مقارنة بين آيزو 27001 و كوبت

غالبًا ما نواجه مناقشات تتعلق بمقارنات بين معايير وأطر الحوكمة المختلفة ، مثل ISO 27001 و COBIT. يركز ISO 27001 على ضوابط أمان المع...

مقارنة بين آيزو 27001 و كوبت

غالبًا ما نواجه مناقشات تتعلق بمقارنات بين معايير وأطر الحوكمة المختلفة ، مثل ISO 27001 و COBIT. يركز ISO 27001 على ضوابط أمان المعلومات ، بينما من ناحية أخرى ، يتضمن COBIT ، وهو إطار عمل للحوكمة ، أيضًا بعض الموضوعات المتعلقة بـ ISO 27001 مثل الأمان والمخاطر وإدارة التغييرات وما إلى ذلك في مجالاته. تشرح هذه المقالة التعريف وأوجه التشابه والاختلاف بين ISO 27001 و COBIT.

COBIT (أهداف التحكم للمعلومات والتقنيات ذات الصلة) هو إطار عمل لإدارة وحوكمة تكنولوجيا المعلومات تديره ISACA (جمعية تدقيق ومراقبة نظم المعلومات).

ISO 27001 هو معيار ISO الذي يصف كيفية إدارة أمن المعلومات في المؤسسة.

ما هو COBIT؟

COBIT (أهداف التحكم للمعلومات والتقنيات ذات الصلة) هو إطار عمل لإدارة وحوكمة تكنولوجيا المعلومات تديره ISACA (جمعية تدقيق ومراقبة نظم المعلومات). يوفر ضوابط قابلة للتنفيذ على تكنولوجيا المعلومات ، منظمة في العمليات المتعلقة بتكنولوجيا المعلومات ، والتي تدعم تلبية متطلبات العمل هذه:

     الاستخدام الفعال للمعلومات ، مع مراعاة الملاءمة والوقت وظروف التسليم
     التخصيص الفعال للموارد
     السرية ، لحماية المعلومات من الوصول والكشف غير المصرح به
     سلامة محتوى المعلومات
     التوفر عند طلب العمليات التجارية
     الامتثال للمتطلبات القانونية
     موثوقية المعلومات المستخدمة في اتخاذ القرارات

تم نشر الإصدار الحالي من إطار عمل عمليات COBIT في عام 2019. على غرار الإصدار السابق ، تم تقسيم COBIT 2019 إلى خمسة مجالات:

     التقييم والتوجيه: تتضمن الحوكمة الفعالة لتكنولوجيا المعلومات تحديد الأهداف التنظيمية وتقييمها وتحديد أولوياتها وتوجيهها
     التخطيط والتنظيم: استخدام تكنولوجيا المعلومات لمساعدة المنظمة على تحقيق أهدافها
     الاستحواذ والتنفيذ: الحصول على حلول تكنولوجيا المعلومات ، وتكاملها مع العمليات التجارية ، والصيانة اللازمة لضمان استمرار هذه الحلول في تلبية احتياجات العمل
     التسليم والدعم: التركيز على تنفيذ التطبيقات ونتائجها بطريقة فعالة وفعالة ؛ كما أنه يغطي الاحتياجات الأمنية والتدريبية
     المراقبة والتقييم: يوفر ضمانًا بأن حلول تكنولوجيا المعلومات تحقق أهدافها وتتوافق مع القضايا القانونية

لكل عملية ، يحدد COBIT المدخلات والمخرجات والأنشطة الرئيسية والأهداف ومقاييس الأداء. على الرغم من أن COBIT لديها المزيد من التفاصيل من حيث العمليات ، إلا أنها لا تزال تفتقر إلى التفاصيل الفنية لدعم التنفيذ.

وماذا عن ISO 27001؟

ISO 27001 هو معيار ISO الذي يصف كيفية إدارة أمن المعلومات في المؤسسة. يتكون من 11 بندًا في الجزء الرئيسي من المعيار ، و 114 عنصر تحكم أمان مجمعة في 14 قسمًا في الملحق أ. بنود ISO 27001: 2013 من الجزء الرئيسي من المعيار هي:

     4 - سياق التنظيم
     5 - القيادة
     6 - التخطيط
     7 - الدعم
     8 - العملية
     9- تقييم الأداء
     10- التحسين المستمر

يغطي الملحق أ ISO 27001: 2013 الضوابط المتعلقة بالهيكل التنظيمي (المادي والمنطقي) ، والموارد البشرية ، وتكنولوجيا المعلومات ، وإدارة الموردين ، إلخ.

