Bedrijven kijken naar het idee van beste praktijken, gedefinieerd als procedures waarvan bewezen is dat ze optimale resultaten opleveren, om efficiëntie en winst te optimaliseren. Governancekaders zoals ISO 27001 en COBIT dienen als zeer gedetailleerde normen voor discipline, bedoeld om risico's te beheren, minder te verliezen en negatieve publiciteit te verminderen. Hoewel zowel ISO 27001 als COBIT tegemoetkomen aan governance op het gebied van informatietechnologie - het helpen verlichten van IT-uitgaven en het verminderen van technische veiligheidsrisico's - verschillen deze prominente methodologieën qua focus en details.
Basics
De International Organization for Standardization publiceert ISO 27001, dat fungeert als een raamwerk voor gestandaardiseerd informatiebeveiligingsbeheer en zich uitsluitend richt op beveiligingsgerichte beste praktijken. Het Information Technology Governance Institute publiceert COBIT - Beheersdoelstellingen voor informatie en aanverwante technologie - dat voorziet in algemene IT-beheersmaatregelen, -maatregelen en -processen. De bredere focus van COBIT is gericht op het overbruggen van de kloof tussen bedrijfsdoelen en IT-processen.
Formaat
De ISO 27001-gedragscode, in essentie een controlegids die de controles die een organisatie moet uitvoeren, bevat, omvat acht hoofdsecties over 34 pagina's. De veel bredere COBIT-methodiek bevat 34 besturingsdoelstellingen op hoog niveau en 318 gedetailleerde besturingsdoelen gegroepeerd op de gebieden van Plannen en organiseren, verwerven en implementeren, leveren en ondersteunen en bewaken. Deze richtlijnen bieden managementaanwijzingen voor het besturen van IT-processen van bedrijven, algemene prestaties en organisatiedoelen. In tegenstelling tot COBIT bevat ISO 27001 geen volwassenheidsmodellen die proberen een overzicht te geven van hoe de praktijken van een organisatie duurzame resultaten kunnen bieden.
Focus en functie
De focus van ISO 27001 op adressering en auditing maakt de methodologie een beheers- en controlekader in plaats van een procesraamwerk. Hoewel het deze structuur deelt met COBIT, heeft ISO 27001 een specifieker doel - beveiliging - en dus geschikt voor beheer op lager niveau. De COBIT-methodologie is gericht op de behoeften van een onderneming op het hoogste niveau en streeft ernaar de algehele bedrijfsoriëntatie te verbeteren via IT-besturingselementen en -statistieken. Als zodanig is COBIT geschikt voor hoger opgeleiden, zoals senior managers, IT-managers en auditors.
overwegingen
ISO 27001 en COBIT hoeven niet met elkaar te concurreren. Beide kaders vullen elkaar aan: hoewel ISO 27001 zich richt op beveiliging, fungeert COBIT als een soort 'overkoepelend' raamwerk dat helpt om ISO 27001 en andere IT-governancekaders zoals PMBOK en SEI CMM aan elkaar te koppelen. Beide systemen bieden "wat" in plaats van "hoe" -gegevens, wat betekent dat ze output identificeren en meten en richting suggereren, maar bieden geen methoden om die richting te volgen. Kaders zoals ITIL, ook een aanvulling op COBIT en ISO 27001, beantwoorden de vraag "hoe." In de wereld van IT-governance kom je vaak de term ISO 17799 tegen. Deze methode, ook bekend als BS7799, is de voorloper van ISO 27001, die veel van zijn fundament behoudt.
