Пословни субјекти гледају на идеју најбоље праксе, дефинисане као процедуре које доказују да дају оптималне резултате, да оптимизују ефикасност и профит. Оквири управљања као што су ИСО 27001 и ЦОБИТ служе као веома детаљни стандарди дисциплине намијењени управљању ризиком, нижим губицима и смањењу негативног публицитета. Иако и ИСО 27001 и ЦОБИТ снабдевају управљање у области информационих технологија - олакшавају ИТ трошкове и смањују безбедносне ризике везане за технологију - ове истакнуте методологије се разликују по фокусу и детаљима.
Основе
Међународна организација за стандардизацију објављује ИСО 27001, која служи као оквир за стандардизовано управљање информацијском сигурношћу и фокусира се искључиво на најбоље оријентисане на сигурност. Институт за управљање информацијском технологијом објављује ЦОБИТ - Контролне циљеве за информационе и сродне технологије - који се баве укупним ИТ контролама, мјерама и процесима. Шири фокус ЦОБИТ-а има за циљ премостити јаз између пословних циљева и ИТ процеса.
Формат
ИСО 27001 кодекс праксе, у суштини водич за ревизију који поставља контроле које нека организација мора да обради, обухвата осам главних одељака на 34 стране. Много шира ЦОБИТ методологија садржи 34 контролна циља на високом нивоу и 318 детаљних контролних циљева груписаних у области Плана и Организација, Стицање и Имплементација, Испорука и Подршка и Монитор. Ове смјернице нуде смјернице управљања за контролу ИТ процеса у подузећима, укупног постигнућа и организацијских циљева. За разлику од ЦОБИТ-а, ИСО 27001 не садржи моделе зрелости, који покушавају да пруже преглед како праксе организације могу да обезбеде одрживе резултате.
Фокус и функција
Фокус ИСО 27001 на адресирање и ревизију чини методологију оквиром контроле и управљања, а не оквиром процеса. Иако дијели ову структуру са ЦОБИТ-ом, ИСО 27001 има специфичнији циљ - сигурност - и тиме се брине за управљање нижим нивоима. Методологија ЦОБИТ циља на потребе највишег нивоа предузећа, настојећи побољшати укупну пословну оријентацију путем ИТ контрола и метрике. Као такав, ЦОБИТ се брине о вишим руководиоцима, као што су виши менаџери, ИТ менаџери и ревизори.
Разматрања
ИСО 27001 и ЦОБИТ се не морају међусобно надметати. У ствари, ова два оквира се допуњују: Док ИСО 27001 циља на безбедност, ЦОБИТ делује као нека врста „кишобранског“ оквира који помаже повезивање ИСО 27001 и других оквира за ИТ управљање, као што су ПМБОК и СЕИ ЦММ. Оба система нуде “шта”, а не “како” податке, што значи да они идентификују и мере излаз и предлажу правац, али не нуде методе за спровођење наведеног правца. Оквири као што је ИТИЛ, који су такође комплементарни ЦОБИТ-у и ИСО 27001, одговарају на питање “како.” У свету ИТ управљања често ћете наићи на термин ИСО 17799. Ова методологија, такође позната као БС7799, је претеча ИСО 27001, који задржава већину својих темеља.
