O'Reilly logo

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

Praxiswissen COBIT , 2nd Edition

Book Description

COBIT ist das führende Rahmenwerk für die Governance und das Management der Unternehmens-IT und bildet das Fundament für eine effiziente und wirksame Steuerung und Kontrolle der IT. Das Buch beschreibt die Grundelemente sowie die zugrundeliegenden Konzepte von COBIT wie auch von Val IT und Risk IT, die nun im Rahmenwerk integriert sind. Außerdem werden Zertifizierungsmöglichkeiten beschrieben sowie Prüfungsinhalte und Testfragen vorgestellt.Die 2. Auflage wurde auf COBIT-Version 5 aktualisiert und enthält konkrete Beispiele der Anwendung von COBIT in deutschen Unternehmen.

Table of Contents

  1. Cover
  2. Titel
  3. Impressum
  4. Vorwort
  5. 1 Einleitung
  6. Teil I COBIT verstehen
    1. 2 Entwicklung und Bedeutung von COBIT
      1. 2.1 ISACA und das IT Governance Institute
      2. 2.2 Entstehung und Entwicklung von COBIT
      3. 2.3 COBIT-Produktfamilie
    2. 3 Die fünf Kernprinzipien
      1. 3.1 Prinzip 1: Erfüllen der Anforderungen der Anspruchsgruppen
      2. 3.2 Prinzip 2: Abdecken des gesamten Unternehmens
      3. 3.3 Prinzip 3: Anwenden eines einheitlichen, integrierten Rahmenwerks
      4. 3.4 Prinzip 4: Ermöglichen eines ganzheitlichen Ansatzes
      5. 3.5 Prinzip 5: Unterscheiden zwischen Governance und Management
    3. 4 Enabler und deren Dimensionen
      1. 4.1 Anspruchsgruppen
      2. 4.2 Ziele
      3. 4.3 Lebenszyklus
      4. 4.4 Bewährte Verfahren
    4. 5 Prinzipien, Richtlinien und Rahmenwerke
      1. 5.1 Anspruchsgruppen
      2. 5.2 Ziele
      3. 5.3 Lebenszyklus
      4. 5.4 Bewährte Verfahren
    5. 6 Organisationsstrukturen
      1. 6.1 Anspruchsgruppen
      2. 6.2 Ziele
      3. 6.3 Lebenszyklus
      4. 6.4 Bewährte Verfahren
    6. 7 Kultur, Ethik und Verhalten
      1. 7.1 Anspruchsgruppen
      2. 7.2 Ziele
      3. 7.3 Lebenszyklus
      4. 7.4 Bewährte Verfahren
    7. 8 Services, Infrastruktur und Anwendungen
      1. 8.1 Anspruchsgruppen
      2. 8.2 Ziele
      3. 8.3 Lebenszyklus
      4. 8.4 Bewährte Verfahren
    8. 9 Mitarbeiter, Fähigkeiten und Kompetenzen
      1. 9.1 Anspruchsgruppen
      2. 9.2 Ziele
      3. 9.3 Lebenszyklus
      4. 9.4 Bewährte Verfahren
    9. 10 Prozesse
      1. 10.1 Anspruchsgruppen
      2. 10.2 Ziele
      3. 10.3 Lebenszyklus
      4. 10.4 Bewährte Verfahren
    10. 11 Prozessreferenzmodell
      1. 11.1 Domänen und Prozesse
        1. 11.1.1 Governance-Domäne EDM
        2. 11.1.2 Management-Domänen
          1. 11.1.2.1 Management-Domäne APO
          2. 11.1.2.2 Management-Domäne BAI
          3. 11.1.2.3 Management-Domäne DSS
          4. 11.1.2.4 Management-Domäne MEA
        3. 11.1.3 Prozesselemente
          1. 11.1.3.1 Prozessidentifizierung
          2. 11.1.3.2 Prozessbeschreibung und Prozesszweck
          3. 11.1.3.3 IT-bezogene Ziele und zugehörige Metriken
          4. 11.1.3.4 Prozessziele und zugehörige Metriken
          5. 11.1.3.5 RACI-Diagramm
          6. 11.1.3.6 Prozesspraktiken
          7. 11.1.3.7 Inputs und Outputs
          8. 11.1.3.8 Prozessaktivitäten
          9. 11.1.3.9 Referenzmaterial
        4. 11.1.4 Anforderungen an alle Prozesse (Process Control Objectives)
        5. 11.1.5 Anforderungen an Geschäftsprozesse (Application Control Objectives)
    11. 12 Information
      1. 12.1 Anspruchsgruppen
      2. 12.2 Ziele
      3. 12.3 Lebenszyklus
      4. 12.4 Bewährte Verfahren
      5. 12.5 Governance und Management des Enablers Information
        1. 12.5.1 Enabling Information für die regulatorische Compliance
    12. 13 Reifegradmodelle
