博客
COBIT,ITIL和TOGAF:哪种网络安全性更好?

COBIT,ITIL和TOGAF:哪种网络安全性更好?

抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

在其中添加一点结构'事务永远不会受到伤害,尤其是在涉及IT业务流程和IT资产时。 

为此,各种框架提供了实现关键组织目标(例如合规性和安全性)的蓝图。三种最受欢迎​​的IT治理框架-COBIT,  ITIL 和TOGAF(在这方面企业已广泛使用)'看他们在支撑方面如何比较 网络安全 和数字弹性。

关于COBIT  

由IT管治学院和信息系统审计与控制协会(ISACA)创建的COBIT框架-信息和相关技术的控制目标的缩写-帮助组织创建,监视和维护IT管治和管理实践。当前版本5,COBIT'IT业务流程经理和利益相关者使用s的控制模型来确保组织中信息系统的质量,控制和可靠性。

由于该框架的当前版本可促进更好的协作,敏捷性和更短的反馈循环,因此COBIT 5在降低IT实施风险方面的有效性尤其受到赞赏。有关COBIT 5的更多信息,请参见 伊萨卡's 网站 .

关于ITIL

在不首先提到IT服务管理或ITSM的情况下,不能讨论ITIL。简而言之,ITSM是使企业IT服务和信息系统与业务和最终用户/客户需求保持一致的工具。它'关于将IT视为向企业和客户交付价值的一种方式,而不是仅是要安装,管理和保护的技术。

ITIL (信息技术基础结构库的缩写)是在组织中实施ITSM的卓越框架。由AXELOS创建并注册商标,ITIL已被全球数百万认证从业人员采用。

 ITIL 框架
ITIL 框架。资料来源:维基共享资源。

ITIL 本质上提供了一组相互关联的最佳实践,它们为开发,交付和管理企业IT服务提供了指导。查看 AXELOS' page about ITIL  和相关资源。保持良好的IT服务可确保资产安全可靠。

关于TOGAF

开放组体系结构框架(TOGAF)是最流行的企业体系结构框架。 TOGAF提供了用于组织和管理技术的方法和支持工具,以确保项目通过具有可重复过程的系统来满足业务目标。

TOGAF框架的核心是体系结构开发方法,即ADM。它描述了开发和管理企业体系结构的方法'通过连续/循环和迭代阶段的生命周期(如上图所示)。

核心特色:COBIT,ITIL,TOGAF

单靠工具赢了'这些天削减它-有效 网络安全要求采取分层,连续的安全措施。当涉及到数字弹性时,关键的原则是采用基于风险的思想:理解主要风险并确定安全控制/投资的优先级以实现业务成果。 

面对不断变化的风险和优先次序,COBIT,ITIL和TOGAF均提供了出色的改进和调整机制;也就是说,这三个范围和受众不同:TOGAF是体系结构框架,而ITIL是IT服务框架,因此在此领域提供了更多指导。尽管COBIT的范围比ITIL广泛,但后者提供了有关企业IT内部服务管理支持者的更详细叙述。

下图说明了框架的重叠方式和位置,包括PMBOK(常见的项目管理框架)。

 

COBIT,ITIL和TOGAF:网络安全和数字弹性哪个更好?
流行框架内的重叠区域。资料来源:ITpreneurs.com。

尽管存在重叠领域,但这些框架更经常相互结合使用,以实现更好的组织合规性,安全性和整体数字弹性。 

例如,公司经常一起使用COBIT和ITIL来指导企业IT服务的治理和管理-COBIT涵盖实施,运营和改进,而ITIL涵盖IT服务管理和业务价值支持。

在以下各节中,我们将更深入地比较和分析COBIT和ITIL的工作方式。作为服务管理框架,它们在它们所服务的领域中更加紧密地相处,而TOGAF则更侧重于体系结构和管理企业信息技术体系结构领域。

IT服务管理最佳实践 

COBIT源自1960年代后期ISACA在计算机系统审核领域的工作。该组织最初称为信息系统审核和控制协会,但现在仅以首字母缩写词命名,该组织在建立信息系统审核和控制的最佳实践和指导方面已获得广泛影响。 COBIT附带了一套强大的最佳实践,可用于组织的IT服务管理。

COBIT的核心原则提供了可帮助您改善服务管理的一般准则。这些原则中的每一个都有最佳实践,您可以对它们进行建模,以在实践中实施该原则。 

以下是三个最重要的COBIT原则,以及每个原则的相关最佳实践:

