עסקים מחפשים את הרעיון של שיטות עבודה מומלצות, שהוגדרו כנהלים הוכח לייצר תוצאות אופטימליות, כדי לייעל את היעילות ואת הרווח. מסגרות ממשל, כגון ISO 27001 ו- COBIT, משמשות סטנדרטים מפורטים מאוד של משמעת המיועדים לניהול סיכונים, מאבדים פחות ומפחיתים פרסום שלילי. אף על פי שגם ISO 27001 וגם COBIT משרתים את הממשל בתחום טכנולוגיית המידע - עוזר להקל על הוצאות ה- IT ולצמצם את סיכוני האבטחה הקשורים לטכנולוגיה - מתודולוגיות בולטות אלה נבדלות במיקוד ובפרטים.
יסודות
הארגון הבינלאומי לתקינה מפרסם את ISO 27001, הפועל כמסגרת לניהול תקני של אבטחת מידע ומתמקד אך ורק בשיטות מומלצות בתחום האבטחה. המכון למחקר טכנולוגיות מידע מפרסם את COBIT - יעדי בקרה עבור מידע וטכנולוגיה קשורה - המשרתים את כלל הבקרות, האמצעים והתהליכים של ה- IT. ההתמקדות הרחבה של COBIT נועדה לגשר על הפער בין היעדים העסקיים לבין תהליכי ה- IT.
פורמט
קוד התרגול של ISO 27001, שהוא למעשה מדריך ביקורת המציב בקרות שארגון חייב לטפל בהן, כולל שמונה קטעים מרכזיים על פני 34 עמודים. מתודולוגיה COBIT רחבה הרבה יותר 34 מטרות שליטה ברמה גבוהה ו 318 מטרות שליטה מפורטת מקובצים בתחומי התוכנית לארגן, לרכוש וליישם, לספק ולתמוך ולפקח. הנחיות אלה מציעות הנחיות ניהוליות לבקרה על תהליכי ה- IT של העסק, ההישגים הכוללים והיעדים הארגוניים. בניגוד ל- COBIT, ISO 27001 אינו כולל מודלים לפדיון, המנסים לספק סקירה כללית של האופן שבו נוהלי הארגון יכולים לספק תוצאות ברורות.
פוקוס ופונקציה
ההתמקדות של ISO 27001 בפנייה ובבקרה הופכת את המתודולוגיה למסגרת בקרה וניהול במקום למסגרת תהליך. למרות שהוא חולק את המבנה הזה עם COBIT, ISO 27001 יש יעד ספציפי יותר - אבטחה - ובכך חותרת וניהול ברמה נמוכה יותר. המתודולוגיה של COBIT מתמקדת בצרכים ברמה הגבוהה ביותר של הארגון, במטרה לשפר את ההתמצאות העסקית הכוללת באמצעות בקרות וערכים של IT. ככזה, COBIT caters כדי גבוה יותר קופצים כגון מנהלים בכירים, מנהלי IT ורואי החשבון.
שיקולים
ISO 27001 ו COBIT לא צריך להתחרות אחד עם השני. למעשה, שתי המסגרות משלימות זו את זו: בעוד שבמסגרת ISO 27001 אבטחה, COBIT פועלת כמעין מסגרת "מטריה" המסייעת לחבר את ISO 27001 ומסגרות ניהול IT אחרות, כגון PMBOK ו- SEI CMM. שתי המערכות מציעות "מה" ולא "איך" נתונים, כלומר הם מזהים ומודדים את הפלט ומציעים כיוון, אך אינם מציעים שיטות לרדיפה בכיוון זה. מסגרות כגון ITIL, גם השלמה ל- COBIT ו- ISO 27001, עונות על שאלת "איך". בעולם של ניהול ה- IT, לעיתים קרובות תרוץ למונח ISO 17799. מתודולוגיה זו, הידועה גם בשם BS7799, היא מבשר ISO 27001, אשר שומרת על הרבה של היסוד שלה.
