CobiT
: CobiT(Control objectives for information and related Technology)은 국제정보시스템 감사통제협회(ISACA)에서 출간한 IT거버넌스 프레임워크 즉 IT 관리양식 기준서다. 이사회, 중역 및관리자들이 IT의 가치를 높이고 IT와 관련한 위험을 줄이는 데 도움을 주는 일련의 실제사례를 제공한다. COBIT은 IT프로세스에서 어떤 정보기준이 가장 중요한가를 파악하고(1), 어떤 자원을 이용할 것인지 알려주며(2), IT 프로세스를 통제하는데 가장 중요한 방법(3)을 알려주는 각 프로세스에 대한 상위 통제 목적으로 구성되어 있음 IT 프로세스에서 어떤 정보기준이 가장 중요한가를 파악하고, 어떤 자원을이용할 것인지, 이를 통제하는 데 가장 중요한 방법을 알려주는 상위 프로세스를 통제하는
것이 목적이다. 2005년 12월에는 CobiT 4.0이 발표됐다. CobiT 4.0에서는 IT거버넌스와의
연계, 기타 표준이 채택한 언어·정의·개념과 일치시키기 위한 매핑 등 IT거버넌스 구현을
위한 세부 내용을 담았다. 경영자를 위한 요약 CobiT 프레임워크 핵심내용(통제목표,
운용지침, 성숙모델) , 부록(매핑, 상호참조, 연구개발 방법, 용어풀이) 4개 부문으로
구성되며, 이 중 핵심내용은 34개 IT 프로세스의 통제·관리 및 측정방법을 서술했다
CobiT프레임워크의 구성
CobiT은 다음과 같이 네 개의 그룹으로 34개 프로세스를 편성하였다.
첫째, 계획 수립 및 조직화(PO: Plan and Organize) IT가 경영목적의 달성에 기여할 수 있는 최선의 방법과 계획을 수립하고, 의사소통하고관리하며, 적절한 조직과 기술 인프라를 수립하는 업무를 다룬다. No. | 프로세스 | 프로세스 이름 | 1 | PO1 | IT전략계획 수립 | 2 | PO2 | 정보 아키텍처 정의 | 3 | PO3 | 기술 방향 결정 | 4 | PO4 | IT프로세스 조직 및 관계 정의 | 5 | PO5 | IT투자관리 | 6 | PO6 | 경영진의 목표 및 방침 전파 | 7 | PO7 | IT인적자원 관리 | 8 | PO8 | 품질관리 | 9 | PO9 | IT위험 평가 및 관리 | 10 | PO10 | 프로젝트 관리 |
둘째, 도입 및 구축 (AI: Acquire and Implement) IT전략을 실현하기 위해서는 IT솔루션을 개발하거나 구입하며, 비즈니스 프로세스 구현및 통합시키고, 기존시스템의 변경이나 유지보수를 하는 일을 다룬다. No. | 프로세스 | 프로세스 이름 | 11 | AI1 | 자동화 솔루션 도출 | 12 | AI2 | 응용 소프트웨어 도입 및 유지보수 | 13 | AI3 | 기술 인프라 도입 및 유지보수 | 14 | AI4 | 운영 및 사용 지원 | 15 | AI5 | IT자원구매 | 16 | AI6 | 변경 관리 | 17 | AI7 | 솔루션 및 변경 설치 및 인가 |
셋째, 운영 및 지원(DS: Deliver and Support) 필요한 서비스를 실제로 제공하는 것으로 서비스 제공, 보안 및 연속성 관리, 사용자에 대한 서비스 지원, 데이터 및 운영 설비의 관리 등을 다룬다. No. | 프로세스 | 프로세스 이름 | 18 | DS1 | 서비스 수준 정의 및 관리 | 19 | DS2 | 외부업체 서비스 관리 | 20 | DS3 | 성능 및 용량 관리 | 21 | DS4 | 서비스 연속성 확보 | 22 | DS5 | 시스템 보안성 확보 | 23 | DS6 | 비용 산정 및 배분 | 24 | DS7 | 사용자 교육 및 훈련 | 25 | DS8 | 서비스데스크 및 인시던트 관리 | 26 | DS9 | 구성 관리 | 27 | DS10 | 문제 관리 | 28 | DS11 | 데이터 관리 | 29 | DS12 | 물리적 환경 관리 | 30 | DS13 | 운영 관리 |
