토픽 21 / 159

COBIT (Control Objectives for IT)

ISACA에서 개발한 IT 거버넌스와 관리를 위한 프레임워크

목적: IT 거버넌스 구현, 통제 목표 제공, 성숙도 평가

특징: 프로세스 중심, 통제 목표, 성숙도 모델

구성요소: 거버넌스 목표(EDM: Evaluate/Direct/Monitor), 관리 프로세스(APO: 정렬/계획/조직, BAI: 구축/획득/구현, DSS: 전달/서비스/지원, MEA: 모니터링/평가/확인), 성숙도 모델, 목표 계단식

COBIT 5 vs COBIT 2019 비교표

프로세스 모델 상세

•EDM (거버넌스, 5개 목표): EDM01 거버넌스 프레임워크 설정/유지, EDM02 이익 실현 보장, EDM03 리스크 최적화, EDM04 자원 최적화, EDM05 이해관계자 투명성
•APO (정렬/계획/조직, 14개 목표): IT 전략, EA, 혁신, 예산, 인력, 관계, 서비스 계약, 품질, 리스크, 보안, 데이터 등
•BAI (구축/획득/구현, 11개 목표): 프로그램/프로젝트 관리, 요구사항 정의, 솔루션 개발, 변경 관리, IT 자산 관리, 구성 관리 등
•DSS (전달/서비스/지원, 6개 목표): 운영 관리, 서비스 요청/인시던트 관리, 문제 관리, 연속성 관리, 보안 서비스, 비즈니스 프로세스 통제
•MEA (모니터링/평가/확인, 4개 목표): 성과/적합성 모니터링, 내부 통제, 외부 요구사항 준수, IT 보증

6대 원칙(COBIT 2019): 이해관계자 요구 충족, 전체 시스템 커버, 단일 통합 프레임워크 적용, 전체론적 접근, 거버넌스와 관리 구분, 맞춤화(Tailored to Enterprise Needs)

성숙도 레벨: 0(없음) → 1(초기) → 2(반복) → 3(정의) → 4(관리) → 5(최적화)

장점: 포괄적, 표준화, 성숙도 평가

단점: 복잡도, 도입 부담, 대기업 중심

적용사례: IT 거버넌스, IT 감사, 규제 준수

비교: COBIT(거버넌스) vs ITIL(서비스관리) vs ISO 27001(보안)

연관: IT거버넌스, IT감사, 성숙도 모델, ISO 38500