Praxiswissen COBIT, 3rd Edition

Book description

COBIT (Control Objectives for Information and Related Technology) ist das führende Rahmenwerk für die Governance und das Management der Unternehmens-IT und bildet das Fundament für eine effiziente und wirksame Steuerung und Kontrolle der IT.

Das Buch beschreibt die Grundelemente sowie die zugrundeliegenden Konzepte von COBIT wie auch von Val IT und Risk IT, die im Rahmenwerk integriert sind. Außerdem werden Zertifizierungsmöglichkeiten beschrieben sowie Prüfungsinhalte und Testfragen vorgestellt.

Die 3. Auflage wurde auf COBIT 2019 - das neue IT-Governance-Modell für die Unternehmens-IT - aktualisiert und enthält konkrete Beispiele der Anwendung von COBIT in deutschen Unternehmen.

Table of contents

  1. Cover
  2. Über den Autor
  3. Titel
  4. Impressum
  5. Geleitwort
  6. Vorwort
  7. Inhaltsübersicht
  8. Inhaltsverzeichnis
  9. 1 Einleitung
    1. 1.1 Aufbau des Buches
  10. Teil I COBIT verstehen
    1. 2 Entwicklung und Bedeutung von COBIT
    2. 2.1 ISACA und das IT Governance Institute
    3. 2.2 Entstehung und Entwicklung von COBIT
    4. 2.3 COBIT-Produktfamilie
    5. 3 Die sechs Prinzipien eines Governance-Systems
    6. 3.1 Prinzip 1: Mehrwert für die Anspruchsgruppen bereitstellen
    7. 3.2 Prinzip 2: Ganzheitlicher Ansatz
    8. 3.3 Prinzip 3: Dynamisches Governance-System
    9. 3.4 Prinzip 4: Governance getrennt vom Management
    10. 3.5 Prinzip 5: Zugeschnitten auf die Bedürfnisse des Unternehmens
    11. 3.6 Prinzip 6: End-to-End-Governance-System
    12. 4 Prinzipien für Governance-Rahmenwerke
    13. 4.1 Prinzip 1: Basierend auf einem konzeptionellen Modell
    14. 4.2 Prinzip 2: Offen und flexibel
    15. 4.3 Prinzip 3: An wichtigen Standards ausgerichtet
    16. 5 Komponenten und ihre Dimensionen
    17. 5.1 Anspruchsgruppen
    18. 5.2 Ziele
    19. 5.3 Lebenszyklus
    20. 5.4 Bewährte Verfahren
    21. 6 Prinzipien, Richtlinien und Verfahren
    22. 6.1 Anspruchsgruppen
    23. 6.2 Ziele
    24. 6.3 Lebenszyklus
    25. 6.4 Bewährte Verfahren
    26. 7 Organisationsstrukturen
    27. 7.1 Anspruchsgruppen
    28. 7.2 Ziele
    29. 7.3 Lebenszyklus
    30. 7.4 Bewährte Verfahren
    31. 8 Kultur, Ethik und Verhalten
    32. 8.1 Anspruchsgruppen
    33. 8.2 Ziele
    34. 8.3 Lebenszyklus
    35. 8.4 Bewährte Verfahren
    36. 9 Services, Infrastruktur und Anwendungen
    37. 9.1 Anspruchsgruppen
    38. 9.2 Ziele
    39. 9.3 Lebenszyklus
    40. 9.4 Bewährte Verfahren
    41. 10 Mitarbeiter, Fähigkeiten und Kompetenzen
    42. 10.1 Anspruchsgruppen
    43. 10.2 Ziele
    44. 10.3 Lebenszyklus
    45. 10.4 Bewährte Verfahren
    46. 11 Prozesse
    47. 11.1 Anspruchsgruppen
    48. 11.2 Ziele
    49. 11.3 Lebenszyklus
    50. 11.4 Bewährte Verfahren
    51. 12 Information
    52. 12.1 Anspruchsgruppen
    53. 12.2 Ziele
    54. 12.3 Lebenszyklus
    55. 12.4 Bewährte Verfahren
    56. 13 Kernmodell
    57. 13.1 Domänen mit Governance- und Managementzielen
    58. 13.1.1 Governance-Domäne
