Товары в корзине: 0 шт Оформить заказ
Стр. 1 

48 страниц

Предоставляет руководство по совместному использованию ИСО/МЭК 27001 и ИСО/МЭК 20000-1 для организаций, планирующих: a) реализовать ИСО/МЭК 27001, когда стандарт ИСО/МЭК 20000-1 уже принят, или наоборот; b) реализовать одновременно оба стандарта: ИСО/МЭК 27001 и ИСО/МЭК 20000-1; c) объединить существующие системы менеджмента в соответствии с ИСО/МЭК 27001 и ИСО/МЭК 20000-1. Стандарт сосредоточен исключительно на совместном использовании ИСО/МЭК 27001 и ИСО/МЭК 20000-1. На практике ИСО/МЭК 27001 и ИСО/МЭК 20000-1 могут быть также интегрированы в другие системы менеджмента, представленные, например, в ИСО 9001 и ИСО 14001.

 Скачать PDF

Идентичен ISO/IEC 27013:2012

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины, определения и сокращения

4 Обзор ИСО/МЭК 27001 и ИСО/МЭК 20000-1

     4.1 Понимание стандартов

     4.2 Концепции ИСО/МЭК 27001

     4.3 Концепции ИСО/МЭК 20000-1

     4.4 Сходства и различия

5 Подходы к совместному использованию

     5.1 Общая информация

     5.2 Рассмотрение области применения

     5.3 Предварительно используемые сценарии

6 Факторы, касающиеся совместного использования

     6.1 Общая информация

     6.2 Возможные проблемы

     6.3 Потенциальные выгоды

Приложение А (справочное) Соответствие между ИСО/МЭК 27001:2005 и ИСО/МЭК 20000-1:2011

Приложение В (справочное) Сравнение терминов ИСО/МЭК 27000:2009 и ИСО/МЭК20000-1:2011

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Библиография

 

48 страниц

Дата введения01.09.2015
Добавлен в базу21.05.2015
Актуализация01.01.2021

Этот ГОСТ находится в:

Организации:

16.09.2014УтвержденФедеральное агентство по техническому регулированию и метрологии1084-ст
РазработанООО НПФ Кристалл
РазработанООО ИАВЦ
ИзданСтандартинформ2014 г.

Information technology. Security techniques. Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

ГОСТ Р исо/мэк 27013—

2014

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1

ISO/IEC 27013:2012 Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

(IDT)

Издание официальное

Москва

Стамдартинформ

2014

ГОСТ Р ИСО/МЭК 27013—2014

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «Информационноаналитический вычислительный центр» (ООО «ИАВЦ») и Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл») на основе собственного аутентичного перевода на русский язык стандарта, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 22 «Информационные технологии»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 16 сентября 2014 г. № 1084-ст

4    Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27013:2012 «Информационная технология. Методы обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» (ISO/IEC 27013:2012 «Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-

1»).

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ 1.5 (пункт 3.5).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных между* народных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в ГОСТ Р 1.0-2012 (раздел 8) Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске информационного указателя «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования — на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (gost.ru)

©Стандартинформ, 2014

В Российской Федерации настоящий стандарт не может быть полностью или частично воспроизведен. тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

ГОСТ Р ИСО/МЭК 27013—2014

Содержание

1    Область применения.....................................................................................................................................1

2    Нормативные ссылки.....................................................................................................................................1

3    Термины, определения и сокращения.........................................................................................................2

4    Обзор ИСО/МЭК 27001 и ИСО/МЭК 20000-1 ..............................................................................................2

4.1    Понимание стандартов..........................................................................................................................2

4.2    Концепции ИСО/МЭК 27001...................................................................................................................2

4.3    Концепции ИСО/МЭК 20000-1................................................................................................................2

4.4    Сходства и различия..............................................................................................................................3

5    Подходы к совместному использованию.....................................................................................................4

5.1    Общая информация...............................................................................................................................4

5.2    Рассмотрение области применения.....................................................................................................4

5.3    Предварительно используемые сценарии...........................................................................................5

6    Факторы, касающиеся совместного использования...................................................................................7

6.1    Общая информация...............................................................................................................................7

6.2    Возможные проблемы............................................................................................................................7

6.3    Потенциальные выгоды.......................................................................................................................12

Приложение А (справочное) Соответствие между ИСО/МЭК 27001 2005 и ИСО/МЭК 20000-1:2011 ...16 Приложение В (справочное) Сравнение терминов ИСО/МЭК 27000:2009 и ИСО/МЭК 20000-1:2011 ...19 Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской Федерации.........................................................42

Библиография.................................................................................................................................................43

Введение

ИСО/МЭК 27013 был подготовлен совместным техническим комитетом ИСО/МЭК СТК 1, Информационная технология, подкомитетом 27, Методы и средства обеспечения безопасности, в сотрудничестве с совместным техническим комитетом ИСО/МЭК СТК 1, Информационная технология. подкомитетом 7, Проектирование программного обеспечения и систем.

