ISO/IEC 27013 ISMS & ITIL/service management

Hva er ISO 27013-standarden?

Den internasjonale organisasjonen for standardisering (ISO) opprettholder et bredt spekter av standarder som et internasjonalt organ. Generelt representerer standardene konsensus fra eksperter fra hele verden om saker knyttet til deres felt. De ISO 27000 serien er en av de viktigste standardene for informasjonssikkerhet. Denne serien av standarder gir et rammeverk for håndtering av informasjonssikkerhetsrisikoer.

ISO 27013-standarden fastsetter kravene til en organisasjon for å implementere Information Security Management System (ISMS) og Service Management System (SMS). ISO / IEC 27001 er en standard som definerer styringssystemer for informasjonssikkerhet (ISMS) som gir organisasjoner et kraftig rammeverk for implementering av beste praksis og retningslinjer for cybersikkerhet.

ISO/IEC 20000-1 er et internasjonalt rammeverk for IT-tjenesteadministrasjon som lar organisasjoner sikre at deres IT-tjenestestyringssystem er kompatible med forretningsbehov.

ISO 27013-standarden ble opprettet for å hjelpe organisasjoner med å implementere både ISO 27001 og ISO 20000-1 samtidig eller med å implementere en der en annen allerede er på plass. Ved å gjøre det kan bedrifter maksimere kundelojalitet, få en strategisk fordel, forbedre bedriftens drift og over tid realisere betydelige kostnadsbesparelser.

Hva er en ISMS?

En ISMS er et styringssystem for informasjonssikkerhet. Dette er et rammeverk for implementering sikkerhetstiltak som tilgangskontroller, hendelsesrespons, overvåking, sikkerhetsopplæring og mye mer. An ISMS blir noen ganger referert til som ISO 27001 etter den internasjonale standarden som brukes for dette rammeverket.

Den beskriver og demonstrerer organisasjonens tilnærming til informasjonssikkerhet. Disse systemene kan implementeres på en rekke måter avhengig av virksomheten din.

Det er viktig å forstå hva en ISMS er og funksjonen(e) den tjener oppnå samsvar med ISO 27001, ifølge det amerikanske utenriksdepartementet. I henhold til ISO 27001-standarden bør alle organisasjoner ha et styringssystem for informasjonssikkerhet implementert.

Hva er IT Service Management?

IT Service Management, mest kjent som ITSM, er en konsensus i IT-bransjen om hvordan tjenester leveres til kunder. Enkelt sagt er ITSM et rammeverk for å tilby og støtte IT-tjenester. Praksisen som definerer ITSM kan brukes i enhver organisasjon uavhengig av størrelse, type teknologi eller aktivitetsnivå.

ITSM muliggjør effektiv og effektiv levering av IT-tjenester til interne eller eksterne kunder. En IT-tjeneste er ethvert produkt som leveres til en kunde og kan finansieres, utføres eller anskaffes som en IT-tjeneste.

Det er i hovedsak et administrasjonsrammeverk som hjelper deg med å administrere og organisere alle aspektene ved å levere tjenester på en effektiv, effektiv, pålitelig og sikker måte tilpasset kundens behov og forventninger. ISO 20000-1 er standarden for IT Service Management (ITSM) systemer og setter retningslinjer for ekstern parts sertifiseringsrevisjon. Målet med ISO 20000-1 er strategisk innretting av ITSM med andre IT-aktiviteter, prosesser og ressurser.

Integrert implementering av ISO 27001 og ISO 20000-1 Basert på ISO 27013

ISO/IEC 27001 og ISO/IEC 20000-1 er to standarder som deler et stort antall komponenter og mål, samt det kritiske prinsippet om kontinuerlig forbedring. Dermed vil integrering av implementeringen av et tjenestestyringssystem (SMS) og et styringssystem for informasjonssikkerhet (ISMS) være den optimale løsningen.

Dette er PDCA-punktene fra ISO 27001 og ISO 20000 som kan integreres under implementeringen av ISO 27013:

Retningslinjer

Spesifiserer interne retningslinjer for det integrerte systemets administrasjon.

Kurs

Alle ansatte som vil bli berørt av implementeringen av det integrerte styringssystemet må få tilstrekkelig utdanning i informasjonssikkerhet og tjenesteledelse.

kommunikasjon

Intern og ekstern korrespondanse om integrert styringsrammeverk skal gjennomføres i henhold til definerte retningslinjer (vanligvis definert som kommunikasjonsprotokoll).

Definisjon av mål

Definerer målene som skal oppnås gjennom implementeringen av det integrerte systemet. Dette vil også inkludere etablering av visse benchmarks for å fastslå om målene er nådd.

Definisjon av ansvar

Angir ansvaret for integrert systemstyring. Vanligvis refererer dette begrepet til personen som er ansvarlig for det integrerte systemet. I tillegg vil et team som inkluderer toppledelsen som hovedmedlem bli dannet for integrering av styringssystemet.

Kontroll av dokumenter og journaler

Det må legges til rette for kontroll og forvaltning av det integrerte systemets dokumentasjon og arkiv.

Metrics

For ISO 27001 må målinger settes på plass for å vurdere effektiviteten til sikkerhetskontrollene. For ISO 20000 må det etableres beregninger for å vurdere effektiviteten til protokoller.

Internrevisjon

Det vil bli gjennomført en internrevisjon for å identifisere potensielle avvik i det integrerte systemet og for å vurdere omfanget av samsvar i forhold til standardkrav.

Gjennomgang av ledelsen

Organisasjonens toppledelsen må evaluere et sett med inngangspunkter til det integrerte styringssystemet. De er pålagt å gjøre visse funn eller resultater som et resultat av analysen.

Kontinuerlig forbedring

Det integrerte systemets ledelse vil etablere korrigerende og forebyggende tiltak for behandling av identifiserte avvik (vanligvis oppdaget i revisjoner, gjennomganger etc.).

Som vi kan se, er både ISO 27001 og ISO 20000-1 kravene fullstendig kompatible og kan sømløst kombineres for å danne grunnlaget for ISO 27013, noe som resulterer i et integrert styringssystem som sikrer konsistensen og sikkerheten til bedriftens prosesser og tjenester, og dermed øker kundetilfredshet.

Omfang og formål med ISO 27013-standarden

ISO 27013-standarden gir instruksjoner om hvordan man innlemmer ISO 27001 og ISO 20000-1 på en automatisert måte for organisasjoner som planlegger å:

• Implementer ISO/IEC 27001 etter å ha vedtatt ISO/IEC 20000-1, eller omvendt; implementere ISO/IEC 27001 og ISO/IEC 20000-1 samtidig eller
• Juster og integrer tidligere implementerte ISO/IEC 27001 og ISO/IEC 20000-1 styringssystemer.

Denne standardens omfang omfatter to ISO/IEC JTC1-underkomiteer. SC 27 og SC 7 arbeidet for å sikre at synspunktene til informasjonsteknologi og IT-tjenesteledelse ble behandlet tilstrekkelig.

ISO 27013-standarden gir også veiledning om planlegging og prioritering av oppgaver, inkludert følgende:

• Justere mål for informasjonssikkerhet, tjenesteadministrasjon og forbedring;
• Koordinering av samarbeidsoppgaver, noe som resulterer i et mer koordinert og justert rammeverk;
• Opprette en samling av protokoller og støttedokumentasjon (retningslinjer, praksis osv.);
• Felles terminologi og mål;
• Gi fordeler til tjenesteleverandører og kunder som et resultat av konvergensen av alle kontrollsystemer; og
• Samtidig revisjon av alle kontrollprosesser, noe som resulterer i kostnadsbesparelser.

Forstå ISO 27001- og ISO 20000-1-konseptet

Før du planlegger et avansert styringssystem, bør organisasjonen ha et godt grep om funksjonene, likhetene og forskjellene mellom ISO/IEC 27001 og ISO/IEC 20000-1. Dette reduserer betraktelig mengden tid og penger som kreves for implementering. ISO 27013-standardklausulene 4.2 til 4.4 gir en oversikt over hovedprinsippene bak alle spesifikasjoner, men bør ikke tas i stedet for en detaljert analyse.

4.2 ISO/IEC 27001-konsepter

ISO/IEC 27001 etablerer, implementerer, driver, overvåker, vurderer, vedlikeholder og forbedrer et styringssystem for informasjonssikkerhet (ISMS) for å beskytte informasjonsressurser. Begrepet "informasjonsmidler" refererer til data av enhver form, lagret i et hvilket som helst medium, og brukt av eller inne i organisasjonen uansett årsak.

For å overholde ISO/IEC 27001, må en organisasjon ta i bruk et styringssystem for informasjonssikkerhet (ISMS) basert på en risikovurderingsmetode for å identifisere trusler mot informasjon eiendeler. Selskapet bør velge, vedta, evaluere og revidere en rekke risikostyringsprogrammer som en del av denne funksjonen. Disse omtales som kontroller.

Organisasjonen bør etablere passende akseptable risikostandarder, ta markedsforhold og eksternt pålagte ting i betraktning. Lovpålagte og administrative krav, samt kontraktsmessige forpliktelser, er eksempler på eksternt pålagte krav.

4.3 ISO/IEC 20000-1-konsept

ISO/IEC 20000-1 gjelder for organisasjoner eller segmenter av organisasjoner som bruker eller tilbyr tjenester. Dette øker både kundens og tjenesteleverandørens verdi. Standarden krever imidlertid at tjenesteleverandøren overvåker alle prosesser som berøres av standarden, og kun tjenesteleverandøren er i stand til å oppnå samsvar med ISO/IEC 20000-1.

Standardens primære mål er å sikre at tilbydere oppfyller kvalitetsstandarder og gir verdi til både bruker og tjenesteleverandør. Service ledelsen styrer og kontrollerer driften og ressursene til en tjenesteleverandør i planleggingen, produksjon, overføring, implementering og utvidelse av tjenester for å møte kundens krav(er).

For å overholde standardens spesifikasjoner må tjenesteleverandøren innarbeide en rekke relevante tjenestestyringsprosesser. Disse inkluderer, men er ikke begrenset til, hendelsesadministrasjon, endringsledelse og problemhåndtering. Informasjonssikkerhetsadministrasjon er en tjenesteadministrasjonsprosess spesifisert i ISO/IEC 20000-1.

4.4 Likheter og distinksjoner

Ofte håndteres tjenesteadministrasjon og informasjonssikkerhet som om de er urelaterte eller uløselig knyttet sammen. Konteksten for dette skillet er at selv om tjenesteledelse lett kan assosieres med kvalitet og ytelse, blir informasjonssikkerhetsstyring ofte oversett som en nødvendig komponent for effektiv tjenestelevering. Som en konsekvens er tjenestestyring ofte den første komponenten som introduseres.

Imidlertid har en rekke kontrollmål og sikkerhetstiltak definert i ISO/IEC 27001, Vedlegg A, er også inkludert i ISO/IEC 20000-1 service management krav.

Hva er fordelene ved å implementere ISO/IEC 27013-standarden?

Implementering av et avansert styringsrammeverk som ISO 27013 som tar hensyn til både tjenestene som tilbys og sikkerheten til informasjonsressurser vil gi en rekke fordeler.

