Firmy zwracają uwagę na najlepsze praktyki, zdefiniowane jako sprawdzone procedury zapewniające optymalne wyniki, w celu optymalizacji wydajności i zysków. Ramy zarządzania takie jak ISO 27001 i COBIT służą jako bardzo szczegółowe standardy dyscypliny, mające na celu zarządzanie ryzykiem, niższe straty i ograniczenie negatywnego rozgłosu. Chociaż zarówno ISO 27001, jak i COBIT zapewniają zarządzanie w obszarze technologii informatycznych - pomagają zmniejszyć wydatki na IT i zmniejszyć ryzyko związane z bezpieczeństwem technicznym - te ważne metodologie różnią się skupieniem i szczegółami.
Podstawy
Międzynarodowa Organizacja Normalizacyjna publikuje ISO 27001, która stanowi ramy dla znormalizowanego zarządzania bezpieczeństwem informacji i koncentruje się wyłącznie na najlepszych praktykach związanych z bezpieczeństwem. Instytut Zarządzania Technologii Informacyjnych publikuje COBIT - Cele Kontroli dla Informacji i Technologii z nim związanych - które służą ogólnym kontrolom, środkom i procesom IT. Szerszy zakres działania COBIT ma na celu wypełnienie luki między celami biznesowymi a procesami IT.
Format
Kodeks postępowania ISO 27001, w zasadzie przewodnik audytorski, który określa kontrole, które musi spełnić organizacja, obejmuje osiem głównych sekcji na 34 stronach. Znacznie szersza metodologia COBIT obejmuje 34 cele kontroli wysokiego poziomu i 318 szczegółowych celów kontroli zgrupowanych w obszarach Planuj i organizuj, Pozyskiwanie i wdrażanie, Dostarczanie i Wspieranie oraz Monitorowanie. Wytyczne te oferują kierunek zarządzania w celu kontrolowania procesów IT w przedsiębiorstwie, ogólnych osiągnięć i celów organizacyjnych. W odróżnieniu od COBIT, ISO 27001 nie zawiera modeli dojrzałości, które starają się zapewnić ogólny obraz tego, w jaki sposób praktyki organizacji mogą zapewnić trwałe rezultaty.
Ostrość i funkcja
Koncentracja ISO 27001 na adresowaniu i audycie sprawia, że metodologia jest raczej strukturą kontroli i zarządzania niż ramą procesu. Mimo że dzieli tę strukturę z COBIT, ISO 27001 ma bardziej szczegółowy cel - bezpieczeństwo - i tym samym kieruje się do zarządzania na niższym poziomie. Metodologia COBIT jest ukierunkowana na najwyższe potrzeby przedsiębiorstwa, dążąc do poprawy ogólnej orientacji biznesowej poprzez kontrolę i dane IT. W związku z tym COBIT kieruje się na wyższe stanowiska, takie jak menedżerowie wyższego szczebla, menedżerowie IT i audytorzy.
Rozważania
ISO 27001 i COBIT nie muszą konkurować ze sobą. W rzeczywistości obie struktury uzupełniają się wzajemnie: podczas gdy ISO 27001 jest ukierunkowany na bezpieczeństwo, COBIT działa jako swego rodzaju "parasolowe" ramy, które pomagają połączyć ISO 27001 i inne struktury zarządzania IT, takie jak PMBOK i SEI CMM. Oba systemy oferują dane "co", a nie "jak", co oznacza, że identyfikują i mierzą wydajność i sugerują kierunek, ale nie oferują metod realizacji tego kierunku. Ramy takie jak ITIL, uzupełnienie COBIT i ISO 27001, odpowiadają na pytanie "jak". W świecie zarządzania IT często używa się terminu ISO 17799. Ta metodologia, znana również jako BS7799, jest prekursor ISO 27001, który zachowuje wiele ze swoich podstaw.