Взаимосвязь между информационной безопасностью и менеджментом услуг является настолько тесной, что многие организации уже осознали выгоды применения обоих стандартов: ИСО/МЭК 27001 — для обеспечения информационной безопасности и ИСО/МЭК 20000-1 — для менеджмента услуг. Обычно организация совершенствует методы своей работы для соответствия требованиям одного стандарта, а затем проводит дальнейшие совершенствования, чтобы соответствовать требованиям другого стандарта.

Реализация интегрированной системы менеджмента, учитывающей не только предоставляемые услуги, но также и защиту информационных активов, дает ряд выгод. Эти выгоды можно получить независимо от того, вводятся ли стандарты последовательно или их ввод в действие происходит одновременно. В частности, менеджмент и организационные процессы могут получить выгоду из сходства стандартов и их общих целей.

Основные выгоды совместного введения в действие этих стандартов:

a)    уверенность внутренних или внешних клиентов организации в эффективных и безопасных услугах;

b)    более низкая стоимость интегрированной программы двух проектов, в которой достижения менеджмента услуг и информационной безопасности являются частью стратегии организации;

c)    уменьшение времени реализации за счет интегрированной разработки процессов, общих для обоих стандартов;

d)    устранение ненужного дублирования;

e)    лучшее понимание персоналом, отвечающим за менеджмент услуг и обеспечение безопасности. точек зрения друг друга;

О организации, прошедшей сертификацию по ИСО/МЭК 27001, намного легче выполнять требования по обеспечению информационной безопасности подраздела 6.6 ИСО/МЭК 20000-1:2011. поскольку оба стандарта дополняют требования друг друга.

Настоящий стандарт основан на опубликованных версиях обоих стандартов, т. е. ИСО/МЭК 27001:2005 и ИСО/МЭК 20000-1:2011.

Настоящий стандарт предназначен для использования лицами, знающими содержание обоих стандартов (ИСО/МЭК 27001 и ИСО/МЭК 20000-1). одного из них или не знающими ни того, ни другого стандарта.

Предполагается, что всем читателям доступны экземпляры обоих стандартов. Поэтому настоящий стандарт не воспроизводит части ни одного из стандартов. Также он не описывает полностью все части каждого стандарта. Подробно описываются только те части, в которых предметы обсуждения совпадают.

Настоящий стандарт не дает рекомендаций, связанных с разными правовыми и нормативными актами, регулирующими деятельность организации извне. Данные акты могут варьироваться 8 зависимости от страны и влиять на планирование системы менеджмента организации.

IV

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1

Information technology. Security techniques.

Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

Дата введения — 2015—09—01

1    Область применения

Настоящий    стандарт предоставляет руководство по совместному    использованию

ИСО/МЭК 27001 и ИСО/МЭК 20000-1 для организаций, планирующих:

a)    реализовать ИСО/МЭК 27001, когда стандарт ИСО/МЭК 20000-1 уже принят, или наоборот;

b)    реализовать одновременно оба стандарта: ИСО/МЭК 27001 и ИСО/МЭК 20000-1;

c)    объединить существующие системы менеджмента в соответствии с ИСО/МЭК 27001 и ИСО/МЭК 20000-1.

Настоящий    стандарт сосредоточен исключительно на совместном использовании

ИСО/МЭК 27001 и ИСО/МЭК 20000-1.

На практике ИСО/МЭК 27001 и ИСО/МЭК 20000-1 могут быть также интегрированы в другие системы менеджмента, представленные, например, в ИСО 9001 и ИСО 14001.

2    Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты. Для датированных документов используют только указанное издание. Для недатированных документов используют самое последнее издание ссылочного документа (с учетом всех его изменений).