للحصول على معلومات مفصلة ، اقرأ: نظرة أولى على ISO 27001 الجديد ونظرة عامة على ISO 27001: 2013 الملحق أ.

أحد قيود ISO 27001 هو أنه لا يقدم تفاصيل حول ما يجب القيام به للوفاء بالمتطلبات أو تنفيذ الضوابط ، فقط حول ما تحتاج إلى تحقيقه. لمزيد من التفاصيل ، يمكنك استخدام ISO 27002 كدليل. لمزيد من المعلومات ، اقرأ: ISO 27001 مقابل ISO 27002.

الفرق الرئيسي بين COBIT و ISO 27001

يتمثل الاختلاف الرئيسي بين ISO 27001 و COBIT في أن الأول مخصص فقط لغرض أمن المعلومات ، والثاني مخصص لإدارة وحوكمة عمليات أعمال تكنولوجيا المعلومات.

يمكننا اعتبار COBIT مظلة أو مجموعة شاملة تركز على إدارة تكنولوجيا المعلومات (IT) والحوكمة. لا يتحدث COBIT عن الأمن في المؤسسة فحسب ، بل يشمل أيضًا الطريقة التي تنظم بها المنظمة وترتبها وتشرف على تنظيم عمليات تكنولوجيا المعلومات. ويشمل جميع ضوابط تكنولوجيا المعلومات والتدابير والعمليات. يساعد المنظمة على تعيين أهداف العمل الخاصة بها لأهداف تكنولوجيا المعلومات الخاصة بها. كما أنه يوفر القياسات ويوفر نماذج النضج لقياس إنجاز المؤسسة. بالإضافة إلى ذلك ، فهي تساعد في تحديد المسؤوليات التجارية الرئيسية للمؤسسة ومالكي عمليات تكنولوجيا المعلومات.

من ناحية أخرى ، يعد ISO 27001 معيارًا دوليًا لأنظمة إدارة أمن المعلومات. يركز على إجراء تقييم للمخاطر ثم تطبيق ضوابط أمنية محددة لحماية أصول المعلومات الهامة للمؤسسة.

الفوائد

الفائدة الرئيسية من تطبيق ISO 27001 هي نظام إدارة أمن المعلومات النظامي الذي يساعد في تحديد المعلومات الهامة ، وتقييم مخاطر أمن المعلومات للنظام ، وتنفيذ ضوابط الأمان ، وكلها تساعد في خلق ثقافة آمنة في منظمة.

يعتبر ISO 27001 مفيدًا للمؤسسة من حيث الأمان ، بينما يساعد COBIT ، من ناحية أخرى ، المؤسسة على اتباع نهج منظم وفي تحقيق أهداف أداء المنظمة. تشمل بعض الفوائد الأخرى لـ COBIT تلبية جميع الاحتياجات التنظيمية ، مثل احتياجات أصحاب المصلحة ، واستخدام الابتكار والتكنولوجيا.

كيف ترتبط ISO 27001 و COBIT

يتكون ISO 27001 من 11 بندًا رئيسيًا (7 منها إلزامية) ، و 114 ضوابط في الملحق أ (يتم اختيارها بناءً على نتائج إدارة المخاطر). يعتمد COBIT 2019 على نموذج أساسي من 40 هدفًا إداريًا في خمس فئات. هذه هي الطريقة التي ترتبط بها ISO 27001 و COBIT.

أي واحد تختار؟

كما هو موضح في هذه المقالة ، فإن ISO 27001 هو معيار دولي يركز فقط على الأمن ، بينما COBIT له نطاق أوسع ، مع التركيز على حوكمة تكنولوجيا المعلومات ، على الرغم من أن الأمن هو أيضًا جزء من إطار العمل.

ومن ثم ، إذا كان هدفك هو حماية أصول المعلومات الخاصة بمؤسستك من خلال تنفيذ ضوابط أمان مناسبة وذات صلة ، فانتقل إلى تطبيق ISO 27001. ومع ذلك ، إذا كنت تبحث عن نموذج لإدارة وإدارة تكنولوجيا المعلومات لمالكي عمليات الأعمال والمديرين لتحسين إدارة عمليات الأعمال ، مع تعزيز القيمة المقدمة من أعمال تكنولوجيا المعلومات الخاصة بك وإدارة مخاطر تكنولوجيا المعلومات ، ثم انتقل إلى إطار عمل COBIT.