ISO/IEC新标准告诉你如何整合信息安全和服务管理
日前,ISO联合IEC发布了一项新的国际标准,其中为相关组织提供了如何整合使用信息安全和服务管理体系标准的建议。
信息安全和服务管理有着十分紧密的关系,许多组织已经意识到积极采纳信息安全标准ISO/IEC 27001和服务管理标准ISO/IEC 20000-1将会带来很多益处。
新标准ISO/IEC 27013:2012《信息技术 安全技术—ISO/IEC 27001和ISO/IEC 20000-1的整合执行指南》,提供了两个标准执行先后顺序或同时执行的相关指南。
“信息安全标准ISO/IEC 27001和服务管理标准ISO/IEC 20000-1管理的是非常相似的过程和活动,包括持续改进的重要原则。” 信息安全管理体系工作组(ISO/IEC JTC 1/SC 27)召集人Edward Humphreys指出。“用户通过执行兼顾服务提供和信息资产保护的综合管理体系可以获得许多优势。”
新标准的编辑人,同时也是服务管理工作组(ISO/IEC JTC 1/ SC 7)原召集人Jenny Dugmore补充说:“ISO/IEC 27013的出版源于人们认识到综合使用两个国际标准可以带来附加利益。ISO/IEC 27013 为那些希望提高效率,改进他们信息安全、服务管理和服务的组织提供了行动第一步的指南。”
整合执行的主要益处包括:为组织的内部或外部客户增加有效和安全服务可信性。
降低整合项目成本;
两个标准进程整合发展的共性可以减少执行时间;
消除重复;
增强服务管理人员和安全人员间的了解;
改进认证过程。
该国际标准的用户包括:审核员,执行信息安全和/或服务管理体系的组织,参与审核员认证或培训、管理体系的认证/注册以及一致性评估领域中认证和标准化活动的组织机构。
此外,技术报告ISO/IEC TR 20000-10正在制定过程中。它将提供对ISO/IEC 20000概念的描述,标准中所用的术语解释,识别ISO/IEC 20000不同部分间如何相互作用以及该标准与其他ISO/IEC标准的关联情况。同样,作为ISO 9001应用到服务管理审核指南的ISO/IEC TR 90006也在制定过程中。
ISO/IEC 27013:2012《信息技术 安全技术—ISO/IEC 27001和ISO/IEC 20000-1的整合执行指南》由ISO/IEC JTC 1 IT安全技术分委员会SC27联合ISO/IEC JTC 1 软件和系统工程分委员会SC7制定完成。