    59. 13.1.2 Management-Domänen
    60. 13.1.2.1 Management-Domäne APO
    61. 13.1.2.2 Management-Domäne BAI
    62. 13.1.2.3 Management-Domäne DSS
    63. 13.1.2.4 Management-Domäne MEA
    64. 13.1.3 Übergreifende Elemente des Kernmodells
    65. 13.1.3.1 Name des Governance- und Managementziels
    66. 13.1.3.2 Beschreibung und Zweck
    67. 13.1.3.3 Unternehmensziele und IT-bezogene Ziele
    68. 13.1.4 Prozesse im Kernmodell
    69. 13.1.4.1 Prozesspraktiken und beispielhafte Metriken
    70. 13.1.4.2 Prozessaktivitäten und zugeordneter Fähigkeitsgrad
    71. 13.1.4.3 Zugehörige Leitfäden und detaillierte Referenzen
    72. 13.1.5 Organisationstrukturen im Kernmodell
    73. 13.1.6 Informationsflüsse und -elemente im Kernmodell
    74. 13.1.7 Mitarbeiter, Fähigkeiten und Kompetenzen im Kernmodell
    75. 13.1.8 Richtlinien und Verfahren im Kernmodell
    76. 13.1.9 Kultur, Ethik und Verhalten im Kernmodell
    77. 13.1.10 Services, Infrastruktur und Anwendungen im Kernmodell
    78. 14 COBIT Performance Management
    79. 14.1 CMMI Development
    80. 14.2 Prozessbewertungsmodell (COBIT 2019)
    81. 14.3 ISO/IEC 15504 und ISO/IEC 33000
    82. 14.4 Prozessbewertungsmodell (PAM)
    83. 14.4.1 Indikatoren für die Prozessdurchführung
    84. 14.4.2 Indikatoren für die Prozessfähigkeit
    85. 15 Referenzen für COBIT
    86. 15.1 Entwicklung der COBIT-Referenzen
    87. 15.2 COSO Enterprise Risk Management
    88. 15.3 ITIL und ISO/IEC 20000
    89. 15.4 Capability Maturity Model (Integration)
    90. 15.5 PMBOK
    91. 15.6 TOGAF
    92. 15.7 COBIT als Integrationsrahmenwerk
    93. 16 Die wesentlichen Veränderungen zu COBIT 5
  11. Teil II COBIT anwenden
    1. 17 Geschäftsrelevante IT-Prozesse identifizieren
    2. 17.1 COBIT-Zielkaskade
    3. 17.2 Designfaktoren
    4. 18 Reifegrad von IT-Prozessen ermitteln
    5. 18.1 Prozessaktivitäten beurteilen
    6. 18.2 Prozesspraktiken und Arbeitsprodukte beurteilen
    7. 18.3 Selbsteinschätzung der Prozessbefähigung durchführen
    8. 19 Kennzahlensysteme aufbauen
    9. 19.1 IT Balanced Scorecard
    10. 19.2 COBIT-Ziele und -Metriken in eine IT Balanced Scorecard integrieren
    11. 19.2.1 COBIT-Ziele in eine IT Balanced Scorecard integrieren
    12. 19.2.2 COBIT-Metriken in eine IT Balanced Scorecard integrieren
    13. 20 Geschäftsprozesskontrollen optimieren
    14. 21 IT-Governance ausüben
    15. 21.1 Grundlagen der IT-Governance
    16. 21.2 ISO/IEC 38500: Corporate Governance of IT
    17. 21.3 COBIT als IT-Governance-Rahmenwerk
    18. 21.4 Kernbereiche der IT-Governance
    19. 21.4.1 Strategische Ausrichtung der IT
    20. 21.4.2 Wertbeitrag der IT
    21. 21.4.3 Management der IT-Ressourcen
    22. 21.4.4 Risikomanagement in der IT
    23. 21.4.5 Messen der IT-Performance
    24. 21.5 IT Governance Policy erstellen
    25. 22 IT-Governance kontinuierlich verbessern
    26. 22.1 Implementierungs-Lebenszyklus
    27. 22.1.1 Programmmanagement
    28. 22.1.2 Änderungsmanagement
    29. 22.1.3 Kontinuierliche Verbesserung