      1. 13.1 ISO/IEC 15504
      2. 13.2 Prozessreifegradmodelle von COBIT 5
        1. 13.2.1 COBIT-5-Prozessbefähigungsmodell
          1. 13.2.1.1 Indikatoren für die Prozessdurchführung
          2. 13.2.1.2 Indikatoren für die Prozessfähigkeit
        2. 13.2.2 Reifegradmodell mit Attributen
    13. 14 Referenzen für COBIT
      1. 14.1 Einleitung
      2. 14.2 COSO: Internal Control – Integrated Framework
        1. 14.2.1 COSO I
        2. 14.2.2 COSO 2013
      3. 14.3 COSO: Enterprise Risk Management – Integrated Framework
      4. 14.4 ITIL und ISO/IEC 20000
      5. 14.5 Capability Maturity Model (Integrated)
      6. 14.6 PRINCE2/PMBOK
      7. 14.7 TOGAF
      8. 14.8 COBIT als Integrator
    14. 15 Die wesentlichen Veränderungen zu COBIT 4.1
  7. Teil II COBIT anwenden
    1. 16 Geschäftsrelevante IT-Prozesse identifizieren
      1. 16.1 COBIT-5-Zielkaskade
      2. 16.2 Anforderungen an die Informationsqualität definieren
    2. 17 Reifegrad von IT-Prozessen ermitteln
      1. 17.1 Prozessbefähigungsbeurteilungen durchführen
      2. 17.2 Selbsteinschätzung der Prozessbefähigung durchführen
      3. 17.3 Attribut-Reifegradmodell anwenden
    3. 18 Kennzahlensysteme aufbauen
      1. 18.1 IT Balanced Scorecard
      2. 18.2 COBIT-Ziele und -Metriken in eine IT Balanced Scorecard integrieren
        1. 18.2.1 COBIT-Ziele in eine IT Balanced Scorecard integrieren
        2. 18.2.2 COBIT-Metriken in eine IT Balanced Scorecard integrieren
    4. 19 IT-Governance ausüben
      1. 19.1 Grundlagen der IT-Governance
        1. 19.1.1 IT-Governance
        2. 19.1.2 ISO/IEC 38500: Corporate Governance of IT
      2. 19.2 COBIT als IT-Governance-Rahmenwerk
      3. 19.3 Kernbereiche der IT-Governance
        1. 19.3.1 Strategische Ausrichtung der IT
        2. 19.3.2 Wertbeitrag der IT
        3. 19.3.3 Management der IT-Ressourcen
        4. 19.3.4 Risikomanagement in der IT
        5. 19.3.5 Messen der IT-Performance
      4. 19.4 IT Governance Policy erstellen
    5. 20 Unternehmens-IT kontinuierlich verbessern
      1. 20.1 Implementierungslebenszyklus
      2. 20.2 Implementierungselemente und Tools
    6. 21 IT-Risiken managen
      1. 21.1 Grundlagen des Risikomanagements
        1. 21.1.1 COSO Enterprise Risk Management
        2. 21.1.2 ISO/IEC 31000
      2. 21.2 IT-Risikomanagement im COBIT-5-Prozessreferenzmodell
        1. 21.2.1 COBIT-Prozess EDM03
        2. 21.2.2 COBIT-Prozess APO12
        3. 21.2.3 Risikobehandlung in anderen COBIT-5-Prozessen
          1. 21.2.3.1 Projektrisikomanagement
          2. 21.2.3.2 Lieferanten-Risikomanagement
          3. 21.2.3.3 Risikoanalyse bei der Softwareauswahl und -entwicklung
      3. 21.3 Risikoereignisse identifizieren
        1. 21.3.1 Risikoereignisse
        2. 21.3.2 Risikoindikatoren
      4. 21.4 Risikoszenarien bilden
        1. 21.4.1 Generische Risikoszenarien
      5. 21.5 Governance und Management der Risiko-Funktion
        1. 21.5.1 Prinzipien, Richtlinien und Rahmenwerke für die Risiko-Funktion
        2. 21.5.2 Prozesse für die Risiko-Funktion
        3. 21.5.3 Organisationsstrukturen für die Risiko-Funktion
        4. 21.5.4 Kultur, Ethik und Verhalten für die Risiko-Funktion
        5. 21.5.5 Informationselemente für die Risiko-Funktion
        6. 21.5.6 Services, Infrastruktur und Anwendungen für die Risiko-Funktion
        7. 21.5.7 Fähigkeiten und Kompetenzen für die Risiko-Funktion
      6. 21.6 Weitere Prozesse für das Risikomanagement
        1. 21.6.1 Risikoaggregation
        2. 21.6.2 Risikobehandlung
    7. 22 Informationssicherheit managen
      1. 22.1 Grundlagen der Informationssicherheit
        1. 22.1.1 ISO/IEC-27000-Normenfamilie
        2. 22.1.2 ISF 2011 Standard of Good Practice for Information Security
        3. 22.1.3 NIST Special Publication 800-53
      2. 22.2 Informationssicherheit im COBIT-5-Prozessreferenzmodell
        1. 22.2.1 COBIT-Prozess APO13
        2. 22.2.2 COBIT-Prozess DSS05
      3. 22.3 Umsetzungsleitfaden »COBIT 5 for Information Security«
      4. 22.4 Enabler für die Informationssicherheit
        1. 22.4.1 Prinzipien, Richtlinien und Rahmenwerke für die Informationssicherheit
        2. 22.4.2 Prozesse für die Informationssicherheit
        3. 22.4.3 Organisationsstrukturen für die Informationssicherheit
        4. 22.4.4 Kultur, Ethik und Verhalten für die Informationssicherheit
        5. 22.4.5 Informationstypen für die Informationssicherheit
        6. 22.4.6 Services, Infrastruktur und Anwendungen für die Informationssicherheit
        7. 22.4.7 Fähigkeiten und Kompetenzen für die Informationssicherheit
    8. 23 IT-Compliance erreichen
      1. 23.1 Grundlagen der IT-Compliance
        1. 23.1.1 Einhaltung von Gesetzen und Rechtsverordnungen
        2. 23.1.2 Einhaltung sonstiger Anforderungen
      2. 23.2 IT-Compliance im COBIT-5-Prozessreferenzmodell
        1. 23.2.1 COBIT-Prozess MEA03
      3. 23.3 COBIT als Basis eines IT-Compliance-Rahmenwerks
    9. 24 IT-Outsourcing steuern
      1. 24.1 COBIT-Prozess APO10
      2. 24.2 Outsourcing-Assurance
        1. 24.2.1 Assurance Reports
        2. 24.2.2 Umfang und Inhalte eines Berichts nach ISAE 3402 oder PS 951
      3. 24.3 Anwendung von COBIT bei der Erstellung eines Berichtes nach ISAE 3402 oder PS 951
        1. 24.3.1 Strukturierung und Beschreibung der Kontrollziele und Kontrollbeschreibungen mit COBIT 5
    10. 25 IT-Assurance-Initiativen durchführen
      1. 25.1 Grundlagen der Assurance
      2. 25.2 Governance und Management der Assurance-Funktion
        1. 25.2.1 Prinzipien, Richtlinien und Rahmenwerke für die Assurance
        2. 25.2.2 Prozesse für die Assurance-Funktion
        3. 25.2.3 Organisationsstrukturen für die Assurance-Funktion
        4. 25.2.4 Kultur, Ethik und Verhalten für die Assurance-Funktion
        5. 25.2.5 Informationstypen für die Assurance-Funktion
        6. 25.2.6 Services, Infrastruktur und Anwendungen für die Assurance
        7. 25.2.7 Fähigkeiten und Kompetenzen für die Assurance-Funktion
      3. 25.3 Assurance über einen Prüfungsgegenstand geben
        1. 25.3.1 Festlegung des Prüfungsumfanges
        2. 25.3.2 Verständnis der Enabler, Festlegung der Beurteilungskriterien und Durchführung der Beurteilung
          1. 25.3.2.1 Beurteilung des Enablers Prinzipien, Richtlinien und Rahmenwerke
          2. 25.3.2.2 Beurteilung des Enablers Prozesse
          3. 25.3.2.3 Beurteilung des Enablers Organisationsstrukturen
          4. 25.3.2.4 Beurteilung des Enablers Kultur, Ethik und Verhalten
          5. 25.3.2.5 Beurteilung des Enablers Information
          6. 25.3.2.6 Beurteilung des Enablers Services, Infrastruktur und Anwendungen
          7. 25.3.2.7 Beurteilung des Enablers Mitarbeiter, Fähigkeiten und Kompetenzen
        3. 25.3.3 Kommunikation der Prüfungsergebnisse
  8. Teil III COBIT in der Praxis
    1. 26 COBIT-Einführung – ein Assimilationsprozess
      1. 26.1 Change-Agent-Ausbildung
      2. 26.2 Aufbau internes Kontrollsystem
      3. 26.3 IT-Governance und Globalisierung
      4. 26.4 IT-Compliance mittels IT-Reviews
      5. 26.5 Business-IT-Alignment
      6. 26.6 IT Security
      7. 26.7 Jüngste Aktivitäten
      8. 26.8 Fazit
    2. 27 IT Management – Principles & Policies
      1. 27.1 Struktur der Policy-Landschaft
      2. 27.2 Warum COBIT?