  • 原则:满足利益相关者的需求 
  • 制定适当的具体IT目标和KPI,并明确满足利益相关者的需求
  • 分配责任等级/级别
  • 原理:端到端涵盖企业
  • 通知组织成员整个组织的信息资产,以促进其业务目标或服务设计需求
  • 原则:将治理与管理分开
  • 创建权限级别
  • 建立监控目标

与COBIT相似,ITIL带有一系列指导原则,可激发组织IT服务管理的许多最佳实践。对于ITIL,在ITIL流程活动中根深蒂固有七个通用指导原则,这将使组织结构更容易从ITIL中受益。这些是:

  • 注重价值
  • 从你所在的地方开始
  • 不断进步并获得反馈
  • 协作并提高可见度
  • 全面思考和工作
  • 保持简单实用
  • 优化和自动化

持续改进是ITIL中的关键概念。采用持续改进模型是一种最佳实践,可让您采用迭代的方法来实现组织的愿景。您将在进行的每个步骤中对IT流程,管理流程和有效性进行严格的评估。

ITIL 4还促进采用服务价值链方法。这种方法在六西格码(Six Sigma)和精益(Lean)中很流行,涉及概述响应需求和从组织的产品和服务创造价值所需的关键活动。

最新框架更新 

在过去的几年中,这两个有影响力的IT服务管理标准都经历了重大改进。对于COBIT,这涉及向COBIT 2019的过渡,该过渡取代了COBIT 5(于2012年推出)。 COBIT 2019具有更灵活的协作式治理策略。它旨在进行更频繁,更流畅的更新,以帮助应对不断变化的新技术。  

COBIT 2019引入了以下功能:

  • 更好地衡量IT性能,与CMMI标准保持一致
  • 将重点放在创建治理系统上更加清晰
  • 持续发布滚动更新
  • 与其他全球标准的一致性得到增强,以增强框架的相关性和服务改进
  • 更好地支持决策和新的协作功能
  • 开源方法可激发治理社区的更多反馈

这些COBIT 2019功能和更新中的一个首要主题是专注于使该框架对企业创建其IT治理策略更加灵活。

同样于2019年推出的ITIL 4是ITIL框架的最新重大更新。它根据IT,开发人员和软件领域的最新趋势来更新框架。

ITIL 4的显着重点是提供更灵活,更实用的基础,以支持组织在朝着数字化新世界迈进的过程中所做的努力。 

ITIL 4包括四个维度,这些维度应成为任何IT服务管理计划的一部分,以确保采用全包方法。这些维度结合起来可以实现整体方法,它们是:

  1. 组织和人员
  2. 资讯科技
  3. 合作伙伴和供应商
  4. 价值流和流程。

与COBIT相似,ITIL 4开发采用了一种基于社区的方法。管理ITIL的组织AXELOS已与更广泛的IT行业和全球专家合作,为将来的ITIL进行更新。 

认证与合规

任何IT服务管理和治理程序都可以从适当的认证或基准测试中受益,更不用说这些步骤是许多组织合规性要求的关键部分。在这方面,使用COBIT或ITIL可以有所帮助。 

为了帮助您设定符合业务需求的合规性目标,COBIT提供了六个不同的成熟度合规性和基准测试级别:

  • 级别0:不存在
  • 级别1:初始/临时
  • 第2级:可重复但直观
  • 第3级:定义的流程
  • 第4级:可管理且可衡量
  • 第5级:优化

您的IT部门的专业人员可以通过通过ISACA的COBIT认证来掌握和证明其对COBIT 2019和更早版本的知识。这些证书适用于COBIT 2019:

  • COBIT 2019基金会
  • COBIT设计与实施
  • 使用COBIT 2019实施NIST网络安全框架

除了这些,其他 认证程序和证书 可从ISACA获得。

ITIL 还附带有AXELOS提供的全面认证计划。对于  ITIL 4,AXELOS引入了经过改进的精简版 认证计划。它带有基金会证书,类似于ITIL版本3中提供的证书。

