Alla ledningssystem baserade på ISO-standarder har en sak gemensamt: cykeln av PDCA (Plan, Do, Check, and Act), som kan göra det lättare att integrera och uppnå olika ISO-standarder i en organisation.
Eftersom dessa ledningssystem delar liknande processer kan de implementeras på ett enhetligt sätt. Detta strömlinjeformade tillvägagångssätt återspeglas i ISO/IEC 27013-ramverket, som skapades för att ge vägledning till organisationer om hur man integrerar krav på informationssäkerhet och tjänsteledningssystem.
International Organization for Standardization (ISO) upprätthåller ett brett utbud av standarder som ett internationellt organ. I allmänhet representerar standarderna konsensus mellan experter från hela världen i frågor som rör deras områden. De ISO 27000 serie är en av de viktigaste standarderna för informationssäkerhet. Denna serie av standarder ger ett ramverk för hantera informationssäkerhetsrisker.
ISO 27013-standarden fastställer kraven för en organisation att implementera Information Security Management System (ISMS) och Service Management System (SMS). ISO / IEC 27001 är en standard som definierar ledningssystem för informationssäkerhet (ISMS) som ger organisationer ett kraftfullt ramverk för att implementera bästa praxis och riktlinjer för cybersäkerhet.
ISO/IEC 20000-1 är ett internationellt ramverk för IT-tjänsthantering som gör det möjligt för organisationer att säkerställa att deras IT-tjänsteledningssystem är kompatibla med affärsbehov.
ISO 27013-standarden skapades för att hjälpa organisationer att implementera både ISO 27001 och ISO 20000-1 samtidigt eller att implementera en där en annan redan finns på plats. Genom att göra det kan företag maximera kundlojalitet, få ett strategiskt försprång, förbättra företagens verksamhet och över tid realisera betydande kostnadsbesparingar.
Ett ISMS är ett ledningssystem för informationssäkerhet. Detta är ett ramverk för genomförande säkerhetsinitiativ såsom åtkomstkontroller, incidentrespons, övervakning, säkerhetsutbildning och mycket mer. En ISMS kallas ibland för ISO 27001 efter den internationella standard som används för detta ramverk.
Den beskriver och demonstrerar din organisations inställning till informationssäkerhet. Dessa system kan implementeras på ett antal olika sätt beroende på din verksamhet.
Det är viktigt att förstå vad ett ISMS är och vilka funktioner det tjänar uppnå överensstämmelse med ISO 27001, enligt US Department of State. Enligt ISO 27001-standarden bör alla organisationer ha ett ledningssystem för informationssäkerhet implementerat.
IT Service Management, mest känd som ITSM, är en konsensus inom IT-branschen om hur tjänster levereras till kunder. Enkelt uttryckt är ITSM ett ramverk för att tillhandahålla och stödja IT-tjänster. Den praxis som definierar ITSM kan användas i vilken organisation som helst oavsett storlek, typ av teknik eller verksamhetsnivå.
ITSM möjliggör effektiv och effektiv leverans av IT-tjänster till interna eller externa kunder. En IT-tjänst är varje produkt som levereras till en kund och kan finansieras, utföras eller upphandlas som en IT-tjänst.
Det är i grunden ett förvaltningsramverk som hjälper dig att hantera och organisera alla aspekter av att leverera tjänster på ett effektivt, effektivt, tillförlitligt och säkert sätt i linje med kundens behov och förväntningar. ISO 20000-1 är standarden för IT-servicehanteringssystem (ITSM) och fastställda riktlinjer för extern parts certifieringsrevision. Målet med ISO 20000-1 är den strategiska anpassningen av ITSM till andra IT-aktiviteter, processer och resurser.
ISO/IEC 27001 och ISO/IEC 20000-1 är två standarder som delar ett stort antal komponenter och mål, samt den kritiska principen om ständig förbättring. Att integrera implementeringen av ett tjänstehanteringssystem (SMS) och ett informationssäkerhetshanteringssystem (ISMS) skulle därför vara den optimala lösningen.
Det här är PDCA-punkterna från ISO 27001 och ISO 20000 som kan integreras under implementeringen av ISO 27013:
Specificerar interna riktlinjer för det integrerade systemets administration.
All personal som skulle beröras av det integrerade ledningssystemets implementering måste få adekvat utbildning i informationssäkerhet och tjänstehantering.
Intern och extern korrespondens om det integrerade förvaltningsramverket måste utföras i enlighet med definierade riktlinjer (vanligtvis definierat som kommunikationsprotokoll).
Definierar målen som ska uppnås genom implementeringen av det integrerade systemet. Detta kommer också att omfatta fastställandet av vissa riktmärken för att avgöra om målen har uppnåtts.
Anger ansvaret för integrerade systemets förvaltning. Vanligtvis hänvisar denna term till den person som är ansvarig för det integrerade systemet. Dessutom kommer ett team som inkluderar ledande befattningshavare som primär medlem att bildas för integrationen av ledningssystemet.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
Med ISMS.online är utmaningar kring versionskontroll, policygodkännande och policydelning ett minne blott.
Bestämmelser måste vidtas för kontroll och förvaltning av det integrerade systemets dokumentation och register.
För ISO 27001 måste mätvärden införas för att bedöma effektiviteten av säkerhetskontroller. För ISO 20000 måste mätvärden upprättas för att bedöma effektiviteten av protokoll.
En internrevision kommer att genomföras för att identifiera potentiella avvikelser i det integrerade systemet och för att bedöma omfattningen av efterlevnad i förhållande till standardkrav.
Organisationens högsta ledningen måste utvärdera en uppsättning ingångspunkter till det integrerade ledningssystemet. De måste göra vissa resultat eller resultat som ett resultat av analysen.
Det integrerade systemets ledning kommer att fastställa korrigerande och förebyggande åtgärder för behandling av identifierade avvikelser (oftast upptäcks vid revisioner, granskningar etc.).
Som vi kan se är både ISO 27001- och ISO 20000-1-kraven helt kompatibla och kan sömlöst kombineras för att utgöra grunden för ISO 27013, vilket resulterar i ett integrerat ledningssystem som säkerställer konsekvens och säkerhet i företagets processer och tjänster, vilket ökar kundnöjdhet.
ISO 27013-standarden ger instruktioner om hur man införlivar ISO 27001 och ISO 20000-1 på ett automatiserat sätt för organisationer som planerar att:
Denna standards omfattning omfattar två ISO/IEC JTC1-underkommittéer. SC 27 och SC 7 arbetade för att se till att synpunkterna från informationsteknologi och IT-tjänsteförvaltning togs upp på ett adekvat sätt.
ISO 27013-standarden ger också vägledning om planering och prioritering av uppgifter, inklusive följande:
Boka en skräddarsydd praktisk session utifrån dina behov och mål.
Innan man planerar ett avancerat ledningssystem bör organisationen ha ett fast grepp om egenskaperna, likheterna och skillnaderna mellan ISO/IEC 27001 och ISO/IEC 20000-1. Detta minskar avsevärt mängden tid och pengar som krävs för implementering. ISO 27013-standardklausulerna 4.2 till 4.4 ger en översikt över huvudprinciperna bakom alla specifikationer, men bör inte ersättas för en detaljerad analys.
ISO/IEC 27001 etablerar, implementerar, driver, övervakar, granskar, underhåller och förbättrar ett ledningssystem för informationssäkerhet (ISMS) för att skydda informationstillgångar. Termen "informationstillgångar" hänvisar till data av någon form, lagrad i vilket medium som helst och som används av eller inom organisationen av någon anledning.
För att uppfylla ISO/IEC 27001 måste en organisation anta ett ledningssystem för informationssäkerhet (ISMS) baserat på en riskbedömningsmetod för att identifiera hot mot information tillgångar. Företaget bör välja, anta, utvärdera och återbesöka ett antal riskhanteringsprogram som en del av denna funktion. Dessa kallas kontroller.
Organisationen bör fastställa lämpliga acceptabla riskstandarder, med hänsyn till marknadsförhållanden och externt påtvingade saker. Lagstadgade och administrativa krav samt avtalsenliga åtaganden är exempel på externt ställda krav.
ISO/IEC 20000-1 är tillämplig på organisationer eller segment av organisationer som använder eller erbjuder tjänster. Detta höjer både kundens och tjänsteleverantörens värde. Standarden kräver dock att tjänsteleverantören övervakar alla processer som påverkas av standarden, och endast tjänsteleverantören är kapabel att uppnå överensstämmelse med ISO/IEC 20000-1.
Standardens primära mål är att säkerställa att leverantörer uppfyller kvalitetsstandarder och ger värde till både användaren och tjänsteleverantören. Service ledningen hanterar och kontrollerar en tjänsteleverantörs verksamhet och resurser i planeringen, produktion, överföring, implementering och expansion av tjänster för att möta kundens krav.
För att uppfylla standardens specifikationer måste tjänsteleverantören införliva ett antal relevanta tjänstehanteringsprocesser. Dessa inkluderar, men är inte begränsade till, incidenthantering, förändringshantering och problemhantering. Informationssäkerhetshantering är en tjänstehanteringsprocess specificerad i ISO/IEC 20000-1.
