ISO/IEC 27013 ISMS & ITIL/servicebeheer

Wat is de ISO 27013-standaard?

De Internationale Organisatie voor Standaardisatie (ISO) onderhoudt als internationaal orgaan een breed scala aan normen. Over het algemeen vertegenwoordigen de normen de consensus van experts van over de hele wereld over zaken die verband houden met hun vakgebied. De ISO 27000 serie is een van de belangrijkste standaarden voor informatiebeveiliging. Deze reeks normen biedt een raamwerk hiervoor het beheersen van informatiebeveiligingsrisico's.

De ISO 27013-norm stelt de vereisten vast waaraan een organisatie moet voldoen om het Information Security Management System (ISMS) en het Service Management System (SMS) te implementeren. ISO / IEC 27001 is een standaard die managementsystemen voor informatiebeveiliging definieert (ISMS) dat organisaties een krachtig raamwerk biedt voor het implementeren van best practices en richtlijnen op het gebied van cyberbeveiliging.

ISO/IEC 20000-1 is een internationaal raamwerk voor IT-servicemanagement waarmee organisaties ervoor kunnen zorgen dat hun IT-servicemanagementsystemen compatibel zijn met de bedrijfsbehoeften.

De ISO 27013-norm is in het leven geroepen om organisaties te helpen bij het gelijktijdig implementeren van zowel ISO 27001 als ISO 20000-1, of bij het implementeren van de ene waar de andere al bestaat. Door dit te doen kunnen bedrijven de klantloyaliteit maximaliseren, een strategische voorsprong verwerven, de bedrijfsactiviteiten verbeteren en na verloop van tijd aanzienlijke kostenbesparingen realiseren.

Wat is een ISMS?

Een ISMS is een informatiebeveiligingsbeheersysteem. Dit is een raamwerk voor de implementatie beveiligingsinitiatieven zoals toegangscontroles, incidentrespons, monitoring, beveiligingstraining en nog veel meer. Een ISMS wordt ook wel ISO 27001 genoemd naar de internationale standaard die voor dit raamwerk wordt gebruikt.

Het beschrijft en demonstreert die van uw organisatie benadering van informatiebeveiliging. Deze systemen kunnen op verschillende manieren worden geïmplementeerd, afhankelijk van uw bedrijf.

Het is belangrijk om te begrijpen wat een ISMS is en welke functie(s) het vervult het bereiken van naleving van ISO 27001, aldus het Amerikaanse ministerie van Buitenlandse Zaken. Volgens de ISO 27001-norm moeten alle organisaties een Information Security Management System hebben geïmplementeerd.

Wat is IT-servicemanagement?

IT Service Management, beter bekend als ITSM, is een consensus binnen de IT-industrie over de manier waarop diensten aan klanten worden geleverd. Simpel gezegd is ITSM een raamwerk voor het leveren en ondersteunen van IT-diensten. De praktijken die ITSM definiëren, kunnen in elke organisatie worden gebruikt, ongeacht de omvang, het type technologie of het niveau van bedrijfsactiviteit.

ITSM maakt effectieve en efficiënte levering van IT-diensten aan interne of externe klanten mogelijk. Een IT-dienst is elk product dat aan een klant wordt geleverd en kan worden gefinancierd, uitgevoerd of aangeschaft als een IT-dienst.

Het is in wezen een managementraamwerk dat u helpt bij het beheren en organiseren van alle aspecten van het leveren van diensten op een effectieve, efficiënte, betrouwbare en veilige manier, afgestemd op de behoeften en verwachtingen van de klant. ISO 20000-1 is de norm voor IT-servicemanagementsystemen (ITSM) en stelt richtlijnen vast voor certificeringsaudits van externe partijen. Het doel van ISO 20000-1 is de strategische afstemming van ITSM met andere IT-activiteiten, processen en middelen.

Geïntegreerde implementatie van ISO 27001 en ISO 20000-1 Gebaseerd op ISO 27013

ISO/IEC 27001 en ISO/IEC 20000-1 zijn twee normen die een groot aantal componenten en doelstellingen gemeen hebben, evenals het kritische principe van continue verbetering. Het integreren van de implementatie van een servicemanagementsysteem (SMS) en een informatiebeveiligingsmanagementsysteem (ISMS) zou dus de optimale oplossing zijn.

Dit zijn de PDCA-punten uit ISO 27001 en ISO 20000 die geïntegreerd kunnen worden tijdens de implementatie van ISO 27013:

Beleid

Specificeert interne richtlijnen voor het beheer van het geïntegreerde systeem.

Trainingen

Al het personeel dat gevolgen zou ondervinden van de implementatie van het geïntegreerde managementsysteem moet adequate opleiding krijgen op het gebied van informatiebeveiliging en servicemanagement.

