Uzņēmumi meklē ideju par labāko praksi, kas definēta kā procedūras, kas pierādījušas optimālus rezultātus, lai optimizētu efektivitāti un peļņu. Tādas pārvaldības sistēmas kā ISO 27001 un COBIT kalpo kā ļoti sīki izstrādāti disciplīnas standarti, kas paredzēti, lai pārvaldītu risku, samazinātu zaudējumus un samazinātu negatīvo publicitāti. Lai gan gan ISO 27001, gan COBIT nodrošina informācijas tehnoloģiju pārvaldību - palīdzot atvieglot IT izdevumus un mazināt ar tehnoloģijām saistītus drošības riskus - šīs svarīgās metodes atšķiras fokusā un detaļās.
Pamati
Starptautiskā standartizācijas organizācija publicē ISO 27001, kas darbojas kā pamats standartizētai informācijas drošības pārvaldībai un koncentrējas tikai uz uz drošību vērstām paraugpraksēm. Informācijas tehnoloģiju pārvaldības institūts publicē COBIT - informācijas un ar to saistīto tehnoloģiju kontroles mērķus, kas atbilst vispārējām IT kontrolēm, pasākumiem un procesiem. COBIT plašāka uzmanība ir vērsta uz to, lai pārvarētu plaisu starp biznesa mērķiem un IT procesiem.
Formāts
ISO 27001 prakses kodekss, būtībā revīzijas ceļvedis, kurā izklāstītas kontroles, kuras organizācijai jārisina, aptver astoņas galvenās sadaļas 34 lapās. Plašākā COBIT metodika ietver 34 augsta līmeņa kontroles mērķus un 318 detalizētus kontroles mērķus, kas sagrupēti plānošanas un organizēšanas, iegūšanas un ieviešanas, piegādes un atbalsta un uzraudzības jomās. Šīs vadlīnijas piedāvā vadības virzienu, lai kontrolētu uzņēmumu IT procesus, vispārējos sasniegumus un organizatoriskos mērķus. Atšķirībā no COBIT, ISO 27001 neietver brieduma modeļus, kas cenšas sniegt pārskatu par to, kā organizācijas prakse var nodrošināt ilgtspējīgus rezultātus.
Fokuss un funkcija
ISO 27001 uzmanība pievērsta pievēršanai un revīzijai padara metodiku par kontroles un vadības sistēmu, nevis procesu sistēmu. Lai gan tā kopīgi izmanto šo struktūru ar COBIT, ISO 27001 ir specifiskāka mērķa - drošība - un tādējādi nodrošina zemāka līmeņa pārvaldību. COBIT metodoloģija ir vērsta uz uzņēmuma augstākā līmeņa vajadzībām, cenšoties uzlabot vispārējo uzņēmējdarbības orientāciju, izmantojot IT kontroles un rādītājus. Kā tāds, COBIT piedāvā augstākos, piemēram, augstākā līmeņa vadītājus, IT vadītājus un revidentus.
Apsvērumi
ISO 27001 un COBIT nevajag savstarpēji konkurēt. Faktiski abas sistēmas papildina viena otru: lai gan ISO 27001 mērķis ir drošība, COBIT darbojas kā sava veida „jumta” sistēma, kas palīdz savienot ISO 27001 un citas IT pārvaldības sistēmas, piemēram, PMBOK un SEI CMM. Abas sistēmas piedāvā „kas”, nevis “kā” datus, kas nozīmē, ka tās identificē un mēra produkciju un iesaka virzienu, bet nepiedāvā metodes, kā īstenot minēto virzienu. Tādas sistēmas kā ITIL, kas arī papildina COBIT un ISO 27001, atbild uz jautājumu par to, kā. IT pārvaldības pasaulē pasaulē bieži sastopaties ar terminu ISO 17799. Šī metodika, kas pazīstama arī kā BS7799, ir ISO 27001 priekštecis, kas saglabā savu pamatu.
