Il cubo
Nella scorsa puntata abbiamo detto che COSO divide il sistema di controlli interni in cinque componenti:- Control environment
- Risk assessment
- Control activities
- Information and communication
- Monitoring
Plan &Organize
I processo COBIT di questo dominio sono:- Define IT strategic planning
- Define the information architecture
- Determine technological direction
- Define IT process, organization and relationships
- Manage the IT investment
- Communicate management aims and direction
- Manage IT human resources
- Manage quality
- Assess and manage IT risks
- Manage projects
- Define IT strategic planning: RA IC M
- Define IT process, organization and relationships: CE IC M
- Communicate management aims and direction: CE, IC
- Manage IT human resources: CE, IC
- Manage quality: CE, CA IC, M
- Assess and manage IT risks: RA
- CE - Control Environment
- RA - Risk assessment
- CA - Control activities
- IC - Information and communication
- M - Monitoring
Da COSO a COBIT e viceversa
Ovviamente è possibile raggruppare anche i processi COBIT per componente di controllo di interesse. Per esempio per “IC - Information and communication” abbiamo:- Define IT strategic planning
- Define IT process, organization and relationships
- Communicate management aims and direction
- Manage IT human resources
- Manage quality
Leggi la prima parte [4]
Leggi la seconda parte [5]
IsacaRoma link
COSO Enterprise Risk Management Framework [6]Chi è Agatino Grillo?
Agatino Grillo, CISA, CISM, CISSP, fa parte del comitato direttivo di IsacaRoma. Precedentemente è stato nel comitato direttivo di AIEA.Altri articoli pubblicati per IsacaRoma Newsletter
- Security ed information gathering – intervista a Carlo Pelliccioni di OWASP [7]
- ENISA: Interview with Jani Arnell on Emerging Risks [8]
- SOX,
COSO e COBIT – parte prima [9]
- ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert [10]
- ENISA: Interview with Dr Louis Marinos, Senior Expert on Risk Management [11]
- Intervista all’ing. Carlo Notari, presidente del PMI Northern Italy Chapter (PMI-NIC) [12]
- Intervista Alberto Revelli Technical Director di OWASP Italy ed autore di sqlninja [13]
- Codice sicuro: intervista a Paolo Perego, thesp0nge, ideatore di OWASP Orizon [14]
- Wikipedia: la voce "IT governance" [15]
- Application security: intervista ad Antonio Parata di OWASP [16]
- Wikipedia: la voce "IS auditing" [17]
- IIA – sesta guida GTAG: "Managing and Auditing IT Vulnerabilities" [18]
- ISACA: Standard, direttive e procedure – l’analisi dei rischi (24-09-2006) [19]
- ISACA: Standard, direttive e procedure – prima parte (23-09-2006) [20]
- Intervista a Ross Anderson (02-11-2005) [21]
- Lezioni di IS Auditing [22] (03-01-2006)
- Conversazione con Simon Singh [23] (28-10-2005)
- COSO Enterprise Risk Management Framework [24] (12-09-2006)
- Bruce Schneier: domande e risposte [25] (01-11-2005)