İşletmeler, verimliliği ve karı optimize etmek için en iyi sonuçları ürettiği kanıtlanmış prosedürler olarak tanımlanan en iyi uygulamalar fikrine bakarlar. ISO 27001 ve COBIT gibi yönetişim çerçeveleri, riski yönetmek, kayıpları azaltmak ve olumsuz tanıtımları azaltmak için oldukça ayrıntılı bir disiplin standardıdır. Her ne kadar ISO 27001 ve COBIT, bilgi teknolojisi alanında yönetişime hitap etse de - BT harcamalarını kolaylaştırmaya ve teknoloji ile ilgili güvenlik risklerini azaltmaya yardımcı - bu önemli metodolojiler odak ve ayrıntılarda farklılık gösteriyor.
temeller
Uluslararası Standardizasyon Örgütü, standartlaştırılmış bilgi güvenliği yönetimi için bir çerçeve görevi gören ve kesinlikle güvenlik odaklı en iyi uygulamalara odaklanan ISO 27001'i yayınlar. Bilgi Teknolojileri Yönetişim Enstitüsü, genel BT kontrollerini, önlemlerini ve süreçlerini sağlayan COBIT - Bilgi ve İlgili Teknoloji Kontrol Amaçlarını yayınlar. COBIT'in geniş odağı, iş hedefleri ve BT süreçleri arasındaki boşluğu kapatmayı hedefliyor.
Biçim
Bir kuruluşun ele alması gereken kontrolleri düzenleyen bir denetim rehberi olan ISO 27001 uygulama kodu, 34 sayfada sekiz ana bölümü içermektedir. Daha geniş kapsamlı COBIT metodolojisi, Planla ve Organize Et, Satın Al ve Uygula, Teslim Et ve Destekle ve İzleme alanlarına ayrılmış 34 üst düzey kontrol hedefine ve 318 ayrıntılı kontrol hedefine sahiptir. Bu kurallar, işletmelerin BT süreçlerini, genel başarıları ve organizasyonel hedefleri kontrol etmek için yönetim yönü sunar. COBIT’in aksine, ISO 27001, bir kuruluşun uygulamalarının sürdürülebilir sonuçlar sağlayabileceğine dair genel bir bakış açısı sunmaya çalışan olgunluk modellerine sahip değildir.
Odak ve İşlev
ISO 27001'in ele alma ve denetleme odağı, metodolojiyi süreç çerçevesi yerine kontrol ve yönetim çerçevesi haline getirir. Bu yapıyı COBIT ile paylaşmasına rağmen, ISO 27001'in daha spesifik bir hedefi var - güvenliği - ve bu nedenle daha düşük seviyeli yönetimi sağlıyor. COBIT metodolojisi, BT kontrolleri ve ölçümleri aracılığıyla genel iş yönelimini iyileştirmek isteyen bir işletmenin en üst düzey ihtiyaçlarını hedefler. Bu nedenle, COBIT kıdemli yöneticiler, BT yöneticileri ve denetçiler gibi üst düzey yöneticilere hitap etmektedir.
hususlar
ISO 27001 ve COBIT’in birbirleriyle rekabet etmesi gerekmez. Aslında, iki çerçeve birbirini tamamlıyor: ISO 27001, güvenliği hedeflerken, COBIT, ISO 27001 ile PMBOK ve SEI CMM gibi diğer BT yönetim çerçevelerini birbirine bağlamaya yardımcı olan bir tür “şemsiye” çerçevesi gibi davranıyor. Her iki sistem de “nasıl” veri yerine “neyi” sunar, bu da çıktıyı tanımlayıp ölçtüğü ve yön önerdiği anlamına gelir; Aynı zamanda COBIT ve ISO 27001'in bir tamamlayıcısı olan ITIL gibi çerçeveler “nasıl” sorusuna cevap veriyor. IT yönetişimi dünyasında, genellikle ISO 17799 terimiyle karşılaşacaksınız. BS7799 olarak da bilinen bu metodoloji kuruluşunun çoğunu elinde tutan ISO 27001'in habercisi.