专业人员通过基础考试后,专业人员可以在ITIL 4战略领导者途径和ITIL 4管理专业人员途径之间进行选择。

这是这两个独立的认证和掌握路径所包含的内容。

  • ITIL 4战略领导者(ITIL SL)-专注于数字化服务和业务战略。它带有两个认证模块:
  • ITIL 4策略师指导,计划和改进
  • ITIL 4领导者数字化和IT战略。
  • ITIL 4管理专业人员-帮助专业人员运行成功的IT支持的服务,IT团队和工作流程。它具有四个模块:
  • ITIL 4专家创建,交付和支持
  • ITIL 4专家推动利益相关者价值
  • ITIL 4专家级高速IT
  • ITIL 4策略师指导,计划和改进。

在ITIL 4方面具有广泛,实用的实践经验的候选人也可以赢得ITIL Master的称号。

成功实施案例研究 

采用COBIT和ITIL的组织范围从大型的《财富》 500强公司到全球的教育机构和政府机构。

查看成功实施这些框架的组织的案例研究,可以使您更好地了解它们如何为您自己的组织工作,以及哪种组织更合适。

以下是一些实施COBIT的案例研究:

  • 梅特兰-这家全球咨询公司实施了COBIT,以增强对IT的业务监督和问责制。
  • 沙特阿拉伯达曼的沙特阿拉伯自治市-该沙特阿拉伯自治市为700万居民提供服务,利用COBIT提供了一种有组织的信息管理和变更管理方法,以减少IT事故。
  • 欧洲输电系统运营商网络(ENTSO-E)-该欧洲输电政府机构实施了COBIT,用于企业IT治理。 

ITIL 已在Spotify和纽卡斯尔大学等组织中实施。以下是其中一些实施的概述:

  • Spotify-在2017年,这个音乐流媒体平台准备公开上市时,它使用ITIL帮助满足其合规性要求。  
  • 迪士尼-这家大众媒体和娱乐公司使用ITIL来改善其IT服务的可用性,服务交付和可靠性。
  • 纽卡斯尔大学-这所澳大利亚大学采用ITIL作为IT投资的一部分,以改善发生率管理和解决业务问题。

正如这些案例研究所展示的那样,实施IT服务策略或IT治理单个集成框架(如COBIT或ITIL)可以使您的组织更好地管理变更或服务过渡,改善事件管理,并灌输一种更好的面向服务的文化服务您的客户需求。 

必要时,您甚至可以结合使用这些框架,以便根据企业的确切需求量身定制实施。

实施资源 

作为IT服务管理和IT治理中的两个领先框架,COBIT和ITIL都有大量可用的学习资源,可以帮助指导您的实施。 

这些内容包括白皮书和框架文档,这些文档将帮助您的团队从头到尾进行在线培训和会议。这些标准的理事机构提供的现场培训和课程将特别有助于提高团队中的特定技能。

对于COBIT,ISACA提供会议,白皮书和在线资源来支持您团队的业务目标。还提供课堂培训,提供各种ITIL课程,包括:

  • COBIT 2019基础证书课程
  • COBIT 2019设计和实施证书计划

其他  提供培训格式,包括现场培训和在线培训。 

对于ITIL,  AXELOS的ITIL网站 通过白皮书提供了大量资源来帮助您的团队实施ITIL标准。像这样的论坛  IT服务管理论坛 (itSMF),以及LinkedIn上的小组和Educause ITSM社区小组,将社区聚集在一起,围绕ITIL等主题进行讨论。

您还可以在世界各地找到ITIL培训服务提供商, 从AXELOS网站上搜索。 AXELOS还出售诸如  ITIL ®Foundation,ITIL 4版,以帮助您的团队掌握在现实世界中实施和管理ITIL服务项目的技能。

在IT服务管理中启用网络安全功效

总之,希望将结构和可重复性/改进应用于其信息安全和合规性工作的组织通常会同时采用多个框架以实现最大覆盖范围。因此,网络安全效力和数字弹性是每个组织的独特措施,可以通过与业务相关的任何框架来实现。 

因此,对于网络安全和数字弹性而言,不是一个更好的选择,而是一个更重要的问题,那就是如何从合规性,完整性或安全性角度衡量网络安全和数字弹性的提高。 

答案是 UpGuard's CSR—代表组织的单一,易于理解的价值'在合规性,完整性和安全性方面的能力。一旦您'使用UpGuard实施了您选择的框架,跟踪了您的工作并不断进行改进'的持续验证平台。

自由

 白色
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
 白色
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  •  检查图标
    您可以立即采取行动的即时见解
  •  检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状