Что сразу бросается в глаза:
- Документ полноценный/полновесный, 220 страниц.
- Состав документа:
- Executive Summary. Стандартная небольшая глава, что-то типа краткого обзора для руководства.
- Section I. Information Security. Небольшая часть (на 5-6 страниц), об общих принципах COBIT5 в разрезе ИБ.
- Section II. Using COBIT 5 Enablers for Implementing Information Security in Practice. Основная более детальная часть, описывающая основные процессы, орг.структуры, документацию, навыки и инфраструктуру ИБ.
- Section III. Adapting COBIT 5 for Information Security to the Enterprise Environment. Небольшая часть про внедрение ИБ инициатив и завязка их с корпоративным управлением.
- Множество приложений:
- Appendix A. Detailed Guidance: Principles, Policies and Frameworks Enabler.
- Appendix B. Detailed Guidance: Processes Enabler
- Appendix C. Detailed Guidance: Organisational Structures Enabler
- Appendix D. Detailed Guidance: Culture, Ethics and Behaviour Enabler
- Appendix E. Detailed Guidance: Information Enabler
- Appendix F. Detailed Guidance: Services, Infrastructure and Applications Enabler
- Appendix G. Detailed Guidance: People, Skills and Competencies Enabler
- Appendix H. Detailed Mappings
- Очень сильно ожидаемое приложение H про соответствие процессов COBIT5 другим важным стандартам ИБ:
- ISO 27001 и ISO 27002. Кстати, в этом маппиге (в отличие от аналогичных в COBIT4.1) стандарты наконец-то разделены.
- The ISF 2011 Standard of Good Practice for Information Security
- NIST SP 800-53A Revision 1. "Guide for Assessing the Information Security Controls in Federal Information Systems and Organisations"
Жалко, что только нет обратной связи типа требования и контроли 27001/27002 - процессы COBIT5. Но без этого в принципе можно обойтись или сделать самостоятельно.
Таблицу соответствия на 7 страниц выкладываю тут . - Порадовало наличие списка сокращений и глоссария.
