Alle managementsystemen gebaseerd op ISO-normen hebben één ding gemeen: de cyclus van PDCA (Plan, Do, Check en Act), die het makkelijker kan maken om verschillende ISO-normen in een organisatie te integreren en te realiseren.
Omdat deze managementsystemen vergelijkbare processen delen, kunnen ze op een uniforme manier worden geïmplementeerd. Deze gestroomlijnde aanpak wordt weerspiegeld in het ISO/IEC 27013-framework, dat is gecreëerd om organisaties te begeleiden bij het integreren van systeemvereisten voor informatiebeveiliging en servicemanagement.
De Internationale Organisatie voor Standaardisatie (ISO) onderhoudt als internationaal orgaan een breed scala aan normen. Over het algemeen vertegenwoordigen de normen de consensus van experts van over de hele wereld over zaken die verband houden met hun vakgebied. De ISO 27000 serie is een van de belangrijkste standaarden voor informatiebeveiliging. Deze reeks normen biedt een raamwerk hiervoor het beheersen van informatiebeveiligingsrisico's.
De ISO 27013-norm stelt de vereisten vast waaraan een organisatie moet voldoen om het Information Security Management System (ISMS) en het Service Management System (SMS) te implementeren. ISO / IEC 27001 is een standaard die managementsystemen voor informatiebeveiliging definieert (ISMS) dat organisaties een krachtig raamwerk biedt voor het implementeren van best practices en richtlijnen op het gebied van cyberbeveiliging.
ISO/IEC 20000-1 is een internationaal raamwerk voor IT-servicemanagement waarmee organisaties ervoor kunnen zorgen dat hun IT-servicemanagementsystemen compatibel zijn met de bedrijfsbehoeften.
De ISO 27013-norm is in het leven geroepen om organisaties te helpen bij het gelijktijdig implementeren van zowel ISO 27001 als ISO 20000-1, of bij het implementeren van de ene waar de andere al bestaat. Door dit te doen kunnen bedrijven de klantloyaliteit maximaliseren, een strategische voorsprong verwerven, de bedrijfsactiviteiten verbeteren en na verloop van tijd aanzienlijke kostenbesparingen realiseren.
Een ISMS is een informatiebeveiligingsbeheersysteem. Dit is een raamwerk voor de implementatie beveiligingsinitiatieven zoals toegangscontroles, incidentrespons, monitoring, beveiligingstraining en nog veel meer. Een ISMS wordt ook wel ISO 27001 genoemd naar de internationale standaard die voor dit raamwerk wordt gebruikt.
Het beschrijft en demonstreert die van uw organisatie benadering van informatiebeveiliging. Deze systemen kunnen op verschillende manieren worden geïmplementeerd, afhankelijk van uw bedrijf.
Het is belangrijk om te begrijpen wat een ISMS is en welke functie(s) het vervult het bereiken van naleving van ISO 27001, aldus het Amerikaanse ministerie van Buitenlandse Zaken. Volgens de ISO 27001-norm moeten alle organisaties een Information Security Management System hebben geïmplementeerd.
IT Service Management, beter bekend als ITSM, is een consensus binnen de IT-industrie over de manier waarop diensten aan klanten worden geleverd. Simpel gezegd is ITSM een raamwerk voor het leveren en ondersteunen van IT-diensten. De praktijken die ITSM definiëren, kunnen in elke organisatie worden gebruikt, ongeacht de omvang, het type technologie of het niveau van bedrijfsactiviteit.
ITSM maakt effectieve en efficiënte levering van IT-diensten aan interne of externe klanten mogelijk. Een IT-dienst is elk product dat aan een klant wordt geleverd en kan worden gefinancierd, uitgevoerd of aangeschaft als een IT-dienst.
