ISO/IEC 27013 ISMS & ITIL/service management

Hvad er ISO 27013-standarden?

Den Internationale Standardiseringsorganisation (ISO) opretholder en lang række standarder som et internationalt organ. Generelt repræsenterer standarderne konsensus blandt eksperter fra hele verden om spørgsmål, der vedrører deres områder. Det ISO 27000 serie er en af ​​de vigtigste standarder for informationssikkerhed. Denne serie af standarder giver en ramme for håndtering af informationssikkerhedsrisici.

ISO 27013-standarden fastlægger kravene til en organisation til at implementere Information Security Management System (ISMS) og Service Management System (SMS). ISO / IEC 27001 er en standard, der definerer informationssikkerhedsstyringssystemer (ISMS) der giver organisationer en kraftfuld ramme for implementering af bedste praksis og retningslinjer for cybersikkerhed.

ISO/IEC 20000-1 er en international ramme for IT-servicestyring, der giver organisationer mulighed for at sikre, at deres IT-servicestyringssystemer er kompatible med forretningsbehov.

ISO 27013-standarden blev oprettet for at hjælpe organisationer med at implementere både ISO 27001 og ISO 20000-1 samtidigt eller med at implementere en, hvor en anden allerede er på plads. Ved at gøre det kan virksomheder maksimere kundeloyalitet, opnå en strategisk fordel, forbedre virksomhedens drift og over tid realisere betydelige omkostningsbesparelser.

Hvad er en ISMS?

Et ISMS er et informationssikkerhedsstyringssystem. Dette er en ramme for implementering sikkerhedsinitiativer såsom adgangskontrol, hændelsesrespons, overvågning, sikkerhedstræning og meget mere. An ISMS omtales nogle gange som ISO 27001 efter den internationale standard, der bruges til denne ramme.

Den beskriver og demonstrerer din organisations tilgang til informationssikkerhed. Disse systemer kan implementeres på en række forskellige måder afhængigt af din virksomhed.

Det er vigtigt at forstå, hvad et ISMS er, og hvilke funktioner det tjener opnå overensstemmelse med ISO 27001, ifølge det amerikanske udenrigsministerium. I henhold til ISO 27001-standarden skal alle organisationer have implementeret et informationssikkerhedsstyringssystem.

Hvad er IT Service Management?

IT Service Management, mest kendt som ITSM, er en konsensus inden for IT-branchen om, hvordan tjenester leveres til kunder. Kort sagt er ITSM en ramme til at levere og understøtte it-tjenester. Den praksis, der definerer ITSM, kan bruges i enhver organisation uanset størrelse, type teknologi eller niveau af forretningsaktivitet.

ITSM muliggør effektiv og effektiv levering af it-tjenester til interne eller eksterne kunder. En IT-service er ethvert produkt, der leveres til en kunde og kan finansieres, udføres eller indkøbes som en IT-service.

Det er i bund og grund en ledelsesramme, der hjælper dig med at administrere og organisere alle aspekter af levering af tjenester på en effektiv, effektiv, pålidelig og sikker måde tilpasset kundens behov og forventninger. ISO 20000-1 er standarden for IT-servicestyringssystemer (ITSM) og fastlagte retningslinjer for ekstern parts certificeringsrevision. Målet med ISO 20000-1 er den strategiske tilpasning af ITSM til andre IT-aktiviteter, processer og ressourcer.

Integreret implementering af ISO 27001 og ISO 20000-1 Baseret på ISO 27013

ISO/IEC 27001 og ISO/IEC 20000-1 er to standarder, der deler en lang række komponenter og mål, samt det kritiske princip om løbende forbedringer. Derfor vil det være den optimale løsning at integrere implementeringen af ​​et servicestyringssystem (SMS) og et informationssikkerhedsstyringssystem (ISMS).

