A vállalatok a legjobb gyakorlatok elképzeléseit vizsgálják, amelyeket úgy határoztak meg, mint az optimális eredményeket bizonyító eljárások, a hatékonyság és a nyereség optimalizálása érdekében. Az olyan irányítási keretrendszerek, mint az ISO 27001 és a COBIT, a kockázatok kezelésére szolgáló szigorú fegyelmezési szabványok, alacsonyabb veszteségek és a negatív nyilvánosság csökkentése. Bár mind az ISO 27001, mind a COBIT az informatika területén irányítja a kormányzást, ezáltal segítve az informatikai kiadások enyhítését és a technikával kapcsolatos biztonsági kockázatok csökkentését - ezek a kiemelkedő módszerek fókuszban és részletekben különböznek.
alapjai
A Nemzetközi Szabványügyi Szervezet kiadja az ISO 27001 szabványt, amely keretként szolgál a szabványosított információbiztonsági menedzsmenthez, és szigorúan a biztonságorientált legjobb gyakorlatokra összpontosít. Az Informatikai Irányítási Intézet kiadja a COBIT - az információs és kapcsolódó technológiák ellenőrzési célkitűzéseit -, amelyek megfelelnek az általános informatikai ellenőrzéseknek, intézkedéseknek és folyamatoknak. A COBIT szélesebb körű célja az üzleti célok és az informatikai folyamatok közötti szakadék áthidalása.
Formátum
Az ISO 27001-es magatartási kódex lényegében egy olyan ellenőrzési útmutató, amely meghatározza a szervezet által kezelendő ellenőrzéseket, és 34 főoldalon nyolc fő szakaszt tartalmaz. A sokkal szélesebb körű COBIT-módszertan 34 magas szintű ellenőrzési célt és 318 részletes ellenőrzési célt foglal magában, amelyek a terv és a szervezés, a beszerzés és megvalósítás, a szállítás és támogatás és a monitorozás területére csoportosulnak. Ezek az iránymutatások a vállalati informatikai folyamatok, az általános teljesítmény és a szervezeti célok irányításának irányítási irányát szolgálják. A COBIT-szel ellentétben az ISO 27001 nem rendelkezik érettségi modellekkel, amelyek megpróbálnak áttekintést adni arról, hogy egy szervezet gyakorlata hogyan képes fenntartható eredményeket elérni.
Fókusz és funkció
Az ISO 27001-nek a címzésre és a könyvvizsgálatra összpontosítva a módszertan inkább irányítási és irányítási keretrendszer, mint folyamat keret. Bár ez a struktúra megosztja a COBIT-ot, az ISO 27001-nek van egy konkrétabb célja a biztonság - és így az alacsonyabb szintű menedzsmentre is alkalmas. A COBIT módszertan egy vállalkozás legfelső szintű igényeit célozza meg, amelynek célja az üzleti irányultság javítása az informatikai irányítások és mérőszámok segítségével. Mint ilyen, a COBIT a magasabb rangú, mint például a felsővezetők, az informatikai vezetők és a könyvvizsgálók rendelkezésére áll.
szempontok
Az ISO 27001 és a COBIT-nek nem kell egymással versenyeznie. Valójában a két keretrendszer kiegészíti egymást: Míg az ISO 27001 a biztonságot célozza meg, a COBIT egyfajta „esernyő” keretrendszerként működik, amely segíti az ISO 27001 és más informatikai irányítási keretek, például a PMBOK és a SEI CMM összekapcsolását. Mindkét rendszer „mi”, nem pedig „hogyan” adatokat kínál, ami azt jelenti, hogy azonosítják és mérik a kimenetet és az irányt, de nem kínálnak módszereket az említett irány elérésére. Az ITIL, mint a COBIT és az ISO 27001 kiegészítéseként a keretrendszerek válaszolnak a „hogyan” kérdésre. Az informatikai irányítás világában gyakran az ISO 17799 kifejezésre kerül. Ez a módszer, más néven BS7799, a az ISO 27001 előfutára, amely megőrzi alapjait.