Het is in wezen een managementraamwerk dat u helpt bij het beheren en organiseren van alle aspecten van het leveren van diensten op een effectieve, efficiënte, betrouwbare en veilige manier, afgestemd op de behoeften en verwachtingen van de klant. ISO 20000-1 is de norm voor IT-servicemanagementsystemen (ITSM) en stelt richtlijnen vast voor certificeringsaudits van externe partijen. Het doel van ISO 20000-1 is de strategische afstemming van ITSM met andere IT-activiteiten, processen en middelen.
ISO/IEC 27001 en ISO/IEC 20000-1 zijn twee normen die een groot aantal componenten en doelstellingen gemeen hebben, evenals het kritische principe van continue verbetering. Het integreren van de implementatie van een servicemanagementsysteem (SMS) en een informatiebeveiligingsmanagementsysteem (ISMS) zou dus de optimale oplossing zijn.
Dit zijn de PDCA-punten uit ISO 27001 en ISO 20000 die geïntegreerd kunnen worden tijdens de implementatie van ISO 27013:
Specificeert interne richtlijnen voor het beheer van het geïntegreerde systeem.
Al het personeel dat gevolgen zou ondervinden van de implementatie van het geïntegreerde managementsysteem moet adequate opleiding krijgen op het gebied van informatiebeveiliging en servicemanagement.
Interne en externe correspondentie over het geïntegreerde managementraamwerk moet worden gevoerd in overeenstemming met gedefinieerde richtlijnen (meestal gedefinieerd als communicatieprotocol).
Definieert de doelstellingen die moeten worden bereikt door de implementatie van het geïntegreerde systeem. Dit omvat ook het vaststellen van bepaalde benchmarks om te bepalen of de doelstellingen zijn behaald.
Legt de verantwoordelijkheden vast voor de geïntegreerd systeembeheer. Meestal verwijst deze term naar de persoon die verantwoordelijk is voor het geïntegreerde systeem. Daarnaast zal er een team worden gevormd met het senior management als primair lid voor de integratie van het managementsysteem.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Met ISMS.online behoren uitdagingen rondom versiebeheer, beleidsgoedkeuring en beleidsdeling tot het verleden.
Er moeten voorzieningen worden getroffen voor de controle en het beheer van de documentatie en administratie van het geïntegreerde systeem.
Voor ISO 27001 moeten er meetgegevens worden ingevoerd om de effectiviteit van beveiligingscontroles te beoordelen. Voor ISO 20000 moeten maatstaven worden vastgesteld om de effectiviteit van protocollen te beoordelen.
Er zal een interne audit worden uitgevoerd om potentiële non-conformiteiten in het geïntegreerde systeem te identificeren en om de mate van naleving van de standaardvereisten te beoordelen.
Die van de organisatie Het topmanagement moet evalueren een reeks toegangspunten tot het geïntegreerde managementsysteem. Ze moeten naar aanleiding van de analyse bepaalde bevindingen of resultaten doen.
Het management van het geïntegreerde systeem zal corrigerende en preventieve maatregelen vaststellen voor de behandeling van geïdentificeerde non-conformiteiten (meestal ontdekt tijdens audits, beoordelingen, enz.).
Zoals we kunnen zien, zijn zowel de ISO 27001- als de ISO 20000-1-eisen volledig compatibel en kunnen ze naadloos worden gecombineerd om de basis te vormen voor ISO 27013. Dit resulteert in een geïntegreerd managementsysteem dat de consistentie en veiligheid van bedrijfsprocessen en -diensten garandeert, waardoor de klanttevredenheid.
De ISO 27013-norm biedt instructies over hoe ISO 27001 en ISO 20000-1 op een geautomatiseerde manier kunnen worden geïntegreerd voor organisaties die van plan zijn om:
Het toepassingsgebied van deze standaard omvat twee ISO/IEC JTC1-subcommissies. SC 27 en SC 7 zorgden ervoor dat de standpunten van informatietechnologie en IT-servicemanagement adequaat aan bod kwamen.
