Портал №1 по управлению цифровыми
и информационными технологиями

Совместное использование ISO/IEC 27001 и ISO/IEC 20000-1

Многие провайдеры ИТ-услуг, работающие на рынке, заинтересованы в сертфикации сразу по обоим стандартам – ISO/IEC 27001 (система управления информационной безопасностью) и ISO/IEC 20000-1 (система управления ИТ-услугами), а также стремятся сократить издержки на сопровождение двух систем управления за счет интеграции. Однако несмотря на запрос со стороны сервис-провайдеров и врожденную близость двух стандартов до некоторых пор руководства по их совместному использованию не существовало.

Ситуация изменилась в 2012 году, когда вышел "ISO/IEC 27013 – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1" (а пару лет спустя был опубликован одноименный ГОСТ Р ИСО/МЭК 27013-2014). В конце 2015 года стандарт был обновлен, чтобы отразить изменения ISO/IEC 27001:2013.

"Взаимосвязь между информационной безопасностью и управлением услугами является настолько тесной, что многие организации уже осознали выгоды применения обоих стандартов: ISO/IEC 27001 – для обеспечения информационной безопасности и ISO/IEC 20000-1 – для управления ИТ-услугами. Обычно организация совершенствует методы своей работы для соответствия требованиям одного стандарта, а затем проводит дальнейшие улучшения, чтобы соответствовать требованиям другого.

Построение интегрированной системы менеджмента, которая учитывает и аспекты предоставления услуг, и вопросы защиты информационных активов, дает ряд выгод. Эти выгоды можно получить независимо от того, вводятся ли стандарты последовательно или параллельно,  благодаря схожей структуре стандартов и общим целям",- гласит текст стандарта.

iso27013

Источник: ISO/IEC 27013:2015

Содержание ISO/IEC 27013:2015 следующее:

  • Обзор ISO/IEC 27001 и ISO/IEC 20000-1
  • Подходы к совместному использованию

    • Рассмотрение области применения
    • Предварительно используемые сценарии (ни один из стандартов не используется; существует система управления, удовлетворяющая требованиям одного из стандартов; существуют отдельные системы управления, удовлетворяющие требованиям каждого из стандартов)
  • Факторы, касающиеся совместного использования

    • Возможные проблемы
    • Потенциальные выгоды
  • Приложение. Соответствие между ISO/IEC 27001:2013 и ISO/IEC 20000-1:2011
  • Приложение. Сравнение терминов ISO/IEC 27000:2009 и ISO/IEC 20000-1:2011

Международный стандарт доступен на сайте ISO. С текстом ГОСТ Р ИСО/МЭК  27013-2014 (соответствует версии стандарта 2012 года) можно ознакомиться, например, здесь.

«Proven Practices Expert»
Российская сертификация специалистов по ITIL/ITSM

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

DevOps
Kanban
ITSM
ITIL
PRINCE2
Agile
Lean
TOGAF
ITAM