Alle bestuurstelsels gebaseer op ISO-standaarde het een ding in gemeen: die siklus van PDCA (Plan, Do, Check, and Act), wat dit makliker kan maak om verskillende ISO-standaarde in 'n organisasie te integreer en te bereik.
Aangesien hierdie bestuurstelsels soortgelyke prosesse deel, kan hulle op 'n verenigde wyse geïmplementeer word. Hierdie vaartbelynde benadering word weerspieël in die ISO/IEC 27013-raamwerk, wat geskep is om leiding aan organisasies te verskaf oor hoe om te integreer inligtingsekuriteit en diensbestuurstelselvereistes.
Die Internasionale Organisasie vir Standaardisering (ISO) handhaaf 'n wye reeks standaarde as 'n internasionale liggaam. Oor die algemeen verteenwoordig die standaarde die konsensus van kundiges van regoor die wêreld oor sake wat met hul velde verband hou. Die ISO 27000 reeks is een van die belangrikste standaarde vir inligtingsekuriteit. Hierdie reeks standaarde bied 'n raamwerk vir bestuur van inligtingsekuriteitsrisiko's.
Die ISO 27013-standaard stel die vereistes vas vir 'n organisasie om inligtingsekuriteitbestuurstelsel (ISMS) en diensbestuurstelsel (SMS) te implementeer. ISO / IEC 27001 is 'n standaard wat inligtingsekuriteitbestuurstelsels definieer (ISMS) wat organisasies voorsien van 'n kragtige raamwerk vir die implementering van beste praktyke en riglyne oor kuberveiligheid.
ISO/IEC 20000-1 is 'n internasionale raamwerk vir IT-diensbestuur wat organisasies in staat stel om te verseker dat hul IT-diensbestuurstelsels versoenbaar is met besigheidsbehoeftes.
Die ISO 27013-standaard is geskep om organisasies te help om beide ISO 27001 en ISO 20000-1 gelyktydig te implementeer of om een te implementeer waar 'n ander reeds in plek is. Deur dit te doen, kan besighede kliëntelojaliteit maksimeer, 'n strategiese voorsprong kry, korporatiewe bedrywighede verbeter en mettertyd aansienlike kostebesparings realiseer.
'n ISMS is 'n Inligtingsekuriteitsbestuurstelsel. Dit is 'n raamwerk vir implementering sekuriteitsinisiatiewe soos toegangsbeheer, voorvalreaksie, monitering, sekuriteitsopleiding, en nog baie meer. An Daar word soms na ISMS verwys as ISO 27001 na die internasionale standaard wat vir hierdie raamwerk gebruik word.
Dit beskryf en demonstreer jou organisasie s'n benadering tot inligtingsekuriteit. Hierdie stelsels kan op enige aantal maniere geïmplementeer word, afhangende van jou besigheid.
Dit is belangrik om te verstaan wat 'n ISMS is en die funksie(s) wat dit dien voldoening aan ISO 27001 bereik, volgens die Amerikaanse departement van buitelandse sake. Volgens die ISO 27001-standaard moet alle organisasies 'n Inligtingsekuriteitsbestuurstelsel geïmplementeer hê.
IT-diensbestuur, mees algemeen bekend as ITSM, is 'n konsensus binne die IT-industrie oor hoe dienste aan kliënte gelewer word. Eenvoudig gestel, ITSM is 'n raamwerk vir die verskaffing en ondersteuning van IT-dienste. Die praktyke wat ITSM definieer, kan in enige organisasie gebruik word, ongeag die grootte, tipe tegnologie of vlak van besigheidsaktiwiteit.
ITSM maak effektiewe en doeltreffende lewering van IT-dienste aan interne of eksterne kliënte moontlik. 'n IT-diens is enige produk wat aan 'n kliënt gelewer word en as 'n IT-diens befonds, uitgevoer of verkry kan word.