ИСО/МЭК 20000-1:2011 Информационная технология. Менеджмент услуг. Требования к системе менеджмента услуг (ISO/IEC 20000-1:2011. Information technology- Service management- Service management system requirements)

ИСО/МЭК 27000:2009 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и терминология (ISO/IEC 27000:2009. Information technology — Security techniques — Information security management systems — Overview and vocabulary)

4 ИСО/МЭК 27000 2009 заменен на ИСО/МЭК 27000 2014 Однако для однозначного соблюдения требований настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание

Издание официальное

ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005. Information technology - Security techniques - Information security management systems - Requirements)

3 Термины, определения и сокращения

В настоящем стандарте применены термины по ИСО/МЭК 27000:2009 и ИСО/МЭК 20000-1:2011. В настоящем стандарте применены следующие сокращения:

СМИБ система менеджмента информационной безопасности (information security management system - ISMS) (из ИСО/МЭК 27001);

СМУ система менеджмента услуг (service management system - SMS) (из ИСО/МЭК 20000-1).

В приложении А настоящего стандарта приведено сравнение содержания ИСО/МЭК 27001:2005 и ИСО/МЭК 20000-1:2011 на уровне структурных элементов.

В приложении В настоящего стандарта приведено сравнение терминов:

-    определенных в ИСО/МЭК 27000:2009, являющемся глоссарием для ИСО/МЭК 27001:2005;

-    использованных в ИСО/МЭК 27001;

-    определенных или использованных в ИСО/МЭК 20000-1:2011.

4 Обзор ИСО/МЭК 27001 и ИСО/МЭК 20000-1

4.1    Понимание стандартов

Прежде чем планировать интегрированную систему менеджмента, организации следует достичь полного понимания характерных особенностей, сходств и различий ИСО/МЭК 27001 и ИСО/МЭК 20000-1. Это позволяет оптимизировать время и ресурсы, доступные для реализации. В

4.2 - 4 4 настоящего стандарта представлены основные концепции, лежащие в основе обоих стандартов. но их не следует использовать взамен детального рассмотрения указанных стандартов.

4.2    Концепции ИСО/МЭК 27001

ИСО/МЭК 27001 представляет модель для установления, реализации, эксплуатации, мониторинга. проверки, поддержки и совершенствования СМИБ. используемой для защиты информационных активов. Информационные активы охватывают информацию любого вида, хранимую в любой форме и используемую для любых целей организации или в ее рамках.

Для достижения согласованности с ИСО/МЭК 27001 организация должна реализовать СМИБ на основе процесса оценки риска, чтобы определить риски информационных активов. Как часть этой работы, организация должна сделать выбор, реализовать, провести мониторинг и проверить разнообразные меры для осуществления менеджмента этих рисков. Эти меры известны как меры и средства контроля и управления. Организации необходимо определять допустимые уровни риска, учитывая требования бизнеса и налагаемые внешние требования. Примерами налагаемых внешних требований являются законодательные и нормативные требования или договорные обязательства.

ИСО/МЭК 27001 предназначен для использования организацией любого вида и величины.

4.3    Концепции ИСО/МЭК 20000-1

ИСО/МЭК 20000-1 предназначен для применения организациями или частями организаций, использующих или предоставляющих услуги. Это добавляет значимости, как клиенту, так и поставщику услуг. Тем не менее, все процессы, охватываемые стандартом, контролируются поставщиком услуг, и только поставщик услуг может добиться соответствия ИСО/МЭК 20000-1. Стандарт в первую очередь

ИСО/МЭК 27001 2005 заменен на ИСО/МЭК 27001 2013 Однако для однозначного соблюдения требований настоящего стандарта, выраженного в датированной ссылке, рекомендуется использовать только указанное в этой ссылке издание

ГОСТ Р ИСО/МЭК 27013—2014

нацелен на обеспечение уверенности в том. что услуги удовлетворяют требованиям по обслуживанию и обеспечивают выгоду, как для клиента, так и для поставщика услуг.

Менеджмент услуг управляет и контролирует деятельности и ресурсы поставщика услуг при проектировании, разработке, развитии, предоставлении и совершенствовании услуг с целью выполнения требований к услугам, согласованных со своим клиентом(ами).

Для выполнения требований этого стандарта поставщиком услуг должен быть реализован ряд определенных процессов менеджмента услуг. Они включают, среди прочего, менеджмент инцидентов. менеджмент изменений и менеджмент проблем. Менеджмент информационной безопасности считается одним из процессов менеджмента услуг ИСО/МЭК 20000-1.

