आईएसओ 27001 बनाम। COBIT

व्यवसाय सर्वोत्तम प्रथाओं के विचार को देखते हैं, दक्षता और लाभ का अनुकूलन करने के लिए, इष्टतम परिणामों का उत्पादन करने के लिए सिद्ध प्रक्रियाओं के रूप में परिभाषित किया गया है। आईएसओ 27001 और COBIT जैसे शासन ढांचे जोखिम, कम खो देता है और नकारात्मकता को कम करने के लिए अनुशासन के अत्यधिक विस्तृत मानकों के रूप में कार्य करते हैं। हालाँकि ISO 27001 और COBIT दोनों सूचना प्रौद्योगिकी के क्षेत्र में शासन को पूरा करते हैं - आईटी व्यय को कम करने और तकनीक से संबंधित सुरक्षा जोखिमों को कम करने में मदद करते हैं - ये प्रमुख कार्यप्रणाली फ़ोकस और विवरणों में भिन्न हैं।

मूल बातें

मानकीकरण के लिए अंतर्राष्ट्रीय संगठन आईएसओ 27001 प्रकाशित करता है, जो मानकीकृत सूचना सुरक्षा प्रबंधन के लिए एक रूपरेखा के रूप में कार्य करता है और सुरक्षा उन्मुख सर्वोत्तम प्रथाओं पर सख्ती से ध्यान केंद्रित करता है। सूचना प्रौद्योगिकी प्रशासन संस्थान सूचना और संबंधित प्रौद्योगिकी के लिए COBIT - नियंत्रण उद्देश्यों को प्रकाशित करता है - जो समग्र आईटी नियंत्रण, उपायों और प्रक्रियाओं को पूरा करता है। COBIT का व्यापक फोकस व्यावसायिक लक्ष्यों और आईटी प्रक्रियाओं के बीच की खाई को पाटना है।

स्वरूप

आईएसओ 27001 प्रैक्टिस कोड, अनिवार्य रूप से एक ऑडिटिंग गाइड जो नियंत्रण देता है कि एक संगठन को पता होना चाहिए, 34 पृष्ठों में आठ प्रमुख वर्गों को शामिल करता है। बहुत व्यापक COBIT कार्यप्रणाली में 34 उच्च-स्तरीय नियंत्रण उद्देश्य और 318 विस्तृत नियंत्रण उद्देश्य हैं जिन्हें योजना और संगठित, अधिग्रहण और कार्यान्वयन, उद्धार और सहायता और निगरानी के क्षेत्रों में वर्गीकृत किया गया है। ये दिशानिर्देश व्यवसायों को आईटी प्रक्रियाओं, समग्र उपलब्धि और संगठनात्मक लक्ष्यों को नियंत्रित करने के लिए प्रबंधन की दिशा प्रदान करते हैं। COBIT के विपरीत, ISO 27001 में परिपक्वता मॉडल की सुविधा नहीं है, जो एक संगठन की प्रथाओं को स्थायी परिणाम कैसे प्रदान कर सकता है, इसका अवलोकन प्रदान करने का प्रयास करता है।

फोकस और कार्य

आईएसओ 27001 का संबोधन और ऑडिटिंग पर ध्यान एक प्रक्रिया ढांचे के बजाय कार्यप्रणाली को एक नियंत्रण और प्रबंधन ढांचा बनाता है। यद्यपि यह COBIT के साथ इस संरचना को साझा करता है, आईएसओ 27001 का एक अधिक विशिष्ट लक्ष्य है - सुरक्षा - और इस प्रकार निम्न-स्तरीय प्रबंधन को पूरा करता है। COBIT कार्यप्रणाली एक उद्यम की शीर्ष-स्तरीय आवश्यकताओं को लक्षित करती है, जो आईटी नियंत्रण और मैट्रिक्स के माध्यम से समग्र व्यावसायिक अभिविन्यास में सुधार करना चाहती है। जैसे, COBIT उच्च-प्रबंधक जैसे कि वरिष्ठ प्रबंधक, IT प्रबंधक और लेखा परीक्षक को पूरा करता है।

विचार

ISO 27001 और COBIT को एक दूसरे के साथ प्रतिस्पर्धा करने की आवश्यकता नहीं है। वास्तव में, दो फ्रेमवर्क एक दूसरे के पूरक हैं: जबकि आईएसओ 27001 सुरक्षा को लक्षित करता है, COBIT "छतरी" फ्रेमवर्क के एक प्रकार के रूप में कार्य करता है जो आईएसओ 27001 और अन्य आईटी शासन ढांचे जैसे कि PMBOK और SEI CMM को जोड़ने में मदद करता है। दोनों प्रणालियां "कैसे" डेटा के बजाय "क्या" प्रदान करती हैं, जिसका अर्थ है कि वे आउटपुट को पहचानते हैं और मापते हैं और दिशा का सुझाव देते हैं, लेकिन कहा दिशा को आगे बढ़ाने के लिए तरीके नहीं देते हैं। ITIL जैसे फ्रेमवर्क, COBIT और ISO 27001 के पूरक भी हैं, "कैसे" के प्रश्न का उत्तर दें। IT शासन की दुनिया में, आप अक्सर ISO 17799 शब्द में चलेंगे। इस पद्धति को BS7799 भी कहा जाता है। आईएसओ 27001 के लिए अग्रदूत, जो अपनी अधिकांश नींव रखता है।