Dette er PDCA-punkterne fra ISO 27001 og ISO 20000, der kan integreres under implementeringen af ​​ISO 27013:

Politik

Angiver interne retningslinjer for det integrerede systems administration.

Kurser

Alt personale, der ville blive berørt af implementeringen af ​​det integrerede ledelsessystem, skal have tilstrækkelig uddannelse i informationssikkerhed og serviceledelse.

Kommunikation

Intern og ekstern korrespondance om den integrerede ledelsesramme skal udføres i overensstemmelse med definerede retningslinjer (normalt defineret som kommunikationsprotokol).

Definition af mål

Definerer de mål, der skal opnås gennem implementeringen af ​​det integrerede system. Dette vil også omfatte etablering af visse benchmarks til at afgøre, om målene er nået.

Definition af ansvarsområder

Fastlægger ansvaret for styring af det integrerede system. Typisk refererer dette udtryk til den person, der er ansvarlig for det integrerede system. Derudover vil der blive dannet et team, der inkluderer den øverste ledelse som det primære medlem til integration af ledelsessystemet.

Kontrol af dokumenter og optegnelser

Der skal sørges for kontrol og styring af det integrerede systems dokumentation og registreringer.

Metrics

For ISO 27001 skal der indføres målinger for at vurdere effektiviteten af ​​sikkerhedskontroller. For ISO 20000 skal der etableres metrics for at vurdere effektiviteten af ​​protokoller.

Intern revision

Der vil blive gennemført en intern revision for at identificere potentielle afvigelser i det integrerede system og for at vurdere omfanget af overholdelse i forhold til standardkrav.

Ledelsesgennemgang

Organisationens topledelsen skal evaluere et sæt indgangspunkter til det integrerede ledelsessystem. De er forpligtet til at gøre visse resultater eller resultater som et resultat af analysen.

Løbende forbedringer

Det integrerede systems ledelse vil etablere korrigerende og forebyggende foranstaltninger til behandling af identificerede afvigelser (sædvanligvis opdaget ved audit, gennemgange osv.).

Som vi kan se, er både ISO 27001 og ISO 20000-1 krav fuldstændig kompatible og kan problemfrit kombineres til at danne grundlaget for ISO 27013, hvilket resulterer i et integreret ledelsessystem, der sikrer sammenhængen og sikkerheden i virksomhedens processer og tjenester, og dermed øges kundetilfredshed.

Omfang og formål med ISO 27013-standarden

ISO 27013-standarden giver instruktioner om, hvordan man integrerer ISO 27001 og ISO 20000-1 på en automatiseret måde for organisationer, der planlægger at:

• Implementer ISO/IEC 27001 efter vedtagelse af ISO/IEC 20000-1 eller omvendt; implementere ISO/IEC 27001 og ISO/IEC 20000-1 samtidigt eller
• Tilpas og integrer tidligere implementerede ISO/IEC 27001 og ISO/IEC 20000-1 ledelsessystemer.

Denne standards anvendelsesområde omfatter to ISO/IEC JTC1-underudvalg. SC 27 og SC 7 arbejdede for at sikre, at synspunkterne om informationsteknologi og IT-serviceledelse blev behandlet tilstrækkeligt.

ISO 27013-standarden giver også vejledning om planlægning og prioritering af opgaver, herunder følgende:

• Justering af mål for informationssikkerhed, serviceadministration og forbedring;
• Koordinering af samarbejdsopgaver, hvilket resulterer i en mere koordineret og afstemt ramme;
• Oprettelse af en samling af protokoller og understøttende dokumentation (politikker, praksis osv.);
• Fælles terminologi og mål;
• Tilvejebringelse af fordele til tjenesteudbydere og kunder som følge af konvergensen af ​​alle kontrolsystemer; og
• Samtidig revision af alle kontrolprocesser, hvilket resulterer i udgiftsbesparelser.