    30. 22.1.4 Herausforderungen und Erfolgsfaktoren
    31. 22.1.5 Business Case
    32. 22.2 Governance System Design Workflow
    33. 23 IT-Risiken managen
    34. 23.1 Grundlagen des Risikomanagements
    35. 23.2 IT-Risikomanagement im COBIT-Kernmodell
    36. 23.2.1 Governance-Ziel EDM03
    37. 23.2.2 Managementziel APO12
    38. 23.2.3 Risikobehandlung in anderen COBIT-Prozessen
    39. 23.2.3.1 Programm- und Projektrisikomanagement
    40. 23.2.3.2 Lieferantenrisikomanagement
    41. 23.2.3.3 Risikoanalyse bei der Softwareauswahl und -entwicklung
    42. 23.3 Umsetzungsleitfaden »COBIT 5 for Risk«
    43. 23.4 Governance und Management der Risikofunktion
    44. 23.4.1 Prinzipien, Richtlinien und Rahmenwerke für die Risikofunktion
    45. 23.4.2 Prozesse für die Risikofunktion
    46. 23.4.3 Organisationsstrukturen für die Risikofunktion
    47. 23.4.4 Kultur, Ethik und Verhalten für die Risikofunktion
    48. 23.4.5 Informationselemente für die Risikofunktion
    49. 23.4.6 Services, Infrastruktur und Anwendungen für die Risikofunktion
    50. 23.4.7 Fähigkeiten und Kompetenzen für die Risikofunktion
    51. 23.5 Risikomanagementprozesse
    52. 23.5.1 Risikoereignisse
    53. 23.5.2 Risikoindikatoren
    54. 23.5.3 Risikoszenarien bilden
    55. 23.5.4 Risikobehandlung
    56. 24 Informationssicherheit managen
    57. 24.1 Grundlagen der Informationssicherheit
    58. 24.1.1 ISO/IEC-27000-Normenfamilie
    59. 24.1.2 ISF Standard of Good Practice for Information Security
    60. 24.1.3 NIST Special Publications 800
    61. 24.1.4 HITRUST CSF
    62. 24.1.5 CMMI Cybermaturity Platform
    63. 24.1.6 CIS Critical Security Controls for Effective Cyber Defense
    64. 24.2 Informationssicherheit im COBIT-Kernmodell
    65. 24.2.1 Informationssicherheitsrelevante Governance- und Managementziele
    66. 24.2.2 Managementziel APO13
    67. 24.2.3 Managementziel DSS05
    68. 24.3 Umsetzungsleitfaden »COBIT 5 for Information Security«
    69. 24.4 Enabler für die Informationssicherheit
    70. 24.4.1 Prinzipien, Richtlinien und Rahmenwerke für die Informationssicherheit
    71. 24.4.2 Prozesse für die Informationssicherheit
    72. 24.4.3 Organisationsstrukturen für die Informationssicherheit
    73. 24.4.4 Kultur, Ethik und Verhalten für die Informationssicherheit
    74. 24.4.5 Informationstypen für die Informationssicherheit
    75. 24.4.6 Services, Infrastruktur und Anwendungen für die Informationssicherheit
    76. 24.4.7 Fähigkeiten und Kompetenzen für die Informationssicherheit
    77. 25 IT-Compliance erreichen
    78. 25.1 Grundlagen der IT-Compliance
    79. 25.1.1 Einhaltung von Gesetzen und Rechtsverordnungen
    80. 25.1.2 Einhaltung sonstiger Anforderungen
    81. 25.2 IT-Compliance im COBIT-Kernmodell
    82. 25.2.1 Compliance-relevante Governance- und Managementziele
    83. 25.2.2 Managementziel MEA03
    84. 25.3 Anwendungsbeispiel: COBIT als Basis eines IT-Compliance-Rahmenwerks
    85. 26 IT-Outsourcing steuern
