Virksomheder ser på ideen om bedste praksis, defineret som procedurer, der har vist sig at producere optimale resultater, for at optimere effektivitet og overskud. Styringsrammer som ISO 27001 og COBIT fungerer som meget detaljerede disciplinstandarder, der skal håndtere risiko, lavere tab og reducere negativ reklame. Selv om både ISO 27001 og COBIT tager højde for styring inden for informationsteknologi - medvirker til at lette IT-udgifter og reducere tekniske sikkerhedsrisici - er disse fremtrædende metoder forskellige i fokus og detaljer.
Grundlæggende
Den Internationale Standardiseringsorganisation udgiver ISO 27001, som fungerer som en ramme for standardiseret informationssikkerhedsstyring og fokuserer strengt på sikkerhedsorienterede bedste praksis. Informationsteknologistyringsinstituttet offentliggør COBIT - kontrolmål for information og beslægtet teknologi - der henvender sig til overordnede it-kontroller, foranstaltninger og processer. COBITs bredere fokus har til formål at bygge bro over kløften mellem forretningsmål og it-processer.
Format
ISO 27001-kodeksen, som i det væsentlige er en revisionsvejledning, der indeholder kontroller, som en organisation skal adressere, omfatter otte hovedafsnit på tværs af 34 sider. Den meget bredere COBIT-metodologi indeholder 34 højtydende kontrolmål og 318 detaljerede kontrolmål grupperet i områderne Planlæg og Organiser, Acquire and Implement, Deliver and Support and Monitor. Disse retningslinjer giver ledelsesretning for at kontrollere virksomhedens it-processer, overordnede præstationer og organisationsmål. I modsætning til COBIT indeholder ISO 27001 ikke modenhedsmodeller, som forsøger at give et overblik over, hvordan en organisations praksis kan give bæredygtige resultater.
Fokus og funktion
ISO 27001 fokus på adressering og revision gør metoden til en kontrol- og ledelsesramme snarere end en procesramme. Selvom den deler denne struktur med COBIT, har ISO 27001 et mere specifikt mål - sikkerhed - og det giver således mulighed for lavere styring. COBIT-metoden er rettet mod virksomhedernes øverste behov, der søger at forbedre den overordnede forretningsorientering via it-kontrol og metrics. Som sådan henvender COBIT sig til high-ups som seniorledere, it-ledere og revisorer.
Overvejelser
ISO 27001 og COBIT behøver ikke konkurrere med hinanden. Faktisk supplerer de to rammer hinanden: Mens ISO 27001 er målrettet mod sikkerhed, fungerer COBIT som en slags "paraply" -ramme, der hjælper til med at forbinde ISO 27001 og andre it-governance-rammer som PMBOK og SEI CMM. Begge systemer tilbyder "hvad" i stedet for "hvordan" data, hvilket betyder at de identificerer og måler output og foreslår retning, men tilbyder ikke metoder til at forfølge retningen. Rammer som ITIL, også et supplement til COBIT og ISO 27001, svarer på spørgsmålet om "how." I IT Governance-området kommer du ofte ind i begrebet ISO 17799. Denne metode, også kendt som BS7799, er den forløber til ISO 27001, som bevarer en stor del af dets fundament.