      3. 27.3 Ableitung der Principles & Policies
      4. 27.4 Implementierungsrichtlinien
      5. 27.5 Review und Sozialisierung
      6. 27.6 Herausforderungen
        1. 27.6.1 Änderungsmanagement
        2. 27.6.2 Konfigurationsmanagement
        3. 27.6.3 Control Objectives
      7. 27.7 COBIT 5 for Information Security
      8. 27.8 Änderungen gegenüber COBIT 5
        1. 27.8.1 Management von Prozessen
        2. 27.8.2 Internal Audit
        3. 27.8.3 COBIT-Prozess BAI02
        4. 27.8.4 COBIT-Prozesspraktik BAI03.04
        5. 27.8.5 COBIT-Prozesspraktik BAI03.05 Entwickeln von Lösungen
        6. 27.8.6 COBIT-Prozesspraktik BAI03.07
        7. 27.8.7 COBIT-Prozess BAI06
        8. 27.8.8 COBIT-Prozess BAI07
        9. 27.8.9 COBIT-Prozess BAI10
        10. 27.8.10 COBIT-Prozess DSS02
      9. 27.9 Weiteres Vorgehen
      10. 27.10 Fazit
    3. 28 COBIT als Rahmenwerk für die Revision
      1. 28.1 Das COBIT-Framework als Grundlage für das Audit Universe in der IT-Revision
      2. 28.2 Definition von Prüfungsobjekten
      3. 28.3 Prüfungsleitfaden
      4. 28.4 Vollständigkeit Audit Universe
      5. 28.5 Schnittstellen zu Fachrevisionsprüfungen
      6. 28.6 Durchführung einer Prüfung
      7. 28.7 Querauswertung von Prüfungsergebnissen
      8. 28.8 Migration auf COBIT 5
      9. 28.9 Fazit
    4. 29 Einführung von COBIT 5
      1. 29.1 Ausgangslage
      2. 29.2 Vorbereitung
      3. 29.3 Gründe für die Einführung von COBIT 5
        1. 29.3.1 Technologische Anforderungen
        2. 29.3.2 Beachtung regulatorischer Anforderungen
      4. 29.4 Umsetzung von COBIT 5
      5. 29.5 Fazit
  9. Teil IV COBIT-Kenntnisse nachweisen
    1. 30 Zertifizierungen und Zertifikate
      1. 30.1 Internationale Zertifizierungen und Zertifikate
        1. 30.1.1 CGEIT: Certified in the Governance of Enterprise IT
        2. 30.1.2 COBIT Foundation
      2. 30.2 Zertifikate des ISACA Germany Chapter
        1. 30.2.1 IT-Governance & IT-Compliance Practitioner
        2. 30.2.2 IT-Governance-Manager
        3. 30.2.3 IT-Compliance-Manager
  10. Teil V COBIT-Kenntnisse überprüfen
    1. 31 Wissens- und Verständnisfragen
      1. 31.1 Wissensfragen zu COBIT 5
      2. 31.2 Lösungen zu den Wissensfragen
      3. 31.3 Verständnisfragen
  11. Teil VI Anhang
    1. A Übersicht der COBIT-Domänen und -Prozesse
    2. B Übersicht der COBIT-Prozesse und -Prozesspraktiken
    3. C Übersicht der Unternehmensziele und zugeordneten IT-bezogenen Ziele
    4. D Übersicht der IT-bezogenen Ziele und zugeordneten COBIT-Prozesse
  12. Literaturverzeichnis
  13. Abkürzungsverzeichnis
  14. Index