    86. 26.1 Outsourcing-relevante Governance- und Managementziele
    87. 26.2 Managementziel APO10
    88. 26.3 Outsourcing-Assurance
    89. 26.3.1 Assurance Reports
    90. 26.3.2 Umfang und Inhalte eines Berichts nach ISAE 3402 oder PS 951
    91. 26.4 Bedeutung von COBIT für Berichte nach ISAE 3402 oder PS 951
    92. 26.4.1 Anwendungsbeispiel: Kontrollziele und -beschreibungen mit COBIT strukturieren
    93. 27 IT-Assurance-Initiativen durchführen
    94. 27.1 Grundlagen der Assurance
    95. 27.2 Assurance im COBIT-Kernmodell
    96. 27.2.1 Managementziel MEA04
    97. 27.3 Umsetzungsleitfaden »COBIT 5 for Assurance«
    98. 27.4 Governance und Management der Assurance-Funktion
    99. 27.4.1 Prinzipien, Richtlinien und Rahmenwerke für die Assurance
    100. 27.4.2 Prozesse für die Assurance-Funktion
    101. 27.4.3 Organisationsstrukturen für die Assurance-Funktion
    102. 27.4.4 Kultur, Ethik und Verhalten für die Assurance-Funktion
    103. 27.4.5 Informationstypen für die Assurance-Funktion
    104. 27.4.6 Services, Infrastruktur und Anwendungen für die Assurance
    105. 27.4.7 Fähigkeiten und Kompetenzen für die Assurance-Funktion
    106. 27.5 Assurance über einen Prüfungsgegenstand geben
    107. 27.5.1 Prüfungsumfang festlegen
    108. 27.5.2 Enabler verstehen, Beurteilungskriterien festlegen und Beurteilung durchführen
    109. 27.5.2.1 Beurteilung des Enablers Prinzipien, Richtlinien und Rahmenwerke
    110. 27.5.2.2 Beurteilung des Enablers Prozesse
    111. 27.5.2.3 Beurteilung des Enablers Organisationsstrukturen
    112. 27.5.2.4 Beurteilung des Enablers Kultur, Ethik und Verhalten
    113. 27.5.2.5 Beurteilung des Enablers Information
    114. 27.5.2.6 Beurteilung des Enablers Services, Infrastruktur und Anwendungen
    115. 27.5.2.7 Beurteilung des Enablers Mitarbeiter, Fähigkeiten und Kompetenzen
    116. 27.5.3 Prüfungsergebnisse kommunizieren
  12. Teil III COBIT in der Praxis
    1. 28 Einführung von COBIT für die IT-Steuerung
    2. 28.1 Modell der drei Verteidigungslinien
    3. 28.2 COBIT im regulatorischen Umfeld
    4. 28.3 Statement of Applicability
    5. 28.4 COBIT in der IT-Governance
    6. 28.5 COBIT und die IT-Prozesse
    7. 28.6 COBIT und die zwei Sichtweisen der IT-Governance
    8. 28.6.1 IT-Compliance
    9. 28.6.2 IT-Audit
    10. 28.7 COBIT und die Ausgestaltung von IT-Risiken
    11. 28.7.1 Adaption der IT-Risiken mittels COBIT 2019 IT Risk Categories
    12. 28.8 Zusammenspiel IT-Governance
    13. 28.9 Fazit
    14. 29 COBIT als Basis des IT-internen Kontrollsystems
    15. 29.1 Ausgangslage
    16. 29.2 Internes Kontrollsystem
    17. 29.2.1 Three-Lines-of-Defense-Modell
    18. 29.2.2 Internes Kontrollsystem
    19. 29.3 BMW Group IT-IKS
    20. 29.3.1 Weiterentwicklung
    21. 29.3.2 ISAE 3402
    22. 29.3.3 Migration auf COBIT 2019
    23. 29.3.4 Transformation zu einem 100% agilen Vorgehensmodell
    24. 29.4 Fazit
    25. 30 Einführung neuer IT-Governance-Prozesse
    26. 30.1 Einleitung
    27. 30.2 Ausgangssituation
    28. 30.3 IT-Strategiephase
