О работе над этим документом я уже рассказывала здесь: http://rusrim.blogspot.com/2021/03/isoiec-27013-isoiec-27001-isoiec-20000-1.html
Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection), и заменил ныне действующую редакцию стандарта ISO/IEC 27013:2015.
В России стандарт в редакции 2012 года был адаптирован как ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=180052
Упоминаемые стандарты систем менеджменты также адаптированы в России:
- ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230305
- Утверждён, но пока ещё не выложен ГОСТ Р ИСО/МЭК 20000-1-2021 «Информационные технологии. Менеджмент сервисов. Часть 1. Требования к системе менеджмента сервисов», который заменит ГОСТ Р ИСО/МЭК 20000-1-2013 «Информационная технология. Управление услугами. Часть 1. Требования к системе управления услугами» (см. http://protect.gost.ru/v.aspx?control=8&baseC=-1&id=177330 )
Во вводной части документа отмечается:
«Взаимосвязь между менеджментом информационной безопасностью и менеджментом сервисов (услуг) настолько тесна, что многие организации уже признают преимущества внедрения двух международных стандартов для этих областей: ISO/IEC 27001 для менеджмента информационной безопасностью и ISO/IEC 20000-1 для менеджмента услуг. Часто организация совершенствует свои методы работы, чтобы обеспечить соответствие требованиям, установленным одним из этих международных стандартов, а затем проводит дальнейшие улучшения, чтобы обеспечить соответствие требованиям другого стандарта.
Для организации имеется ряд преимуществ, если организация обеспечивает принятие во внимание её системой менеджмента как жизненного цикла услуг, так и защиты информации организации. Эти преимущества можно ощутить независимо от того, внедряются ли эти международные стандарты один за другим или одновременно оба вместе. Процессы менеджмента и организационные процессы, в частности, могут выиграть от использования взаимодополняющих концепций и сходства между этими международными стандартами и их общими целями.
… Настоящий документ содержит рекомендации по совместному (интегрированному) внедрению стандартов ISO/IEC 27001 и ISO/IEC 20000-1 для тех организаций, которые намереваются:
а) внедрять ISO/IEC 27001, когда ISO/IEC 20000-1 уже внедрен, или наоборот;
b) совместно внедрять ISO/IEC 27001 и ISO/IEC 20000-1, либо
c) интегрировать друг с другом существующие системы менеджмента на основе ISO/IEC 27001 и ISO/IEC 20000-1.
В настоящем документе рассматриваются исключительно вопросы интегрированного внедрения системы менеджмента информационной безопасности (СМИБ) в соответствии с ISO/IEC 27001, и системы менеджмента услуг в соответствии с ISO/IEC 20000-1.»
Содержание стандарта следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор стандартов ISO/IEC 27001 и ISO/IEC 20000-1
5. Подходы к совместному внедрению
6. Соображения, связанные с совместным внедрением
Приложения
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/78752.html
https://www.iso.org/obp/ui/#!iso:std:78752:en
Комментариев нет:
Отправить комментарий