Dit is in wese 'n bestuursraamwerk wat jou help om al die aspekte van die lewering van dienste te bestuur en te organiseer op 'n effektiewe, doeltreffende, betroubare, veilige wyse wat in lyn is met die kliënt se behoeftes en verwagtinge. ISO 20000-1 is die standaard vir IT-diensbestuurstelsels (ITSM) en stel riglyne vir eksterne party se sertifiseringsoudit. Die doel van ISO 20000-1 is die strategiese belyning van ITSM met ander IT-aktiwiteite, prosesse en hulpbronne.
ISO/IEC 27001 en ISO/IEC 20000-1 is twee standaarde wat 'n groot aantal komponente en doelwitte deel, sowel as die kritieke beginsel van voortdurende verbetering. Die integrasie van die implementering van 'n diensbestuurstelsel (SMS) en 'n inligtingsekuriteitbestuurstelsel (ISMS) sou dus die optimale oplossing wees.
Dit is die PDCA-punte van ISO 27001 en ISO 20000 wat tydens die implementering van ISO 27013 geïntegreer kan word:
Spesifiseer interne riglyne vir die geïntegreerde stelsel se administrasie.
Alle personeel wat deur die geïntegreerde bestuurstelsel se implementering geraak sou word, moet voldoende opleiding in inligtingsekuriteit en diensbestuur ontvang.
Interne en eksterne korrespondensie oor die geïntegreerde bestuursraamwerk moet ooreenkomstig gedefinieerde riglyne gevoer word (gewoonlik gedefinieer as kommunikasieprotokol).
Definieer die doelwitte wat bereik moet word deur die implementering van die geïntegreerde stelsel. Dit sal ook die daarstelling van sekere maatstawwe insluit om te bepaal of die teikens bereik is.
Stel die verantwoordelikhede vir die geïntegreerde stelselbestuur. Tipies verwys hierdie term na die persoon wat verantwoordelik is vir die geïntegreerde stelsel. Daarbenewens sal 'n span wat senior bestuur as die primêre lid insluit gevorm word vir die integrasie van die bestuurstelsel.
ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Met ISMS.online is uitdagings rondom weergawebeheer, beleidsgoedkeuring en beleiddeel iets van die verlede.
Daar moet voorsiening gemaak word vir die beheer en bestuur van die geïntegreerde stelsel se dokumentasie en rekords.
Vir ISO 27001 moet maatstawwe ingestel word om die doeltreffendheid van sekuriteitskontroles te assesseer. Vir ISO 20000 moet maatstawwe vasgestel word om die doeltreffendheid van protokolle te assesseer.
'n Interne oudit sal uitgevoer word om potensiële afwykings in die geïntegreerde stelsel te identifiseer en om die omvang van voldoening met betrekking tot standaardvereistes te evalueer.
Die organisasie se topbestuur moet evalueer 'n stel toegangspunte tot die geïntegreerde bestuurstelsel. Daar word van hulle verwag om sekere bevindings of resultate te maak as gevolg van die ontleding.
Die geïntegreerde stelsel se bestuur sal regstellende en voorkomende maatreëls instel vir die behandeling van geïdentifiseerde afwykings (gewoonlik opgespoor in oudits, resensies, ens.).
Soos ons kan sien, is beide ISO 27001 en ISO 20000-1 vereistes heeltemal versoenbaar en kan dit naatloos gekombineer word om die basis vir ISO 27013 te vorm, wat lei tot 'n geïntegreerde bestuurstelsel wat die konsekwentheid en sekuriteit van maatskappyprosesse en -dienste verseker, en sodoende verhoog kliënt tevredenheid.
Die ISO 27013-standaard verskaf instruksies oor hoe om ISO 27001 en ISO 20000-1 op 'n outomatiese wyse in te sluit vir organisasies wat beplan om:
Hierdie standaard se omvang sluit twee ISO/IEC JTC1-subkomitees in. SC 27 en SC 7 het gewerk om te verseker dat die sienings van inligtingstegnologie en IT-diensbestuur voldoende aangespreek is.
Die ISO 27013-standaard verskaf ook leiding oor die beplanning en prioritisering van take, insluitend die volgende:
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.
