Siekdami optimizuoti efektyvumą ir pelną, įmonės ieško geriausios praktikos idėjos, apibrėžtos kaip procedūros, įrodytos kaip optimalūs rezultatai. Valdymo sistemos, tokios kaip ISO 27001 ir COBIT, yra labai išsamūs drausmės standartai, skirti valdyti riziką, sumažinti nuostolius ir sumažinti neigiamą viešumą. Nors tiek „ISO 27001“, tiek „COBIT“ rūpinasi informacinių technologijų valdymu - tai padeda sumažinti IT išlaidas ir mažinti su technologija susijusias saugumo rizikas, šios svarbios metodikos skiriasi dėmesio ir detalių požiūriu.
Pagrindai
Tarptautinė standartizacijos organizacija skelbia ISO 27001, kuri yra standartizuotos informacijos saugumo valdymo pagrindas ir griežtai orientuota į į saugumą orientuotą geriausią praktiką. Informacinių technologijų valdymo institutas skelbia COBIT - informacijos ir susijusios technologijos kontrolės tikslus, kurie atitinka bendrą IT kontrolę, priemones ir procesus. Platesnis COBIT tikslas - panaikinti atotrūkį tarp verslo tikslų ir IT procesų.
Formatas
ISO 27001 praktikos kodeksas, iš esmės audito vadovas, kuriame išdėstytos kontrolės priemonės, kurias turi spręsti organizacija, apima aštuonias pagrindines dalis 34 puslapiuose. Platesnė COBIT metodika apima 34 aukšto lygio kontrolės tikslus ir 318 išsamius kontrolės tikslus, suskirstytus į planavimo ir organizavimo, įsigijimo ir įgyvendinimo, pristatymo ir palaikymo bei stebėjimo sritis. Šios gairės siūlo vadovavimo kryptis, kaip kontroliuoti verslo IT procesus, bendruosius pasiekimus ir organizacinius tikslus. Priešingai nei „COBIT“, ISO 27001 nenurodo brandos modelių, kurie bando pateikti apžvalgą apie tai, kaip organizacijos praktika gali užtikrinti tvarius rezultatus.
Fokusavimas ir funkcija
ISO 27001 pagrindinis dėmesys skiriamas sprendimui ir auditui, todėl metodika yra kontrolės ir valdymo sistema, o ne proceso struktūra. Nors ji dalijasi šia struktūra su „COBIT“, ISO 27001 turi konkretesnį tikslą - saugumą - ir taigi padeda vykdyti žemesnio lygio valdymą. COBIT metodologija yra skirta aukščiausio lygio įmonės poreikiams, siekiant pagerinti bendrą verslo orientavimą per IT kontrolę ir metriką. Tokiu būdu COBIT aprūpina aukštesnes įmones, pvz., Vyresniuosius vadovus, IT vadovus ir auditorius.
Apsvarstymai
ISO 27001 ir COBIT neturi konkuruoti tarpusavyje. Tiesą sakant, šios dvi sistemos papildo viena kitą: Nors ISO 27001 yra skirtas saugumui, COBIT veikia kaip „skėčio“ sistema, kuri padeda sujungti ISO 27001 ir kitas IT valdymo sistemas, tokias kaip PMBOK ir SEI CMM. Abi sistemos siūlo „ką“, o ne „kaip“ duomenis, o tai reiškia, kad jie identifikuoja ir matuoja išvestį ir nurodo kryptį, bet nesiūlo metodų, kaip pasiekti minėtą kryptį. Tokios sistemos, kaip ITIL, taip pat papildo COBIT ir ISO 27001, atsako į „kaip“ klausimą. IT valdymo pasaulyje dažnai susiduriate su terminu ISO 17799. Ši metodika, dar vadinama BS7799, yra pirmtakas pagal ISO 27001, kuris išlaiko didžiąją dalį savo pamatų.