De ISO 27013-norm biedt ook richtlijnen voor het plannen en prioriteren van taken, waaronder de volgende:
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
Voordat een geavanceerd managementsysteem wordt gepland, moet de organisatie een goed inzicht hebben in de kenmerken, overeenkomsten en verschillen tussen ISO/IEC 27001 en ISO/IEC 20000-1. Hierdoor wordt de hoeveelheid tijd en geld die nodig is voor de implementatie aanzienlijk verminderd. De ISO 27013-standaardclausules 4.2 tot en met 4.4 bieden een overzicht van de belangrijkste principes achter alle specificaties, maar mogen niet worden gebruikt in de plaats van een gedetailleerde analyse.
ISO/IEC 27001 stelt, implementeert, exploiteert, bewaakt, beoordeelt, onderhoudt en verbetert een informatiebeveiligingsbeheersysteem (ISMS) om informatiemiddelen te beschermen. De voorwaarde “informatiemiddelen” verwijst naar gegevens in welke vorm dan ook, opgeslagen op welk medium dan ook en om welke reden dan ook gebruikt door of binnen de organisatie.
Om te voldoen aan ISO/IEC 27001 moet een organisatie een managementsysteem voor informatiebeveiliging (ISMS) invoeren, gebaseerd op een risicobeoordelingsmethode voor het identificeren van bedreigingen voor informatie activa. Het bedrijf moet als onderdeel van deze functie een aantal risicobeheerprogramma's kiezen, aannemen, evalueren en opnieuw bekijken. Deze worden controles genoemd.
De organisatie moet passende aanvaardbare risiconormen vaststellen, waarbij rekening wordt gehouden met marktomstandigheden en extern opgelegde zaken. Wettelijke en administratieve eisen, maar ook contractuele verplichtingen, zijn voorbeelden van extern opgelegde eisen.
ISO/IEC 20000-1 is van toepassing op organisaties of segmenten van organisaties die diensten gebruiken of aanbieden. Dit vergroot de waarde van zowel de klant als de dienstverlener. De norm vereist echter dat de dienstverlener alle processen controleert die door de norm worden beïnvloed, en alleen de dienstverlener is in staat naleving van ISO/IEC 20000-1 te bereiken.
Het primaire doel van de standaard is ervoor te zorgen dat aanbieders voldoen aan de kwaliteitsnormen en waarde bieden aan zowel de gebruiker als de dienstverlener. Dienst Het management beheert en controleert de activiteiten en middelen van een dienstverlener in de planning, productie, overdracht, implementatie en uitbreiding van diensten om aan de wensen van de klant te voldoen.
Om aan de specificaties van de standaard te voldoen, moet de dienstverlener een aantal relevante servicemanagementprocessen incorporeren. Deze omvatten, maar zijn niet beperkt tot, probleembehandeling, verandermanagement en probleemmanagement. Informatiebeveiligingsmanagement is een servicemanagementproces gespecificeerd in ISO/IEC 20000-1.
Vaak worden servicemanagement en informatiebeveiligingsmanagement behandeld alsof ze niets met elkaar te maken hebben of onlosmakelijk met elkaar verbonden zijn. De context voor dit onderscheid is dat hoewel servicemanagement snel wordt geassocieerd met kwaliteit en prestaties, informatiebeveiligingsmanagement vaak over het hoofd wordt gezien als een noodzakelijk onderdeel van een efficiënte dienstverlening. Als gevolg hiervan is servicemanagement vaak het eerste onderdeel dat wordt geïntroduceerd.
Er zijn echter talrijke controledoelstellingen en waarborgen gedefinieerd in ISO/IEC 27001, bijlage A, zijn ook opgenomen in de ISO/IEC 20000-1 servicemanagementvereisten.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
Het implementeren van een geavanceerd managementraamwerk zoals ISO 27013, dat rekening houdt met zowel de aangeboden diensten als de beveiliging van informatiemiddelen, zal een verscheidenheid aan voordelen opleveren.
Hieronder volgen enkele van de belangrijkste voordelen van het samen implementeren van ISO 27001 en ISO 20000-1:
Met deze voordelen in gedachten is het duidelijk dat een geautomatiseerde aanpak van SMS- en ISMS-implementatie een geweldig idee is.
Elke organisatie die in de fysieke wereld actief is, heeft een grote kans om getroffen te worden door een cyberaanval. Feit is dat we niet zo veilig zijn als we misschien denken. In feite biedt ISMS-implementatie bedrijven meer bescherming dan ze zich realiseren. Elk jaar raken onze levens meer verweven met technologie en daardoor wordt onze afhankelijkheid ervan groter.
Om deze reden, accountants, evenals organisaties die informatiebeveiliging implementeren en/of servicemanagementprogramma's, en organisaties die deelnemen aan auditortraining en certificering of accreditatie van managementsystemen moeten de geïntegreerde implementatie van ISO 27001 en ISO 20000-1 overwegen.
Een organisatie die overweegt zowel ISO/IEC 27001 als ISO/IEC 20000-1 te implementeren, kan in drie categorieën worden ingedeeld:
Een organisatie die overweegt een geïntegreerd managementsysteem te implementeren, moet rekening houden met het volgende:
Hier op ISMS.onlinehelpen we bedrijven het juiste te doen door hen de tools en middelen te bieden om een geïntegreerd managementsysteem te beheren in overeenstemming met de ISO 27013-norm. ISMS.online is een online softwareoplossing waarmee gebruikers aan hun klanten, toezichthouders en auditors kunnen aantonen dat ze over een klachtenbeheersysteem beschikken.
Met onze krachtige cloudgebaseerde software kunt u uw processen controleren om er zeker van te zijn dat ze voldoen aan de eisen van de ISO 27013-norm. In feite is ons systeem een van de meest praktische, gebruiksvriendelijke en uitgebreide wegen naar ISMS-succes.
ISMS.online biedt ook een Virtuele Coach die 24/7 contextspecifieke ondersteuning biedt. U kunt met ons chatten vanaf binnen ons platform en je zult nooit de verkeerde stap zetten of de weg kwijtraken. Bel ISMS.online op +44 (0)1273 041140 voor meer informatie over hoe ons platform u kan helpen een geïntegreerd managementsysteem te beheren dat voldoet aan de eisen van ISO 27013.
We zijn zo blij dat we deze oplossing hebben gevonden, waardoor alles gemakkelijker in elkaar paste.
Werk eenvoudig samen, creëer en laat zien dat u altijd op de hoogte bent van uw documentatie
Ontdek meerGa moeiteloos bedreigingen en kansen aan en rapporteer dynamisch over de prestaties
Ontdek meerNeem betere beslissingen en laat zien dat u de controle heeft met dashboards, KPI's en gerelateerde rapportages
Ontdek meerMaak licht werk van corrigerende maatregelen, verbeteringen, audits en managementreviews
Ontdek meerSchijn een licht op kritische relaties en koppel op elegante wijze gebieden als activa, risico's, controles en leveranciers
Ontdek meerSelecteer activa uit de Activabank en creëer eenvoudig uw Activa-inventaris
Ontdek meerKant-en-klare integraties met uw andere belangrijke bedrijfssystemen om uw compliance te vereenvoudigen
Ontdek meerVoeg netjes andere compliancegebieden toe die van invloed zijn op uw organisatie om nog meer te bereiken
Ontdek meerBetrek medewerkers, leveranciers en anderen te allen tijde bij dynamische end-to-end compliance
Ontdek meerBeheer due diligence, contracten, contacten en relaties gedurende hun levenscyclus
Ontdek meerBreng geïnteresseerde partijen visueel in kaart en beheer ze, zodat duidelijk aan hun behoeften wordt voldaan
Ontdek meerSterke privacy by design en beveiligingscontroles die aan uw behoeften en verwachtingen voldoen
Ontdek meerWij hebben alles wat u nodig heeft om uw eerste ISMS te ontwerpen, bouwen en implementeren.
Wij helpen u meer te halen uit het infosec-werk dat u al heeft gedaan.
Met ons platform kunt u de ISMS dat uw organisatie echt nodig heeft.
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering