企業は、効率性と利益を最適化するために、最適な結果が得られることが証明されている手順として定義されたベストプラクティスの概念に注目します。 ISO 27001やCOBITなどのガバナンスフレームワークは、リスクの管理、損失の減少、および悪評の低下を目的とした非常に詳細な規律の基準として機能します。 ISO 27001とCOBITはどちらも情報技術の分野におけるガバナンスに対応していますが - IT支出の軽減と技術関連のセキュリティリスクの軽減に役立ちますが - これらの著名な方法は焦点と詳細が異なります。
基本
国際標準化機構はISO 27001を発行しています。これは標準化された情報セキュリティ管理のためのフレームワークとして機能し、セキュリティ指向のベストプラクティスに厳密に焦点を当てています。 Information Technology Governance Instituteは、IT全体の管理、測定、およびプロセスに対応するCOBIT(情報および関連技術の管理目的)を発行しています。 COBITは、ビジネス目標とITプロセスの間のギャップを埋めることを目的としています。
フォーマット
ISO 27001の行動規範は、本質的に組織が取り組まなければならない統制を規定する監査ガイドであり、34ページにわたる8つの主要なセクションを網羅しています。より広範なCOBIT方法論は、計画および整理、取得および実施、提供および支援ならびに監視の分野に分類された34の上位レベルの管理目的および318の詳細な管理目的を特徴とする。これらのガイドラインは、ビジネスのITプロセス、全体的な達成状況、および組織の目標を管理するための管理の方向性を提供します。 COBITとは対照的に、ISO 27001は成熟度モデルを特徴としていません。成熟度モデルは、組織のプラクティスが持続可能な結果を提供する方法の概要を説明しようとします。
フォーカスと機能
ISO 27001はアドレス指定と監査に重点を置いているため、この方法論はプロセスの枠組みではなく管理と管理の枠組みになります。 ISO 27001はCOBITとこの構造を共有していますが、より具体的な目標(セキュリティ)を持っているため、下位レベルの管理に対応しています。 COBIT方法論は、IT統制と測定基準によって全体的なビジネス指向を改善することを目指して、企業のトップレベルのニーズをターゲットにしています。そのため、COBITは、上級管理者、IT管理者、監査人などの上級者に対応しています。
検討事項
ISO 27001とCOBITは互いに競合する必要はありません。 ISO 27001はセキュリティを対象としていますが、COBITは、ISO 27001とPMBOKやSEI CMMなどの他のITガバナンスのフレームワークを結び付けるのに役立つ一種の「包括的な」フレームワークとして機能します。どちらのシステムも「どのように」ではなく「どのように」データを提供します。つまり、出力を識別して測定し、方向性を示唆しますが、その方向性を追求するための方法は提供しません。 COBITやISO 27001を補完するITILなどのフレームワークは、「どうやって」という疑問に答えます。ITガバナンスの世界では、ISO 17799という用語に遭遇することがよくあります。その基盤の大部分を保持しているISO 27001の前身。