企业寻求最佳实践的概念,定义为经证明可产生最佳结果的程序,以优化效率和利润。 ISO 27001和COBIT等治理框架是高度详细的纪律标准,旨在管理风险,降低损失并减少负面宣传。尽管ISO 27001和COBIT都致力于信息技术领域的治理 - 帮助减轻IT支出并降低与技术相关的安全风险 - 但这些突出的方法在重点和细节方面存在差异。
基本
国际标准化组织发布了ISO 27001,作为标准化信息安全管理的框架,并严格关注面向安全的最佳实践。信息技术治理研究所发布了COBIT--信息和相关技术的控制目标 - 满足整体IT控制,措施和流程。 COBIT更广泛的关注旨在弥合业务目标和IT流程之间的差距。
格式
ISO 27001操作规范本质上是一个审核指南,规定了组织必须解决的控制问题,涵盖了34个页面中的八个主要部分。更广泛的COBIT方法包括34个高级控制目标和318个详细控制目标,分为计划和组织,获取和实施,交付和支持与监控领域。这些指南为控制业务IT流程,总体成就和组织目标提供了管理方向。与COBIT相比,ISO 27001没有成熟度模型,它试图概述组织的实践如何提供可持续的结果。
重点和功能
ISO 27001专注于解决和审计,使该方法成为控制和管理框架,而不是流程框架。虽然它与COBIT共享这种结构,但ISO 27001具有更具体的目标 - 安全性 - 因此迎合了较低级别的管理。 COBIT方法针对企业的顶级需求,旨在通过IT控制和指标改善整体业务导向。因此,COBIT迎合了高级管理人员,IT经理和审计师等高层人士。
注意事项
ISO 27001和COBIT不需要相互竞争。事实上,这两个框架相互补充:虽然ISO 27001以安全为目标,但COBIT充当了一种“伞形”框架,有助于连接ISO 27001和其他IT治理框架,如PMBOK和SEI CMM。两个系统都提供“什么”而不是“如何”数据,这意味着它们识别和测量输出并建议方向,但不提供追求所述方向的方法。像ITIL这样的框架,也是COBIT和ISO 27001的补充,回答了“如何”的问题。在IT治理的世界中,你经常遇到ISO 17799这个术语。这种方法,也称为BS7799,是ISO 27001的前身,保留了其大部分基础。