Bisnis memandang gagasan praktik terbaik, yang didefinisikan sebagai prosedur yang terbukti menghasilkan hasil yang optimal, untuk mengoptimalkan efisiensi dan laba. Kerangka kerja tata kelola seperti ISO 27001 dan COBIT berfungsi sebagai standar disiplin yang sangat terperinci yang dimaksudkan untuk mengelola risiko, menurunkan kerugian, dan mengurangi publikasi negatif. Meskipun ISO 27001 dan COBIT melayani tata kelola di bidang teknologi informasi - membantu meringankan pengeluaran TI dan mengurangi risiko keamanan terkait teknologi - metodologi yang menonjol ini berbeda dalam fokus dan detail.
Dasar-dasar
Organisasi Internasional untuk Standardisasi menerbitkan ISO 27001, yang bertindak sebagai kerangka kerja untuk manajemen keamanan informasi terstandarisasi dan secara ketat berfokus pada praktik terbaik berorientasi keamanan. Institut Tata Kelola Teknologi Informasi menerbitkan COBIT - Tujuan Pengendalian untuk Informasi dan Teknologi terkait - yang melayani keseluruhan kontrol, tindakan, dan proses TI. Fokus COBIT yang lebih luas bertujuan untuk menjembatani kesenjangan antara tujuan bisnis dan proses TI.
Format
Kode praktik ISO 27001, pada dasarnya panduan audit yang menjabarkan kontrol yang harus ditangani organisasi, mencakup delapan bagian utama di 34 halaman. Metodologi COBIT yang jauh lebih luas menampilkan 34 tujuan kontrol tingkat tinggi dan 318 tujuan kontrol terperinci yang dikelompokkan ke dalam area Plan dan Mengorganisir, Memperoleh dan Menerapkan, Memberikan dan Mendukung serta Memantau. Pedoman ini menawarkan arahan manajemen untuk mengendalikan proses TI bisnis, pencapaian keseluruhan, dan tujuan organisasi. Berbeda dengan COBIT, ISO 27001 tidak menampilkan model kematangan, yang berupaya memberikan tinjauan umum tentang bagaimana praktik organisasi dapat memberikan hasil yang berkelanjutan.
Fokus dan Fungsi
Fokus ISO 27001 tentang pengalamatan dan audit menjadikan metodologi ini kerangka kerja kontrol dan manajemen daripada kerangka proses. Meskipun berbagi struktur ini dengan COBIT, ISO 27001 memiliki target yang lebih spesifik - keamanan - dan dengan demikian melayani manajemen tingkat yang lebih rendah. Metodologi COBIT menargetkan kebutuhan tingkat atas suatu perusahaan, yang berupaya meningkatkan orientasi bisnis secara keseluruhan melalui kontrol dan metrik TI. Dengan demikian, COBIT melayani atasan seperti manajer senior, manajer TI dan auditor.
Pertimbangan
ISO 27001 dan COBIT tidak perlu bersaing satu sama lain. Sebenarnya, dua kerangka kerja saling melengkapi satu sama lain: Sementara ISO 27001 menargetkan keamanan, COBIT bertindak sebagai semacam "payung" kerangka kerja yang membantu menghubungkan ISO 27001 dan kerangka kerja tata kelola TI lainnya seperti PMBOK dan SEI CMM. Kedua sistem menawarkan data "apa" dan bukan "bagaimana", yang berarti bahwa mereka mengidentifikasi dan mengukur output dan menyarankan arah, tetapi tidak menawarkan metode untuk mengejar arah tersebut. Kerangka kerja seperti ITIL, juga pelengkap COBIT dan ISO 27001, menjawab pertanyaan "bagaimana." Dalam dunia tata kelola TI, Anda akan sering menemukan istilah ISO 17799. Metodologi ini, juga dikenal sebagai BS7799, adalah prekursor ke ISO 27001, yang mempertahankan banyak fondasinya.