Følgende er noen av hovedfordelene ved å implementere ISO 27001 og ISO 20000-1 sammen:

• Økt troverdighet i å tilby pålitelige og effektive IT-tjenester til interne og eksterne kunder, så vel som interessenter
• Enorme kostnadsbesparelser sammenlignet med å implementere hver enkelt separat.
• Tidsbesparelser på grunn av eliminering av behovet for å lage systemer som er felles for alle krav to ganger.
• Prosesser som er overflødige eller unødvendige vil bli eliminert.
• Blant tjenesteledelsen og informasjonssikkerhetspersonalet er det større kunnskap om både tjenesteledelse og informasjonssikkerhet.
• Enhver organisasjon som har oppnådd ISO/IEC 27001-sertifisering vil lettere oppfylle ISO/IEC 20000-1-standarden for informasjonssikkerhet.

Med disse fordelene i tankene, er det åpenbart at en automatisert tilnærming til SMS- og ISMS-implementering er en god idé.

Hvem bør implementere ISO 27013?

Enhver organisasjon som opererer i den fysiske verden har en stor sjanse for å bli påvirket av et cyberangrep. Faktum er at vi ikke er så trygge som vi kanskje tror. Faktisk gir ISMS-implementering bedrifter mer beskyttelse enn de er klar over. Hvert år blir livene våre mer sammenvevd med teknologi, og derfor øker vår avhengighet av den.

Av denne grunn, revisorer, samt organisasjoner som implementerer informasjonssikkerhet og/eller tjenestestyringsprogrammer, og organisasjoner som deltar i revisoropplæring og sertifisering eller akkreditering av styringssystem bør vurdere den integrerte implementeringen av ISO 27001 og ISO 20000-1.

Hva er kravene for å implementere ISO 27013?

En organisasjon som vurderer å implementere både ISO/IEC 27001 og ISO/IEC 20000-1 kan klassifiseres i tre kategorier:

• De har ad-hoc-administrasjonsstrukturer som inkluderer både informasjonssikkerhetsstyring og tjenesteadministrasjon;
• De har et styringsrammeverk basert på en av standardene;
• De har ulike styringssystemer basert på de to standardene, som ikke er integrerte (separate styringssystemer basert på de to standardene).

En organisasjon som vurderer å implementere et integrert styringssystem bør ta hensyn til følgende:

• Eventuelle andre styringssystem(er) som er i drift;
• Alle tjenester, prosedyrer og deres innbyrdes sammenhenger innenfor rammen av det integrerte styringssystemet;
• Egenskaper for hver standard som kan slås sammen og hvordan de kan slås sammen; Egenskaper som må forbli distinkte;
• Det integrerte styringssystemets effekt på kunder, leverandører og andre interessenter;
• Det integrerte styringssystemets innvirkning på teknologier i bruk;
• Det integrerte styringssystemets innvirkning på, eller fare for, tjenester og virksomhetsstyring;
• Det integrerte styringssystemets innvirkning på, eller risiko for, informasjonssikkerhet;
• Informasjonssikkerhet ledelse opplæring og utdanning;
• Det integrerte styringssystemets stadier og tidslinje for implementering.

Hvordan ISMS.online gjør det enkelt å kjøre et integrert styringssystem

Her på ISMS.online, hjelper vi bedrifter til å gjøre det rette ved å tilby verktøyene og ressursene for at de skal kunne drive et integrert styringssystem i tråd med ISO 27013-standarden. ISMS.online er en online programvareløsning som lar brukere demonstrere overfor sine kunder, regulatorer og revisorer at de har et klagebehandlingssystem.

Vår kraftige skybaserte programvare lar deg sjekkliste prosessene dine for å sikre at de er i tråd med kravene i ISO 27013-standarden. Faktisk er systemet vårt en av de mest praktiske, brukervennlige og omfattende veiene til ISMS-suksess.

ISMS.online gir også en Virtual Coach som tilbyr 24/7 kontekstspesifikk støtte. Du kan chatte med oss ​​fra innenfor vår plattform og du vil aldri ta feil skritt eller gå deg vill. Ring ISMS.online på +44 (0)1273 041140 for å finne ut mer om hvordan plattformen vår kan hjelpe deg med å drive et integrert styringssystem som oppfyller kravene til ISO 27013.