Οι επιχειρήσεις αναζητούν την ιδέα των βέλτιστων πρακτικών, οι οποίες ορίζονται ως διαδικασίες που αποδείχθηκαν βέλτιστα αποτελέσματα, για τη βελτιστοποίηση της αποδοτικότητας και του κέρδους. Τα πλαίσια διακυβέρνησης όπως το ISO 27001 και το COBIT χρησιμεύουν ως εξαιρετικά λεπτομερή πρότυπα πειθαρχίας για τη διαχείριση του κινδύνου, τη μείωση των ζημιών και τη μείωση της αρνητικής δημοσιότητας. Παρόλο που τόσο το ISO 27001 όσο και το COBIT ανταποκρίνονται στη διακυβέρνηση στον τομέα της τεχνολογίας των πληροφοριών - βοηθώντας τις δαπάνες στις τεχνολογίες πληροφορικής και περιορίζοντας τους κινδύνους ασφάλειας που σχετίζονται με την τεχνολογία - αυτές οι σημαντικές μεθοδολογίες διαφέρουν ως προς την εστίαση και τις λεπτομέρειες.
Βασικά
Ο Διεθνής Οργανισμός Τυποποίησης εκδίδει το ISO 27001, το οποίο λειτουργεί ως πλαίσιο για την τυποποιημένη διαχείριση της ασφάλειας των πληροφοριών και επικεντρώνεται αποκλειστικά στις βέλτιστες πρακτικές που βασίζονται στην ασφάλεια. Το Ινστιτούτο Διακυβέρνησης της Πληροφορικής δημοσιεύει τους στόχους ελέγχου COBIT για την πληροφορική και τη σχετική τεχνολογία - το οποίο καλύπτει τους γενικούς ελέγχους, μέτρα και διαδικασίες IT. Η ευρύτερη εστίαση της COBIT στοχεύει στη γεφύρωση του χάσματος μεταξύ επιχειρηματικών στόχων και διαδικασιών ΤΠ.
Μορφή
Ο κώδικας πρακτικής ISO 27001, ουσιαστικά ένας οδηγός ελέγχου που καθορίζει τους ελέγχους που πρέπει να αντιμετωπίσει ένας οργανισμός, περιλαμβάνει οκτώ σημαντικά τμήματα σε 34 σελίδες. Η πολύ ευρύτερη μεθοδολογία του COBIT περιλαμβάνει 34 στόχους ελέγχου υψηλού επιπέδου και 318 λεπτομερείς στόχους ελέγχου που ομαδοποιούνται στους τομείς του Σχεδίου και της Οργάνωσης, της Απόκτησης και της Εφαρμογής, της Παράδοσης και της Υποστήριξης και της Παρακολούθησης. Αυτές οι οδηγίες προσφέρουν διεύθυνση διαχείρισης για τον έλεγχο των διαδικασιών πληροφορικής των επιχειρήσεων, των γενικών επιτευγμάτων και των οργανωτικών στόχων. Σε αντίθεση με το COBIT, το ISO 27001 δεν περιλαμβάνει μοντέλα ωριμότητας, τα οποία επιχειρούν να δώσουν μια γενική εικόνα του τρόπου με τον οποίο οι πρακτικές ενός οργανισμού μπορούν να προσφέρουν βιώσιμα αποτελέσματα.
Εστίαση και λειτουργία
Η εστίαση του ISO 27001 στην αντιμετώπιση και τον έλεγχο καθιστά τη μεθοδολογία ένα πλαίσιο ελέγχου και διαχείρισης παρά ένα πλαίσιο διαδικασίας. Αν και μοιράζεται αυτή τη δομή με το COBIT, το ISO 27001 έχει πιο συγκεκριμένο στόχο - ασφάλεια - και επομένως εξυπηρετεί τη διαχείριση χαμηλότερου επιπέδου. Η μεθοδολογία COBIT στοχεύει στις ανάγκες ανώτερου επιπέδου μιας επιχείρησης, επιδιώκοντας να βελτιώσει τον γενικό επιχειρησιακό προσανατολισμό μέσω ελέγχων και μετρήσεων πληροφορικής. Ως εκ τούτου, η COBIT εξυπηρετεί ανώτερα στελέχη όπως ανώτερα διευθυντικά στελέχη, διαχειριστές πληροφορικής και ελεγκτές.
Σκέψεις
Τα ISO 27001 και COBIT δεν χρειάζεται να ανταγωνίζονται μεταξύ τους. Στην πραγματικότητα, τα δύο πλαίσια αλληλοσυμπληρώνονται: ενώ το ISO 27001 στοχεύει στην ασφάλεια, το COBIT λειτουργεί ως ένα πλαίσιο "ομπρέλα" που βοηθάει στη σύνδεση του ISO 27001 και άλλων πλαισίων διακυβέρνησης της πληροφορικής όπως PMBOK και SEI CMM. Και τα δύο συστήματα προσφέρουν δεδομένα "τι" και όχι "πώς", που σημαίνει ότι εντοπίζουν και μετρούν την παραγωγή και προτείνουν κατεύθυνση, αλλά δεν προσφέρουν μεθόδους για την επίτευξη της εν λόγω κατεύθυνσης. Πλαίσια όπως το ITIL, που συμπληρώνουν επίσης τα COBIT και ISO 27001, απαντούν στο ερώτημα «πώς». Στον κόσμο της διακυβέρνησης της πληροφορικής, συχνά θα συναντήσετε τον όρο ISO 17799. Αυτή η μεθοδολογία, επίσης γνωστή ως BS7799, είναι η πρόδρομο του ISO 27001, το οποίο διατηρεί μεγάλο μέρος των θεμελίων του.
