Am arătat că atunci cînd se doreşte implementarea unui sistem pentru managementul securităţii informaţiilor, noua versiunea ISO 27001 obligă la contextualizare: internă şi externă.

Pentru toate aspectele menţionate în ISO 31000 cu privire la contextul intern ne vine în ajutor COBIT 5 for information security. Ar trebuie identificate procesele COBIT 5 care acoperă cerinţele din ISO 31000 cu privire la contextul intern şi evaluată capabilitatea acelor procese.

Procese COBIT 5:

• EDM01 Ensure  governance framework setting and maintenance
• APO01 Manage the IT management framework
• APO02 Manage strategy
• APO03 Manage  enterprise architecture
• APO04 Manage innovation
• APO05 Manage portfolio
• APO06 Manage budget and costs
• APO07 Manage human resources
• APO08 Manage relationships
• APO09 Manage  service agreements
• APO10 Manage suppliers
• BAI09   Manage assets
• MEA02 Monitor, evaluate and assess the system of internal control

Pe lîngă aceste procese (nu este o listă completă!) ne mai vin în ajutor şi 3 anexe:

• Appendix A. Detailed Guidance:  Principles, Policies and Frameworks Enabler
• Appendix C. Detailed Guidance:  Organisational Structures Enabler
• Appendix D. Detailed Guidance:   Culture, Ethics and Behaviour Enabler

Din COBIT 5 for Information Security nu putem prelua doar ceea ce am menţionat anterior. Avem şi exemple de potenţiali beneficiari ai informaţiilor:

(Sursa: COBIT 5 for Information Security, pg. 47)

Chiar dacă organizaţia nu doreşte implementarea sau certificarea SMSI, ISO27001:2013 + COBIT 5 for Info Sec + COBIT 5 for Risk, te ajută să  justifici produsele sau soluţiile tehnice/controalele (end point, identity, database, mobile, network, data center etc.) de care ai nevoie! Pentru că ai procese şi procesul corespunde unui obiectiv!