Портал №1 по управлению цифровыми
и информационными технологиями

Совместное использование ISO/IEC 27001 и ISO/IEC 20000-1

Многие провайдеры ИТ-услуг, работающие на рынке, заинтересованы в сертфикации сразу по обоим стандартам – ISO/IEC 27001 (система управления информационной безопасностью) и ISO/IEC 20000-1 (система управления ИТ-услугами), а также стремятся сократить издержки на сопровождение двух систем управления за счет интеграции. Однако несмотря на запрос со стороны сервис-провайдеров и врожденную близость двух стандартов до некоторых пор руководства по их совместному использованию не существовало.

Ситуация изменилась в 2012 году, когда вышел "ISO/IEC 27013 – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1" (а пару лет спустя был опубликован одноименный ГОСТ Р ИСО/МЭК 27013-2014). В конце 2015 года стандарт был обновлен, чтобы отразить изменения ISO/IEC 27001:2013.

"Взаимосвязь между информационной безопасностью и управлением услугами является настолько тесной, что многие организации уже осознали выгоды применения обоих стандартов: ISO/IEC 27001 – для обеспечения информационной безопасности и ISO/IEC 20000-1 – для управления ИТ-услугами. Обычно организация совершенствует методы своей работы для соответствия требованиям одного стандарта, а затем проводит дальнейшие улучшения, чтобы соответствовать требованиям другого.

Построение интегрированной системы менеджмента, которая учитывает и аспекты предоставления услуг, и вопросы защиты информационных активов, дает ряд выгод. Эти выгоды можно получить независимо от того, вводятся ли стандарты последовательно или параллельно,  благодаря схожей структуре стандартов и общим целям", — гласит текст стандарта.

iso27013

Источник: ISO/IEC 27013:2015

Содержание ISO/IEC 27013:2015 следующее:

  • Обзор ISO/IEC 27001 и ISO/IEC 20000-1
  • Подходы к совместному использованию

    • Рассмотрение области применения
    • Предварительно используемые сценарии (ни один из стандартов не используется; существует система управления, удовлетворяющая требованиям одного из стандартов; существуют отдельные системы управления, удовлетворяющие требованиям каждого из стандартов)
  • Факторы, касающиеся совместного использования

    • Возможные проблемы
    • Потенциальные выгоды
  • Приложение. Соответствие между ISO/IEC 27001:2013 и ISO/IEC 20000-1:2011
  • Приложение. Сравнение терминов ISO/IEC 27000:2009 и ISO/IEC 20000-1:2011

Международный стандарт доступен на сайте ISO. С текстом ГОСТ Р ИСО/МЭК  27013-2014 (соответствует версии стандарта 2012 года) можно ознакомиться, например, здесь.

ITIL 4 Foundation, MPT, DSV, DPI, CDS, HVIT, DITS
и другие интересные аббревиатуры от участников разработки

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • VI форум «Управление данными — 2021»: наведите порядок в данных!
      23 сентября 2021 года издательство «Открытые системы» в шестой раз проведет в Москве масштабный форум «Управление данными — 2021», объединяющий всех, кто определяет стратегию работы с данными, воплощает ее в жизнь и управляет предприятием на основе объективных достоверных данных. Участники форума обсудят не только инновационные стратегии и бизнес-модели работы с корпоративными данными, но и конкретные архитектурные и технологические решения.
    • Простые уловки, как ускорить процесс разработки программного обеспечения
      С некоторыми вещами люди из бизнеса вынуждены соглашаться, и одна из них заключается в том, что никто не хочет сердить свою команду разработчиков. Часто они являются краеугольным
    • Почему каждая инициатива DevOps должна начинаться с оценки возможностей
      Внедрение практики DevOps идет полным ходом. Организации сосредоточены на том, как внедрить возможности DevOps в командах и как масштабировать DevOps в масштабах предприятия. Но важным аспектом любого пути масштабной трансформации является оценка возможностей команды или организации на этом пути.
    • Что такое процесс и что такое практика в ITIL®4
      Продолжаем публиковать короткие видеоролики, посвященные актуальным вопросам управления ИТ. Сегодня поговорим о том, что такое процесс и что такое практика в ITIL4. Это не переименование процессов в практики, это два отдельных понятия. Рассказывает Игорь Фадеев, ITIL 4 Managing Professional и ITIL 4 Strategic Leader, аккредитованный тренер по ITIL4.
    • Аудит. Что может быть скучнее?!
      На прошедшей неделе участвовал в аудите (в качестве объекта аудита). Большинство людей, проходивших аудит, подозреваю, разделяет это ощущение: «Бюрократия, формальности и т.п.»
    • Как технический долг вредит вашей команде программистов — и вашей безопасности приложений
      Техническая долг может серьезно повлиять на здоровье организации - и на психическое здоровье ваших разработчиков. Более половины из 200+ членов инженерных команд, опрошенных в рамках отчета Stepsize "Состояние технического долга в 2021 году", считают, что технический долг негативно влияет на моральное состояние их команд.
    • Что люди не понимают в управлении потоком создания стоимости
      Нет ничего плохого в самом управлении потоками создания ценности (VSM), но есть много плохого в том, как его рассматривают и обсуждают блогеры, отраслевые маркетологи и другие, которые часто смешивают его с DevOps и Agile. Это не одно и то же.
    • 5 основных тенденций развития искусственного интеллекта и машинного обучения на 2022 год
      Вот несколько основных тенденций, к которым вашему бизнесу стоит начать готовиться. Искусственный интеллект и машинное обучение становятся доминирующей частью технологической
    • 6 тенденций в ИТ, за которыми нужно следить
      Чтобы выжить во время пандемии, организации обратились к ИТ, чтобы помочь справиться с последствиями - как негативными, так и позитивными. В некоторых отраслях, таких как телемедицина и видеоконференции, бизнес резко вырос, и ИТ-отделам таких компаний пришлось в спешке справляться с нагрузкой. В других, например, в сфере путешествий и развлечений, бизнес резко просел. Кроме того, возобновилось стремление к цифровой трансформации.
    • Восход Desktop-as-a-Service: что это такое и зачем вам это нужно?
      Широкое распространение облачных вычислений добавило в наш словарь множество сокращений, наиболее распространенными из которых являются SaaS, PaaS и IaaS. Действительно, наступила эра облачных решений, которые доставляют программное обеспечение, платформу и инфраструктуру потребителям и предприятиям по запросу и с оплатой по мере использования.
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT