Cobit 5 چارچوبی برای حاکمیت و نظارت فناوری اطلاعات است. این چارچوب در آخرین نسخه خود (ویرایش 5) همسویی و تمرکز بیشتری بر امنیت اطلاعات دارد. هر چند Cobit 4 نیز راهمایی‌هایی پیرامون امنیت اطلاعات ارائه نموده است، ولی این نسخه از چارچوب Cobit انسجام و همپوشانی جامعی با استانداردهای امنیت اطلاعات ندارد. سازمان ISACA این موضوع را مدنظر داشت و در به‌روزرسانی ویرایش جدید چارچوب Cobit نقص نسخه پیشین را از بین برده است. به عبارت دیگر می‌توان گفت در Cobit 5، ISACA علاوه بر ارائه چارچوبی برای حاکمیت و نظارت فناوری اطلاعات چارچوبی برای امنیت اطلاعات نیز ارائه نموده است. چارچوب Cobit 5 تمامی جوانب امنیت کارآمد و منطقی منابع اطلاعات را تضمین می‌نماید. شالوده Cobit 5 مبتنی بر اصول پنجگانه‌ای است که سازمان باید بر اساس آن خط‌مشی‌ها، استانداردها، خطوط راهنما، فرایندها و کنترل‌های خود را ایجاد و سنجش نماید. این اصول عبارتند از:

• تحقق نیازهای ذینفعان
• پوشش کامل سازمان
• به کار بردن یک چارچوب منسجم منفرد در سازمان
• توانمند ساختن یک رویکرد جامع در سازمان
• تمایز قائل شدن میان حاکمیت و مدیریت

در ادامه هر یک از اصول فوق و ارتباط آن با امنیت اطلاعات شرح داده می‌شود.

اصل 1: تحقق نیازهای ذینفعان: تحلیل و شناسایی ذینفعان فرایند مهمی در تحقق این اصل می‌باشد. با شناسایی درست ذینفعان به راحتی می‌توان نیازهای آن‌ها را نیز شناسایی نمود. این فرایند گام مهمی در برنامه‌ریزی پروژه و مدیریت ریسک می‌باشد. موفقیت در شناسایی و تحلیل ذینفعان منتج به حداکثر نمودن سود، بهینه نمودن منابع، افزایش امنیت و حداقل نمودن ریسک‌ها در برابر خروجی‌های فراتر از انتظار خواهد شد.

اصل 2: پوشش کامل سازمان: امنیت اطلاعات در سازمان باید تمامی سطوح مدیریتی و حاکمیتی و نیز تمامی فعالیت‌های برنامه‌ریزی عملیاتی و راهبردی کسب‌وکار و فناوری اطلاعات را پوشش دهد و تنها به همسویی عمودی سازمان (برای یک محصول، واحد و … ) اکتفا نماید. به عبارت دیگر هر تغییر در سازمان باید از کانال امنیت اطلاعات بگذرد و جوانب امنیتی آن در سرتاسر سازمان به طور کامل سنجش شود.

اصل 3:به کار بردن یک چارچوب منسجم منفرد در سازمان: امنیت اطلاعات نیز بر این اصل استوار است که یک چارچوب کامل شامل تمامی جوانب ذخیره، جریان، پردازش، ایجاد، کنترل و سنجش اطلاعات در سازمان حاکم باشد و مبنایی برای پیاده‌سازی اثربخش‌تر کنترل امنیتی در سازمان ایجاد نماید.

اصل 4:توانمند ساختن یک رویکرد جامع در سازمان: علاوه بر توسعه یک چارچوب منسجم برای امنیت اطلاعات در سازمان باید امنیت اطلاعات را همچنین به عنوان مجموعه‌ای از اجزای به هم مرتبط و در قالب یک رویکرد منسجم نگریست. هر جز به واسطه توانمند سازها و دیگر عوامل متاثر از ریسک اجرایی می‌شوند. Cobit 5 برای امنیت اطلاعات مجموعه‌ای از توانمند سازها را بیان می‌دارد و نحوه ارتباط میان آنها را نیز شرح می‌دهد. توانمند سازها به سازمان کمک می‌کنند تا عملیات و امنیت را در قالب خروجی از تمامی اصول و قواعد مورد نیاز برای امنیت اطلاعات منسجم نماید. توانمند سازها عبارتند از:
• فرایندها
• ساختار سازمانی
• فرهنگ سازمانی
• اصول و قواعد، خط‌مشی‌ها و چارچوب‌ها
• اطلاعات
• خدمات، زیرساخت‌ها و نرم‌افزارهای کاربردی
• نیروی انسانی، مهارت‌ها و شایستگی‌ها

اصل 5: تمایز قائل شدن میان حاکمیت و مدیریت: این اصل خطی میان تنظیم اهداف و ایجاد استراتژی و سنجش خروجی‌ها ایجاد می‌کند و میان این دو عمل تفاوت قائل می‌شود. مطابق با چارچوب Cobit 5 برای امنیت اطلاعات حاکمیت امنیت فناوری اطلاعات و مدیریت آن دو مقوله جدا از یکدیگر هستند و در عین حال از یکدیگر پشتیبانی می‌کنند. حاکمیت خروجی‌های مورد انتظار را تعریف و تنظیم می‌کند و مدیریت فناوری‌ها و فرآیندهای مورد نیاز را در راستای تحقق خروجی‌های تعریف شده پیاده‌سازی می‌کند. پس از آن حاکمیت بررسی می‌نماید که آیا خروجی‌ها مطابق با آنچه که مورد انتظار است، تعیین شده است یا نه و بازخورد های لازم را برای تیم مدیریت در راستای کمک به آنها و انجام اقدامات اصلاحی فراهم می‌آورد.

در انتها می‌توان موارد فوق را به صورت زیر خلاصه نمود:
1. Cobit 5 برای امنیت اطلاعات چارچوبی جامع است که امنیت و فرآیندهای کسب‌وکار را با یکدیگر همسو می‌نماید و همچنین مجموعه‌ای از توانمند سازها را در راستای اجرای اثربخش فعالیت‌های کسب‌وکار و نیز تحقق نیاز ذینفعان ارائه می‌نماید.
2. سازمان‌ها باید امنیت را در تمام جوانب مدیریت و عملیات سازمان منسجم نمایند. این اقدام در راستای یافتن تمامی فرآیندهای کسب‌وکار و ذینفعان مرتبط و ارتباط آن با امنیت اطلاعات تحقق خواهد یافت.
3. سازمان باید رویکردی جامع برای مدیریت امنیت اطلاعات خود بکار بندد و رویکردهای غیر منسجم و مرتبط به هم سازمان را در مسیر اهداف خود موفق نمی‌گرداند.

منبع: http://www.techrepublic.com/blog/it-security/cobit-5-for-information-security-the-underlying-principles/