ISO/IEC 27013 ISMS & ITIL/diensbestuur

Wat is die ISO 27013-standaard?

Die Internasionale Organisasie vir Standaardisering (ISO) handhaaf 'n wye reeks standaarde as 'n internasionale liggaam. Oor die algemeen verteenwoordig die standaarde die konsensus van kundiges van regoor die wêreld oor sake wat met hul velde verband hou. Die ISO 27000 reeks is een van die belangrikste standaarde vir inligtingsekuriteit. Hierdie reeks standaarde bied 'n raamwerk vir bestuur van inligtingsekuriteitsrisiko's.

Die ISO 27013-standaard stel die vereistes vas vir 'n organisasie om inligtingsekuriteitbestuurstelsel (ISMS) en diensbestuurstelsel (SMS) te implementeer. ISO / IEC 27001 is 'n standaard wat inligtingsekuriteitbestuurstelsels definieer (ISMS) wat organisasies voorsien van 'n kragtige raamwerk vir die implementering van beste praktyke en riglyne oor kuberveiligheid.

ISO/IEC 20000-1 is 'n internasionale raamwerk vir IT-diensbestuur wat organisasies in staat stel om te verseker dat hul IT-diensbestuurstelsels versoenbaar is met besigheidsbehoeftes.

Die ISO 27013-standaard is geskep om organisasies te help om beide ISO 27001 en ISO 20000-1 gelyktydig te implementeer of om een ​​te implementeer waar 'n ander reeds in plek is. Deur dit te doen, kan besighede kliëntelojaliteit maksimeer, 'n strategiese voorsprong kry, korporatiewe bedrywighede verbeter en mettertyd aansienlike kostebesparings realiseer.

Wat is 'n ISMS?

'n ISMS is 'n Inligtingsekuriteitsbestuurstelsel. Dit is 'n raamwerk vir implementering sekuriteitsinisiatiewe soos toegangsbeheer, voorvalreaksie, monitering, sekuriteitsopleiding, en nog baie meer. An Daar word soms na ISMS verwys as ISO 27001 na die internasionale standaard wat vir hierdie raamwerk gebruik word.

Dit beskryf en demonstreer jou organisasie s'n benadering tot inligtingsekuriteit. Hierdie stelsels kan op enige aantal maniere geïmplementeer word, afhangende van jou besigheid.

Dit is belangrik om te verstaan ​​wat 'n ISMS is en die funksie(s) wat dit dien voldoening aan ISO 27001 bereik, volgens die Amerikaanse departement van buitelandse sake. Volgens die ISO 27001-standaard moet alle organisasies 'n Inligtingsekuriteitsbestuurstelsel geïmplementeer hê.

Wat is IT-diensbestuur?

IT-diensbestuur, mees algemeen bekend as ITSM, is 'n konsensus binne die IT-industrie oor hoe dienste aan kliënte gelewer word. Eenvoudig gestel, ITSM is 'n raamwerk vir die verskaffing en ondersteuning van IT-dienste. Die praktyke wat ITSM definieer, kan in enige organisasie gebruik word, ongeag die grootte, tipe tegnologie of vlak van besigheidsaktiwiteit.

ITSM maak effektiewe en doeltreffende lewering van IT-dienste aan interne of eksterne kliënte moontlik. 'n IT-diens is enige produk wat aan 'n kliënt gelewer word en as 'n IT-diens befonds, uitgevoer of verkry kan word.

Dit is in wese 'n bestuursraamwerk wat jou help om al die aspekte van die lewering van dienste te bestuur en te organiseer op 'n effektiewe, doeltreffende, betroubare, veilige wyse wat in lyn is met die kliënt se behoeftes en verwagtinge. ISO 20000-1 is die standaard vir IT-diensbestuurstelsels (ITSM) en stel riglyne vir eksterne party se sertifiseringsoudit. Die doel van ISO 20000-1 is die strategiese belyning van ITSM met ander IT-aktiwiteite, prosesse en hulpbronne.

Geïntegreerde implementering van ISO 27001 en ISO 20000-1 Gebaseer op ISO 27013

ISO/IEC 27001 en ISO/IEC 20000-1 is twee standaarde wat 'n groot aantal komponente en doelwitte deel, sowel as die kritieke beginsel van voortdurende verbetering. Die integrasie van die implementering van 'n diensbestuurstelsel (SMS) en 'n inligtingsekuriteitbestuurstelsel (ISMS) sou dus die optimale oplossing wees.