    29. 30.4 Planung und Durchführung der Transformation
    30. 30.4.1 Implementierungsplanung
    31. 30.4.2 Veränderung der Ablauforganisation
    32. 30.4.3 Gründe für eine Veränderung der Aufbauorganisation
    33. 30.4.4 Veränderung der Aufbauorganisation
    34. 30.5 Kontinuierliche Verbesserung und regelmäßiges Self-Assessment
    35. 30.6 Fazit
    36. 31 COBIT als Rahmenwerk für die Revision
    37. 31.1 COBIT als Grundlage für das Audit Universe in der IT-Revision
    38. 31.2 Definition von Prüfungsobjekten
    39. 31.3 Prüfungsleitfäden
    40. 31.4 Vollständigkeit Audit Universe
    41. 31.5 Schnittstellen zu Fachrevisionsprüfungen
    42. 31.6 Durchführung einer Prüfung
    43. 31.7 Querauswertung von Prüfungsergebnissen
    44. 31.8 Migration auf neuere COBIT-Versionen
    45. 31.9 Fazit
    46. 32 COBIT-Risikoszenarien auf Unternehmensziele anwenden
    47. 32.1 Einleitung
    48. 32.2 Kategorisierung von Risiken
    49. 32.3 Risikoszenarien und Risikokategorien
    50. 32.4 Anwendung der Kategorisierung
    51. 32.5 Definition eines angemessenen Sicherheitsniveaus
    52. 32.6 Quantitative Abhängigkeit der Unternehmensziele vom Sicherheitsniveau
    53. 32.7 Fazit
  13. Teil IV COBIT-Kenntnisse nachweisen
    1. 33 Zertifizierungen und Zertifikate
    2. 33.1 Internationale Zertifizierungen und Zertifikate
    3. 33.1.1 CGEIT: Certified in the Governance of Enterprise IT
    4. 33.1.2 Internationale Zertifikate
    5. 33.2 Nationale Zertifikate
    6. 33.2.1 IT-Governance & IT-Compliance Practitioner
    7. 33.2.2 IT-Governance-Manager
    8. 33.2.3 IT-Compliance-Manager
  14. Teil V COBIT-Kenntnisse überprüfen
    1. 34 Wissens- und Verständnisfragen
    2. 34.1 Wissensfragen zu COBIT
    3. 34.1.1 Einführung in das Rahmenwerk
    4. 34.1.2 COBIT-Prinzipien
    5. 34.1.3 Governance-System und -Komponenten
    6. 34.1.4 Governance- und Managementziele
    7. 34.1.5 Designfaktoren
    8. 34.1.6 Performance Management, Anpassung und Umsetzung
    9. 34.2 Lösungen zu den Wissensfragen
    10. 34.2.1 Lösungen zur Einführung in das Rahmenwerk
    11. 34.2.2 Lösungen zu COBIT-Prinzipien
    12. 34.2.3 Lösungen zu Governance-System und -Komponenten
    13. 34.2.4 Lösungen zu Governance- und Managementzielen
    14. 34.2.5 Lösungen zu Designfaktoren
    15. 34.2.6 Lösungen zu Performance Management, Anpassung und Umsetzung
    16. 34.3 Verständnisfragen zu COBIT
    17. 34.4 Lösungen zu den Verständnisfragen
  15. Teil VI Anhang
    1. A Übersicht Governance- und Managementziele
    2. B Übersicht der COBIT-Prozesse und -Prozesspraktiken
    3. C Übersicht der Unternehmensziele und zugeordneten IT-bezogenen Ziele in COBIT 2019
    4. D Übersicht der IT-bezogenen Ziele und zugeordneten COBIT-Prozesse
  16. Abkürzungsverzeichnis
  17. Literaturverzeichnis
  18. Fußnoten
  19. Index

Product information

  • Title: Praxiswissen COBIT, 3rd Edition
  • Author(s): Markus Gaulke
  • Release date: December 2019
  • Publisher(s): dpunkt
  • ISBN: 9783864906992