Бизнесът търси идеята за най-добри практики, определени като процедури, доказали, че произвеждат оптимални резултати, за оптимизиране на ефективността и печалбата. Рамките за управление като ISO 27001 и COBIT служат като подробни стандарти за дисциплина, предназначени за управление на риска, по-ниски загуби и намаляване на негативната публичност. Въпреки че ISO 27001 и COBIT се грижат за управлението в областта на информационните технологии - спомагат за облекчаване на разходите за ИТ и намаляват свързаните с технологии рискове за сигурността - тези важни методологии се различават по фокус и подробности.
Основи
Международната организация по стандартизация публикува ISO 27001, която действа като рамка за стандартизирано управление на информационната сигурност и се съсредоточава стриктно върху най-добрите практики, ориентирани към сигурността. Институтът за управление на информационните технологии публикува COBIT - цели за контрол на информацията и свързаните с тях технологии - които обслужват цялостния контрол, мерките и процесите в областта на информационните технологии. По-широкият фокус на COBIT цели да преодолее пропастта между бизнес целите и ИТ процесите.
формат
Кодексът на практика ISO 27001, по същество ръководство за одит, който излага контролите, които една организация трябва да предприеме, обхваща осем основни раздела на 34 страници. Много по-широката методология на COBIT включва 34 високи контролни цели и 318 подробни контролни цели, групирани в областите на планиране и организиране, придобиване и внедряване, предоставяне и поддръжка и мониторинг. Тези насоки предлагат управленска насока за контролиране на ИТ процесите на бизнеса, цялостното постижение и организационните цели. За разлика от COBIT, ISO 27001 не включва модели за зрялост, които се опитват да предоставят преглед на това как практиките на организацията могат да осигурят устойчиви резултати.
Фокус и функция
Фокусът на ISO 27001 върху адресирането и одита прави методологията по-скоро рамка за контрол и управление, отколкото рамка на процеса. Въпреки че споделя тази структура с COBIT, ISO 27001 има по-специфична цел - сигурност - и по този начин обслужва по-ниско ниво на управление. Методологията на COBIT е насочена към нуждите на най-високото ниво на предприятието, като се стреми да подобри цялостната бизнес ориентация чрез ИТ контрол и показатели. Като такъв, COBIT се грижи за висши мениджъри като старши мениджъри, ИТ мениджъри и одитори.
Съображенията
ISO 27001 и COBIT не трябва да се конкурират помежду си. Всъщност двете рамки се допълват взаимно: Докато ISO 27001 е насочена към сигурността, COBIT действа като нещо като „чадър”, което спомага за свързването на ISO 27001 и други рамки за управление на ИТ, като PMBOK и SEI CMM. И двете системи предлагат “какво”, а не “как” данните, което означава, че те идентифицират и измерват продукцията и предлагат посока, но не предлагат методи за преследване на посочената посока. Рамките като ITIL, които също са допълнение към COBIT и ISO 27001, отговарят на въпроса за това как. В света на ИТ управлението често ще се сблъскате с термина ISO 17799. Тази методология, известна също като BS7799, е прекурсор на ISO 27001, който запазва голяма част от своята основа.