Dit is die PDCA-punte van ISO 27001 en ISO 20000 wat tydens die implementering van ISO 27013 geïntegreer kan word:

Beleid

Spesifiseer interne riglyne vir die geïntegreerde stelsel se administrasie.

opleiding

Alle personeel wat deur die geïntegreerde bestuurstelsel se implementering geraak sou word, moet voldoende opleiding in inligtingsekuriteit en diensbestuur ontvang.

kommunikasie

Interne en eksterne korrespondensie oor die geïntegreerde bestuursraamwerk moet ooreenkomstig gedefinieerde riglyne gevoer word (gewoonlik gedefinieer as kommunikasieprotokol).

Definisie van doelwitte

Definieer die doelwitte wat bereik moet word deur die implementering van die geïntegreerde stelsel. Dit sal ook die daarstelling van sekere maatstawwe insluit om te bepaal of die teikens bereik is.

Definisie van verantwoordelikhede

Stel die verantwoordelikhede vir die geïntegreerde stelselbestuur. Tipies verwys hierdie term na die persoon wat verantwoordelik is vir die geïntegreerde stelsel. Daarbenewens sal 'n span wat senior bestuur as die primêre lid insluit gevorm word vir die integrasie van die bestuurstelsel.

Beheer van dokumente en rekords

Daar moet voorsiening gemaak word vir die beheer en bestuur van die geïntegreerde stelsel se dokumentasie en rekords.

Statistieke

Vir ISO 27001 moet maatstawwe ingestel word om die doeltreffendheid van sekuriteitskontroles te assesseer. Vir ISO 20000 moet maatstawwe vasgestel word om die doeltreffendheid van protokolle te assesseer.

Interne Oudit

'n Interne oudit sal uitgevoer word om potensiële afwykings in die geïntegreerde stelsel te identifiseer en om die omvang van voldoening met betrekking tot standaardvereistes te evalueer.

Bestuur hersiening

Die organisasie se topbestuur moet evalueer 'n stel toegangspunte tot die geïntegreerde bestuurstelsel. Daar word van hulle verwag om sekere bevindings of resultate te maak as gevolg van die ontleding.

Deurlopende verbetering

Die geïntegreerde stelsel se bestuur sal regstellende en voorkomende maatreëls instel vir die behandeling van geïdentifiseerde afwykings (gewoonlik opgespoor in oudits, resensies, ens.).

Soos ons kan sien, is beide ISO 27001 en ISO 20000-1 vereistes heeltemal versoenbaar en kan dit naatloos gekombineer word om die basis vir ISO 27013 te vorm, wat lei tot 'n geïntegreerde bestuurstelsel wat die konsekwentheid en sekuriteit van maatskappyprosesse en -dienste verseker, en sodoende verhoog kliënt tevredenheid.

Omvang en doel van die ISO 27013-standaard

Die ISO 27013-standaard verskaf instruksies oor hoe om ISO 27001 en ISO 20000-1 op 'n outomatiese wyse in te sluit vir organisasies wat beplan om:

• Implementeer ISO/IEC 27001 nadat ISO/IEC 20000-1 aanvaar is, of omgekeerd; implementeer ISO/IEC 27001 en ISO/IEC 20000-1 gelyktydig of
• Belyn en integreer voorheen geïmplementeerde ISO/IEC 27001 en ISO/IEC 20000-1 bestuurstelsels.

Hierdie standaard se omvang sluit twee ISO/IEC JTC1-subkomitees in. SC 27 en SC 7 het gewerk om te verseker dat die sienings van inligtingstegnologie en IT-diensbestuur voldoende aangespreek is.

Die ISO 27013-standaard verskaf ook leiding oor die beplanning en prioritisering van take, insluitend die volgende:

• Belyning van die doelwitte van inligtingsekuriteit, diensadministrasie en verbetering;
• Koördinering van samewerkende take, wat lei tot 'n meer gekoördineerde en belynde raamwerk;
• Skep 'n versameling protokolle en ondersteunende dokumentasie (beleide, praktyke, ens.);
• Algemene terminologie en doelwitte;
• Die verskaffing van voordele aan diensverskaffers en kliënte as gevolg van die konvergensie van alle beheerstelsels; en
• Gelyktydige ouditering van alle beheerprosesse, wat uitgawebesparings tot gevolg het.

