Alle ledelsessystemer baseret på ISO-standarder har én ting til fælles: cyklussen af PDCA (Plan, Do, Check, and Act), som kan gøre det nemmere at integrere og opnå forskellige ISO-standarder i en organisation.
Da disse ledelsessystemer deler lignende processer, kan de implementeres på en samlet måde. Denne strømlinede tilgang afspejles i ISO/IEC 27013-rammen, som blev oprettet for at give vejledning til organisationer om, hvordan man integrerer krav til informationssikkerhed og servicestyringssystem.
Den Internationale Standardiseringsorganisation (ISO) opretholder en lang række standarder som et internationalt organ. Generelt repræsenterer standarderne konsensus blandt eksperter fra hele verden om spørgsmål, der vedrører deres områder. Det ISO 27000 serie er en af de vigtigste standarder for informationssikkerhed. Denne serie af standarder giver en ramme for håndtering af informationssikkerhedsrisici.
ISO 27013-standarden fastlægger kravene til en organisation til at implementere Information Security Management System (ISMS) og Service Management System (SMS). ISO / IEC 27001 er en standard, der definerer informationssikkerhedsstyringssystemer (ISMS) der giver organisationer en kraftfuld ramme for implementering af bedste praksis og retningslinjer for cybersikkerhed.
ISO/IEC 20000-1 er en international ramme for IT-servicestyring, der giver organisationer mulighed for at sikre, at deres IT-servicestyringssystemer er kompatible med forretningsbehov.
ISO 27013-standarden blev oprettet for at hjælpe organisationer med at implementere både ISO 27001 og ISO 20000-1 samtidigt eller med at implementere en, hvor en anden allerede er på plads. Ved at gøre det kan virksomheder maksimere kundeloyalitet, opnå en strategisk fordel, forbedre virksomhedens drift og over tid realisere betydelige omkostningsbesparelser.
Et ISMS er et informationssikkerhedsstyringssystem. Dette er en ramme for implementering sikkerhedsinitiativer såsom adgangskontrol, hændelsesrespons, overvågning, sikkerhedstræning og meget mere. An ISMS omtales nogle gange som ISO 27001 efter den internationale standard, der bruges til denne ramme.
Den beskriver og demonstrerer din organisations tilgang til informationssikkerhed. Disse systemer kan implementeres på en række forskellige måder afhængigt af din virksomhed.
Det er vigtigt at forstå, hvad et ISMS er, og hvilke funktioner det tjener opnå overensstemmelse med ISO 27001, ifølge det amerikanske udenrigsministerium. I henhold til ISO 27001-standarden skal alle organisationer have implementeret et informationssikkerhedsstyringssystem.
IT Service Management, mest kendt som ITSM, er en konsensus inden for IT-branchen om, hvordan tjenester leveres til kunder. Kort sagt er ITSM en ramme til at levere og understøtte it-tjenester. Den praksis, der definerer ITSM, kan bruges i enhver organisation uanset størrelse, type teknologi eller niveau af forretningsaktivitet.
ITSM muliggør effektiv og effektiv levering af it-tjenester til interne eller eksterne kunder. En IT-service er ethvert produkt, der leveres til en kunde og kan finansieres, udføres eller indkøbes som en IT-service.
Det er i bund og grund en ledelsesramme, der hjælper dig med at administrere og organisere alle aspekter af levering af tjenester på en effektiv, effektiv, pålidelig og sikker måde tilpasset kundens behov og forventninger. ISO 20000-1 er standarden for IT-servicestyringssystemer (ITSM) og fastlagte retningslinjer for ekstern parts certificeringsrevision. Målet med ISO 20000-1 er den strategiske tilpasning af ITSM til andre IT-aktiviteter, processer og ressourcer.
ISO/IEC 27001 og ISO/IEC 20000-1 er to standarder, der deler en lang række komponenter og mål, samt det kritiske princip om løbende forbedringer. Derfor vil det være den optimale løsning at integrere implementeringen af et servicestyringssystem (SMS) og et informationssikkerhedsstyringssystem (ISMS).
Dette er PDCA-punkterne fra ISO 27001 og ISO 20000, der kan integreres under implementeringen af ISO 27013:
Angiver interne retningslinjer for det integrerede systems administration.
Alt personale, der ville blive berørt af implementeringen af det integrerede ledelsessystem, skal have tilstrækkelig uddannelse i informationssikkerhed og serviceledelse.
Intern og ekstern korrespondance om den integrerede ledelsesramme skal udføres i overensstemmelse med definerede retningslinjer (normalt defineret som kommunikationsprotokol).
