趋势与观点 | 利用COBIT和谷歌地图将任何框架标准或模型与企业应用程序进行集成
了解框架、标准和模型之间的区别
利用FSM和技术实现企业转型是一种公认的且久经考验的策略。框架和标准包含旨在实现业务目标的最佳实践集合。
框架由概念、原则和实践组成,它们提供对问题的共同理解以及对特定领域的广泛概述。它可用于帮助企业了解流程的不同组成部分、识别风险和机遇并制定改进策略。常用的框架包括COBIT®、美国国家标准与技术研究所 (NIST) 网络安全框架 (CSF) 和国际标准化组织 [ISO] 27001。
标准是一组必须满足才能达到指定质量或性能水平的特定要求(即规则或规范)。它可用于确保产品、服务或流程满足某些标准。通用标准包括ISO 9001、ISO 14001和支付卡行业数据安全标准 (PCI DSS)。
模型是现实世界系统或过程的简化表示,用于理解或解释现象。模型可用于了解系统或流程的工作原理、预测其行为或改进其设计。模型类型的几个示例包括模拟模型、数据模型、流程模型、客户旅程模型和机器学习 (ML) 模型。模型使用户能够学习和使用任何FSM。
FSM的价值
世界各地的各类专业机构、科技企业和监管机构发布、推荐或授权的 FSM数量众多,以确保治理、风险管理、合规性和保证。实施这些FSM的需要源于监管、管理或客户要求,或三者的组合。FSM可以是通用的,适用于任何类型的企业(例如,COBIT、ISO 27001)或适用于特定行业(例如,美国健康保险流通和责任法案 [HIPAA]、PCI DSS)。这些FSM可以根据技术、法规或业务要求的变化定期更新或完全停用,其实施是通过内部团队或外部供应商实现自动化的。
为企业定制的FSM适用流程、程序和控制可以集成到企业应用程序中。然而,这可能需要大量的时间、精力和用户培训,并且是有代价的。成功的关键因素不仅在于简化实施或更新FSM相关功能的流程,还在于确保集成FSM的企业应用程序易于使用,并且只需最少的培训即可部署以满足企业目标和提升价值。
使用COBIT的7个阶段来实施FSM
企业应用程序可以通过追随流行应用程序创建者的脚步,通过实施FSM来增强。例如,谷歌地图是一个云应用程序,可以随时随地从任何设备访问。用户必须指定他们的目的地、输入他们的当前位置或起始位置、确定他们的首选旅行方式并选择他们想要的路线。根据这些输入,谷歌 地图会提供路线图以及备用路线、预计到达时间和预期交通状况。旅程开始后,谷歌地图会通过指示必要的转弯来引导用户,并在用户遵循不同路线时重新规划路线。它通过监控交通状况动态更新预计到达时间。最后,谷歌地图会确认何时到达目的地。
该流程可以映射到COBIT实施路线图的7个阶段中的每一个阶段(图1)。
结论
流行的应用程序之所以被广泛使用,是因为它们简单、包含通过云技术赋能的用户友好界面、只需滑动或单击即可参与,并且可以随时随地访问。这些应用程序的构建模块是其支持技术基础设施、系统、流程和FSM。如果流行的应用程序能够为数十亿用户提供易用性,尽管它们的技术和FSM很复杂,那么企业就应该在其应用程序中采用同样的方法。
谷歌地图展现出无论企业流程和FSM嵌入式控制的复杂性如何,技术都可以成为促进简单性和易用性的重要推动者。通过将简单设计原则置于业务流程和控制的核心,并使用技术作为推动者集成FSM,可以实现谷歌地图流程到企业应用程序的有效映射。这为用户节省了时间,最终为企业提升了价值。
编者按:本文于2023年10月18日首次发表于ISACA官网News and Trends/Newsletter/@isaca。文章内容仅代表作者本人观点。
作者:ABDUL RAFEQ, CISA, CA, FCA,现任Wincer Infotech Limited 董事总经理,专门从事 IT 治理和分析。
翻译:尹杭宇,CISM,PMP, ISACA微信公众号特邀通讯员。
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、CCAK、Cybersecurity Audit、CISSP、CCSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA,ISACA中国技术委员会主席,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某国际酒店集团信息安全副总裁。