Perniagaan melihat kepada idea amalan terbaik, yang ditakrifkan sebagai prosedur yang terbukti menghasilkan keputusan yang optimum, untuk mengoptimumkan kecekapan dan keuntungan. Rangka kerja tadbir urus seperti ISO 27001 dan COBIT bertindak sebagai standard disiplin yang sangat terperinci yang bertujuan untuk menguruskan risiko, kehilangan yang lebih rendah dan mengurangkan publisiti negatif. Walaupun kedua-dua ISO 27001 dan COBIT memenuhi tadbir urus dalam bidang teknologi maklumat - membantu meringankan perbelanjaan IT dan mengurangkan risiko keselamatan yang berkaitan dengan teknologi - metodologi penting ini berbeza dalam fokus dan butiran.
Asas-asas
Organisasi Antarabangsa bagi Standardisasi menerbitkan ISO 27001, yang bertindak sebagai rangka kerja untuk pengurusan keselamatan maklumat yang standard dan memberi tumpuan secara ketat ke amalan terbaik berorientasikan keselamatan. Institut Tadbir Teknologi Maklumat menerbitkan COBIT - Objektif Kawalan untuk Teknologi Maklumat dan berkaitan - yang memenuhi keseluruhan kawalan, langkah dan proses IT. Tumpuan yang lebih luas COBIT bertujuan untuk merapatkan jurang antara matlamat perniagaan dan proses IT.
Format
Kod latihan ISO 27001, pada dasarnya merupakan panduan pengauditan yang membentangkan kawalan yang perlu ditangani oleh organisasi, merangkumi lapan bahagian utama dalam 34 halaman. Metodologi COBIT yang lebih luas mempunyai 34 objektif kawalan peringkat tinggi dan 318 objektif kawalan terperinci dikelompokkan ke dalam bidang Rancangan dan Mengurus, Memperoleh dan Melaksanakan, Memberi dan Menyokong dan Pantau. Garis panduan ini menawarkan hala tuju pengurusan untuk mengawal perniagaan proses IT, pencapaian keseluruhan dan matlamat organisasi. Berbeza dengan COBIT, ISO 27001 tidak memaparkan model kematangan, yang cuba memberikan gambaran tentang bagaimana amalan organisasi dapat memberikan hasil yang berkelanjutan.
Fokus dan Fungsi
Tumpuan ISO 27001 dalam menangani dan pengauditan membuat metodologi sebagai rangka kerja kawalan dan pengurusan dan bukan rangka kerja proses. Walaupun ia berkongsi struktur ini dengan COBIT, ISO 27001 mempunyai sasaran yang lebih khusus - keselamatan - dan dengan itu memenuhi keperluan pengurusan peringkat rendah. Metodologi COBIT menargetkan keperluan peringkat atas sesuatu perusahaan, berusaha untuk meningkatkan orientasi perniagaan keseluruhan melalui kawalan IT dan metrik. Oleh itu, COBIT memenuhi keperluan lebih tinggi seperti pengurus kanan, pengurus IT dan juruaudit.
Pertimbangan
ISO 27001 dan COBIT tidak perlu bersaing dengan satu sama lain. Malah, kedua-dua rangka kerja melengkapkan satu sama lain: Walaupun ISO 27001 mensasarkan keselamatan, COBIT bertindak sebagai rangka kerja "payung" yang membantu menyambung ISO 27001 dan rangka kerja tadbir urus IT yang lain seperti PMBOK dan SEI CMM. Kedua-dua sistem menawarkan "apa" dan bukannya "bagaimana" data, yang bermaksud bahawa mereka mengenal pasti dan mengukur output dan mencadangkan arahan, tetapi tidak menawarkan kaedah untuk mengejar arahan tersebut. Rangka kerja seperti ITIL, juga pelengkap kepada COBIT dan ISO 27001, menjawab persoalan "bagaimana." Dalam dunia tadbir urus IT, anda akan sering menggunakan istilah ISO 17799. Metodologi ini, yang juga dikenali sebagai BS7799, adalah pendahulu kepada ISO 27001, yang mengekalkan asasnya.
