Podjetja gledajo na idejo najboljših praks, ki so opredeljene kot postopki, ki dokazano zagotavljajo optimalne rezultate, da optimizirajo učinkovitost in dobiček. Okviri upravljanja, kot sta ISO 27001 in COBIT, služijo kot zelo podrobni standardi discipline, namenjeni obvladovanju tveganj, nižjim izgubam in zmanjševanju negativne publicitete. Čeprav ISO 27001 in COBIT skrbita za upravljanje na področju informacijske tehnologije - pomagata olajšati izdatke za informacijsko tehnologijo in zmanjšata varnostna tveganja, povezana s tehnologijo - te pomembne metodologije se razlikujejo po osredotočenosti in podrobnostih.
Osnove
Mednarodna organizacija za standardizacijo objavlja ISO 27001, ki deluje kot okvir za standardizirano upravljanje informacijske varnosti in se osredotoča izključno na varnostno usmerjene najboljše prakse. Inštitut za upravljanje informacijske tehnologije objavlja COBIT - Nadzorne cilje za informacijsko in sorodno tehnologijo - ki skrbi za splošni nadzor, ukrepe in postopke IT. Namen COBIT-ovega širšega cilja je premostiti vrzel med poslovnimi cilji in IT-procesi.
Oblika
Kodeks ravnanja ISO 27001, v bistvu revizijski priročnik, ki določa nadzor, ki ga mora organizacija obravnavati, zajema osem glavnih delov na 34 straneh. Precej širša metodologija COBIT vsebuje 34 visokih kontrolnih ciljev in 318 podrobnih kontrolnih ciljev, združenih na področjih načrtovanja in organiziranja, pridobivanja in izvajanja, dostave in podpore ter nadzora. Te smernice ponujajo vodstvene smernice za nadzor procesov IT v podjetjih, splošne dosežke in organizacijske cilje. Za razliko od COBIT-a, ISO 27001 ne vsebuje modelov zrelosti, ki poskušajo zagotoviti pregled nad tem, kako lahko prakse organizacije zagotovijo trajnostne rezultate.
Fokus in funkcija
Osredotočenost ISO 27001 na obravnavo in revizijo je metodologija bolj okvir za nadzor in upravljanje, kot pa procesni okvir. Čeprav ima ta struktura s COBITom, ima ISO 27001 bolj specifičen cilj - varnost - in tako skrbi za upravljanje na nižji ravni. Metodologija COBIT se osredotoča na najvišje potrebe podjetja, saj poskuša izboljšati splošno poslovno usmerjenost z uporabo IT kontrol in meritev. Kot tak, COBIT skrbi za višje kategorije, kot so višji menedžerji, IT menedžerji in revizorji.
Premisleki
ISO 27001 in COBIT med seboj nista konkurenčna. Pravzaprav se oba okvira dopolnjujeta: medtem ko je ISO 27001 namenjen varnosti, COBIT deluje kot nekakšen „krovni“ okvir, ki pomaga povezati ISO 27001 in druge okvire upravljanja IT, kot sta PMBOK in SEI CMM. Oba sistema ponujajo „kaj“ in ne „kako“ podatke, kar pomeni, da identificirajo in merijo rezultate in predlagajo smer, vendar ne ponujajo metod za sledenje omenjeni smeri. Okviri, kot je ITIL, ki dopolnjujejo tudi COBIT in ISO 27001, odgovarjajo na vprašanje »kako«. V svetu upravljanja IT boste pogosto naleteli na izraz ISO 17799. Ta metodologija, znana tudi kot BS7799, je predhodnik ISO 27001, ki ohranja velik del svojih temeljev.
