cobit框架_NIST和COBIT：为更可靠和安全的技术协同工作

2020年发生的事件比以往任何时候更让我们体会到什么是瞬息万变。 

信息和技术日新月异，我们已经看到各个领域的技术革命，从移动设备到不断变化的办公环境，甚至是在我们的宇宙飞船中！我们可以通过《NIST网络安全框架》和COBIT 2019的协同工作，帮助沟通和协调活动，以确保这些技术的可靠性和安全性。  从COBIT 5到COBIT 2019的演变带来了一些重大的更新。COBIT 2019借鉴了ISACA旗下 CMMI研究院的经验，根据目标进行绩效评估。 COBIT始终支持确保正确的活动以有效的方式执行，而COBIT 2019引入了成熟度——确保正确的组织活动在满足利益相关方需求的基础上，一致地、可重复地和可衡量地执行。 

《NIST网络安全框架》的敏捷方法有助于确定优先级和目标，确定如何保护这些优先级和目标，快速发现问题，然后在必要时做出响应并进行恢复。ISACA基于数十年均衡治理和管理经验，在COBIT 2019中引入该方法有助于确保解决企业的问题。 COBIT的最好例证之一是需要在信息和技术为企业带来的价值与风险和资源的优化之间实现有效的平衡。这种平衡行为至关重要，并且可以很好地与NIST的模型配合使用。  想一想最近突然进入远程办公领域的组织，人们可以直接打开远程访问的大门，这将是相当方便的(大约一分钟)，但是非常不安全。它可能无法实现利益相关者关于机密性和完整性的目标。因此企业可能使用复杂的解决方案，确保安全却无法实现合理的用户体验，由此陷入另一个困境，阻碍工作的进程。  对于安全工程师来说，最令人沮丧的一句话是“视情况而定!”我支持的许多客户都希望我提供一个解决网络安全挑战的方案。网络安全框架不是灵丹妙药，但是它可以开启对话。当我们教授ISACA课程以将网络安全框架与COBIT结合使用时，我们知道这些对话更加有价值。

COBIT为理解治理目标所要求的优先级和资源提供了具体的方法。这些目标可以用来推动NIST框架内的对话和负责任的行动计划。我说框架(复数)是因为这个过程实际上与NIST的许多隐私和网络安全模型一起工作得很好，包括隐私框架、供应链、安全软件开发，当然，还有风险管理框架。在每一种情况下，COBIT都有助于激发有效的对话，从而找到真正的答案，而不是“视情况而定”。 

COBIT 2019为这些对话带来了更多工具。设计因素的增加有助于调整优先级以满足组织需求。从我们的CMMI合作伙伴那里获得的成熟度经验教训有助于确保绩效管理的可重复性和一致性。重新关注目标有助于确保每一项网络安全活动都是为了支持企业使命，而不仅仅是为了在冗长的安全表格上打勾。  新的ISACA指南，以及一些出色的支持工具和模板，提供了一种实用的方法，使我们获得COBIT 2019和NIST网络安全框架的最优价值。  编者注：本文于2020年6月24日首次发表 于ISACA官网ISACA Now Blog。有关此主题的更多见解，请从ISACA官网下载 ：“Implementing the NIST Cybersecurity Framework Using COBIT 2019 with Toolkit book.”  作者格雷格•维特 (Greg Witte) ，CISM，安全工程师和网络安全讲师。  译者张晓燕(Abby Zhang) ，CISA，ISACA公众号特邀通讯员。  校稿唐四宝 ，CISA，CDPSE，RHCE，CCNP，ISACA公众号特邀通讯员。

相关内容

●COBIT行业应用系列——银行业IT治理最佳实践 ● 如何成为一个成功的数据隐私官？ ●COBIT5还是COBIT2019，谁是你的不二选择