ISO 27001 กับ Cobit

สารบัญ:

Anonim

ธุรกิจมองไปที่แนวคิดของแนวปฏิบัติที่ดีที่สุดซึ่งกำหนดไว้ตามขั้นตอนที่พิสูจน์แล้วว่าให้ผลลัพธ์ที่ดีที่สุดเพื่อเพิ่มประสิทธิภาพและผลกำไรสูงสุด กรอบการกำกับดูแลเช่น ISO 27001 และ COBIT ทำหน้าที่เป็นมาตรฐานที่มีรายละเอียดสูงของระเบียบวินัยหมายถึงการจัดการความเสี่ยงลดการสูญเสียและลดการประชาสัมพันธ์เชิงลบ แม้ว่าทั้ง ISO 27001 และ COBIT จะให้ความสำคัญกับการกำกับดูแลในด้านเทคโนโลยีสารสนเทศซึ่งจะช่วยลดค่าใช้จ่ายด้านไอทีและลดความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับเทคโนโลยี - วิธีการที่โดดเด่นเหล่านี้แตกต่างกันในการมุ่งเน้นและรายละเอียด

ข้อมูลพื้นฐานเกี่ยวกับ

องค์การระหว่างประเทศเพื่อการมาตรฐานเผยแพร่ ISO 27001 ซึ่งทำหน้าที่เป็นกรอบสำหรับการจัดการความปลอดภัยของข้อมูลมาตรฐานและมุ่งเน้นอย่างเคร่งครัดในการปฏิบัติที่ดีที่สุดที่มุ่งเน้นความปลอดภัย สถาบันการกำกับดูแลเทคโนโลยีสารสนเทศเผยแพร่ COBIT - วัตถุประสงค์การควบคุมสำหรับข้อมูลและเทคโนโลยีที่เกี่ยวข้องซึ่งให้ความสำคัญกับการควบคุมไอทีโดยรวมมาตรการและกระบวนการ COBIT มุ่งเน้นที่กว้างขึ้นเพื่อเชื่อมช่องว่างระหว่างเป้าหมายทางธุรกิจและกระบวนการด้านไอที

รูป

หลักปฏิบัติของ ISO 27001 ซึ่งเป็นแนวทางการตรวจสอบที่วางแนวทางการควบคุมที่องค์กรต้องกล่าวถึงประกอบด้วยแปดส่วนหลักใน 34 หน้า วิธีการ COBIT ที่กว้างกว่านั้นมีวัตถุประสงค์ในการควบคุมระดับสูง 34 ข้อและวัตถุประสงค์การควบคุมอย่างละเอียด 318 ข้อซึ่งแบ่งออกเป็นส่วนของแผนและการจัดระเบียบการจัดหาและการนำไปใช้การส่งมอบและการสนับสนุนและการตรวจสอบ แนวทางเหล่านี้มีทิศทางการจัดการสำหรับการควบคุมกระบวนการทางธุรกิจไอทีความสำเร็จโดยรวมและเป้าหมายขององค์กร ตรงกันข้ามกับ COBIT, ISO 27001 ไม่ได้มีตัวแบบครบกำหนดซึ่งพยายามที่จะให้ภาพรวมของวิธีการปฏิบัติขององค์กรสามารถให้ผลลัพธ์ที่ยั่งยืน

มุ่งเน้นและฟังก์ชั่น

ISO 27001 ให้ความสำคัญกับการกำหนดที่อยู่และการตรวจสอบทำให้วิธีการเป็นกรอบการควบคุมและการจัดการมากกว่ากรอบกระบวนการ แม้ว่าจะแบ่งปันโครงสร้างนี้กับ COBIT แต่ ISO 27001 ก็มีเป้าหมายที่เฉพาะเจาะจงมากขึ้นนั่นคือความปลอดภัยและให้ความสำคัญกับการจัดการระดับล่าง ระเบียบวิธี COBIT มีเป้าหมายที่ความต้องการระดับสูงสุดขององค์กรเพื่อปรับปรุงการวางแนวธุรกิจโดยรวมผ่านการควบคุมด้านไอทีและตัวชี้วัด ดังนั้น COBIT จึงให้ความสำคัญกับผู้จัดการระดับสูงผู้จัดการฝ่ายไอทีและผู้ตรวจสอบบัญชี

การพิจารณา

ISO 27001 และ COBIT ไม่จำเป็นต้องแข่งขันกันเอง ในความเป็นจริงทั้งสองเฟรมเวิร์กจะเสริมซึ่งกันและกัน: ในขณะที่ ISO 27001 มีเป้าหมายเพื่อความปลอดภัย COBIT ทำหน้าที่เป็นกรอบ "ร่ม" ที่ช่วยเชื่อมต่อ ISO 27001 และกรอบการกำกับดูแลด้านไอทีอื่น ๆ เช่น PMBOK และ SEI CMM ทั้งสองระบบเสนอข้อมูล "อะไร" แทนที่จะเป็น "วิธี" หมายความว่าพวกเขาระบุและวัดผลลัพธ์และแนะนำทิศทาง แต่ไม่เสนอวิธีการในการติดตามทิศทางดังกล่าว เฟรมเวิร์กเช่น ITIL ซึ่งเป็นส่วนเสริมของ COBIT และ ISO 27001 ตอบคำถาม“ อย่างไร” ในโลกการกำกับดูแลด้านไอทีคุณมักจะพบคำว่า ISO 17799 วิธีการนี้เรียกอีกอย่างว่า BS7799 สารตั้งต้นของมาตรฐาน ISO 27001 ซึ่งยังคงรักษารากฐานส่วนใหญ่เอาไว้