넷째, 모니터링 및 평가(ME: Monitor and Evaluate) IT프로세스가 제대로 수행되고 있는지 품질과 및 통제 준수 측면에서 주기적으로 평가해야 하는데, 이를 성과관리, 내부 통제의 모니터링, 법규준수, 거버넌스 제공 등으로 다룬다. No. | 프로세스 | 프로세스 이름 | 31 | ME1 | IT성과 모니터링 및 평가 | 32 | ME2 | 내부 통제 모니터링 및 평가 | 33 | ME3 | 법규 준수 확보 | 34 | ME4 | IT거버넌스 제공 |
COBIT (Control Objectives for Information and related Technology) 은 조직이 전사적으로 IT 거버넌스 구조를 실행할 수 있도록 하는 국제적이고 일반적으로 인정된 IT 통제 구조(IT Control Framework)를 말함
 COBIT은 IT프로세스에서 어떤 정보기준이 가장 중요한가를 파악하고(1), 어떤 자원을 이용할 것인지 알려주며(2), IT 프로세스를 통제하는데 가장 중요한 방법(3)을 알려주는 각 프로세스에 대한 상위 통제 목적으로 구성되어 있음
COBIT의 관리지침서는 성숙도 모델, 핵심성공요소(CSF), 핵심목표지표(KGI), 핵심성과지표(KPI)로 구성되어 있음, 이러한 구조는 COBIT의 34개 IT 프로세스에 대응할 조직의 IT환경을 평가하고 측정하는 도구를 제공하여 관리층의 IT통제와 측정 가능성에 대한 요구에 부응하는 상당히 향상된 구조를 제공함
추가적인 정보는 ISACA 홈페이지 참조 http://www.isaca.org/cobitcasestudies 오늘날 IT를 통해 비즈니스를 영위하는 기업의 비중이 급속도로 증가하고 있다. 반면, 이를 통한 비즈니스 가치를 실현하는 것은 결코 쉬운 일이 아니다. 스탠디쉬 보고서에 따르면 소프트웨어 프로젝트가 중도에 취소되는 건이 30% 정도이며, 66%의 프로젝트가 성공했다고 보기 어려운 결과를 보였다고 한다. 모든 기업들이 IT의 전략적 중요성을 공감하고 있고, 이를 위해 지출하는 비용규모와 투자를 갈수록 높이고 있는 반면에 IT를 통해서 조직에 기여할 수 있는 가치를 제공하고 있는지 적절하게 파악되고 관리되고 있는지에 대해 논의되어야 할 때다.
이러한 문제 인식으로 인해 조직의 IT 관리자와 CIO를 중심으로 IT 거버넌스가 중요한 이슈로 부각되고 있다. 이미 일부 기업들은 IT 거버넌스 컨설팅을 시작하였고, 최근에는 주요 IT 벤더사들이 제공하는 솔루션들을 도입하는 사례도 나오고 있어 시장도 더욱 구체화되고 있다. 이를 볼 때 IT 거버넌스는 기업들이 주목하고 투자하고자 하는 주요 부문임은 분명하다.
IT거버넌스는 대세
IT 거버넌스의 궁극적인 목적은 IT와 비즈니스와 전략적으로 연계하여 비즈니스의 가치를 극대화하고 경영 목표를 달성하도록 한다는데 있다. 즉, IT 관리자를 위하여 IT 전반에 관한 관리 및 통제 능력을 확보하고 이를 통하여 IT 프로젝트의 ‘가시성’ 및 ‘예측성’을 부여하겠다는 것이다. IT 거버넌스를 구축하게 되면 IT 프로젝트에 투입된 자원들과 진행사항을 한눈에 보고 관리하고 통제력을 강화하고자 하는 IT 관리자들과 경영자의 욕구를 충족할 수 있고, IT투자에 대한 위험성도 미리 파악 할 수 있게 된다.
IT거버넌스는 조직이 적어도 다음과 같은 사항들을 파악하고 관리해야 한다고 말한다.
-적합한 IT를 활용하고 있는가? -IT를 적절하게 활용하고 있는가? -IT가 해당 목적을 달성하고 있는지 어떻게 판단하는가?
이렇게 관리하게 되면 구체적으로 결과의 예측과 측정이 가능해 지기 때문에, 프로세스나 요구들의 변경에 따라 프로젝트 전체에 주는 영향을 최소화하여 궁극적으로 비즈니스의 가치를 향상시키는 효과를 가져올 수 있다.
이러한 IT 거버넌스의 성공적인 구축을 위해서는 무엇보다도 IT 프로세스를 정비해야 한다. IT 프로세스를 위해서는 여러 가지로 업계 참조모델이나 베스트 프랙티스 등을 활용할 수 있는데, 이는 주로 주로 CMMI, ITIL, CobiT 등으로 구분할 수 있다.
CMMI(Capability Maturity Model Integration)는 주로 소프트웨어 개발 분야를 위한 것으로, 소프트웨어를 좀더 효율적이고 효과적으로 개발하기 위해 필요한 일련의 프로세스들을 정리한 기본 틀로서, 5단계에 걸친 성숙도 수준을 나누고 조직의 소프트웨어 개발 품질과 능력을 평가할 수 있도록 한 참조모델이다. ITIL(IT Infrastructure Library)은 서비스 관리 분야에 관한 프로세스를 정리해 놓은 베스트 프랙티스로서, 요즘 ITSM 프로젝트의 기반으로 활용되고 있다.
반면 IT 거버넌스 전반적인 측면에서는 CobiT(Control OBjectives for Information and related Technology)이 활용되고 있다. IT의 통제 필요성에 따라, IT가 비즈니스 목표와 밀접하게 연계될 수 있도록 하여 경영자가 필요로 하는 정보를 제공하도록 지원한다.
현재 많은 기업들이 CMMI 인증을 받거나, ITIL 을 기반으로 ITSM을 구축하고 있어 이의 후속으로 IT 거버넌스에 대한 고려가 진행되는 양상이 있을 것으로 보인다. 특히 프로세스 모델 등을 이용하여 IT 프로세스를 정립한 기업들은 이를 자동화하고, 전략적으로 관리하는데 필요한 도구 및 솔루션을 도입해야 한다는 필요성을 더욱 절실하게 생각하고 있다.
CMMI 레벨 5 까지 획득한 한 기업은 현 수준을 유지하고 지속적으로 개선활동을 하기 위해서라도 도구는 반드시 필요하다고 주장하기도 한다.
결정권자의 의지가 중요
최근 몇 몇 벤더사들이 PPM을 중심으로 IT 거버넌스 솔루션을 선보이고 있어 고객들의 IT 거버넌스 솔루션 도입은 향후 지속적으로 증가할 것으로 예상된다. 미국의 가트너의 보고서에 따르면 2008년까지 주요 기업들의 절반 이상이 포트폴리오 관리(PPM) 솔루션을 사용할 것이라고 예측하고 있어, 향후에는 기업이 ERP를 통해 기업의 업무 프로세스를 정비하고 관리해 오는 것처럼 IT 거버넌스를 통해 기업의 IT 프로젝트를 관리하고 프로세스를 체계적으로 자동화하는 것이 보편화 될 수도 있을 것이라 생각한다.
그러나 IT 거버넌스가 기업에서 제대로 자리를 잡기 위해서는 넘어야 할 산도 많이 있다. 이미 기업의 경영자나 CIO들이 IT 거버넌스의 필요성과 중요성에 대한 인식하고 있다. 그러나 이를 계획하고 체계적으로 실행하기 위해서는 최고 경영자와 CIO의 강한 의지와 리더십 및 지원이 필요하다. 또한 이를 구축하여 진정한 효과를 실현하기 위해서는 조직적인 제도와 지원이 구축되어야 하며, 교육 및 인력 양성 등 다양한 변화관리를 실시해야 할 것이다.
가트너의 보고서에 따르면 IT 지출은 계속적으로 증가할 것으로 예상하고 있다. 이처럼 많은 기업이 여전히 IT를 통해 비즈니스 기회를 획득하고, 기업 가치를 증대시키며, 높은 수준의 성장을 꾀하려고 한다. 이러한 기업의 IT투자 및 활용이 적합한지 판단할 수 있도록 기업들은 ‘IT의 가시성’을 확보해야 한다. 이를 통해 비즈니스 목적에 맞는 최적의 IT 투자를 이끌어 기업의 가치를 더욱 창출 할 수 있도록 변화를 시도해야 할 것이다. | 
블로그 > 피이토리
http://blog.naver.com/estkim77/20025359582 
2006-06-30