Підприємства звертаються до ідеї передового досвіду, визначеного як процедури, які доводять оптимальні результати, для оптимізації ефективності та прибутку. Рамки управління, такі як ISO 27001 і COBIT, слугують дуже деталізованими стандартами дисципліни, призначеними для управління ризиками, зниження втрат і зменшення негативної публічності. Хоча як ISO 27001, так і COBIT забезпечують управління у сфері інформаційних технологій - полегшують витрати на ІТ та зменшують ризики, пов'язані з безпекою технологій - ці відомі методології відрізняються у фокусі та деталях.
Основи
Міжнародна організація зі стандартизації публікує ISO 27001, яка є основою для стандартизованого управління інформаційною безпекою та зосереджується виключно на орієнтованих на безпеку передових практиках. Інститут управління інформаційними технологіями публікує COBIT - цілі управління інформацією та пов'язаними з ними технологіями - які забезпечують загальний контроль над ІТ, заходи та процеси. Ширший фокус COBIT спрямований на подолання розриву між бізнес-цілями та IT-процесами.
Формат
Кодекс практики ISO 27001, по суті, керівництво з аудиту, в якому викладено засоби контролю, до яких має звертатися організація, охоплює вісім основних розділів на 34 сторінках. Набагато ширша методологія COBIT містить 34 контрольні цілі високого рівня та 318 детальних контрольних цілей, об'єднаних у сфери планування та організації, придбання та реалізація, надання та підтримка та моніторинг. Ці рекомендації пропонують керівництву керувати процесами ІТ підприємств, загальними досягненнями та організаційними цілями. На відміну від COBIT, ISO 27001 не містить моделей зрілості, які намагаються надати огляд того, як практика організації може забезпечити стабільні результати.
Фокус і функція
Орієнтація ISO 27001 на вирішення та аудит робить методологію структурою контролю та управління, а не рамками процесу. Незважаючи на те, що вона поділяє цю структуру з COBIT, ISO 27001 має більш конкретну мету - безпеку - і, таким чином, обслуговує управління нижчого рівня. Методологія COBIT орієнтована на потреби найвищого рівня підприємства, намагаючись покращити загальну бізнес-орієнтацію за допомогою ІТ-контролів та показників. Таким чином, COBIT обслуговує вищих посадових осіб, таких як керівники, ІТ-менеджери та аудитори.
Міркування
ISO 27001 і COBIT не повинні конкурувати один з одним. Насправді обидві рамки доповнюють один одного: в той час як ISO 27001 має на меті безпеку, COBIT виступає як свого роду «парасольку», яка допомагає підключити ISO 27001 та інші системи управління ІТ, такі як PMBOK та SEI CMM. Обидві системи пропонують дані “що”, а не “як”, а це означає, що вони ідентифікують і вимірюють продуктивність і пропонують напрямок, але не пропонують методи для здійснення зазначеного напрямку. Такі рамки, як ITIL, також доповнюють COBIT та ISO 27001, відповідають на питання «як». У світі управління ІТ, ви часто стикаєтеся з терміном ISO 17799. Ця методологія, також відома як BS7799, є попередник ISO 27001, який зберігає більшу частину своєї основи.
