ISO 27001 Vs. COBIT

Cuprins:

Anonim

Întreprinderile caută ideea celor mai bune practici, definite ca proceduri dovedite a produce rezultate optime, pentru a optimiza eficiența și profitul. Cadrele de guvernare, cum ar fi ISO 27001 și COBIT, servesc drept standarde foarte detaliate de disciplină menite să gestioneze riscul, să reducă pierderile și să reducă publicitatea negativă. Cu toate că atât ISO 27001, cât și COBIT se ocupă de guvernare în domeniul tehnologiei informației - ajutând la ușurarea cheltuielilor IT și reducerea riscurilor de securitate legate de tehnologie - aceste metodologii proeminente diferă în ceea ce privește focalizarea și detaliile.

Elementele de bază

Organizația Internațională pentru Standardizare publică ISO 27001, care acționează ca un cadru pentru managementul standardizat al securității informațiilor și se concentrează strict pe cele mai bune practici orientate spre securitate. Institutul de guvernare a tehnologiei informației publică obiectivele COBIT - Control pentru informații și tehnologia aferentă - care se ocupă de controalele, măsurile și procesele globale IT. COBIT se concentrează mai mult pe obiectivul de a reduce decalajul dintre obiectivele de afaceri și procesele IT.

Format

Codul de practici ISO 27001, în esență un ghid de audit care stabilește controalele pe care o organizație trebuie să le abordeze, cuprinde opt secțiuni majore din 34 de pagini. Metoda mult mai largă a COBIT cuprinde 34 de obiective de control la nivel înalt și 318 obiective de control detaliate grupate în zonele de planificare și organizare, achiziționare și implementare, livrare și susținere și monitorizare. Aceste linii directoare oferă direcții de management pentru controlul proceselor IT ale întreprinderilor, realizării generale și obiectivelor organizaționale. Spre deosebire de COBIT, ISO 27001 nu prezintă modele de maturitate, care încearcă să ofere o imagine de ansamblu a modului în care practicile unei organizații pot oferi rezultate durabile.

Focus și funcția

Concentrarea ISO 27001 asupra adresării și auditării face metodologia un cadru de control și management mai degrabă decât un cadru de proces. Deși împărtășește această structură cu COBIT, ISO 27001 are un obiectiv specific mai specific - securitate și, prin urmare, se ocupă de gestionarea la nivel inferior. Metodologia COBIT vizează nevoile de vârf ale unei întreprinderi, încercând să îmbunătățească orientarea generală a afacerii prin intermediul controalelor și măsurătorilor IT. Ca atare, COBIT se adresează unor persoane mai înalte, cum ar fi senior manageri, manageri IT și auditori.

consideraţii

ISO 27001 și COBIT nu trebuie să concureze între ele. De fapt, cele două cadre se completează reciproc: în timp ce ISO 27001 vizează securitatea, COBIT acționează ca un fel de "umbrelă", care ajută la conectarea ISO 27001 și a altor cadre de guvernanță IT cum ar fi PMBOK și SEI CMM. Ambele sisteme oferă date "ce", mai degrabă decât "cum", ceea ce înseamnă că acestea identifică și măsoară producția și sugerează direcția, dar nu oferă metode de urmărire a direcției respective. Cadre precum ITIL, de asemenea, o completare la COBIT și ISO 27001, răspund la întrebarea "cum". În lumea guvernării IT, veți adera adesea la termenul ISO 17799. Această metodologie, cunoscută și sub denumirea BS7799, este precursor al ISO 27001, care își păstrează o mare parte din fundație.