当时我正在为印度的一家主要医疗机构实施关键任务医疗系统的ISO 27001标准, 我获得了cobit认证, 我利用这个机会 COBIT 以确保不仅符合ISO 27001审核,而且符合组织同时进行的隐私评估, 是由政府机构进行的吗.
高级管理层最初持怀疑态度, 但是我让他们相信,两个治理项目的准备工作有很多重叠之处,而且COBIT的结构可以很容易地用于确保其他治理的成功, 风险与合规(GRC)计划.
我从COBIT的五个原则和七个促成因素开始, 准备高级管理人员能够快速掌握的组织特定语言的文献, 并且我们能够识别优点和缺点,以实现法规遵循的成功. 高级管理人员能够将注意力集中在分散在这七个点上的“障碍”上, 但主要是关于“文化”, 道德与行为.这句话引起了高级管理层的注意,以至于董事长开始在每次会议上询问“残疾人”的状况,以及纠正这些问题的时间表.
作为下一步, 我列举了COBIT的最佳实践,并准备了以下方面的管理报告:
- 明确定义哪些GRC需求是适用的(我们的enablers报告及其运行状态)
- 识别法规和合规环境(ISO 27001审核), 2000年资讯科技法案及私隐规定)
- 审查当前GRC状态(每周召开管理会议,根据RACI图表讨论状态)
- 确定最优方法(资源、成本和预算审查)
- 设定衡量成功与否的关键参数(不遵守的次数), 问题解决, 等.)
- 使用面向过程的方法(及时更新相关政策的程序和指导方针)
- 采用适用的全球最佳实践(ISO 27001、ISO 9000和ITIL框架)
- 使用可审核的统一和结构化方法(ISO 19000和组织的内部审核政策和程序)
六个月后, 我们成功地完成了ISO 27001认证审核,我还准备了一份参数列表来评估COBIT在GRC项目中的成功, 大致如下:
- 减少冗余控制和相关的执行时间(审计、测试和补救) 一些内部审计已经取消,成本效益高的控制取代了效率较低和成本较高的控制.
- 减少所有关键领域的控制失败 (通过确保备份选项和灾难恢复程序)
- 减少与法律、规章和合规问题有关的支出 (我们能够校准由于遵从性问题而减少的成本,并且减少了为IT风险管理支付的保险费)
- 减少审计关键业务领域所需的总时间 (由于存在与nc的详细审计报告及其解决状况)
- 改进定期合规问题和补救措施的及时报告 (因为报告现在是根据遵从性需求定制的)
- 为高级管理人员实时创建总体遵从状态和关键问题的仪表板
为了成功实现COBIT或任何其他框架,需要记住以下几点:
- 应该对业务和遵从性需求有全面的了解, 以及与业务相关的技术风险.
- 应该定制框架以适应组织和业务需求. 换句话说,所使用的语言应该对管理层友好.
- 应该只考虑那些需要实现的框架需求.
- 应该向管理层提交一份关于框架实现的成本效益分析报告或ROI, 这应该, 其中包括, 避免损失的货币条款和声誉风险因素.
- 一个人不应该试图把海洋煮沸, 相反,要具体,并向管理层展示切实的成果和收益,以赢得持续的支持和赞助.
作者附言: 本文中表达的观点是作者的观点,不代表他所关联的组织或专业团体的观点.