이 두 가지는 IT 조직의 효율성과 효과성 향상에 기여하는 주요 프레임워크 및 표준이지만, 그 초점과 범위에 있어 명확한 차이가 있습니다. COBIT는 IT 거버넌스(Governance)에, ISO/IEC 20000은 IT 서비스 관리(Service Management)에 집중합니다.
1. COBIT (Control Objectives for Information and related Technology)
COBIT는 ISACA (Information Systems Audit and Control Association, 정보 시스템 감사 통제 협회)에서 개발 및 관리하는 IT 거버넌스(Governance) 및 관리(Management) 프레임워크입니다. 엔터프라이즈 거버넌스와 IT 거버넌스의 연계를 최우선 목표로 합니다.
1.1. 핵심 개념 및 목적
- 초점: 전사적 IT 거버넌스 및 관리. IT가 기업의 목표 달성에 기여하도록 보장하며, 가치 창출, 리스크 최적화, 자원 최적화에 주력합니다.
- 대상: 이사회, 최고 경영진(C-level executives), IT 관리자, IT 감사 담당자 등 전사적 이해관계자.
- 주요 버전: 현재는 COBIT 2019가 최신 버전이며, 원칙 기반(Principles-based)으로 전환되어 유연성을 높였습니다.
1.2. COBIT 2019의 핵심 원칙 및 구성
COBIT 2019는 거버넌스 시스템을 위한 6가지 핵심 원칙과 거버넌스 프레임워크를 위한 3가지 핵심 원칙을 제시합니다.
(1) 거버넌스 시스템을 위한 6가지 원칙
- 이해관계자 니즈 충족: 가치 제공은 이해관계자의 니즈를 기반으로 합니다.
- 전체론적 접근: 거버넌스 시스템은 여러 상호작용하는 구성요소(구성 요소(Components): 프로세스, 조직 구조, 정보, 문화/윤리/행동 등)로 이루어져야 합니다.
- 동적 거버넌스 시스템: 변화를 수용할 수 있도록 설계해야 합니다.
- 거버넌스와 관리의 분리:
- 거버넌스: 평가(Evaluate), 지시(Direct), 모니터링(Monitor) (EDM)
- 관리: 계획(Plan), 구축(Build), 실행(Run), 모니터링(Monitor) (PBRM)
- 기업 맞춤 설계: 다양한 설계 요인(Design Factors)을 기반으로 맞춤화된 거버넌스 시스템을 구축해야 합니다.
- 엔드 투 엔드 거버넌스 시스템: 전사적인 모든 IT 및 정보 영역을 포괄합니다.
(2) 거버넌스 프레임워크를 위한 3가지 원칙
- 개념적 일관성: 프레임워크는 개념적으로 일관되고 포괄적이어야 합니다.
- 유연성: 변화하는 환경에 맞게 유연하게 적용 가능해야 합니다.
- 다른 주요 표준과의 정렬(Alignment): ITIL, ISO/IEC 20000, ISO/IEC 27001, CMMI 등 다른 주요 표준 및 규제와 연계하여 활용 가능합니다.
2. ISO/IEC 20000
ISO/IEC 20000은 국제 표준화 기구(International Organization for Standardization, ISO)와 국제 전기 기술 위원회(International Electrotechnical Commission, IEC)가 공동으로 개발한 IT 서비스 관리 시스템(Service Management System, SMS)에 대한 국제 표준입니다.
2.1. 핵심 개념 및 목적
- 초점: IT 서비스 관리(IT Service Management, ITSM) 프로세스의 품질과 효율성. 고객 요구사항을 만족시키는 수준 높은 서비스를 지속적으로 제공하는 데 주력합니다.
- 대상: IT 서비스를 제공하는 조직(내부 IT 조직, 외부 IT 서비스 제공업체) 및 해당 서비스의 품질을 보장받고자 하는 고객.
- 주요 버전: 현재는 ISO/IEC 20000-1:2018이 최신 버전이며, 이는 High Level Structure (HLS)를 채택하여 다른 경영 시스템 표준(예: ISO 9001, ISO/IEC 27001)과의 통합을 용이하게 합니다.
