Các doanh nghiệp tìm đến ý tưởng về các thực tiễn tốt nhất, được định nghĩa là các quy trình được chứng minh để tạo ra kết quả tối ưu, để tối ưu hóa hiệu quả và lợi nhuận. Các khung quản trị như ISO 27001 và COBIT đóng vai trò là tiêu chuẩn kỷ luật rất chi tiết có nghĩa là quản lý rủi ro, giảm thua lỗ và giảm dư luận tiêu cực. Mặc dù cả ISO 27001 và COBIT đều phục vụ cho việc quản trị trong lĩnh vực công nghệ thông tin - giúp giảm chi phí CNTT và giảm rủi ro bảo mật liên quan đến công nghệ - những phương pháp nổi bật này khác nhau về trọng tâm và chi tiết.
Khái niệm cơ bản
Tổ chức Tiêu chuẩn hóa Quốc tế công bố ISO 27001, hoạt động như một khuôn khổ cho quản lý bảo mật thông tin được tiêu chuẩn hóa và tập trung nghiêm ngặt vào các thực tiễn tốt nhất theo định hướng bảo mật. Viện Quản trị Công nghệ Thông tin xuất bản COBIT - Mục tiêu Kiểm soát Thông tin và Công nghệ liên quan - phục vụ cho các biện pháp, biện pháp và quy trình CNTT tổng thể. Trọng tâm rộng hơn của COBIT nhằm thu hẹp khoảng cách giữa các mục tiêu kinh doanh và quy trình CNTT.
định dạng
Quy tắc thực hành ISO 27001, về cơ bản là một hướng dẫn kiểm toán đưa ra các kiểm soát mà một tổ chức phải giải quyết, bao gồm tám phần chính trên 34 trang. Phương pháp COBIT rộng hơn nhiều có 34 mục tiêu kiểm soát cấp cao và 318 mục tiêu kiểm soát chi tiết được nhóm vào các lĩnh vực của Kế hoạch và Tổ chức, Tiếp thu và Thực hiện, Cung cấp và Hỗ trợ và Giám sát. Những hướng dẫn này đưa ra hướng quản lý để kiểm soát các quy trình CNTT của doanh nghiệp, thành tựu chung và mục tiêu của tổ chức. Trái ngược với COBIT, ISO 27001 không có các mô hình trưởng thành, cố gắng cung cấp một cái nhìn tổng quan về cách thức thực hành của một tổ chức có thể mang lại kết quả bền vững.
Trọng tâm và chức năng
ISO 27001 tập trung vào việc giải quyết và kiểm toán làm cho phương pháp luận trở thành khung kiểm soát và quản lý hơn là khung quy trình. Mặc dù chia sẻ cấu trúc này với COBIT, ISO 27001 có một mục tiêu cụ thể hơn - bảo mật - và do đó phục vụ cho việc quản lý cấp thấp hơn. Phương pháp của COBIT nhắm vào nhu cầu cấp cao nhất của doanh nghiệp, tìm cách cải thiện định hướng kinh doanh tổng thể thông qua các biện pháp và kiểm soát CNTT. Do đó, COBIT phục vụ cho các cấp cao hơn như quản lý cấp cao, quản lý CNTT và kiểm toán viên.
Cân nhắc
ISO 27001 và COBIT không cần phải cạnh tranh với nhau. Trên thực tế, hai khung công tác bổ sung cho nhau: Trong khi ISO 27001 nhắm mục tiêu bảo mật, thì COBIT hoạt động như một khung công tác của chiếc ô dù giúp kết nối ISO 27001 và các khung quản trị CNTT khác như PMBOK và SEI CMM. Cả hai hệ thống đều cung cấp dữ liệu của người Hồi giáo thay vì dữ liệu cách thức dữ liệu, nghĩa là họ xác định và đo lường đầu ra và đề xuất hướng, nhưng không cung cấp các phương pháp để theo đuổi hướng đã nói. Các khung như ITIL, cũng là phần bổ sung cho COBIT và ISO 27001, trả lời câu hỏi về cách thức của. Cách thức trong thế giới quản trị CNTT, bạn sẽ thường sử dụng thuật ngữ ISO 17799. Phương pháp này, còn được gọi là BS7799, là tiền thân của ISO 27001, vẫn giữ được nhiều nền tảng của nó.