Integrarea managementului securitatii informatiilor si al service-ului – prin intermediul noului standard ISO 27013
ISO si IEC au publicat un nou standard international oferind organizatiilor un ghid cu privire la integrarea standardelor cu privire la managementul securitatii informatiilor si respectiv managementul service-ului.
Relatia dintre securitatea informatiilor si managementul service-ului este atat de apropiata incat multe organizatii recunosc deja beneficiile adoptarii celor doua standarde in tandem: ISO/IEC 27001 pentru securitatea informatiilor si ISO/IEC 20000-1 pentru managementul service-ului.
Noul standard ISO/IEC 27013:2012, Tehnologia informatiei –Tehnici de securitate – Ghid cu privire la implementarea integrata a ISO/IEC 27001 si ISO/IEC 20000-1, ofera orientari fie in cazul in care un standard este implementat inaintea celuilalt fie in cazul in care implementarea este simultana.
“Atat ISO/IEC 27001 pentru securitatea informatiilor cat si ISO/IEC 20000-1 pentru managementul service-ului abordeaza procese si activitati foarte similare, incluzand principiul important al imbunatatirii continue”
a declarat Edward Humphreys, presedinte al grupului de lucru cu privire la sistemele de management al securitatii informatiei (ISO/IEC JTC 1/SC 27).
“Pot fi obtinute un numar de avantaje prin implementarea unui sistem de management care ia in considerare nu numai serviciile oferite dar si protejarea activelor informationale.”
Jenny Dugmore, editor al noului standard si fost presedinte al grupului de lucru cu privire la managementul service-ului (ISO/IEC JTC 1/ SC 7), a adaugat:
“ Publicarea ISO/IEC 27013 este rezultatul recunoasterii faptului ca implementarea combinata a celor doua standarde aduce beneficii suplimentare. ISO/IEC 27013 ofera orientari cu privire la primii pasi de urmat de catre organizatiile care doresc sa-si creasca eficienta, sa-si imbunatateasca securitatea informatiilor, managementul service-ului si serviciile.”
Printre beneficiile importante ale implementarii integrate includem:
– Obtinerea credibilitatii in fata partenerilor interni si externi ai organizatiei cu privire la un service eficient si sigur
– Scaderea costurilor datorita programului integrat
– Reducerea timpului de implementare datorita dezvoltarii integrate a proceselor cumune celor doua standarde
– Eliminarea necesitatii duplicarii actiunilor
– Promovarea comunicarii intre personalul de management al service-ului si cel al securitatii informatiilor
– Imbunatatirea procesului de certificare
Printre utilizatorii acestui standard international mentionam auditorii, organizatiile care implementeaza managementul service-ului sau al securitatii informatiei, organizatiile implicate in certificarea auditorilor sau instruire, certificarea de sisteme de management, acreditare sau standardizare in ceea ce priveste domeniul declaratiilor de conformitate.
Un raport tehnic (ISO/IEC JTC 1/ SC 7), se afla in prin proces de dezvoltare, avand ca obiectiv oferirea unei imagini de ansamblu asupra conceptelor ISO/IEC 20000, explicand terminologia utilizata in cadrul seriei si identificand modalitatea in care diversele parti ale ISO/IEC 20000 interactioneaza reciproc alaturi de prezentarea interconexiunilor standardului cu celelalte standarde ISO/IEC.
In mod similar, ISO/IEC TR 90006 se afla in dezvoltare sub forma de linii generale ale auditului cu privire la aplicarea ISO 9001 la managementul service-ului.
Standardul ISO/IEC 27013:2012, Tehnologia informatiei – tehnici de securitate – orientari cu privire la implementarea integrata a ISO/IEC 27001 si ISO/IEC 20000-1, a fost dezvoltat de comitetul tehnic comun ISO/IEC JTC 1, Tehnologia informatiei, subcomitetul SC27, Tehnici de securitate IT, in cooperare cu ISO/IEC JTC 1, subcomitetul SC7, Ingineria sistemelor si software-ului.
Standardul costa 140 franci elvetieni si este disponibil la institutele nationale membre ISO (vezi lista completa cu detalii de contact), la secretariatul central ISO, prin intermediul ISO Store sa prin contactarea departamentului de marketing, comunicare si informare. (dupa un comunicat de presa al ISO)