Voordat 'n gevorderde bestuurstelsel beplan word, moet die organisasie 'n stewige begrip hê van die kenmerke, ooreenkomste en onderskeid tussen ISO/IEC 27001 en ISO/IEC 20000-1. Dit verminder aansienlik die hoeveelheid tyd en geld wat benodig word vir implementering. Die ISO 27013 Standaardklousules 4.2 tot 4.4 bied 'n oorsig van die hoofbeginsels agter alle spesifikasies, maar moet nie in die plek van 'n gedetailleerde ontleding geneem word nie.
ISO/IEC 27001 vestig, implementeer, bedryf, monitor, hersien, onderhou en verbeter 'n inligtingsekuriteitbestuurstelsel (ISMS) om inligtingsbates te beskerm. Die term "inligtingsbates" verwys na data van enige vorm, wat in enige medium gestoor word en om enige rede deur of binne die organisasie gebruik word.
Om aan ISO/IEC 27001 te voldoen, moet 'n organisasie 'n inligtingsekuriteitbestuurstelsel (ISMS) aanvaar wat gebaseer is op 'n risikobepalingsmetode vir die identifisering van bedreigings vir inligting bates. Die maatskappy moet 'n aantal risikobestuursprogramme as deel van hierdie funksie kies, aanneem, evalueer en herbesoek. Daar word na hierdie kontroles verwys.
Die organisasie moet toepaslike aanvaarbare risikostandaarde daarstel, met inagneming van marktoestande en ekstern opgelegde dinge. Statutêre en administratiewe vereistes, sowel as kontraktuele verpligtinge, is voorbeelde van ekstern opgelegde vereistes.
ISO/IEC 20000-1 is van toepassing op organisasies of segmente van organisasies wat dienste gebruik of aanbied. Dit verhoog beide die kliënt en die diensverskaffer se waarde. Die standaard vereis egter dat die diensverskaffer alle prosesse wat deur die standaard geraak word, monitor, en slegs die diensverskaffer is in staat om voldoening aan ISO/IEC 20000-1 te bereik.
Die standaard se primêre doelwit is om te verseker dat verskaffers aan kwaliteitstandaarde voldoen en waarde aan beide die gebruiker en die diensverskaffer verskaf. Diens bestuur bestuur en beheer die bedrywighede en hulpbronne van 'n diensverskaffer in die beplanning, produksie, oordrag, implementering en uitbreiding van dienste ten einde aan die kliënt se vereistes(s) te voldoen.
Om aan die standaard se spesifikasies te voldoen, moet die diensverskaffer 'n aantal relevante diensbestuursprosesse inkorporeer. Dit sluit in, maar is nie beperk nie tot, voorvalbestuur, veranderingsbestuur en probleembestuur. Inligtingsekuriteitbestuur is 'n diensbestuursproses gespesifiseer in ISO/IEC 20000-1.
Dikwels word diensbestuur en inligtingsekuriteitsbestuur hanteer asof dit onverwant of onlosmaaklik verbind is. Die konteks vir hierdie onderskeid is dat terwyl diensbestuur geredelik met kwaliteit en prestasie geassosieer word, word inligtingsekuriteitsbestuur dikwels oor die hoof gesien as 'n noodsaaklike komponent van doeltreffende dienslewering. Gevolglik is diensbestuur dikwels die eerste komponent wat ingestel word.
Talle beheerdoelwitte en voorsorgmaatreëls omskryf in ISO/IEC 27001, Aanhangsel A, is ook ingesluit in die ISO/IEC 20000-1 diensbestuurvereistes.
Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.
Die implementering van 'n gevorderde bestuursraamwerk soos ISO 27013 wat beide die dienste wat aangebied word en die sekuriteit van inligtingsbates in ag neem, sal 'n verskeidenheid voordele bied.
Die volgende is 'n paar van die belangrikste voordele van die implementering van ISO 27001 en ISO 20000-1 saam:
Met hierdie voordele in gedagte, is dit duidelik dat 'n outomatiese benadering tot SMS- en ISMS-implementering 'n goeie idee is.