ИСО/МЭК 20000-1 может быть использован организацией любого вида и величины.

4.4 Сходства и различия

Менеджмент услуг и менеджмент информационной безопасности часто рассматривают так. будто они не связаны и даже не зависимы один от другого. Условием такого разделения является то. что менеджмент услуг, бесспорно, может иметь отношение к эффективности и рентабельности, тогда как менеджмент информационной безопасности часто не рассматривается как основа для эффективного оказания услуг. В результате менеджмент услуг часто реализуется в первую очередь. Однако, как показано на рисунке 1. многие цели управления, а также меры и средства контроля и управления из приложения А ИСО/МЭК 27001:2005. также включены в требования менеджмента услуг из ИСО/МЭК 20000-1.

Специфика ИСО/МЭК 27001

Совместно используемые части (некоторые совпадения, некоторые отличия)

Специфика ИСО/МЭК 20000-1

-    Классификация информации

-    Менеджмент информационных активов

-    Менеджмент возможностей

-    Менеджмент изменений

-    Управление конфигурацией

-    Менеджмент запроса услуг и менеджмент инцидентов

-    Менеджмент проблем

-    Менеджмент выпуска и внедрения

-    Управление ресурсами

-    Оценка риска

-    Роли и обязанности

-    Менеджмент информационной безопасности

-    Менеджмент непрерывности и доступности услуг

-    Менеджмент поставщиков

-    Бюджетирование и учет услуг

-    Менеджмент деловых отношений

-    Разработка и переход на новые и изменившиеся услуги

-    Менеджмент уровня услуг

Общие части (идентичные в обоих стандартах)

-    Постоянное совершенствование

-    Правовое нормативное соответствие

-    Проводимая руководством проверка

-Цикл РОСА

-    Обучение и обеспечение осведомленности

-    Менеджмент документами

Рисунок 1 — Сравнение концепций ИСО/МЭК 27001 и ИСО/МЭК 20000-1

Очевидно, что менеджмент информационной безопасности и менеджмент услуг рассматривают очень похожие процессы и деятельности, даже несмотря на то. что одна система менеджмента выделяет некоторые детали больше чем другая. Дополнительную информацию см. в приложении А настоящего стандарта. При работе с двумя стандартами необходимо понимать, что они различаются по некоторым аспектам. Например, их области действия различны, см. 5.2 настоящего стандарта. К тому

3

же у них разные цели. ИСО/МЭК 20000-1 предназначен для обеспечения уверенности в том. что организация предоставляет эффективные услуги, тогда как ИСО/МЭК 27001 предназначен для того, чтобы дать возможность организации осуществлять менеджмент риска информационной безопасности и предотвращать инциденты безопасности.

5 Подходы к совместному использованию

5.1    Общая информация

Организация, планирующая реализацию ИСО/МЭК 27001 и ИСО/МЭК 20000-1, может находиться в одном из трех состояний:

-    существуют совместные соглашения по менеджменту, которые охватывают и менеджмент информационной безопасности и менеджмент услуг (формально системы менеджмента могут также существовать для других областей, например, менеджмент качества);

-    существует система менеджмента, основанная на одном из стандартов;

-    существуют отдельные системы менеджмента, основанные на обоих стандартах, но они не интегрированы

Организация, планирующая реализацию интегрированной системы менеджмента, должна учитывать. по крайней мере, следующее:

a)    другую, уже используемую систему(ы) менеджмента (например, систему менеджмента качества);

b)    все услуги, процессы и их взаимозависимости в контексте интегрированной системы менеджмента.

c)    элементы каждого стандарта, которые могут быть объединены, и то, каким образом они могут быть объединены;

d)    элементы, которые должны остаться разъединенными;

e)    влияние интегрированной системы менеджмента на клиентов, поставщиков и другие стороны;

О влияние на используемую технологию;

д) влияние на услуги и менеджмент услуг или риски в отношении услуг и менеджмента услуг;

h)    влияние на информационную безопасность и менеджмент информационной безопасности или риски в отношении информационной безопасности и менеджмента информационной безопасности;

i)    образование и профессиональную подготовку кадров, связанные с интегрированной системой менеджмента;

j)    переходные этапы и последовательность действий по реализации.

