Tumitingin ang mga negosyo sa ideya ng mga pinakamahusay na gawi, na tinukoy bilang mga pamamaraan na napatunayang gumawa ng pinakamainam na resulta, upang ma-optimize ang kahusayan at kita. Ang mga framework ng pamamahala tulad ng ISO 27001 at COBIT ay nagsisilbing mataas na detalyadong mga pamantayan ng disiplinang sinadya upang pamahalaan ang panganib, mas mababa ang pagkawala at mabawasan ang negatibong publisidad. Kahit na ang parehong ISO 27001 at COBIT ay nagsilbi sa pamamahala sa lugar ng teknolohiya ng impormasyon - na tumutulong sa kadalian sa paggasta ng IT at bawasan ang mga panganib sa seguridad na may kaugnayan sa tech - naiiba ang mga kilalang pamamaraan na ito sa focus at mga detalye.
Mga Pangunahing Kaalaman
Ang International Organization for Standardization ay naglathala ng ISO 27001, na nagsisilbing isang balangkas para sa pamantayan ng pamamahala ng seguridad ng impormasyon at mahigpit na nakatuon sa mga pinakamahuhusay na gawi sa seguridad. Inilalathala ng Information Technology Governance Institute ang COBIT - Mga Layunin sa Pagkontrol para sa Impormasyon at mga kaugnay na Teknolohiya - na nagbibigay ng pangkalahatang kontrol sa IT, mga panukala at mga proseso. Nilalayon ng mas malawak na pagtutok ng COBIT na tulungan ang puwang sa pagitan ng mga layunin sa negosyo at mga proseso ng IT.
Format
Ang ISO 27001 code ng pagsasanay, mahalagang isang gabay sa pag-awdit na nagpapalabas ng mga kontrol na dapat na tugunan ng isang organisasyon, ay sumasaklaw sa walong pangunahing seksyon sa kabuuan ng 34 na pahina. Ang mas malawak na pamamaraan ng COBIT ay nagtatampok ng 34 mga layunin sa kontrol sa mataas na antas at 318 detalyadong mga layunin sa kontrol na nakapangkat sa mga lugar ng Plan at Isaayos, Nakuha at Nagpapatupad, Naghatid at Sumusuporta at Sinusubaybayan. Ang mga alituntuning ito ay nag-aalok ng direksyon sa pamamahala para sa pagkontrol sa mga negosyo ng mga proseso ng IT, pangkalahatang tagumpay at mga layunin sa organisasyon. Sa kaibahan sa COBIT, ang ISO 27001 ay hindi nagtatampok ng mga modelo ng kapanahunan, na nagtatangkang magbigay ng isang pangkalahatang-ideya kung paano maaaring magbigay ang mga kasanayan ng organisasyon ng mga napapanatiling resulta.
Focus at Function
Ang pagtutuunan ng ISO 27001 sa pagtugon at pag-awdit ay gumagawa ng pamamaraan ng pagkontrol at pamamahala ng balangkas sa halip na isang balangkas ng proseso. Kahit na namamahagi ito ng istraktura na ito sa COBIT, ang ISO 27001 ay may mas tiyak na target - seguridad - at sa gayon ay nagbibigay ng serbisyo sa mas mababang antas ng pamamahala. Ang pamamaraan ng COBIT ay tumutukoy sa mga pangangailangan sa itaas na antas ng isang enterprise, na naghahanap upang mapabuti ang pangkalahatang orientation ng negosyo sa pamamagitan ng mga kontrol at sukatan ng IT. Dahil dito, ang COBIT ay nagtatrabaho sa mga mas mataas na up-up tulad ng mga senior manager, IT manager at mga auditor.
Mga pagsasaalang-alang
Ang ISO 27001 at COBIT ay hindi kailangang makipagkumpetensya sa bawat isa. Sa katunayan, ang dalawang balangkas ay nagtutulungan sa isa't isa: Habang tumututok ang ISO 27001 sa seguridad, ang COBIT ay gumaganap bilang isang uri ng balangkas na "payong" na tumutulong sa pagkonekta ng ISO 27001 at iba pang mga framework ng pamamahala ng IT tulad ng PMBOK at SEI CMM. Ang parehong mga sistema ay nag-aalok ng "kung ano" sa halip na "kung paano" ang data, ibig sabihin na nakilala at sinukat nila ang output at nagmumungkahi ng direksyon, ngunit hindi nag-aalok ng mga pamamaraan para sa pagsunod ng sinabi ng direksyon. Ang mga balangkas na tulad ng ITIL, isang komplemento din sa COBIT at ISO 27001, ay sumasagot sa tanong ng "paano." Sa mundo ng pamamahala ng IT, kadalasang tatakbo ka sa terminong ISO 17799. Ang pamamaraan na ito, na kilala rin bilang BS7799, ay ang tagapagpauna sa ISO 27001, na nagpapanatili ng maraming pundasyon nito.