Предприятия обращаются к идее наилучшей практики, определяемой как процедуры, доказавшие свою эффективность и позволяющие оптимизировать эффективность и прибыль. Структуры управления, такие как ISO 27001 и COBIT, служат очень подробными стандартами дисциплины, предназначенными для управления рисками, снижения потерь и снижения негативной огласки. Хотя и ISO 27001, и COBIT ориентированы на управление в области информационных технологий, помогая снизить расходы на ИТ и снизить риски безопасности, связанные с технологиями, эти выдающиеся методологии отличаются по своей направленности и деталям.
основы
Международная организация по стандартизации публикует стандарт ISO 27001, который выступает в качестве основы для стандартизированного управления информационной безопасностью и ориентирован исключительно на лучшие практики, ориентированные на безопасность. Институт управления информационными технологиями публикует COBIT - Цели управления для информационных и смежных технологий - которые предназначены для общего контроля, мер и процессов в сфере ИТ. Целью COBIT является преодоление разрыва между бизнес-целями и ИТ-процессами.
Формат
Свод практических правил ISO 27001, по сути, руководство по аудиту, в котором изложены меры контроля, которые должна выполнять организация, охватывает восемь основных разделов на 34 страницах. Гораздо более широкая методология COBIT включает в себя 34 высокоуровневых контрольных цели и 318 детализированных контрольных целей, сгруппированных в области планирования и организации, приобретения и реализации, доставки, поддержки и мониторинга. Эти руководящие принципы предлагают руководство для управления ИТ-процессами предприятия, общими достижениями и целями организации. В отличие от COBIT, ISO 27001 не содержит моделей зрелости, которые пытаются дать обзор того, как практика организации может обеспечить устойчивые результаты.
Фокус и функция
Ориентация ISO 27001 на адресацию и аудит делает методологию структурой контроля и управления, а не структурой процесса. Хотя ISO 27001 разделяет эту структуру с COBIT, она имеет более конкретную цель - безопасность - и, таким образом, ориентирована на управление более низкого уровня. Методология COBIT направлена на удовлетворение потребностей предприятия на высшем уровне, стремясь улучшить общую ориентацию бизнеса с помощью средств управления и показателей ИТ. Таким образом, COBIT обслуживает руководителей высшего звена, таких как старшие менеджеры, ИТ-менеджеры и аудиторы.
Соображения
ISO 27001 и COBIT не должны конкурировать друг с другом. Фактически, эти две платформы дополняют друг друга: хотя ISO 27001 нацелен на безопасность, COBIT действует как своего рода «зонтичная» структура, которая помогает соединить ISO 27001 и другие структуры управления ИТ, такие как PMBOK и SEI CMM. Обе системы предлагают данные «что», а не «как», что означает, что они идентифицируют и измеряют выходные данные и предлагают направление, но не предлагают методов для достижения указанного направления. Такие фреймворки, как ITIL, также являющиеся дополнением к COBIT и ISO 27001, отвечают на вопрос «как». В мире управления ИТ вы часто сталкиваетесь с термином ISO 17799. Эта методология, также известная как BS7799, является предшественник ISO 27001, который сохраняет большую часть своего основания.