2.2. ISO/IEC 20000-1:2018의 주요 구성 (SMS 요구사항)
ISO/IEC 20000-1은 조직이 서비스 관리 시스템(SMS)을 수립, 구현, 유지 및 지속적으로 개선하기 위한 요구사항을 명시하며, 다음의 Plan-Do-Check-Act (PDCA) 사이클을 기반으로 합니다.
| 항목 (HLS 기반) | 주요 내용 및 요구사항 |
|---|---|
| 4. 조직 환경 | 조직의 이해관계자 니즈, SMS 범위 정의, 정책 수립 |
| 5. 리더십 | 경영진의 책임, 역할 및 권한 정의, 서비스 관리 방침 |
| 6. 기획 | 리스크 및 기회 대응, 서비스 목표 및 계획 수립 |
| 7. 지원 | 자원, 역량, 인식, 문서화된 정보 관리 |
| 8. 운영 | 서비스 기획/통제, 서비스 포트폴리오, 관계/공급자 관리, 핵심 ITSM 프로세스 (변경, 릴리스, 구성 관리, 인시던트/서비스 요청/문제 관리 등) |
| 9. 성과 평가 | 모니터링, 측정, 분석, 내부 심사, 경영 검토 |
| 10. 개선 | 부적합 조치 및 SMS의 지속적인 개선 |
3. COBIT과 ISO/IEC 20000의 비교 및 관계
COBIT와 ISO/IEC 20000은 상호 보완적인 관계에 있으며, 조직의 IT 가치 창출을 위한 이분화된 접근 방식을 제공합니다.
| 구분 | COBIT (2019) | ISO/IEC 20000-1 (2018) |
|---|---|---|
| 주요 초점 | IT 거버넌스 및 전사적 IT 관리 | IT 서비스 관리 시스템 (SMS) |
| 관점/범위 | 상위 수준 (Top-Down): IT와 비즈니스 정렬(Alignment) 및 가치 극대화 | 프로세스 수준 (Bottom-Up): 서비스의 제공, 관리, 개선 |
| 제공 형태 | 프레임워크 (Framework) | 국제 표준 (International Standard) |
| 주요 질문 | "우리가 제대로 된 일을 하고 있는가?" (IT 의사결정의 방향성) | "우리가 일을 제대로 하고 있는가?" (IT 서비스 프로세스의 효율성/품질) |
| 유연성 | 설계 요인(Design Factors)을 통한 맞춤형 유연성 제공 | 국제 표준 요구사항 충족을 위한 구조적 접근 |
| 인증 | 프레임워크에 대한 인증은 불가 (프로세스 성숙도 평가 가능) | SMS에 대한 공식적인 제3자 인증 가능 |
| 관계 | 거버넌스를 담당하며, ISO/IEC 20000 등 다른 표준의 적용을 지시/통제하고 모니터링하는 상위 계층 역할을 수행 | COBIT의 '관리(Management)' 영역, 특히 PBRM (Plan, Build, Run, Monitor) 중 'Run' 영역에서 요구하는 구체적인 ITSM 프로세스를 제공 |
3.1. 통합적 활용 방안 (기술사 관점)
COBIT와 ISO/IEC 20000을 성공적으로 도입하는 조직은 이 두 가지를 계층적이고 보완적으로 활용합니다.
- 거버넌스 방향 설정 (COBIT): 이사회 및 경영진은 COBIT의 원칙과 EDM 모델을 사용하여 기업 목표와 IT 목표를 정렬하고, IT 거버넌스 방향을 설정하며, 리스크와 자원 관리에 대한 통제 목표를 정의합니다.
- 관리 체계 설계 (COBIT/ISO 20000): 설정된 거버넌스 방향 하에, IT 관리 영역(COBIT PBRM)을 설계합니다. 이 중 IT 서비스 제공 및 운영 프로세스(주로 'Run' 영역)의 체계화 및 품질 확보를 위해 ISO/IEC 20000의 요구사항을 충족하는 SMS를 구축합니다.
- 성과 평가 및 개선 (COBIT/ISO 20000):
- COBIT는 비즈니스 가치 창출 관점에서 IT 성과를 모니터링하고 (예: 성숙도 평가), 거버넌스 지침의 이행 여부를 확인합니다.
- ISO/IEC 20000는 구체적인 ITSM 프로세스(SLA 이행률, 사고 처리 시간 등)의 성과를 측정하고, 지속적인 서비스 개선(Continual Service Improvement, CSI)에 주력합니다.
결론적으로, COBIT는 "무엇을 해야 하는가"에 대한 전략적 방향과 통제 구조를 제공하는 뼈대와 같고, ISO/IEC 20000은 "어떻게 효과적으로 서비스해야 하는가"에 대한 구체적인 프로세스 관리 시스템을 제공하는 실행 지침과 같습니다. 두 표준은 상호 결합하여 최적의 IT 가치 창출 및 서비스 품질을 보장하는 시너지를 낼 수 있습니다.
