Företagen ser på idén om bästa praxis, definierade som rutiner som visat sig ge optimala resultat, för att optimera effektivitet och vinst. Governance-ramar som ISO 27001 och COBIT fungerar som mycket detaljerade disciplinnivåer som är avsedda att hantera risker, minska förluster och minska negativ publicitet. Även om både ISO 27001 och COBIT tillgodoser styrning inom informationstekniken - vilket underlättar IT-utgifterna och minskar tekniska säkerhetsrisker - skiljer sig dessa framstående metoder i fokus och detaljer.
Grunderna
Den internationella organisationen för standardisering publicerar ISO 27001, som fungerar som en ram för standardiserad informationssäkerhetshantering och fokuserar strikt på säkerhetsinriktade bästa praxis. Informationsteknologins styrningsinstitut publicerar COBIT - kontrollmål för information och relaterad teknik - som tillgodoser övergripande IT-kontroller, åtgärder och processer. COBITs bredare fokus syftar till att överbrygga klyftan mellan affärsmål och IT-processer.
Formatera
ISO 27001-koden, huvudsakligen en revisionsguide som innehåller kontroller som en organisation måste adressera omfattar åtta huvudavsnitt på 34 sidor. Den mycket bredare COBIT-metoden innehåller 34 högnivå kontrollmål och 318 detaljerade kontrollmål indelade i områdena Planera och organisera, förvärva och implementera, leverera och stödja och övervaka. Dessa riktlinjer erbjuder ledningsriktning för att styra företagets IT-processer, övergripande prestation och organisationsmål. I motsats till COBIT innehåller inte ISO 27001 modenmodeller, som försöker ge en överblick över hur en organisations metoder kan ge hållbara resultat.
Fokus och funktion
ISO 27001: s fokus på adressering och revision gör metoden till en kontroll- och ledningsram snarare än en processram. Även om den delar denna struktur med COBIT, har ISO 27001 ett mer specifikt mål - säkerhet - och ger därför lägre nivåhantering. COBIT-metoden riktar sig till företagets överordnade behov och försöker förbättra den övergripande affärsorienteringen via IT-kontroller och mätvärden. Som sådan riktar sig COBIT till högre uppdrag som seniorledare, IT-chefer och revisorer.
överväganden
ISO 27001 och COBIT behöver inte konkurrera med varandra. Faktum är att de två ramarna kompletterar varandra: Medan ISO 27001 riktar sig till säkerhet, fungerar COBIT som ett slags "paraply" -ramverk som hjälper till att ansluta ISO 27001 och andra IT-styrningsramar som PMBOK och SEI CMM. Båda systemen erbjuder "vad" snarare än "hur" data, vilket innebär att de identifierar och mäter uteffekt och föreslår riktning, men erbjuder inte metoder för att driva nämnda riktning. Ramar som ITIL, också ett komplement till COBIT och ISO 27001, svarar på frågan om hur. I IT-styrelsens värld kommer du ofta in i termen ISO 17799. Denna metod, även känd som BS7799, är precursor till ISO 27001, som behåller mycket av sin grund.
