Bedrifter ser på ideen om beste praksis, definert som prosedyrer som har vist seg å gi optimale resultater, for å optimalisere effektivitet og fortjeneste. Styringsrammer som ISO 27001 og COBIT fungerer som svært detaljerte standarder for disiplin som er ment å håndtere risiko, redusere tap og redusere negativ publisitet. Selv om både ISO 27001 og COBIT imøtekommer styring innen informasjonsteknologi - som bidrar til å lette IT-utgifter og redusere tekniske sikkerhetsrisikoer - er disse fremtredende metodene forskjellig i fokus og detaljer.
Grunnleggende
Den internasjonale organisasjonen for standardisering publiserer ISO 27001, som fungerer som et rammeverk for standardisert informasjonssikkerhetsadministrasjon og fokuserer sterkt på sikkerhetsorienterte beste praksis. Informasjonsstyringsinstituttet publiserer COBIT - kontrollmål for informasjon og tilhørende teknologi - som omhandler generelle IT-kontroller, tiltak og prosesser. COBITs bredere fokus tar sikte på å bygge bro over gapet mellom forretningsmål og IT-prosesser.
Format
ISO 27001-kodeksen, i hovedsak en revisjonsguide som inneholder kontroller som en organisasjon må adressere, omfatter åtte hovedavsnitt på tvers av 34 sider. Den mye bredere COBIT-metoden har 34 kontrollnivåer på høyt nivå og 318 detaljerte kontrollmål gruppert i områdene Plan og Organiser, Oppkjøp og Implementer, Lever og Støtte og Monitor. Disse retningslinjene tilbyr ledelsesretning for å kontrollere bedriftens IT-prosesser, overordnede prestasjoner og organisasjonsmål. I motsetning til COBIT, inneholder ISO 27001 ikke modenhetsmodeller, som forsøker å gi en oversikt over hvordan en organisasjons praksis kan gi bærekraftige resultater.
Fokus og funksjon
ISO 27001s fokus på adressering og revisjon gjør metoden til et kontroll- og styringsramme fremfor en prosessramme. Selv om den deler denne strukturen med COBIT, har ISO 27001 et mer spesifikt mål - sikkerhet - og gir dermed lavere nivåstyring. COBIT-metoden retter seg mot bedriftens toppnivåbehov, og søker å forbedre den generelle forretningsorienteringen via IT-kontroller og beregninger. Som sådan henvender COBIT til høyere oppdrag som seniorledere, IT-ledere og revisorer.
betraktninger
ISO 27001 og COBIT trenger ikke å konkurrere med hverandre. Faktisk komplementerer de to rammene hverandre: Selv om ISO 27001 er målrettet mot sikkerhet, fungerer COBIT som en slags "paraply" rammeverk som hjelper til med å koble ISO 27001 og andre IT-styringsrammer som PMBOK og SEI CMM. Begge systemene tilbyr "hva" i stedet for "hvordan" data, noe som betyr at de identifiserer og måler utdata og foreslår retning, men tilbyr ikke metoder for å forfølge retningen. Rammer som ITIL, også et komplement til COBIT og ISO 27001, svarer på spørsmålet om "hvordan." I IT-regiets verden vil du ofte komme inn i begrepet ISO 17799. Denne metoden, også kjent som BS7799, er den forløper til ISO 27001, som beholder mye av grunnlaget.