5.2    Рассмотрение области применения

Одной из областей, где отмечается существенное различие двух стандартов, является объект их области применения, а именно, активы, процессы и роли, которые должна включать система менеджмента организации.

ИСО/МЭК 20000-1 рассматривает требования к проектированию, развитию, предоставлению и совершенствованию услуг, направленных на удовлетворение требований. Это осуществляется через совокупность процессов Поэтому область применения ИСО/МЭК 20000-1 охватывает процессы менеджмента в организации и предоставляемые услуги. Для ИСО/МЭК 27001 важно осуществление менеджмента риска информационной безопасности. Область применения ИСО/МЭК 27001 охватывает те элементы ее деятельности, которые организация хочет защитить В этом отношении области применения двух стандартов описываются по-разному. В результате можно реализовать ИСО/МЭК 27001 для той же области, что и ИСО/МЭК 20000-1, но ИСО/МЭК 20000-1 не может быть применен ко всей организации, если только эта организация полностью не является поставщиком услуг.

Таким образом, некоторые процессы, активы и роли в организации могут быть исключены из области действия СМИБ, разработанной в соответствии с ИСО/МЭК 27001. Что касается ИСО/МЭК 20000-1, то они не могут быть исключены из области действия, если являются частью услуги или способствуют услуге в области действия СМУ. Область действия СМИБ также может быть определена исключительно четкими физическими границами, такими как периметр безопасности.

4

ГОСТ Р ИСО/МЭК 27013—2014

В некоторых случаях оба стандарта не могут быть реализованы для всей или даже части деятельности организации. Например, когда организация не может отвечать требованиям ИСО/МЭК 20000-1. поскольку она может не управлять всеми процессами, осуществляемыми другими сторонами.

Организация может реализовать СМУ и СМИБ с некоторым перекрытием различных областей их действия. Там. где деятельность находится в пределах области применения, как ИСО/МЭК 27001, так и ИСО/МЭК 20000-1, для интегрированной системы менеджмента следует учитывать требования обоих стандартов, см. приложение А настоящего стандарта. Несовпадение областей применения может привести к тому, что некоторые услуги, включенные в СМУ. будут исключены из СМИБ. Равным образом, из СМУ могут быть исключены процессы и функции СМИБ. Например, некоторые организации выбирают к реализации СМИБ только для своих рабочих и коммуникационных функций наряду с тем. что услуги по менеджменту приложений включены в их СМУ. В качестве альтернативы СМИБ может охватывать все услуги, в то время как СМУ может охватывать только услуги для отдельного клиента или часть услуг для всех клиентов. Организации следует, насколько возможно, согласовать области применения стандартов, чтобы обеспечить уверенность в том, что системы менеджмента могут быть успешно интегрированы.

Примечание — Руководство по определению области действия ИСО/МЭК 20000-1 можно найти в ИСО/МЭК 20000-3 2012 «Руководство по определению области действия и применимости ИСО/МЭК 20000-1*.

5.3 Предварительно используемые сценарии

5.3.1    Общая информация

Организация, планирующая интегрированную систему менеджмента, может находиться в одном из трех состояний, как описано в 5.3.2 - 5.3 4 настоящего стандарта. Во всех случаях в организации будет применяться несколько разновидностей менеджмента процессов, иначе она не смогла бы существовать. В нижеследующих пунктах даются предложения по реализации для каждого из трех состояний, также описанных в 5.1 настоящего стандарта.

5.3.2    Ни один из стандартов в настоящее время не используется в качестве основы для системы менеджмента

Легко предположить, что когда ни один из стандартов в настоящее время не реализован, не существует политик, процессов и процедур и поэтому ситуация разрешается проще. К сожалению, это неверное представление. У организаций, не имеющих систем менеджмента, основанных либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1. вероятно, существует какая-то разновидность системы менеджмента. Ее необходимо будет адаптировать для достижения соответствия с каждым или обоими стандартами.

Решение, касающееся последовательности реализации двух систем менеджмента, должно быть основано на потребностях бизнеса. Решения могут приниматься в зависимости от того, существует ли конкурентоспособный мотив использования одного или другого стандарта, или существует необходимость продемонстрировать выполнение требований одного или другого стандарта для существующих или новых клиентов.

Другое важное решение касается того, будет ли реализована система менеджмента, основанная на обоих стандартах с самого начала, или следует реализовать систему менеджмента, основанную на одном стандарте, а позднее расширить ее, чтобы включить требования другого стандарта, см.

