تتطلع الشركات إلى فكرة أفضل الممارسات ، والمعروفة بأنها إجراءات أثبتت أنها تحقق النتائج المثلى ، لتحسين الكفاءة والربح. تعمل أطر الحوكمة مثل ISO 27001 و COBIT بمثابة معايير تفصيلية عالية للتخصصات التي تهدف إلى إدارة المخاطر وانخفاض الخسائر وتقليل الدعاية السلبية. على الرغم من أن كل من ISO 27001 و COBIT يلبيان الحوكمة في مجال تكنولوجيا المعلومات - يساعدان في تخفيف نفقات تكنولوجيا المعلومات والحد من المخاطر الأمنية المتعلقة بالتكنولوجيا - فإن هذه المنهجيات البارزة تختلف في التركيز والتفاصيل.
مبادئ
تنشر المنظمة الدولية للتوحيد القياسي ISO 27001 ، والتي تعمل كإطار لإدارة معيارية لأمن المعلومات وتركز بشكل صارم على أفضل الممارسات الأمنية. ينشر معهد تكنولوجيا المعلومات إدارة COBIT - أهداف مراقبة المعلومات والتكنولوجيا ذات الصلة - التي تلبي الضوابط الشاملة لتكنولوجيا المعلومات والعمليات والعمليات. يهدف تركيز COBIT الأوسع إلى سد الفجوة بين أهداف العمل وعمليات تكنولوجيا المعلومات.
شكل
تتضمن مدونة قواعد الممارسة ISO 27001 ، وهي في الأساس دليل تدقيق يضع ضوابط يجب على المنظمة معالجتها ، ثمانية أقسام رئيسية في 34 صفحة. تتضمن منهجية COBIT الأكثر اتساعًا 34 هدفًا للتحكم عالي المستوى و 318 هدفًا مفصلاً للمراقبة مجمعة في مجالات الخطة والتنظيم والاكتساب والتنفيذ والتسليم والدعم والرصد. تقدم هذه الإرشادات توجيهًا إداريًا للتحكم في عمليات تكنولوجيا المعلومات للأنشطة التجارية والإنجاز العام والأهداف التنظيمية. على النقيض من COBIT ، لا تشتمل المواصفة ISO 27001 على نماذج للنضج ، والتي تحاول تقديم نظرة عامة عن كيفية قيام ممارسات المنظمة بتقديم نتائج مستدامة.
التركيز والوظيفة
إن تركيز ISO 27001 على معالجة ومراجعة الحسابات يجعل منهجية الرقابة وإطار الإدارة وليس إطار العملية. على الرغم من أنه يتشارك هذا الهيكل مع COBIT ، إلا أن ISO 27001 لديها هدف أكثر تحديدًا - الأمن - وبالتالي تلبي متطلبات الإدارة ذات المستوى الأدنى. تستهدف منهجية COBIT احتياجات المستوى الأعلى للمؤسسة ، وتسعى إلى تحسين الاتجاه العام للأعمال عبر عناصر التحكم في تكنولوجيا المعلومات والمقاييس. على هذا النحو ، يخدم COBIT إلى كبار المسؤولين مثل كبار المديرين ومديري تكنولوجيا المعلومات ومراجعي الحسابات.
الاعتبارات
لا تحتاج ISO 27001 و COBIT للتنافس مع بعضها البعض. في الواقع ، يكمل الإطاران بعضهما البعض: في حين أن ISO 27001 تستهدف الأمن ، يعمل COBIT كنوع من إطار "المظلة" الذي يساعد على ربط ISO 27001 وأطر إدارة تكنولوجيا المعلومات الأخرى مثل PMBOK و SEI CMM. يقدم كلا النظامين بيانات "ماذا" بدلاً من "كيف" ، أي أنهما يحددان وقياس الناتج ويقترحان الاتجاه ، ولكن لا يقدمان طرقًا لمتابعة الاتجاه المذكور. إن الأطر مثل ITIL ، وهي أيضًا مكملة لـ COBIT و ISO 27001 ، تجيب على سؤال "كيف". في عالم حوكمة تقنية المعلومات ، ستصل في كثير من الأحيان إلى المصطلح ISO 17799. هذه الطريقة ، المعروفة أيضًا باسم BS7799 ، هي مقدمة ISO 27001 ، والتي تحتفظ بالكثير من أساسها.