Enige organisasie wat in die fisiese wêreld werk, het 'n groot kans om deur 'n kuberaanval geraak te word. Die feit is dat ons nie so veilig is as wat ons dalk dink nie. Trouens, ISMS-implementering gee maatskappye meer beskerming as wat hulle besef. Elke jaar raak ons lewens meer verweef met tegnologie en daarom neem ons afhanklikheid daarvan toe.
Om hierdie rede, ouditeure, asook organisasies wat inligtingsekuriteit implementeer en/of diensbestuurprogramme, en organisasies wat aan ouditeuropleiding en -sertifisering of bestuurstelselakkreditasie deelneem, moet die geïntegreerde implementering van ISO 27001 en ISO 20000-1 oorweeg.
'n Organisasie wat dit oorweeg om beide ISO/IEC 27001 en ISO/IEC 20000-1 te implementeer, kan in drie kategorieë geklassifiseer word:
'n Organisasie wat dit oorweeg om 'n geïntegreerde bestuurstelsel te implementeer, moet die volgende in ag neem:
Hier by ISMS.online, help ons maatskappye om die regte ding te doen deur die gereedskap en hulpbronne vir hulle te verskaf om 'n geïntegreerde bestuurstelsel in ooreenstemming met die ISO 27013-standaard te bestuur. ISMS.online is 'n aanlyn sagteware oplossing wat gebruikers in staat stel om aan hul kliënte, reguleerders en ouditeure te demonstreer dat hulle 'n klagtebestuurstelsel het.
Ons kragtige wolkgebaseerde sagteware laat jou toe om jou prosesse na te gaan om te verseker dat dit in ooreenstemming is met die vereistes van die ISO 27013-standaard. Trouens, ons stelsel is een van die mees praktiese, maklik om te gebruik en omvattende pad na ISMS sukses.
ISMS.online bied ook 'n Virtuele afrigter wat 24/7 konteksspesifieke ondersteuning bied. Jy kan met ons gesels vanaf binne ons platform en jy sal nooit die verkeerde stap neem of jou pad verloor nie. Bel ISMS.online by +44 (0)1273 041140 om meer uit te vind oor hoe ons platform jou kan help om 'n geïntegreerde bestuurstelsel te bestuur wat aan die vereistes vir ISO 27013 voldoen.
Ons is so bly dat ons hierdie oplossing gevind het, dit het alles makliker inmekaar laat pas.
Werk maklik saam, skep en wys dat jy te alle tye op hoogte is van jou dokumentasie
Vind meer uitPak bedreigings en geleenthede moeiteloos aan en rapporteer dinamies oor prestasie
Vind meer uitNeem beter besluite en wys jy is in beheer met dashboards, KPI's en verwante verslagdoening
Vind meer uitMaak ligte werk van regstellende aksies, verbeterings, oudits en bestuursoorsigte
Vind meer uitSkyn 'n lig op kritieke verhoudings en skakel areas soos bates, risiko's, beheermaatreëls en verskaffers elegant aan
Vind meer uitUit die boks integrasies met jou ander sleutelbesigheidstelsels om jou nakoming te vereenvoudig
Vind meer uitVoeg netjies ander areas van voldoening by wat jou organisasie raak om selfs meer te bereik
Vind meer uitBetrek personeel, verskaffers en ander te alle tye met dinamiese nakoming van einde tot einde
Vind meer uitBestuur omsigtigheidsondersoek, kontrakte, kontakte en verhoudings oor hul lewensiklus
Vind meer uitKarteer en bestuur belangstellende partye visueel om te verseker dat hul behoeftes duidelik aangespreek word
Vind meer uitSterk privaatheid deur ontwerp en sekuriteitskontroles om by jou behoeftes en verwagtinge te pas
Vind meer uitOns het alles wat jy nodig het om jou eerste ISMS te ontwerp, bou en implementeer.
Ons sal jou help om meer uit die infosec-werk wat jy reeds gedoen het te kry.
Met ons platform kan jy die bou ISMS wat jou organisasie regtig nodig het.
100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering