ISO/IEC 27013 ISMS & ITIL/service management

Vad är ISO 27013-standarden?

International Organization for Standardization (ISO) upprätthåller ett brett utbud av standarder som ett internationellt organ. I allmänhet representerar standarderna konsensus mellan experter från hela världen i frågor som rör deras områden. De ISO 27000 serie är en av de viktigaste standarderna för informationssäkerhet. Denna serie av standarder ger ett ramverk för hantera informationssäkerhetsrisker.

ISO 27013-standarden fastställer kraven för en organisation att implementera Information Security Management System (ISMS) och Service Management System (SMS). ISO / IEC 27001 är en standard som definierar ledningssystem för informationssäkerhet (ISMS) som ger organisationer ett kraftfullt ramverk för att implementera bästa praxis och riktlinjer för cybersäkerhet.

ISO/IEC 20000-1 är ett internationellt ramverk för IT-tjänsthantering som gör det möjligt för organisationer att säkerställa att deras IT-tjänsteledningssystem är kompatibla med affärsbehov.

ISO 27013-standarden skapades för att hjälpa organisationer att implementera både ISO 27001 och ISO 20000-1 samtidigt eller att implementera en där en annan redan finns på plats. Genom att göra det kan företag maximera kundlojalitet, få ett strategiskt försprång, förbättra företagens verksamhet och över tid realisera betydande kostnadsbesparingar.

Vad är ett ISMS?

Ett ISMS är ett ledningssystem för informationssäkerhet. Detta är ett ramverk för genomförande säkerhetsinitiativ såsom åtkomstkontroller, incidentrespons, övervakning, säkerhetsutbildning och mycket mer. En ISMS kallas ibland för ISO 27001 efter den internationella standard som används för detta ramverk.

Den beskriver och demonstrerar din organisations inställning till informationssäkerhet. Dessa system kan implementeras på ett antal olika sätt beroende på din verksamhet.

Det är viktigt att förstå vad ett ISMS är och vilka funktioner det tjänar uppnå överensstämmelse med ISO 27001, enligt US Department of State. Enligt ISO 27001-standarden bör alla organisationer ha ett ledningssystem för informationssäkerhet implementerat.

Vad är IT Service Management?

IT Service Management, mest känd som ITSM, är en konsensus inom IT-branschen om hur tjänster levereras till kunder. Enkelt uttryckt är ITSM ett ramverk för att tillhandahålla och stödja IT-tjänster. Den praxis som definierar ITSM kan användas i vilken organisation som helst oavsett storlek, typ av teknik eller verksamhetsnivå.

ITSM möjliggör effektiv och effektiv leverans av IT-tjänster till interna eller externa kunder. En IT-tjänst är varje produkt som levereras till en kund och kan finansieras, utföras eller upphandlas som en IT-tjänst.

Det är i grunden ett förvaltningsramverk som hjälper dig att hantera och organisera alla aspekter av att leverera tjänster på ett effektivt, effektivt, tillförlitligt och säkert sätt i linje med kundens behov och förväntningar. ISO 20000-1 är standarden för IT-servicehanteringssystem (ITSM) och fastställda riktlinjer för extern parts certifieringsrevision. Målet med ISO 20000-1 är den strategiska anpassningen av ITSM till andra IT-aktiviteter, processer och resurser.

Integrerad implementering av ISO 27001 och ISO 20000-1 Baserat på ISO 27013

ISO/IEC 27001 och ISO/IEC 20000-1 är två standarder som delar ett stort antal komponenter och mål, samt den kritiska principen om ständig förbättring. Att integrera implementeringen av ett tjänstehanteringssystem (SMS) och ett informationssäkerhetshanteringssystem (ISMS) skulle därför vara den optimala lösningen.

Det här är PDCA-punkterna från ISO 27001 och ISO 20000 som kan integreras under implementeringen av ISO 27013:

Policys

Specificerar interna riktlinjer för det integrerade systemets administration.

Utbildning

All personal som skulle beröras av det integrerade ledningssystemets implementering måste få adekvat utbildning i informationssäkerhet och tjänstehantering.

Trygghet i vårdförloppet

Intern och extern korrespondens om det integrerade förvaltningsramverket måste utföras i enlighet med definierade riktlinjer (vanligtvis definierat som kommunikationsprotokoll).

Definition av mål

Definierar målen som ska uppnås genom implementeringen av det integrerade systemet. Detta kommer också att omfatta fastställandet av vissa riktmärken för att avgöra om målen har uppnåtts.

Definition av ansvar

Anger ansvaret för integrerade systemets förvaltning. Vanligtvis hänvisar denna term till den person som är ansvarig för det integrerade systemet. Dessutom kommer ett team som inkluderar ledande befattningshavare som primär medlem att bildas för integrationen av ledningssystemet.

Kontroll av dokument och register

Bestämmelser måste vidtas för kontroll och förvaltning av det integrerade systemets dokumentation och register.

Metrics

För ISO 27001 måste mätvärden införas för att bedöma effektiviteten av säkerhetskontroller. För ISO 20000 måste mätvärden upprättas för att bedöma effektiviteten av protokoll.

Internrevision

En internrevision kommer att genomföras för att identifiera potentiella avvikelser i det integrerade systemet och för att bedöma omfattningen av efterlevnad i förhållande till standardkrav.

Ledningsöversyn

Organisationens högsta ledningen måste utvärdera en uppsättning ingångspunkter till det integrerade ledningssystemet. De måste göra vissa resultat eller resultat som ett resultat av analysen.

Kontinuerlig förbättring

Det integrerade systemets ledning kommer att fastställa korrigerande och förebyggande åtgärder för behandling av identifierade avvikelser (oftast upptäcks vid revisioner, granskningar etc.).

Som vi kan se är både ISO 27001- och ISO 20000-1-kraven helt kompatibla och kan sömlöst kombineras för att utgöra grunden för ISO 27013, vilket resulterar i ett integrerat ledningssystem som säkerställer konsekvens och säkerhet i företagets processer och tjänster, vilket ökar kundnöjdhet.

Omfattning och syfte med ISO 27013-standarden

ISO 27013-standarden ger instruktioner om hur man införlivar ISO 27001 och ISO 20000-1 på ett automatiserat sätt för organisationer som planerar att:

• Implementera ISO/IEC 27001 efter att ha antagit ISO/IEC 20000-1, eller vice versa; implementera ISO/IEC 27001 och ISO/IEC 20000-1 samtidigt eller
• Anpassa och integrera tidigare implementerade ISO/IEC 27001 och ISO/IEC 20000-1 ledningssystem.

Denna standards omfattning omfattar två ISO/IEC JTC1-underkommittéer. SC 27 och SC 7 arbetade för att se till att synpunkterna från informationsteknologi och IT-tjänsteförvaltning togs upp på ett adekvat sätt.

ISO 27013-standarden ger också vägledning om planering och prioritering av uppgifter, inklusive följande:

• Justera mål för informationssäkerhet, tjänsteadministration och förbättring;
• Samordning av samarbetsuppgifter, vilket resulterar i en mer samordnad och anpassad ram;
• Skapa en samling protokoll och stödjande dokumentation (policyer, praxis, etc);
• Gemensam terminologi och mål;
• Tillhandahålla fördelar till tjänsteleverantörer och kunder som ett resultat av konvergensen av alla kontrollsystem; och
• Samtidig revision av alla kontrollprocesser, vilket resulterar i kostnadsbesparingar.

Förstå ISO 27001- och ISO 20000-1-konceptet

Innan man planerar ett avancerat ledningssystem bör organisationen ha ett fast grepp om egenskaperna, likheterna och skillnaderna mellan ISO/IEC 27001 och ISO/IEC 20000-1. Detta minskar avsevärt mängden tid och pengar som krävs för implementering. ISO 27013-standardklausulerna 4.2 till 4.4 ger en översikt över huvudprinciperna bakom alla specifikationer, men bör inte ersättas för en detaljerad analys.

4.2 ISO/IEC 27001-koncept

ISO/IEC 27001 etablerar, implementerar, driver, övervakar, granskar, underhåller och förbättrar ett ledningssystem för informationssäkerhet (ISMS) för att skydda informationstillgångar. Termen "informationstillgångar" hänvisar till data av någon form, lagrad i vilket medium som helst och som används av eller inom organisationen av någon anledning.

För att uppfylla ISO/IEC 27001 måste en organisation anta ett ledningssystem för informationssäkerhet (ISMS) baserat på en riskbedömningsmetod för att identifiera hot mot information tillgångar. Företaget bör välja, anta, utvärdera och återbesöka ett antal riskhanteringsprogram som en del av denna funktion. Dessa kallas kontroller.

Organisationen bör fastställa lämpliga acceptabla riskstandarder, med hänsyn till marknadsförhållanden och externt påtvingade saker. Lagstadgade och administrativa krav samt avtalsenliga åtaganden är exempel på externt ställda krav.

4.3 ISO/IEC 20000-1-koncept

ISO/IEC 20000-1 är tillämplig på organisationer eller segment av organisationer som använder eller erbjuder tjänster. Detta höjer både kundens och tjänsteleverantörens värde. Standarden kräver dock att tjänsteleverantören övervakar alla processer som påverkas av standarden, och endast tjänsteleverantören är kapabel att uppnå överensstämmelse med ISO/IEC 20000-1.

Standardens primära mål är att säkerställa att leverantörer uppfyller kvalitetsstandarder och ger värde till både användaren och tjänsteleverantören. Service ledningen hanterar och kontrollerar en tjänsteleverantörs verksamhet och resurser i planeringen, produktion, överföring, implementering och expansion av tjänster för att möta kundens krav.

För att uppfylla standardens specifikationer måste tjänsteleverantören införliva ett antal relevanta tjänstehanteringsprocesser. Dessa inkluderar, men är inte begränsade till, incidenthantering, förändringshantering och problemhantering. Informationssäkerhetshantering är en tjänstehanteringsprocess specificerad i ISO/IEC 20000-1.

4.4 Likheter och skillnader

Ofta hanteras tjänstehantering och informationssäkerhet som om de inte är relaterade eller oupplösligt sammanlänkade. Kontexten för denna distinktion är att även om tjänstehantering lätt förknippas med kvalitet och prestanda, förbises informationssäkerhetshantering ofta som en nödvändig komponent för effektiv tjänsteleverans. Som en konsekvens av detta är service management ofta den första komponenten som introduceras.

Men många kontrollmål och skyddsåtgärder definierade i ISO/IEC 27001, Bilaga A, ingår också i ISO/IEC 20000-1 servicehanteringskraven.

Vilka är fördelarna med att implementera ISO/IEC 27013-standarden?

Att implementera ett avancerat hanteringsramverk som ISO 27013 som tar hänsyn till både de tjänster som erbjuds och säkerheten för informationstillgångar kommer att ge en mängd olika fördelar.

Följande är några av de viktigaste fördelarna med att implementera ISO 27001 och ISO 20000-1 tillsammans:

• Ökad förtroende för att tillhandahålla pålitliga och effektiva IT-tjänster till interna och externa kunder, såväl som intressenter
• Enorma kostnadsbesparingar jämfört med att implementera var och en separat.
• Tidsbesparingar på grund av eliminering av behovet av att skapa system som är gemensamma för alla krav två gånger.
• Processer som är överflödiga eller onödiga kommer att elimineras.
• Bland tjänstelednings- och informationssäkerhetspersonal finns en större kunskap om både tjänstehantering och informationssäkerhet.
• Alla organisationer som har uppnått ISO/IEC 27001-certifiering kommer lättare att uppfylla ISO/IEC 20000-1-standarden för informationssäkerhet.

Med dessa fördelar i åtanke är det uppenbart att ett automatiserat tillvägagångssätt för SMS och ISMS-implementering är en utmärkt idé.

Vem ska implementera ISO 27013?

Varje organisation som verkar i den fysiska världen har stor chans att bli påverkad av en cyberattack. Faktum är att vi inte är så säkra som vi kanske tror. Faktum är att ISMS-implementering ger företag mer skydd än de inser. Varje år blir våra liv mer sammanflätade med teknik och därför ökar vårt beroende av den.

Av denna anledning, revisorer, samt organisationer som implementerar informationssäkerhet och/eller tjänsteledningsprogram, och organisationer som deltar i revisorsutbildning och certifiering eller ackreditering av ledningssystem bör överväga den integrerade implementeringen av ISO 27001 och ISO 20000-1.

Vilka är kraven för att implementera ISO 27013?

En organisation som överväger att implementera både ISO/IEC 27001 och ISO/IEC 20000-1 kan delas in i tre kategorier:

• De har ad-hoc-hanteringsstrukturer som inkluderar både informationssäkerhetshantering och tjänstehantering;
• De har ett ledningsramverk baserat på en av någon av standarderna;
• De har olika ledningssystem baserade på de två standarderna, som inte är integrerade (separata ledningssystem baserade på de två standarderna).

En organisation som överväger att implementera ett integrerat ledningssystem bör ta hänsyn till följande:

• Alla andra ledningssystem som för närvarande är i drift;
• Alla tjänster, procedurer och deras inbördes samband inom ramen för det integrerade ledningssystemet;
• Egenskaper för varje standard som kan slås samman och hur de kan slås samman; Egenskaper som måste förbli distinkta;
• Det integrerade ledningssystemets effekt på kunder, leverantörer och andra intressenter;
• Det integrerade ledningssystemets inverkan på teknik som används;
• Det integrerade ledningssystemets inverkan på eller fara för tjänster och företagsledning;
• Det integrerade ledningssystemets inverkan på, eller risk för, informationssäkerhet;
• Utbildning och utbildning i hantering av informationssäkerhet;
• Det integrerade ledningssystemets stadier och tidslinje för implementering.

Hur ISMS.online gör det enkelt att köra ett integrerat hanteringssystem

Här på ISMS.online, hjälper vi företag att göra rätt sak genom att tillhandahålla verktyg och resurser för dem att driva ett integrerat ledningssystem i linje med ISO 27013-standarden. ISMS.online är en online mjukvarulösning som tillåter användare att visa för sina kunder, tillsynsmyndigheter och revisorer att de har ett klagomålshanteringssystem.

Vår kraftfulla molnbaserade programvara låter dig checklista dina processer för att säkerställa att de överensstämmer med kraven i ISO 27013-standarden. Faktum är att vårt system är en av de mest praktiska, lättanvända och heltäckande vägarna till ISMS-framgång.

ISMS.online tillhandahåller också en Virtual Coach som erbjuder 24/7 kontextspecifik support. Du kan chatta med oss ​​från inom vår plattform och du kommer aldrig att ta fel steg eller gå vilse. Ring ISMS.online på +44 (0)1273 041140 för att få veta mer om hur vår plattform kan hjälpa dig att driva ett integrerat ledningssystem som uppfyller kraven för ISO 27013.