Ofta hanteras tjänstehantering och informationssäkerhet som om de inte är relaterade eller oupplösligt sammanlänkade. Kontexten för denna distinktion är att även om tjänstehantering lätt förknippas med kvalitet och prestanda, förbises informationssäkerhetshantering ofta som en nödvändig komponent för effektiv tjänsteleverans. Som en konsekvens av detta är service management ofta den första komponenten som introduceras.
Men många kontrollmål och skyddsåtgärder definierade i ISO/IEC 27001, Bilaga A, ingår också i ISO/IEC 20000-1 servicehanteringskraven.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Att implementera ett avancerat hanteringsramverk som ISO 27013 som tar hänsyn till både de tjänster som erbjuds och säkerheten för informationstillgångar kommer att ge en mängd olika fördelar.
Följande är några av de viktigaste fördelarna med att implementera ISO 27001 och ISO 20000-1 tillsammans:
Med dessa fördelar i åtanke är det uppenbart att ett automatiserat tillvägagångssätt för SMS och ISMS-implementering är en utmärkt idé.
Varje organisation som verkar i den fysiska världen har stor chans att bli påverkad av en cyberattack. Faktum är att vi inte är så säkra som vi kanske tror. Faktum är att ISMS-implementering ger företag mer skydd än de inser. Varje år blir våra liv mer sammanflätade med teknik och därför ökar vårt beroende av den.
Av denna anledning, revisorer, samt organisationer som implementerar informationssäkerhet och/eller tjänsteledningsprogram, och organisationer som deltar i revisorsutbildning och certifiering eller ackreditering av ledningssystem bör överväga den integrerade implementeringen av ISO 27001 och ISO 20000-1.
En organisation som överväger att implementera både ISO/IEC 27001 och ISO/IEC 20000-1 kan delas in i tre kategorier:
En organisation som överväger att implementera ett integrerat ledningssystem bör ta hänsyn till följande:
Här på ISMS.online, hjälper vi företag att göra rätt sak genom att tillhandahålla verktyg och resurser för dem att driva ett integrerat ledningssystem i linje med ISO 27013-standarden. ISMS.online är en online mjukvarulösning som tillåter användare att visa för sina kunder, tillsynsmyndigheter och revisorer att de har ett klagomålshanteringssystem.
Vår kraftfulla molnbaserade programvara låter dig checklista dina processer för att säkerställa att de överensstämmer med kraven i ISO 27013-standarden. Faktum är att vårt system är en av de mest praktiska, lättanvända och heltäckande vägarna till ISMS-framgång.
ISMS.online tillhandahåller också en Virtual Coach som erbjuder 24/7 kontextspecifik support. Du kan chatta med oss från inom vår plattform och du kommer aldrig att ta fel steg eller gå vilse. Ring ISMS.online på +44 (0)1273 041140 för att få veta mer om hur vår plattform kan hjälpa dig att driva ett integrerat ledningssystem som uppfyller kraven för ISO 27013.
Vi är så glada att vi hittade den här lösningen, den fick allt att passa ihop enklare.
Samarbeta, skapa och visa att du alltid har koll på din dokumentation
Läs merTa itu med hot och möjligheter utan ansträngning och rapportera dynamiskt om prestanda
Läs merTa bättre beslut och visa att du har kontroll med instrumentpaneler, KPI:er och relaterad rapportering
Läs merGör lätt arbete med korrigerande åtgärder, förbättringar, revisioner och ledningsgranskningar
Läs merBelys kritiska relationer och länka elegant samman områden som tillgångar, risker, kontroller och leverantörer
Läs merVälj tillgångar från Asset Bank och skapa din Asset Inventory med lätthet
Läs merIntegrationer direkt med dina andra viktiga affärssystem för att förenkla din efterlevnad
Läs merLägg prydligt till andra områden av efterlevnad som påverkar din organisation för att uppnå ännu mer
Läs merEngagera personal, leverantörer och andra med dynamisk end-to-end-efterlevnad hela tiden
Läs merHantera due diligence, kontrakt, kontakter och relationer under deras livscykel
Läs merKartlägg och hantera intresserade parter visuellt för att säkerställa att deras behov tydligt tillgodoses
Läs merStark integritet genom design och säkerhetskontroller för att matcha dina behov och förväntningar
Läs merVi har allt du behöver för att designa, bygga och implementera ditt första ISMS.
Vi hjälper dig att få ut mer av det infosec-arbete du redan har gjort.
Med vår plattform kan du bygga ISMS som din organisation verkligen behöver.
100 % av våra användare uppnår ISO 27001-certifiering första gången