Verstaan ​​die ISO 27001- en ISO 20000-1-konsep

Voordat 'n gevorderde bestuurstelsel beplan word, moet die organisasie 'n stewige begrip hê van die kenmerke, ooreenkomste en onderskeid tussen ISO/IEC 27001 en ISO/IEC 20000-1. Dit verminder aansienlik die hoeveelheid tyd en geld wat benodig word vir implementering. Die ISO 27013 Standaardklousules 4.2 tot 4.4 bied 'n oorsig van die hoofbeginsels agter alle spesifikasies, maar moet nie in die plek van 'n gedetailleerde ontleding geneem word nie.

4.2 ISO/IEC 27001-konsepte

ISO/IEC 27001 vestig, implementeer, bedryf, monitor, hersien, onderhou en verbeter 'n inligtingsekuriteitbestuurstelsel (ISMS) om inligtingsbates te beskerm. Die term "inligtingsbates" verwys na data van enige vorm, wat in enige medium gestoor word en om enige rede deur of binne die organisasie gebruik word.

Om aan ISO/IEC 27001 te voldoen, moet 'n organisasie 'n inligtingsekuriteitbestuurstelsel (ISMS) aanvaar wat gebaseer is op 'n risikobepalingsmetode vir die identifisering van bedreigings vir inligting bates. Die maatskappy moet 'n aantal risikobestuursprogramme as deel van hierdie funksie kies, aanneem, evalueer en herbesoek. Daar word na hierdie kontroles verwys.

Die organisasie moet toepaslike aanvaarbare risikostandaarde daarstel, met inagneming van marktoestande en ekstern opgelegde dinge. Statutêre en administratiewe vereistes, sowel as kontraktuele verpligtinge, is voorbeelde van ekstern opgelegde vereistes.

4.3 ISO/IEC 20000-1-konsep

ISO/IEC 20000-1 is van toepassing op organisasies of segmente van organisasies wat dienste gebruik of aanbied. Dit verhoog beide die kliënt en die diensverskaffer se waarde. Die standaard vereis egter dat die diensverskaffer alle prosesse wat deur die standaard geraak word, monitor, en slegs die diensverskaffer is in staat om voldoening aan ISO/IEC 20000-1 te bereik.

Die standaard se primêre doelwit is om te verseker dat verskaffers aan kwaliteitstandaarde voldoen en waarde aan beide die gebruiker en die diensverskaffer verskaf. Diens bestuur bestuur en beheer die bedrywighede en hulpbronne van 'n diensverskaffer in die beplanning, produksie, oordrag, implementering en uitbreiding van dienste ten einde aan die kliënt se vereistes(s) te voldoen.

Om aan die standaard se spesifikasies te voldoen, moet die diensverskaffer 'n aantal relevante diensbestuursprosesse inkorporeer. Dit sluit in, maar is nie beperk nie tot, voorvalbestuur, veranderingsbestuur en probleembestuur. Inligtingsekuriteitbestuur is 'n diensbestuursproses gespesifiseer in ISO/IEC 20000-1.

4.4 Ooreenkomste en onderskeidings

Dikwels word diensbestuur en inligtingsekuriteitsbestuur hanteer asof dit onverwant of onlosmaaklik verbind is. Die konteks vir hierdie onderskeid is dat terwyl diensbestuur geredelik met kwaliteit en prestasie geassosieer word, word inligtingsekuriteitsbestuur dikwels oor die hoof gesien as 'n noodsaaklike komponent van doeltreffende dienslewering. Gevolglik is diensbestuur dikwels die eerste komponent wat ingestel word.

Talle beheerdoelwitte en voorsorgmaatreëls omskryf in ISO/IEC 27001, Aanhangsel A, is ook ingesluit in die ISO/IEC 20000-1 diensbestuurvereistes.

Wat is die voordele van die implementering van ISO/IEC 27013-standaard?

Die implementering van 'n gevorderde bestuursraamwerk soos ISO 27013 wat beide die dienste wat aangebied word en die sekuriteit van inligtingsbates in ag neem, sal 'n verskeidenheid voordele bied.

Die volgende is 'n paar van die belangrikste voordele van die implementering van ISO 27001 en ISO 20000-1 saam:

• Verhoogde betroubaarheid in die verskaffing van betroubare en doeltreffende IT-dienste aan interne en eksterne kliënte, sowel as belanghebbendes
• Groot kostebesparings in vergelyking met die implementering van elkeen afsonderlik.
• Tydbesparing as gevolg van die uitskakeling van die behoefte om stelsels te skep wat twee keer gemeen is aan alle vereistes.
• Prosesse wat oorbodig of onnodig is, sal uitgeskakel word.
• Onder diensbestuur en inligtingsekuriteitspersoneel is daar 'n groter kennis van beide diensbestuur en inligtingsekuriteit.
• Enige organisasie wat ISO/IEC 27001-sertifisering behaal het, sal makliker aan die ISO/IEC 20000-1-standaard vir inligtingsekuriteit voldoen.