Definerer de mål, der skal opnås gennem implementeringen af det integrerede system. Dette vil også omfatte etablering af visse benchmarks til at afgøre, om målene er nået.
Fastlægger ansvaret for styring af det integrerede system. Typisk refererer dette udtryk til den person, der er ansvarlig for det integrerede system. Derudover vil der blive dannet et team, der inkluderer den øverste ledelse som det primære medlem til integration af ledelsessystemet.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
Der skal sørges for kontrol og styring af det integrerede systems dokumentation og registreringer.
For ISO 27001 skal der indføres målinger for at vurdere effektiviteten af sikkerhedskontroller. For ISO 20000 skal der etableres metrics for at vurdere effektiviteten af protokoller.
Der vil blive gennemført en intern revision for at identificere potentielle afvigelser i det integrerede system og for at vurdere omfanget af overholdelse i forhold til standardkrav.
Organisationens topledelsen skal evaluere et sæt indgangspunkter til det integrerede ledelsessystem. De er forpligtet til at gøre visse resultater eller resultater som et resultat af analysen.
Det integrerede systems ledelse vil etablere korrigerende og forebyggende foranstaltninger til behandling af identificerede afvigelser (sædvanligvis opdaget ved audit, gennemgange osv.).
Som vi kan se, er både ISO 27001 og ISO 20000-1 krav fuldstændig kompatible og kan problemfrit kombineres til at danne grundlaget for ISO 27013, hvilket resulterer i et integreret ledelsessystem, der sikrer sammenhængen og sikkerheden i virksomhedens processer og tjenester, og dermed øges kundetilfredshed.
ISO 27013-standarden giver instruktioner om, hvordan man integrerer ISO 27001 og ISO 20000-1 på en automatiseret måde for organisationer, der planlægger at:
Denne standards anvendelsesområde omfatter to ISO/IEC JTC1-underudvalg. SC 27 og SC 7 arbejdede for at sikre, at synspunkterne om informationsteknologi og IT-serviceledelse blev behandlet tilstrækkeligt.
ISO 27013-standarden giver også vejledning om planlægning og prioritering af opgaver, herunder følgende:
Book en skræddersyet hands-on session baseret på dine behov og mål.
Før du planlægger et avanceret ledelsessystem, bør organisationen have et solidt kendskab til funktionerne, lighederne og skelnen mellem ISO/IEC 27001 og ISO/IEC 20000-1. Dette reducerer betydeligt mængden af tid og penge, der kræves til implementering. ISO 27013-standardklausulerne 4.2 til 4.4 giver et overblik over de vigtigste principper bag alle specifikationer, men bør ikke træde i stedet for en detaljeret analyse.
ISO/IEC 27001 etablerer, implementerer, driver, overvåger, gennemgår, vedligeholder og forbedrer et informationssikkerhedsstyringssystem (ISMS) for at beskytte informationsaktiver. Begrebet "informationsaktiver" henviser til data af enhver form, lagret i ethvert medie, og brugt af eller inde i organisationen uanset årsag.
For at overholde ISO/IEC 27001 skal en organisation vedtage et informationssikkerhedsstyringssystem (ISMS) baseret på en risikovurderingsmetode til at identificere trusler mod information aktiver. Virksomheden bør vælge, vedtage, evaluere og gense en række risikostyringsprogrammer som en del af denne funktion. Disse kaldes kontroller.
Organisationen bør etablere passende acceptable risikostandarder under hensyntagen til markedsforhold og eksternt pålagte ting. Lovmæssige og administrative krav samt kontraktlige forpligtelser er eksempler på eksternt pålagte krav.
ISO/IEC 20000-1 gælder for organisationer eller segmenter af organisationer, der bruger eller tilbyder tjenester. Dette øger både kundens og serviceudbyderens værdi. Standarden kræver dog, at serviceudbyderen overvåger alle processer, der er påvirket af standarden, og kun serviceudbyderen er i stand til at opnå overholdelse af ISO/IEC 20000-1.
Standardens primære formål er at sikre, at udbydere lever op til kvalitetsstandarder og giver værdi til både brugeren og tjenesteudbyderen. Service ledelsen styrer og kontrollerer en tjenesteudbyders drift og ressourcer i planlægningen, produktion, overførsel, implementering og udvidelse af tjenester for at imødekomme kundens krav(er).
For at overholde standardens specifikationer skal tjenesteudbyderen indarbejde en række relevante servicestyringsprocesser. Disse omfatter, men er ikke begrænset til, incident management, forandringsledelse og problemhåndtering. Informationssikkerhedsstyring er en servicestyringsproces specificeret i ISO/IEC 20000-1.
