Podniky hledají myšlenku osvědčených postupů, které jsou definovány jako postupy, které dokládají optimální výsledky, optimalizovat efektivitu a zisky. Rámec správy, jako jsou ISO 27001 a COBIT, slouží jako velmi podrobné standardy disciplíny, které se řídí rizikem, nižšími ztrátami a snižují negativní publicitu. Přestože se ISO 27001 a COBIT zabývají řízením v oblasti informačních technologií - pomáhají snižovat výdaje na IT a snižovat bezpečnostní rizika související s technikou - tyto významné metodiky se liší zaměřením a detaily.
Základy
Mezinárodní organizace pro normalizaci vydává normu ISO 27001, která funguje jako rámec pro standardizované řízení informační bezpečnosti a zaměřuje se výhradně na osvědčené postupy orientované na bezpečnost. Ústav řízení informačních technologií zveřejňuje cíle COBIT pro řízení informačních a souvisejících technologií, které zajišťují celkovou kontrolu IT, opatření a procesy. Cílem širšího zaměření společnosti COBIT je překlenout propast mezi podnikatelskými cíli a procesy IT.
Formát
Kodex ISO 27001, který je v zásadě auditorskou příručkou, v níž jsou uvedeny kontroly, kterými se organizace musí zabývat, zahrnuje osm hlavních částí na 34 stránkách. Mnohem širší metodologie COBIT obsahuje 34 cílů kontroly na vysoké úrovni a 318 podrobných kontrolních cílů seskupených do oblastí plánování a organizace, získávání a provádění, poskytování a podpora a sledování. Tyto pokyny nabízejí řídící řízení pro řízení IT procesů, celkových úspěchů a organizačních cílů. Na rozdíl od COBIT, norma ISO 27001 neobsahuje modely zralosti, které se snaží poskytnout přehled o tom, jak mohou organizace pracovat s udržitelnými výsledky.
Zaměření a funkce
Zaměření ISO 27001 na adresování a audit je metodologií spíše kontrolním a řídícím rámcem, než procesním rámcem. Přestože sdílí tuto strukturu s COBIT, ISO 27001 má specifičtější cíl - bezpečnost - a zajišťuje tak správu nižší úrovně. Metodika COBIT je zaměřena na potřeby nejvyšší úrovně podniku a snaží se zlepšit celkovou obchodní orientaci prostřednictvím kontrol a metrik IT. Jako takový, COBIT se stará o vyšší firmy, jako jsou vedoucí pracovníci, IT manažeré a auditoři.
Úvahy
ISO 27001 a COBIT nemusí konkurovat. Ve skutečnosti se oba rámce navzájem doplňují: ačkoli ISO 27001 se zaměřuje na bezpečnost, COBIT působí jako jakýsi "zastřešující" rámec, který pomáhá spojit ISO 27001 a další rámce IT správy, jako jsou PMBOK a SEI CMM. Oba systémy nabízejí data "co" spíše než "jak", což znamená, že identifikují a měří výstup a navrhují směr, ale nenabízejí metody pro sledování tohoto směru. Rámečky, jako je ITIL, také doplněk k COBIT a ISO 27001, odpovídají na otázku "jak." Ve světě řízení IT se často spouští termín ISO 17799. Tato metodika, známá také jako BS7799, je předchůdce ISO 27001, který si zachovává většinu svých základů.
