Unternehmen setzen auf die Idee von Best Practices, definiert als Verfahren, die nachweislich optimale Ergebnisse erzielen, um die Effizienz und den Gewinn zu optimieren. Governance-Frameworks wie ISO 27001 und COBIT dienen als sehr detaillierte Standards der Disziplin, um Risiken zu steuern, Verluste zu reduzieren und negative Publizität zu reduzieren. Obwohl sowohl ISO 27001 als auch COBIT der Governance im Bereich der Informationstechnologie gerecht werden, um IT-Ausgaben zu reduzieren und Sicherheitsrisiken im Zusammenhang mit Technologien zu reduzieren, unterscheiden sich diese wichtigen Methoden in Bezug auf Fokus und Details.
Grundlagen
Die International Organization for Standardization veröffentlicht ISO 27001, die als Rahmen für ein standardisiertes Informationssicherheitsmanagement dient und sich strikt auf sicherheitsorientierte Best Practices konzentriert. Das Information Technology Governance Institute veröffentlicht COBIT - Kontrollziele für Informations- und verwandte Technologien -, das allgemeine IT-Kontrollen, Maßnahmen und Prozesse abdeckt. Der breitere Fokus von COBIT zielt darauf ab, die Lücke zwischen Geschäftszielen und IT-Prozessen zu schließen.
Format
Der Verhaltenskodex nach ISO 27001, im Wesentlichen ein Prüfungsleitfaden, in dem die Kontrollen aufgeführt sind, die eine Organisation ansprechen muss, umfasst acht Hauptbereiche auf 34 Seiten. Die viel umfassendere COBIT-Methodik umfasst 34 übergeordnete Kontrollziele und 318 detaillierte Kontrollziele, die in die Bereiche Planen und Organisieren, Erfassen und Implementieren, Liefern, Unterstützen und Überwachen gruppiert sind. Diese Richtlinien geben eine Führungsrichtung für die Steuerung der IT-Prozesse des Unternehmens, der Gesamtleistung und der organisatorischen Ziele vor. Im Gegensatz zu COBIT enthält ISO 27001 keine Reifegradmodelle, die versuchen, einen Überblick darüber zu geben, wie die Praktiken eines Unternehmens zu nachhaltigen Ergebnissen führen können.
Fokus und Funktion
Der Fokus von ISO 27001 auf Adressierung und Prüfung macht die Methodik zu einem Kontroll- und Management-Framework und nicht zu einem Prozess-Framework. Obwohl es diese Struktur mit COBIT teilt, hat ISO 27001 ein spezifischeres Ziel - Sicherheit - und ist daher auf untergeordnetes Management ausgerichtet. Die COBIT-Methode zielt auf die Top-Level-Anforderungen eines Unternehmens ab und versucht, die Geschäftsorientierung mithilfe von IT-Kontrollen und -Metriken zu verbessern. COBIT richtet sich somit an übergeordnete Führungskräfte wie leitende Angestellte, IT-Verantwortliche und Prüfer.
Überlegungen
ISO 27001 und COBIT müssen nicht miteinander konkurrieren. Tatsächlich ergänzen sich die beiden Frameworks: Während ISO 27001 auf Sicherheit abzielt, fungiert COBIT als eine Art "Rahmen" -Framework, das ISO 27001 und andere IT-Governance-Frameworks wie PMBOK und SEI CMM verbindet. Beide Systeme bieten "Was" -Daten anstelle von "Wie" -Daten. Dies bedeutet, dass sie die Ausgabe identifizieren und messen und eine Richtung vorschlagen, aber keine Methoden für die Verfolgung dieser Richtung bieten. Frameworks wie ITIL, auch eine Ergänzung zu COBIT und ISO 27001, beantworten die Frage nach dem „Wie“. In der Welt der IT-Governance stößt man oft auf den Begriff ISO 17799. Diese Methodik, auch BS7799 genannt, ist die Vorläufer der ISO 27001, die einen Großteil ihrer Grundlage beibehält.