Yritykset tarkastelevat ajatusta parhaista käytännöistä, jotka on määritelty menettelytavoiksi, jotka osoittavat tuottavansa optimaalisia tuloksia, optimoimaan tehokkuus ja voitto. Hallintokehykset, kuten ISO 27001 ja COBIT, ovat erittäin yksityiskohtaisia kurinalaisuussääntöjä, joiden tarkoituksena on hallita riskejä, alentaa menettämistä ja vähentää negatiivista julkisuutta. Vaikka sekä ISO 27001 että COBIT huolehtivat tietotekniikan hallinnasta - auttavat helpottamaan IT-kuluja ja vähentämään teknologiaan liittyviä turvallisuusriskejä - nämä merkittävät menetelmät poikkeavat toisistaan tarkemmin ja yksityiskohtaisesti.
Perusasiat
Kansainvälinen standardointijärjestö julkaisee ISO 27001 -standardin, joka toimii standardoidun tietoturvan hallinnan kehyksenä ja keskittyy tiukasti turvallisuuteen liittyviin parhaisiin käytäntöihin. Informaatioteknologian hallintalaitos julkaisee COBIT - tieto- ja siihen liittyvän teknologian valvontatavoitteet, jotka vastaavat yleistä tietotekniikan valvontaa, toimenpiteitä ja prosesseja. COBITin laajemman painopisteen tavoitteena on poistaa liiketoimintatavoitteiden ja tietotekniikkaprosessien välinen kuilu.
Muoto
ISO 27001: n käytännesäännöt, pääasiassa tilintarkastusopas, jossa esitetään valvontatoimenpiteet, joita organisaation on käsiteltävä, kattaa kahdeksan suurta osaa 34 sivua kohden. Paljon laajempi COBIT-metodologia sisältää 34 korkean tason valvontatavoitetta ja 318 yksityiskohtaista valvontatavoitetta, jotka on ryhmitelty suunnitelman ja järjestämisen, hankinnan ja toteutuksen, toimituksen ja tuen sekä seurannan alueiksi. Nämä ohjeet tarjoavat johdon suunnan yritysten IT-prosessien, yleisten saavutusten ja organisaatiotavoitteiden hallitsemiseksi. Toisin kuin COBIT, ISO 27001 ei sisällä kypsyysmalleja, jotka pyrkivät antamaan yleiskuvan siitä, miten organisaation käytännöt voivat tarjota kestäviä tuloksia.
Tarkennus ja toiminto
ISO 27001: n painopisteenä osoittautuminen ja tilintarkastus tekee menetelmästä hallinto- ja hallintakehyksen prosessikehyksen sijaan. Vaikka se jakaa tämän rakenteen COBITin kanssa, ISO 27001: llä on tarkempi tavoite - turvallisuus - ja siten myös alemman tason johtaminen. COBIT-menetelmät kohdistuvat yrityksen huipputason tarpeisiin, joilla pyritään parantamaan liiketoiminnan yleistä suuntautumista tietotekniikan hallinnan ja mittareiden avulla. Näin ollen COBIT palvelee korkeampia yrityksiä, kuten esimiehiä, IT-johtajia ja tilintarkastajia.
näkökohdat
ISO 27001 ja COBIT eivät tarvitse kilpailla keskenään. Itse asiassa nämä kaksi viitekehystä täydentävät toisiaan: Vaikka ISO 27001 on suunnattu turvallisuuteen, COBIT toimii eräänlainen "sateenvarjo", joka auttaa liittämään ISO 27001: n ja muut IT-hallintakehykset, kuten PMBOK ja SEI CMM. Molemmat järjestelmät tarjoavat "mitä" tietoja "miten" -tietoja, mikä tarkoittaa, että ne tunnistavat ja mittaavat tuotoksen ja viittaavat suuntaan, mutta eivät tarjoa menetelmiä mainitun suunnan toteuttamiseksi. ITIL: n kaltaiset puitteet, jotka täydentävät myös COBIT: ää ja ISO 27001: tä, vastaavat kysymykseen "miten." IT-hallinnan maailmassa käytät usein termiä ISO 17799. Tämä menetelmä, joka tunnetaan myös nimellä BS7799, on ISO 27001 -standardin edeltäjä, joka säilyttää suurelta osin sen perustan.