Praxiswissen COBIT
Markus Gaulke, Certified Information Systems Auditor (CISA), Certified Information Security Manager (CISM), Certified in the Governance of Enterprise IT (CGEIT), Certified in Risk and Information Systems Control (CRISC) und Project Management Professional (PMP), ist in Deutschland der führende Experte zum Thema COBIT und dessen Anwendung. Als das für COBIT zuständige Vorstandsmitglied im deutschen Chapter des internationalen IT-Berufsverbands»ISACA«hat er die COBIT-Zertifikate»COBIT Practitioner«für COBIT 4.1 und»it-governance & IT-Compliance Practitioner«für COBIT 5 ins Leben gerufen. Weiterhin entwickelte er zusammen mit der Hochschule Frankfurt School of Finance and Management die weiterführenden Zertifikate»IT-Governance-Manager«und»IT-Compliance-Manager«. Markus Gaulke hat inzwischen weit über 1.000 Teilnehmer in COBIT und dessen Anwendung in unterschiedlichsten Veranstaltungsformaten geschult. Darüber hinaus hat er zur Anwendung von COBIT im Umfeld von IT-Governance, IT-Compliance und Risikomanagement zahlreiche Artikel und Fachbeiträge verfasst. International war er als Mitautor an der deutschen Fassung von COBIT 4.0 sowie am internationalen ISACA-Standardwerk»Control Objectives for Basel II«beteiligt. Weiterhin hat er das Übersetzungsteam für die deutschen Versionen von COBIT 5 geleitet. Beruflich ist er seit mehr als 16 Jahren bei der KPMG AG Wirtschaftsprüfungsgesellschaft in Frankfurt am Main für die IT-Prüfung und IT-Beratung von Unternehmen vor allem aus dem Finanzsektor zuständig. Die Praxisbeispiele in diesem Buch entstammen konkreten Beratungssituationen aus seiner Berufspraxis. Zu diesem Buch sowie zu vielen weiteren dpunkt.büchern können Sie auch das entsprechende E-Book im PDF-Format herunterladen. Werden Sie dazu einfach Mitglied bei dpunkt.plus + : www.dpunkt.de/plus
Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage
Markus Gaulke www.markus-gaulke.de Lektorat: Vanessa Wittmer Copy-Editing: Annette Schwarz, Ditzingen Herstellung: Frank Heidt Umschlaggestaltung: Helmut Kraus, www.exclam.de Druck und Bindung: M.P. Media-Print Informationstechnologie GmbH, 33100 Paderborn Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. ISBN 978-3-86490-055-6 2., aktualisierte und überarbeitete Auflage 2014 Copyright 2014 dpunkt.verlag GmbH Wieblinger Weg 17 69123 Heidelberg Die vorliegende Publikation ist urheberrechtlich geschützt. Alle Rechte vorbehalten. Die Verwendung der Texte und Abbildungen, auch auszugsweise, ist ohne die schriftliche Zustimmung des Verlags urheberrechtswidrig und daher strafbar. Dies gilt insbesondere für die Vervielfältigung, Übersetzung oder die Verwendung in elektronischen Systemen. Es wird darauf hingewiesen, dass die im Buch verwendeten Soft- und Hardware-Bezeichnungen sowie Markennamen und Produktbezeichnungen der jeweiligen Firmen im Allgemeinen warenzeichen-, marken- oder patentrechtlichem Schutz unterliegen. Alle Angaben und Programme in diesem Buch wurden mit größter Sorgfalt kontrolliert. Weder Autor noch Verlag können jedoch für Schäden haftbar gemacht werden, die in Zusammenhang mit der Verwendung dieses Buches stehen. 5 4 3 2 1 0
vii Inhaltsübersicht 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 3 Die fünf Kernprinzipien 17 4 Enabler und deren Dimensionen 25 5 Prinzipien, Richtlinien und Rahmenwerke 31 6 Organisationsstrukturen 35 7 Kultur, Ethik und Verhalten 37 8 Services, Infrastruktur und Anwendungen 41 9 Mitarbeiter, Fähigkeiten und Kompetenzen 45 10 Prozesse 47 11 Prozessreferenzmodell 49 12 Information 81 13 Reifegradmodelle 95 14 Referenzen für COBIT 117 15 Die wesentlichen Veränderungen zu COBIT 4.1 143
viii Inhaltsübersicht Teil II COBIT anwenden 147 16 Geschäftsrelevante IT-Prozesse identifizieren 149 17 Reifegrad von IT-Prozessen ermitteln 161 18 Kennzahlensysteme aufbauen 169 19 IT-Governance ausüben 179 20 Unternehmens-IT kontinuierlich verbessern 201 21 IT-Risiken managen 209 22 Informationssicherheit managen 249 23 IT-Compliance erreichen 267 24 IT-Outsourcing steuern 277 25 IT-Assurance-Initiativen durchführen 287 Teil III COBIT in der Praxis 319 26 COBIT-Einführung ein Assimilationsprozess 321 27 IT Management Principles & Policies 327 28 COBIT als Rahmenwerk für die Revision 339 29 Einführung von COBIT 5 353 Teil IV COBIT-Kenntnisse nachweisen 359 30 Zertifizierungen und Zertifikate 361 Teil V COBIT-Kenntnisse überprüfen 373 31 Wissens- und Verständnisfragen 375
Inhaltsübersicht ix Teil VI Anhang 403 A Übersicht der COBIT-Domänen und -Prozesse 405 B Übersicht der COBIT-Prozesse und -Prozesspraktiken 409 C Übersicht der Unternehmensziele und zugeordneten IT-bezogenen Ziele 425 D Übersicht der IT-bezogenen Ziele und zugeordneten COBIT-Prozesse 429 Literaturverzeichnis 435 Abkürzungsverzeichnis 443 Index 447