Ofte håndteres servicestyring og informationssikkerhedsstyring, som om de ikke er relaterede eller uløseligt forbundne. Konteksten for denne skelnen er, at selvom serviceledelse let forbindes med kvalitet og ydeevne, overses ledelse af informationssikkerhed ofte som en nødvendig komponent i effektiv servicelevering. Som en konsekvens heraf er service management ofte den første komponent, der introduceres.
Men talrige kontrolmål og sikkerhedsforanstaltninger defineret i ISO/IEC 27001, Bilag A, er også inkluderet i ISO/IEC 20000-1 servicestyringskravene.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Implementering af en avanceret ledelsesramme som ISO 27013, der tager hensyn til både de tilbudte tjenester og sikkerheden af informationsaktiver, vil give en række fordele.
Følgende er nogle af de vigtigste fordele ved at implementere ISO 27001 og ISO 20000-1 sammen:
Med disse fordele i tankerne er det indlysende, at en automatiseret tilgang til SMS- og ISMS-implementering er en god idé.
Enhver organisation, der opererer i den fysiske verden, har en stor chance for at blive påvirket af et cyberangreb. Faktum er, at vi ikke er så sikre, som vi måske tror. Faktisk giver ISMS-implementering virksomheder mere beskyttelse, end de er klar over. Hvert år bliver vores liv mere sammenflettet med teknologi, og derfor øges vores afhængighed af den.
Af denne grund skal revisorer, samt organisationer, der implementerer informationssikkerhed og/eller servicestyringsprogrammer, og organisationer, der deltager i auditøruddannelse og certificering eller akkreditering af ledelsessystem, bør overveje den integrerede implementering af ISO 27001 og ISO 20000-1.
En organisation, der overvejer at implementere både ISO/IEC 27001 og ISO/IEC 20000-1, kan klassificeres i tre kategorier:
En organisation, der overvejer at implementere et integreret ledelsessystem, bør tage følgende i betragtning:
Her på ISMS.online, hjælper vi virksomheder med at gøre det rigtige ved at levere værktøjer og ressourcer til, at de kan køre et integreret ledelsessystem i overensstemmelse med ISO 27013-standarden. ISMS.online er en online softwareløsning der giver brugerne mulighed for at demonstrere over for deres kunder, tilsynsmyndigheder og revisorer, at de har et klagehåndteringssystem.
Vores kraftfulde cloud-baserede software giver dig mulighed for at tjekke dine processer for at sikre, at de er i overensstemmelse med kravene i ISO 27013-standarden. Faktisk er vores system en af de mest praktiske, nemme at bruge og omfattende veje til ISMS succes.
ISMS.online giver også en Virtual Coach, der tilbyder 24/7 kontekstspecifik support. Du kan chatte med os fra inden for vores platform og du vil aldrig tage det forkerte skridt eller fare vild. Ring til ISMS.online på +44 (0)1273 041140 for at finde ud af mere om, hvordan vores platform kan hjælpe dig med at køre et integreret ledelsessystem, der opfylder kravene til ISO 27013.
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.
Samarbejd nemt, skab og vis, at du til enhver tid er på toppen af din dokumentation
Find ud af mereHåndter ubesværet trusler og muligheder og rapporter dynamisk om ydeevne
Find ud af mereTræf bedre beslutninger og vis, at du har kontrol med dashboards, KPI'er og relateret rapportering
Find ud af mereGør let arbejde med korrigerende handlinger, forbedringer, revisioner og ledelsesgennemgange
Find ud af mereGiv et lys over kritiske relationer og sammenkæde områder som aktiver, risici, kontroller og leverandører elegant
Find ud af mereVælg aktiver fra Asset Bank og opret dit Asset Inventory med lethed
Find ud af mereUd af boksen integrationer med dine andre vigtige forretningssystemer for at forenkle din overholdelse
Find ud af mereTilføj pænt andre områder af overholdelse, der påvirker din organisation for at opnå endnu mere
Find ud af mereEngager personale, leverandører og andre med dynamisk end-to-end compliance til enhver tid
Find ud af mereAdministrer due diligence, kontrakter, kontakter og relationer i løbet af deres livscyklus
Find ud af mereVisuelt kortlægge og administrere interesserede parter for at sikre, at deres behov bliver klart tilgodeset
Find ud af mereStærkt privatliv ved design og sikkerhedskontrol, der matcher dine behov og forventninger
Find ud af mereVi har alt hvad du behøver for at designe, bygge og implementere dit første ISMS.
Vi hjælper dig med at få mere ud af det infosec-arbejde, du allerede har udført.
Med vores platform kan du bygge ISMS din organisation virkelig har brug for.
100 % af vores brugere opnår ISO 27001-certificering første gang