Forståelse af ISO 27001 og ISO 20000-1 konceptet

Før du planlægger et avanceret ledelsessystem, bør organisationen have et solidt kendskab til funktionerne, lighederne og skelnen mellem ISO/IEC 27001 og ISO/IEC 20000-1. Dette reducerer betydeligt mængden af ​​tid og penge, der kræves til implementering. ISO 27013-standardklausulerne 4.2 til 4.4 giver et overblik over de vigtigste principper bag alle specifikationer, men bør ikke træde i stedet for en detaljeret analyse.

4.2 ISO/IEC 27001-koncepter

ISO/IEC 27001 etablerer, implementerer, driver, overvåger, gennemgår, vedligeholder og forbedrer et informationssikkerhedsstyringssystem (ISMS) for at beskytte informationsaktiver. Begrebet "informationsaktiver" henviser til data af enhver form, lagret i ethvert medie, og brugt af eller inde i organisationen uanset årsag.

For at overholde ISO/IEC 27001 skal en organisation vedtage et informationssikkerhedsstyringssystem (ISMS) baseret på en risikovurderingsmetode til at identificere trusler mod information aktiver. Virksomheden bør vælge, vedtage, evaluere og gense en række risikostyringsprogrammer som en del af denne funktion. Disse kaldes kontroller.

Organisationen bør etablere passende acceptable risikostandarder under hensyntagen til markedsforhold og eksternt pålagte ting. Lovmæssige og administrative krav samt kontraktlige forpligtelser er eksempler på eksternt pålagte krav.

4.3 ISO/IEC 20000-1 koncept

ISO/IEC 20000-1 gælder for organisationer eller segmenter af organisationer, der bruger eller tilbyder tjenester. Dette øger både kundens og serviceudbyderens værdi. Standarden kræver dog, at serviceudbyderen overvåger alle processer, der er påvirket af standarden, og kun serviceudbyderen er i stand til at opnå overholdelse af ISO/IEC 20000-1.

Standardens primære formål er at sikre, at udbydere lever op til kvalitetsstandarder og giver værdi til både brugeren og tjenesteudbyderen. Service ledelsen styrer og kontrollerer en tjenesteudbyders drift og ressourcer i planlægningen, produktion, overførsel, implementering og udvidelse af tjenester for at imødekomme kundens krav(er).

For at overholde standardens specifikationer skal tjenesteudbyderen indarbejde en række relevante servicestyringsprocesser. Disse omfatter, men er ikke begrænset til, incident management, forandringsledelse og problemhåndtering. Informationssikkerhedsstyring er en servicestyringsproces specificeret i ISO/IEC 20000-1.

4.4 Ligheder og forskelle

Ofte håndteres servicestyring og informationssikkerhedsstyring, som om de ikke er relaterede eller uløseligt forbundne. Konteksten for denne skelnen er, at selvom serviceledelse let forbindes med kvalitet og ydeevne, overses ledelse af informationssikkerhed ofte som en nødvendig komponent i effektiv servicelevering. Som en konsekvens heraf er service management ofte den første komponent, der introduceres.

Men talrige kontrolmål og sikkerhedsforanstaltninger defineret i ISO/IEC 27001, Bilag A, er også inkluderet i ISO/IEC 20000-1 servicestyringskravene.

Hvad er fordelene ved at implementere ISO/IEC 27013-standarden?

Implementering af en avanceret ledelsesramme som ISO 27013, der tager hensyn til både de tilbudte tjenester og sikkerheden af ​​informationsaktiver, vil give en række fordele.

Følgende er nogle af de vigtigste fordele ved at implementere ISO 27001 og ISO 20000-1 sammen:

• Øget troværdighed i at levere pålidelige og effektive it-tjenester til interne og eksterne kunder såvel som interessenter
• Enorme omkostningsbesparelser sammenlignet med at implementere hver enkelt separat.
• Tidsbesparelser på grund af eliminering af behovet for at skabe systemer, der er fælles for alle krav to gange.
• Processer, der er overflødige eller unødvendige, vil blive elimineret.
• Blandt serviceledelse og informationssikkerhedspersonale er der et større kendskab til både serviceledelse og informationssikkerhed.
• Enhver organisation, der har opnået ISO/IEC 27001-certificering, vil lettere opfylde ISO/IEC 20000-1-standarden for informationssikkerhed.

Med disse fordele i tankerne er det indlysende, at en automatiseret tilgang til SMS- og ISMS-implementering er en god idé.

Hvem skal implementere ISO 27013?

Enhver organisation, der opererer i den fysiske verden, har en stor chance for at blive påvirket af et cyberangreb. Faktum er, at vi ikke er så sikre, som vi måske tror. Faktisk giver ISMS-implementering virksomheder mere beskyttelse, end de er klar over. Hvert år bliver vores liv mere sammenflettet med teknologi, og derfor øges vores afhængighed af den.

Af denne grund skal revisorer, samt organisationer, der implementerer informationssikkerhed og/eller servicestyringsprogrammer, og organisationer, der deltager i auditøruddannelse og certificering eller akkreditering af ledelsessystem, bør overveje den integrerede implementering af ISO 27001 og ISO 20000-1.

Hvad er kravene til implementering af ISO 27013?

En organisation, der overvejer at implementere både ISO/IEC 27001 og ISO/IEC 20000-1, kan klassificeres i tre kategorier:

• De har ad hoc-styringsstrukturer, der omfatter både informationssikkerhedsstyring og servicestyring;
• De har en ledelsesramme baseret på en af ​​begge standarder;
• De har forskellige ledelsessystemer baseret på de to standarder, som ikke er integrerede (særskilte ledelsessystemer baseret på de to standarder).

En organisation, der overvejer at implementere et integreret ledelsessystem, bør tage følgende i betragtning:

• Ethvert andet ledelsessystem, der i øjeblikket er i drift;
• Alle tjenester, procedurer og deres indbyrdes sammenhænge inden for rammerne af det integrerede ledelsessystem;
• Karakteristika for hver standard, der kan fusioneres, og hvordan de kan fusioneres; Karakteristika, der skal forblive tydelige;
• Det integrerede ledelsessystems effekt på kunder, leverandører og andre interessenter;
• Det integrerede ledelsessystems indvirkning på teknologier i brug;
• Det integrerede ledelsessystems indvirkning på eller fare for tjenester og virksomhedsledelse;
• Det integrerede ledelsessystems indvirkning på eller risiko for informationssikkerhed;
• Informationssikkerhedsstyring, uddannelse og uddannelse;
• Det integrerede ledelsessystems faser og tidslinje for implementering.

Hvordan ISMS.online gør det nemt at køre et integreret administrationssystem

Her på ISMS.online, hjælper vi virksomheder med at gøre det rigtige ved at levere værktøjer og ressourcer til, at de kan køre et integreret ledelsessystem i overensstemmelse med ISO 27013-standarden. ISMS.online er en online softwareløsning der giver brugerne mulighed for at demonstrere over for deres kunder, tilsynsmyndigheder og revisorer, at de har et klagehåndteringssystem.

Vores kraftfulde cloud-baserede software giver dig mulighed for at tjekke dine processer for at sikre, at de er i overensstemmelse med kravene i ISO 27013-standarden. Faktisk er vores system en af ​​de mest praktiske, nemme at bruge og omfattende veje til ISMS succes.

ISMS.online giver også en Virtual Coach, der tilbyder 24/7 kontekstspecifik support. Du kan chatte med os fra inden for vores platform og du vil aldrig tage det forkerte skridt eller fare vild. Ring til ISMS.online på +44 (0)1273 041140 for at finde ud af mere om, hvordan vores platform kan hjælpe dig med at køre et integreret ledelsessystem, der opfylder kravene til ISO 27013.