5.3.3 настоящего стандарта. Оба стандарта могут быть реализованы одновременно. Однако в зависимости от особенностей организации может быть более целесообразным начать с одного стандарта, а затем приступить к реализации другого.

Эти рассуждения поясняются следующими сценариями:

a)    организация, которая предоставляет услуги, должна начать с реализации ИСО/МЭК 20000-1, а затем, исходя из уроков, извлеченных из его применения, расширить систему менеджмента, учитывая ИСО/МЭК 27001;

b)    организация, использующая поставщиков, в том числе другие стороны для поставки некоторых элементов услуг, должна сначала сосредоточиться на ИСО/МЭК 20000-1. Это предоставляет дополнительные требования к другим сторонам, включая управление поставщиками. Это дает возможность принимать решения относительно управления поставщиками и вопросов управления процессом. Затем организация должна перейти к ИСО/МЭК 27001;

5

c)    небольшая организация может сосредоточиться либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1, исходя из ее уровня уверенности в менеджменте услуг или информационной безопасности;

d)    крупная организация, предоставляющая внутренние услуги, должна управлять реализацией как одним проектом. Если это невозможно, ей следует разделить реализацию на два параллельных подпроекта в рамках общей программы работ. В рамках каждого подпроекта следует осуществлять реализацию менеджмента согласно одному стандарту и интегрировать еб с реализацией следующего подпроекта. В случае выбора такого подхода крайне важно обеспечить уверенность в совместимости проектов при их разработке. В результате это может приводить к дополнительным накладным расходам и дополнительному риску, так что к этому сценарию следует прибегать только при отсутствии альтернативы;

e)    любая организация, придающая большое значение обеспечению информационной безопасности. должна сначала реализовать СМИБ, в соответствии с требованиями ИСО/МЭК 27001. Следующим шагом, поддерживающим информационную безопасность, должно быть расширение этой системы менеджмента с целью соответствия требованиям ИСО/МЭК 20000-1.

Объединенная рабочая группа / регулярные совещания в течение внедрения обоих стандартов будут способствовать обеспечению уверенности в том. что требования обоих стандартов согласованы.

5.3.3    Существует система менеджмента, удовлетворяющая требованиям одного из стандартов

Если система менеджмента уже соответствует одному из двух стандартов, то основной целью должна быть интеграция с требованиями другого стандарта. Это должно выполняться, не приводя ни к каким потерям в отношении услуг или опасностям для информационной безопасности услуг. Однако существующая система менеджмента должна быть подразделена на отдельные элементы. Это следует тщательно планировать заранее с проверкой существующей документации специалистами по применению стандарта, который будет вводиться, и специалистами по применению стандарта, который уже реализован.

Организация должна идентифицировать атрибуты установленной системы менеджмента, включающие. по меньшей мере, следующее:

a)    область действия;

b)    организационная структура;

c)    политики;

d)    деятельности по планированию;

e)    полномочия и ответственности;

f)    практические приемы;

д) методики, касающиеся менеджмента риска;

h) процессы;

О процедуры;

j)    термины и определения;

k)    ресурсы.

Эти атрибуты необходимо рассматривать, чтобы установить, как их можно использовать в интегрированной системе менеджмента. Если выбирается двухступенчатый подход с применением одной системы менеджмента в качестве первой ступени, то второй ступенью является реализация другой системы менеджмента. Область действия каждой ступени должна быть определена и согласована до начала каких-либо действий по реализации.

5.3.4    Существуют отдельные системы менеджмента, удовлетворяющие требованиям каждого из стандартов

Этот последний случай является, вероятно, наиболее сложным. Он поясняет области применения настоящего стандарта, см. 5.2. Возможно, что организация реализовала стандарт ИСО/МЭК 27001 применительно к одной области деятельности, а стандарт ИСО/МЭК 20000-1 — к другой. Затем организация может принять решение о применении одного или другого стандарта к более широкой области деятельности. В какой-то момент времени системы менеджмента будут реализовываться для одних и тех же областей деятельности. В качестве альтернативы может быть запланировано слияние двух областей деятельности организаций. В одной области деятельности организации демонстрируется соответствие требованиям ИСО/МЭК 27001. в то время как в другой области деятельности демонстрируется соответствие требованиям ИСО/МЭК 20000-1.