Iso 27001 Vs Cobit

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

J’ai récemment assisté à un certain nombre de conférences sur la gestion des services informatiques et j’ai entendu des personnes expliquer pourquoi leur organisation devrait utiliser ITIL ou COBIT plutôt que ISO. L’ISO est un peu plus confuse, car en 2007, il y a eu un changement de nom des documents ISO sur la sécurité des TI de la série 27000 du catalogue de documentation de l’ISO (ISO 17799 a été renommée et rebaptisée ISO 27002). Pour ajouter à la confusion possible, l’ISO-27002 est le document de soutien de l’Organisation internationale de normalisation de la sécurité de l’information (IOS). C’est du NIST et de l’ISO qu’est venue l’idée de demander aux experts en cybersécurité quel cadre de meilleures pratiques ils préfèrent. [Sources : 10,0,0,0]

ISO, vous pouvez répondre à ce qui est géré, par opposition à la manière dont ITIL y répond, de la même manière que COBIT. ISO en tant que norme pour la gestion des services informatiques et les outils et solutions de gestion des services informatiques, et en tant qu’exemple de réponse à ITIL, mais pas autant qu’IOS quant à ce qui est géré. [Sources : 8,8]

La norme ISO 27001 énumère 114 contrôles de sécurité qui devraient être pris en compte, et la norme ISO 27002 qui l’accompagne sert de code de conduite qui fournit des lignes directrices sur la façon dont une organisation pourrait mettre en œuvre ces contrôles de sécurité. En termes simples, elle définit les exigences d’audit qu’une organisation doit suivre et énumère les 114 contrôles qu’elle doit prendre en compte. Le guide d’audit, qui décrit les contrôles que l’organisation doit prendre en compte, comprend huit grandes sections sur 34 pages. Toutefois, la norme ISO27002 fournit un ensemble de lignes directrices pour la mise en œuvre, la maintenance et l’entretien du SMSI que les personnes doivent respecter afin de soutenir la norme ISO 26001. ISO pour définir, mettre en œuvre, maintenir, améliorer et perfectionner les meilleures pratiques décrites dans la norme ISO 17799. [Sources : 6,7,1,4]

La norme ISO 27001 est un guide pour la mise en place d’un système de gestion de la sécurité et décrit la manière dont une organisation organise et surveille ses opérations informatiques. L’annexe A contient les contrôles de sécurité nécessaires à l’établissement d’un système de gestion de la sécurité de l’information (SGSI), et la norme ISO 27002 contient de nombreux détails sur la signification réelle de ces contrôles et fournit les contrôles spécifiques nécessaires à leur mise en œuvre effective. La norme ISO 27001 définit comment la sécurité de l’information peut être mise en œuvre et quelles sont les meilleures pratiques requises pour leur mise en œuvre au sein d’une organisation. [Sources : 7,11,0,5]

Vous pouvez télécharger le livre vert pour découvrir comment le cadre de cybersécurité du NIST et la norme ISO 27001 peuvent fonctionner ensemble et comment ces cadres peuvent contribuer à protéger votre organisation. Les outils logiciels suivants vous donneront certainement un coup de pouce et vous pourrez intégrer ces contrôles directement dans votre système de gestion de la sécurité informatique (SGSI) et COBIT (système de gestion de la sécurité de l’information). Là encore, cet outil vous aidera à mettre en œuvre les meilleures pratiques et les meilleures pratiques de sécurité au sein de votre système de sécurité de l’information. [Sources : 2,2,2,9]

Si le cadre de sécurité le plus courant est le NIST Cybersecurity Framework et le COBIT (Information Security Management System), tout tourne autour de leur orientation. La norme ISO 27002 fournit les meilleures pratiques et les meilleures pratiques de sécurité, qui sont le plus souvent mises en œuvre à l’aide de la norme ISO 27001. Vous pouvez en savoir plus sur les avantages de la norme ISO 26001 dans cet article du site Web du National Institute of Standards and Technology. Sources : 12,8,0]

Les deux cadres fonctionnent de manière différente, mais la plus grande différence entre les deux est que l’ISO 27001 concerne principalement la sécurité, tandis que COBIT 2019 est un cadre de gouvernance global. La soc 2 de l’ISO27001 couvre beaucoup des mêmes questions, notamment les procédures, les politiques et les technologies développées pour protéger les informations sensibles. Cependant, par rapport au NIST Cybersecurity Framework, l’ISO 26001 se concentre principalement sur le contrôle de la sécurité de l’information, tandis que CObit, qui est un cadre de gouvernance, couvre également un large éventail de questions liées à l’ISO 29001, telles que la gestion du changement, la conformité, la gouvernance, la protection des données, etc. [Sources : 7,12,3]

C’est légèrement différent, mais c’est seulement lorsque ces contrôles sont appliqués à l’organisation qu’elle doit les assumer, et non l’inverse, selon CObit. Sources : 3]

Alors qu’ITIL et ISO 27002 se concentrent uniquement sur la sécurité de l’information, COBIT permet un éventail beaucoup plus large d’applications qui prennent en compte le processus de gestion de l’informatique et les processus de gestion de l’informatique. D’autre part, ISO / IEC 20000, qui fournit des lignes directrices sur ce qu’une organisation informatique devrait faire, fournit des informations beaucoup plus détaillées sur la façon de mettre en place, ce qu’il faut faire réellement, tandis que CObit 5 ne fournit pas beaucoup de détails sur le processus de mise en œuvre impliqué dans la mise en place de cette organisation. ITil et ISO 27001 partagent une même structure, mais ont un objectif de sécurité plus spécifique que le CO BIT. Bien que l’ITIS et l’ISEC-27002 se concentrent tous deux uniquement sur la sécurité de l’information, le fait que COBIT partage la structure et se concentre sur la gestion des opérations et des processus informatiques peut permettre une portée beaucoup plus grande et permettre de prendre en compte les processus de gestion informatique et la sécurité informatique. [Sources : 4,8,8,10]

Cependant, la norme ISO 27001 est principalement destinée aux sociétés de certification. Elle est très bien alignée avec la norme ISO 27002 et offre aux organisations une voie de certification. Pour en savoir plus, lisez cet article pour approfondir les différences entre ITIS et ISEC-27002, ainsi qu’entre CObit 5 et ITIL. Sources : 8,12]

Sources: 

  • 0] : https://www.complianceforge.com/faq/nist-800-53-vs-iso-27002-vs-nist-csf.html
  • 1] : https://www.bankinfosecurity.com/iso-17799-27001-setting-standards-for-information-security-a-165
  • 2] : https://www.commandhound.com/accountability/the-top-3-compliance-software-tools-to-get-iso-27001-or-cobit-done/
  • [3] : https://www.itgovernance.eu/blog/en/iso-27001-vs-soc-2-certification-whats-the-difference
  • [5] : https://www.ipswitch.com/resources/best-practices/security-and-compliance-frameworks
  • [6] : https://grcmusings.com/a-beginners-guide-to-information-security-frameworks/
  • [7] : https://blog.compliancecouncil.com.au/blog/iso-27001-vs-cobit-2019
  • [8] : https://burcincelik.wordpress.com/2016/03/03/the-interactions-in-between-itil-cobit-and-iso-27001/
  • [9] : https://www.itgovernanceusa.com/iso27001-and-nist
  • [10] : https://freshservice.com/itil/itil-cobit-blog/
  • [11] : https://abdulkadirerkmen.wordpress.com/2016/03/04/interactions-in-between-itil-cobit-and-iso27001/