Met hierdie voordele in gedagte, is dit duidelik dat 'n outomatiese benadering tot SMS- en ISMS-implementering 'n goeie idee is.

Wie moet ISO 27013 implementeer?

Enige organisasie wat in die fisiese wêreld werk, het 'n groot kans om deur 'n kuberaanval geraak te word. Die feit is dat ons nie so veilig is as wat ons dalk dink nie. Trouens, ISMS-implementering gee maatskappye meer beskerming as wat hulle besef. Elke jaar raak ons ​​lewens meer verweef met tegnologie en daarom neem ons afhanklikheid daarvan toe.

Om hierdie rede, ouditeure, asook organisasies wat inligtingsekuriteit implementeer en/of diensbestuurprogramme, en organisasies wat aan ouditeuropleiding en -sertifisering of bestuurstelselakkreditasie deelneem, moet die geïntegreerde implementering van ISO 27001 en ISO 20000-1 oorweeg.

Wat is die vereistes vir die implementering van ISO 27013?

'n Organisasie wat dit oorweeg om beide ISO/IEC 27001 en ISO/IEC 20000-1 te implementeer, kan in drie kategorieë geklassifiseer word:

• Hulle het ad-hoc bestuurstrukture wat beide inligtingsekuriteitbestuur en diensbestuur insluit;
• Hulle het 'n bestuursraamwerk gebaseer op een van beide standaarde;
• Hulle het verskillende bestuurstelsels gebaseer op die twee standaarde, wat nie geïntegreer is nie (aparte bestuurstelsels gebaseer op die twee standaarde).

'n Organisasie wat dit oorweeg om 'n geïntegreerde bestuurstelsel te implementeer, moet die volgende in ag neem:

• Enige ander bestuurstelsel(s) wat tans in werking is;
• Alle dienste, prosedures en hul onderlinge verbande binne die raamwerk van die geïntegreerde bestuurstelsel;
• Eienskappe van elke standaard wat saamgesmelt kan word en hoe dit saamgevoeg kan word; Eienskappe wat duidelik moet bly;
• Die geïntegreerde bestuurstelsel se effek op kliënte, verskaffers en ander belanghebbendes;
• Die geïntegreerde bestuurstelsel se impak op tegnologieë wat gebruik word;
• Die geïntegreerde bestuurstelsel se impak op, of gevaar vir, dienste en besigheidsbestuur;
• Die geïntegreerde bestuurstelsel se impak op, of risiko vir, inligtingsekuriteit;
• Inligtingsekuriteit bestuur opleiding en onderwys;
• Die geïntegreerde bestuurstelsel se stadiums en tydlyn van implementering.

Hoe ISMS.online dit maklik maak om 'n geïntegreerde bestuurstelsel te bestuur

Hier by ISMS.online, help ons maatskappye om die regte ding te doen deur die gereedskap en hulpbronne vir hulle te verskaf om 'n geïntegreerde bestuurstelsel in ooreenstemming met die ISO 27013-standaard te bestuur. ISMS.online is 'n aanlyn sagteware oplossing wat gebruikers in staat stel om aan hul kliënte, reguleerders en ouditeure te demonstreer dat hulle 'n klagtebestuurstelsel het.

Ons kragtige wolkgebaseerde sagteware laat jou toe om jou prosesse na te gaan om te verseker dat dit in ooreenstemming is met die vereistes van die ISO 27013-standaard. Trouens, ons stelsel is een van die mees praktiese, maklik om te gebruik en omvattende pad na ISMS sukses.

ISMS.online bied ook 'n Virtuele afrigter wat 24/7 konteksspesifieke ondersteuning bied. Jy kan met ons gesels vanaf binne ons platform en jy sal nooit die verkeerde stap neem of jou pad verloor nie. Bel ISMS.online by +44 (0)1273 041140 om meer uit te vind oor hoe ons platform jou kan help om 'n geïntegreerde bestuurstelsel te bestuur wat aan die vereistes vir ISO 27013 voldoen.