Портал №1 по управлению цифровыми
и информационными технологиями

Совместное использование ISO/IEC 27001 и ISO/IEC 20000-1

Многие провайдеры ИТ-услуг, работающие на рынке, заинтересованы в сертфикации сразу по обоим стандартам – ISO/IEC 27001 (система управления информационной безопасностью) и ISO/IEC 20000-1 (система управления ИТ-услугами), а также стремятся сократить издержки на сопровождение двух систем управления за счет интеграции. Однако несмотря на запрос со стороны сервис-провайдеров и врожденную близость двух стандартов до некоторых пор руководства по их совместному использованию не существовало.

Ситуация изменилась в 2012 году, когда вышел "ISO/IEC 27013 – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1" (а пару лет спустя был опубликован одноименный ГОСТ Р ИСО/МЭК 27013-2014). В конце 2015 года стандарт был обновлен, чтобы отразить изменения ISO/IEC 27001:2013.

"Взаимосвязь между информационной безопасностью и управлением услугами является настолько тесной, что многие организации уже осознали выгоды применения обоих стандартов: ISO/IEC 27001 – для обеспечения информационной безопасности и ISO/IEC 20000-1 – для управления ИТ-услугами. Обычно организация совершенствует методы своей работы для соответствия требованиям одного стандарта, а затем проводит дальнейшие улучшения, чтобы соответствовать требованиям другого.

Построение интегрированной системы менеджмента, которая учитывает и аспекты предоставления услуг, и вопросы защиты информационных активов, дает ряд выгод. Эти выгоды можно получить независимо от того, вводятся ли стандарты последовательно или параллельно,  благодаря схожей структуре стандартов и общим целям", — гласит текст стандарта.

iso27013

Источник: ISO/IEC 27013:2015

Содержание ISO/IEC 27013:2015 следующее:

  • Обзор ISO/IEC 27001 и ISO/IEC 20000-1
  • Подходы к совместному использованию

    • Рассмотрение области применения
    • Предварительно используемые сценарии (ни один из стандартов не используется; существует система управления, удовлетворяющая требованиям одного из стандартов; существуют отдельные системы управления, удовлетворяющие требованиям каждого из стандартов)
  • Факторы, касающиеся совместного использования

    • Возможные проблемы
    • Потенциальные выгоды
  • Приложение. Соответствие между ISO/IEC 27001:2013 и ISO/IEC 20000-1:2011
  • Приложение. Сравнение терминов ISO/IEC 27000:2009 и ISO/IEC 20000-1:2011

Международный стандарт доступен на сайте ISO. С текстом ГОСТ Р ИСО/МЭК  27013-2014 (соответствует версии стандарта 2012 года) можно ознакомиться, например, здесь.

ITIL 4 Foundation, MPT, DSV, DPI, CDS, HVIT, DITS
и другие интересные аббревиатуры от участников разработки

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • FinOps с помощью Governance-as-Code
      Масштабы и сложность решений, основанных на облачных технологиях, продолжают расти. Слишком часто это расширение также означает, что затраты продолжают выходить из-под контроля. В
    • Применима ли концепция «сдвиг влево» (shift left) для инженеров по надёжности систем (SRE)?
      Концепция «сдвига влево» помогает упростить некоторые аспекты разработки программного обеспечения. Но предназначена эта концепция не только для разработчиков. Она
    • Метрики потока создания ценности
      Свой первый отчёт с данными о работе процесса в ИТ я сделал где-то в самом конце 90-х годов. Я тогда работал в поддержке, мне было важно понять как быстро мы выполняем заявки,
    • Я понял только то, что ничего не понял
      На тему услуг написано довольно много самых разных статей, т.к. оказание услуг – самый распространенный вид человеческой деятельности. Банковские услуги, гостиничные услуги, юридические услуги, логистические услуги; парикмахер, курьер, айтишник – все это деятельность в сфере услуг. Моя работа тоже относится к этой же сфере, поэтому не могу не поделиться своими наблюдениями, или, как говорится, поговорить о наболевшем.
    • DevOps-путешествие American Airlines
      Несколько лет назад компания American Airlines начала путешествие, которое первоначально было направлено на преобразование DevOps в ИТ, но в дальнейшем набирало обороты и переросло в преобразование доставки продуктов, охватывающее весь бизнес.
    • Чтение признаков: Паттерны диаграммы рассеяния (Lead Time Scatterplot)
      Научившись определять общие закономерности в диаграмме рассеяния времени цикла, вы сможете заметить проблемные области до того, как они разрастутся. Сегодня мы покажем вам, как распознать наиболее распространенные модели диаграммы рассеяния и объясним, что они означают для вашего проекта.
    • Проблемные зоны цифровой трансформации
      Управление на основе гибких методологий подразумевает наличие гибкой команды, занимающейся развитием цифрового продукта. Однако, такие команды не возникают сами собой, их
    • Чтение знаков: Паттерны Канбан CFD
      Чтобы улучшить рабочие процессы, сначала нужно понять, как определить проблемные области. Метод Канбан использует визуальные методы для оценки ваших процессов. Диаграмма совокупных потоков Канбан является особенно мощным инструментом. На них фиксируется количество задач в каждом состоянии процесса через регулярные промежутки времени, как правило, ежедневно или еженедельно.
    • Краткое руководство по DevOps для не ИТ-руководителя бизнеса
      Тщательно продумайте, как выглядит успех. В цифровом мире это скорость, гибкость, контроль и оперативность, а не составление планов и следование им. Именно эти новые ИТ-практики принесут вам эти преимущества. Они уже принесли их многим другим предприятиям, которые встали на этот путь и, в некоторых случаях, разрушили отрасли.
    • 8 тенденций развития IT Service Desk в 2022 году
      Корпоративная служба поддержки ИТ в настоящее время находится в «идеальном шторме» для изменений или, точнее, в «идеальном шторме» для необходимости изменений. Случилось так
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT