen integrieren.

Aus Sicht der Informationssicherheit unterstützt COBIT 5 daher auch die Implementierung eines Managementsystems nach ISO 27001 durch inhaltliche Überschneidungen und eine verbesserte Ausrichtung auf die Unterstützung der Business Prozesse und Unternehmensziele. Noch ausgeprägtere Synergien ergeben sich bei der Implementierung eines IT-Service-Managementsystems nach ISO 20000.
 

Vorhandene Strukturen nutzen
Fazit: Unternehmen, die bereits nach COBIT arbeiten, können bei der ISO-27001- und ISO-20000-Implementierung bereits vorhandene Strukturen nutzen und vergleichsweise rasch zur Zertifizierungsreife gelangen. Folgende Synergien werden von solchen Unternehmen berichtet:

  • IT-Security-Policy und weiterführende Vorgaben waren bereits vorhanden und mussten nur entsprechend angepasst werden.
  • Sensibilisierung des Managements war bereits gegeben.
  • Anforderungen an einen sicheren Betrieb waren bereits im Vorfeld festgehalten.
  • Change- und Incident-Management waren zum Teil in der Praxis bereits umgesetzt.

Das Ziel von COBIT 5 ist es, einen optimalen IT-Wert zu generieren, indem ein ausgeglichenes Verhältnis zwischen Nutzenrealisierung, Risikominimierung und Ressourceneinsatz angestrebt wird.
Alle Neuerungen in COBIT 5 zu zeigen, sprengt den verfügbaren Rahmen, weswegen im Zuge dieses Beitrags nur auf eine Reihe besonders wesentlicher Punkte eingegangen werden soll.

 

Governance und Management
COBIT 5 schafft eine klare Unterscheidung zwischen Governance und Management. Governance stellt sicher, dass die Bedürfnisse, Bedingungen und Optionen der Stakeholder bewertet und notwendige Direktiven erlassen und kontrolliert werden. Management ist für die Umsetzung der von Governance erlassenen Vorgaben zuständig, d.h. notwendige Aktivitäten zu planen, umzusetzen, zu betreiben und zu überwachen. Mit Einführung von COBIT 5 wurde ein neues Prozessframework eingeführt, welches auf fünf Bereichen 37 Prozesse beinhaltet und sich wie folgt darstellt.

 

 03_Grafik


EDM / Evaluate, Direct and Monitor - Evaluieren, Vorgaben und Überwachen
 • EDM01 Sicherstellen der Einrichtung und Pflege des Governance-Rahmenwerks
 • EDM02 Sicherstellen der Lieferung von Wertbeiträgen
 • EDM03 Sicherstellen der Risiko-Optimierung
 • EDM04 Sicherstellen der Ressourcenoptimierung
 • EDM05 Sicherstellen der Transparenz gegenüber Anspruchsgruppen
  

APO / Align, Plan and Organise - Anpassen, Planen und Organisieren
 • APO01 Managen des IT-Management-Rahmenwerks
 • APO02 Managen der Strategie
 • APO03 Managen der Unternehmensarchitektur
 • APO04 Managen von Innovationen
 • APO05 Managen des Portfolios
 • APO06 Managen von Budget und Kosten
 • APO07 Managen des Personals
 • APO08 Managen von Beziehungen
 • APO09 Managen von Servicevereinbarungen
 • APO10 Managen von Lieferanten
 • APO11 Managen der Qualität
 • APO12 Managen von Risiko
 • APO13 Managen der Sicherheit
 

BAI / Build, Acquire and Operate - Aufbauen, Beschaffen und Implementieren
 • BAI01 Managen von Programmen und Projekten
 • BAI02 Managen der Definition von Anforderungen
 • BAI03 Managen von Lösungsidentifizierung und Lösungsbau
 • BAI04 Managen von Verfügbarkeit und Kapazität
 • BAI05 Managen der Ermöglichung organisatorischer Veränderungen
 • BAI06 Managen von Änderungen
 • BAI07 Managen der Abnahme und Überführung von Änderungen
 • BAI08 Managen von Wissen
 • BAI09 Managen von Betriebsmitteln
 • BAI10 Managen der Konfiguration


DSS / Deliver, Service and Support - Bereitstellen, Betreiben und Unterstützen
 • DSS01 Mangen des Betriebs
 • DSS02 Managen von Service-Anfragen und Störungen
 • DSS03 Managen von Problemen
 • DSS04 Managen der Kontinuität
 • DSS05 Managen von Sicherheitsservices
 • DSS06 Managen von Geschäftsprozesskontrollen


MEA / Monitor, Evaluate and Assess - Überwachen, Evaluieren und Beurteilen
 • MEA01 Überwachen, Evaluieren und Beurteilen von Leistung und Konformität
 • MEA02 Überwachen, Evaluieren und Beurteilen des Internen Kontrollsystems
 • MEA03 Überwachen, Evaluieren und Beurteilen der Compliance mit externen Anforderungen


Die in vorherigen COBIT-Versionen definierten „Control Objectives“ wurden durch Governance- bzw. Management-Practices ersetzt. Neue Rollendefinitionen und Verantwortlichkeiten in den Fachbereichen und in der IT wurden definiert, wie z.B. COO, CISO, Chief Risk Officer, Service 03_Zahnrad_webManager und Business Continuity Manager. Vom Maturity Model in COBIT 4.1 wurde in COBIT 5 auf ein Process Capability Model umgestellt, das auf dem international bekannten Standard ISO/IEC 15504 / SPICE basiert.


Vergleich mit ISO-Standards
COBIT 5 wurde unter Berücksichtigung zahlreicher Standards und Rahmenwerke entwickelt. Die aus der COBIT-5-Familie stammende Publikation „COBIT 5: Enabling Processes“ enthält eine detaillierte Zuordnung von den einzelnen COBIT-5-Prozessen zu relevanten Teilen zugehöriger Standards und Rahmenwerke. Dieser Abschnitt enthält eine kurze Erörterung der einzelnen Rahmenwerke bzw. Standards und gibt an, auf welche Bereiche oder Domänen von COBIT 5 sie sich beziehen.
 

ITIL® V3 2011 und ISO/IEC 20000 für IT-Service-Management
Die folgenden COBIT 5-Bereiche und -Domänen werden von ITIL V3 2011 und ISO/IEC 20000 abgedeckt:
 • Eine Teilmenge der Prozesse der Domäne DSS (Deliver, Service and Support)
 • Eine Teilmenge der Prozesse der Domäne BAI (Build Acquire and Operate)
 • Einige Prozesse der Domäne APO (Align, Plan and Organise)


ISO/IEC 27000-Serie für Informationssicherheit
Die folgenden COBIT 5-Bereiche und -Domänen werden von ISO/IEC 27000 abgedeckt:
 • Sicherheits- und risikobezogene Prozesse der Domänen EDM (Evaluate, Direct and Monitor),

   APO und DSS
 • Verschiedene sicherheitsbezogene Aktivitäten innerhalb von Prozessen anderer Domänen
 • Überwachungs- und Bewertungsaktivitäten der Domäne MEA (Monitor, Evaluate and Assess)
 

ISO/IEC 31000-Serie für Riskmanagement
Die folgenden COBIT 5-Bereiche und -Domänen werden von ISO/IEC 31000 abgedeckt:
 • Risikomanagement-bezogene Prozesse der Domänen EDM und APO


ISO/IEC 38500 für Corporate Governance
COBIT 5 basiert direkt auf dem aus ISO/IEC 38500 stammenden „Model for Corporate Governance of IT“


ISO/IEC 15504 für Process Assessment
Das Prozess-Reifegradmodell von COBIT 5 basiert auf ISO/IEC 15504, besser bekannt als SPICE Model.


Zusammenfassung
COBIT 5 hat sich von einem Audit-Framework zu einem umfassenden Governance-Framework entwickelt. Der Einfluss von ITIL und ISO 20000 ist deutlich spürbar. Gerade wenn man dabei ist, ein Informationssicherheits-Managementsystem nach ISO 27001 oder ein IT-Service-Managementsystem nach ISO 20000 im Unternehmen zu etablieren, lassen sich die inhaltlichen Überschneidungen mit COBIT 5 hervorragend nutzen. Darüber hinaus liefern auch die im COBIT-5-Framework beschriebenen Good-Practice-Ansätze passende Inhalte für die Implementierung.

 

 

Gerd Brunner fungiert als CIS-Auditor für Informationssicherheit nach ISO 27001. Darüber hinaus steht er im Rahmen seines privatwirtschaftlichen Engagements mit seinem Team zahlreichen Unternehmen auf organisatorischer wie technischer Ebene beratend und prüfend zur Seite. 
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB