有人說,在”COBIT5-Ver2-enabling”中提到,COBIT 5有209個控制點,所以說,如果這些控制點都沒有強制性的話,COBIT評估者要如何做審核呢?
看起來COBIT 5 對於促進組織合併或併購的盡職調查,沒有太大的成效。無論如何,如果組織有5個控制點或者是200個確認點,任何組織採用COBIT將會具備兼容的,目前沒有什麼真正能提供確認層級一致水平的標竿標準架構,像是ISO 27001 的資訊安全管理系統,提供了148個強制性控制點以及113個控制點,可作為管理系統與整合點的框架。如果控制目標都沒有強制性的話,那麼就沒有可用來審查的機制。如果沒有控制目標來規範COBIT的框架標準,那COBIT的框架標準便不復存在。
其實表示,他對目前COBIT 5的版本有所誤解,在COBIT 5 中,不再有控制目標。然而,還是會有產出結果。它們其中沒有任何一個是要被強制執行性的,產出結果的選擇,取決於組織的策略、企業目標以及IT管理的短期優先權來達成目的。COBIT 5主要包括治理機構、管理和運作與執行,它能作為服務供應商外包合約的基礎,並提供資訊安全管理。或提供一個全面性的方法來最佳化合規性。
COBIT 5是一個參考模型,在COBIT 5的流程能力等級 1 的級別,COBIT評估者審核組織的能力,能實現預期的產出結果。但什麼樣的產出結果是正常的呢?瞭解這些正是企業所需要的!什麼是審查者要檢查的?企業活動、產品製作以及所有被用來支援企業產出所需結果的資源。對於客觀的證據以及實現的成果,都必須要有可追溯性。
COBIT避免了一套理論走天下的情況,它能依據不同企業的不同商業目標做不同的對應,不論是資訊安全、服務達成率以及系統開發或策略規劃,每一個組織都會有獨特的需求。
一般來說,COBIT或ISO 27001都僅有增加一點價值,就算是所有的”勾選項目”都已勾選。雖然參照基準或標準方法是有用的出發點,但任何實行結果都應該滿足具體要求。我們所要遵循的是,跟隨最佳實作規範而不僅是為了滿足企業需求。