기업은 최적의 결과를 산출하고 효율성과 수익을 최적화하기 위해 입증 된 절차로 정의 된 모범 사례에 대한 아이디어를 찾습니다. ISO 27001 및 COBIT와 같은 거버넌스 프레임 워크는 위험을 관리하고, 손실을 줄이며, 부정적인 홍보를 줄이기위한 엄격한 규율 기준을 제공합니다. ISO 27001과 COBIT 모두 IT 지출을 줄이고 기술 관련 보안 위험을 줄이는 데 도움이되는 정보 기술 영역의 거버넌스를 지원하지만 이러한 주요 방법론은 초점과 세부 사항이 다릅니다.
기초
국제 표준화기구 (International Organization for Standardization)는 표준화 된 정보 보안 관리를위한 프레임 워크 역할을하며 보안 지향적 인 베스트 프랙티스에 엄격하게 초점을 맞추는 ISO 27001을 발행합니다. 정보 기술 거버넌스 연구소 (Information Technology Governance Institute)는 전반적인 IT 통제, 측정 및 프로세스를 충족시키는 COBIT (정보 및 관련 기술 제어 목표)를 게시합니다. COBIT의 광범위한 초점은 비즈니스 목표와 IT 프로세스 사이의 격차를 해소하는 것을 목표로합니다.
체재
ISO 27001의 실행 규범, 본질적으로 조직이 다루어야하는 통제를 규정하는 감사 지침은 34 페이지에 걸쳐 8 개의 주요 섹션을 포함합니다. 훨씬 광범위한 COBIT 방법론은 계획 및 구성, 획득 및 구현, 제공 및 지원 및 모니터링 분야로 분류 된 34 개의 고급 제어 목표와 318 개의 세부 제어 목표를 갖추고 있습니다. 이 가이드 라인은 비즈니스 IT 프로세스, 전반적인 성취 및 조직 목표를 관리하기위한 관리 방향을 제시합니다. COBIT와는 달리 ISO 27001에는 조직의 관행이 어떻게 지속 가능한 결과를 제공 할 수 있는지에 대한 개요를 제공하려는 성숙도 모델이 포함되어 있지 않습니다.
초점과 기능
주소 지정과 감사에 대한 ISO 27001의 초점은 방법론을 프로세스 프레임 워크가 아닌 제어 및 관리 프레임 워크로 만듭니다. ISO 27001은 COBIT과이 구조를 공유하지만보다 구체적인 목표 - 보안을 가지고 있으므로 하위 수준의 관리를 필요로합니다. COBIT 방법론은 IT 컨트롤 및 메트릭을 통해 전반적인 비즈니스 방향을 개선하고자하는 기업의 최상위 요구 사항을 대상으로합니다. 따라서 COBIT은 상급 관리자, IT 관리자 및 감사원과 같은 상급 기관을 지원합니다.
고려 사항
ISO 27001과 COBIT는 서로 경쟁 할 필요가 없습니다. 실제로 ISO 27001은 보안을 목표로하지만 COBIT은 ISO 27001과 PMBOK 및 SEI CMM과 같은 다른 IT 거버넌스 프레임 워크를 연결하는 데 도움이되는 일종의 "우산"프레임 워크 역할을합니다. 두 시스템 모두 "어떻게"데이터가 아닌 "무엇"을 제공합니다. 즉, 출력을 식별하고 측정하고 방향을 제안하지만 해당 방향을 추구하는 방법을 제공하지 않습니다. COBIT 및 ISO 27001을 보완하는 ITIL과 같은 프레임 워크는 "방법"에 대한 답을 제시합니다. IT 거버넌스의 세계에서는 종종 ISO 17799라는 용어를 사용하게됩니다.이 방법론은 BS7799로도 알려져 있습니다. ISO 27001의 선구자입니다.
