Tvrtke gledaju na ideju najbolje prakse, definirane kao postupci kojima se dokazuju optimalni rezultati, kako bi se optimizirala učinkovitost i dobit. Okviri upravljanja kao što su ISO 27001 i COBIT služe kao vrlo detaljni standardi discipline namijenjeni upravljanju rizicima, nižim gubicima i smanjenju negativnog publiciteta. Iako i ISO 27001 i COBIT pružaju usluge upravljanja u području informacijske tehnologije - pomažu u olakšavanju troškova IT-a i smanjuju sigurnosne rizike povezane s tehnologijom - te se istaknute metodologije razlikuju po fokusu i detaljima.
Osnove
Međunarodna organizacija za standardizaciju objavljuje ISO 27001, koji služi kao okvir za standardizirano upravljanje informacijskom sigurnošću i usredotočuje se isključivo na najbolje orijentirane sigurnosne prakse. Institut za upravljanje informacijskom tehnologijom objavljuje COBIT - Kontrolne ciljeve za informacijske i srodne tehnologije - koji se brine za sveobuhvatne IT kontrole, mjere i procese. Širi fokus tvrtke COBIT ima za cilj premostiti jaz između poslovnih ciljeva i IT procesa.
Format
ISO 27001 kodeks prakse, u suštini vodič za reviziju koji izlaže kontrole koje organizacija mora rješavati, obuhvaća osam glavnih dijelova na 34 stranice. Mnogo šira COBIT metodologija sadrži 34 kontrolna cilja visoke razine i 318 detaljnih ciljeva kontrole grupiranih u područja planiranja i organiziranja, stjecanja i implementacije, isporuke i podrške i nadzora. Ove smjernice nude smjernice upravljanja za upravljanje IT procesima u poduzećima, ukupna postignuća i organizacijske ciljeve. Za razliku od COBIT-a, ISO 27001 ne sadrži modele zrelosti, koji pokušavaju pružiti pregled kako prakse organizacije mogu pružiti održive rezultate.
Fokus i funkcija
Fokus ISO 27001 na adresiranje i reviziju čini metodologiju okvirom kontrole i upravljanja, a ne procesnim okvirom. Iako dijeli tu strukturu s COBIT-om, ISO 27001 ima specifičniji cilj - sigurnost - i time se brine za upravljanje na nižoj razini. Metodologija COBIT cilja na potrebe najviše razine poduzeća, nastojeći poboljšati ukupnu poslovnu orijentaciju putem IT kontrola i mjernih podataka. Kao takav, COBIT se brine za viša poduzeća kao što su viši menadžeri, IT menadžeri i revizori.
Razmatranja
ISO 27001 i COBIT se ne moraju međusobno natjecati. U stvari, ta se dva okvira međusobno nadopunjuju: dok je ISO 27001 usmjeren na sigurnost, COBIT djeluje kao svojevrsni “krovni” okvir koji pomaže povezati ISO 27001 i druge okvire IT upravljanja kao što su PMBOK i SEI CMM. Oba sustava nude “što” umjesto “kako” podatke, što znači da identificiraju i mjere izlaz i predlažu smjer, ali ne nude metode za ostvarivanje navedenog smjera. Okviri kao što je ITIL, koji također nadopunjuju COBIT i ISO 27001, odgovaraju na pitanje "kako." U svijetu IT upravljanja često ćete naići na pojam ISO 17799. Ova metodologija, također poznata kao BS7799, je prethodnik ISO 27001, koji zadržava veći dio svojih temelja.
