Podniky sa pozerajú na myšlienku osvedčených postupov definovaných ako postupy, ktoré dokázali, že prinášajú optimálne výsledky, s cieľom optimalizovať efektívnosť a zisk. Riadiace systémy ako ISO 27001 a COBIT slúžia ako veľmi podrobné štandardy disciplíny zamerané na riadenie rizík, nižšie straty a zníženie negatívnej publicity. Aj keď sa ISO 27001 a COBIT starajú o riadenie v oblasti informačných technológií - pomáhajú zmierňovať výdavky na IT a znižujú bezpečnostné riziká súvisiace s technológiami - tieto dôležité metódy sa líšia zameraním a detailmi.
základy
Medzinárodná organizácia pre normalizáciu zverejňuje normu ISO 27001, ktorá slúži ako rámec pre štandardizované riadenie informačnej bezpečnosti a zameriava sa striktne na osvedčené postupy orientované na bezpečnosť. Inštitút riadenia informačnej technológie publikuje ciele COBIT - Control for Information and Related Technology - ktoré sa zaoberajú celkovými kontrolami IT, opatreniami a procesmi. Cieľom širšieho zamerania COBIT je preklenúť priepasť medzi podnikateľskými cieľmi a procesmi IT.
formát
Kódex postupov ISO 27001, ktorý je v zásade audítorskou príručkou, ktorá stanovuje kontroly, ktoré musí organizácia riešiť, zahŕňa osem hlavných častí na 34 stranách. Oveľa širšia metodika COBIT obsahuje 34 kontrolných cieľov na vysokej úrovni a 318 podrobných kontrolných cieľov zoskupených do oblastí plánovania a organizácie, získavania a implementácie, poskytovania a podpory a monitorovania. Tieto usmernenia ponúkajú smer riadenia pre riadenie podnikových IT procesov, celkové úspechy a organizačné ciele. Na rozdiel od COBIT, norma ISO 27001 neobsahuje modely zrelosti, ktoré sa snažia poskytnúť prehľad o tom, ako môžu postupy organizácie poskytovať trvalo udržateľné výsledky.
Zameranie a funkcia
Zameranie ISO 27001 na riešenie a audit robí metodiku skôr kontrolným a riadiacim rámcom ako procesným rámcom. Hoci zdieľa túto štruktúru s COBIT, ISO 27001 má špecifickejší cieľ - bezpečnosť - a preto sa stará o nižšie riadenie. Metodika COBIT je zameraná na potreby najvyššej úrovne podniku, ktoré sa snažia o zlepšenie celkovej obchodnej orientácie prostredníctvom IT kontrol a metrík. Ako taký, COBIT sa stará o vyššie úrovne, ako sú vyšší manažéri, IT manažéri a audítori.
dôležité informácie
ISO 27001 a COBIT nemusia navzájom konkurovať. V skutočnosti sa obidva rámce navzájom dopĺňajú: Kým ISO 27001 sa zameriava na bezpečnosť, COBIT pôsobí ako akýsi "zastrešujúci" rámec, ktorý pomáha prepojiť ISO 27001 a iné rámce riadenia IT, ako napríklad PMBOK a SEI CMM. Oba systémy ponúkajú údaje "skôr" ako "ako", čo znamená, že identifikujú a merajú výstup a navrhujú smer, ale neponúkajú metódy na sledovanie uvedeného smeru. Rámec ako ITIL, ktorý je tiež doplnkom COBIT a ISO 27001, odpovedá na otázku "ako." Vo svete správy IT sa často spúšťa termín ISO 17799. Táto metodika, známa aj ako BS7799, je prekurzor ISO 27001, ktorý si zachováva veľa základov.