Communicatie

Interne en externe correspondentie over het geïntegreerde managementraamwerk moet worden gevoerd in overeenstemming met gedefinieerde richtlijnen (meestal gedefinieerd als communicatieprotocol).

Definitie van doelstellingen

Definieert de doelstellingen die moeten worden bereikt door de implementatie van het geïntegreerde systeem. Dit omvat ook het vaststellen van bepaalde benchmarks om te bepalen of de doelstellingen zijn behaald.

Definitie van verantwoordelijkheden

Legt de verantwoordelijkheden vast voor de geïntegreerd systeembeheer. Meestal verwijst deze term naar de persoon die verantwoordelijk is voor het geïntegreerde systeem. Daarnaast zal er een team worden gevormd met het senior management als primair lid voor de integratie van het managementsysteem.

Controle van documenten en dossiers

Er moeten voorzieningen worden getroffen voor de controle en het beheer van de documentatie en administratie van het geïntegreerde systeem.

Metriek

Voor ISO 27001 moeten er meetgegevens worden ingevoerd om de effectiviteit van beveiligingscontroles te beoordelen. Voor ISO 20000 moeten maatstaven worden vastgesteld om de effectiviteit van protocollen te beoordelen.

Interne audit

Er zal een interne audit worden uitgevoerd om potentiële non-conformiteiten in het geïntegreerde systeem te identificeren en om de mate van naleving van de standaardvereisten te beoordelen.

Managementbeoordeling

Die van de organisatie Het topmanagement moet evalueren een reeks toegangspunten tot het geïntegreerde managementsysteem. Ze moeten naar aanleiding van de analyse bepaalde bevindingen of resultaten doen.

Continue verbetering

Het management van het geïntegreerde systeem zal corrigerende en preventieve maatregelen vaststellen voor de behandeling van geïdentificeerde non-conformiteiten (meestal ontdekt tijdens audits, beoordelingen, enz.).

Zoals we kunnen zien, zijn zowel de ISO 27001- als de ISO 20000-1-eisen volledig compatibel en kunnen ze naadloos worden gecombineerd om de basis te vormen voor ISO 27013. Dit resulteert in een geïntegreerd managementsysteem dat de consistentie en veiligheid van bedrijfsprocessen en -diensten garandeert, waardoor de klanttevredenheid.

Reikwijdte en doel van de ISO 27013-norm

De ISO 27013-norm biedt instructies over hoe ISO 27001 en ISO 20000-1 op een geautomatiseerde manier kunnen worden geïntegreerd voor organisaties die van plan zijn om:

• Implementeer ISO/IEC 27001 na de adoptie van ISO/IEC 20000-1, of omgekeerd; ISO/IEC 27001 en ISO/IEC 20000-1 gelijktijdig implementeren of
• Breng eerder geïmplementeerde ISO/IEC 27001- en ISO/IEC 20000-1-managementsystemen op één lijn en integreer deze.

Het toepassingsgebied van deze standaard omvat twee ISO/IEC JTC1-subcommissies. SC 27 en SC 7 zorgden ervoor dat de standpunten van informatietechnologie en IT-servicemanagement adequaat aan bod kwamen.

De ISO 27013-norm biedt ook richtlijnen voor het plannen en prioriteren van taken, waaronder de volgende:

• Uitlijnen van de doelstellingen op het gebied van informatiebeveiliging, servicebeheer en verbetering;
• Coördinatie van samenwerkingstaken, resulterend in een meer gecoördineerd en afgestemd raamwerk;
• Het creëren van een verzameling protocollen en ondersteunende documentatie (beleid, praktijken, enz.);
• Gemeenschappelijke terminologie en doelstellingen;
• Het bieden van voordelen aan dienstverleners en klanten als gevolg van de convergentie van alle controlesystemen; En
• Gelijktijdige audit van alle controleprocessen, resulterend in kostenbesparingen.

Het ISO 27001- en ISO 20000-1-concept begrijpen

Voordat een geavanceerd managementsysteem wordt gepland, moet de organisatie een goed inzicht hebben in de kenmerken, overeenkomsten en verschillen tussen ISO/IEC 27001 en ISO/IEC 20000-1. Hierdoor wordt de hoeveelheid tijd en geld die nodig is voor de implementatie aanzienlijk verminderd. De ISO 27013-standaardclausules 4.2 tot en met 4.4 bieden een overzicht van de belangrijkste principes achter alle specificaties, maar mogen niet worden gebruikt in de plaats van een gedetailleerde analyse.

4.2 ISO/IEC 27001-concepten

ISO/IEC 27001 stelt, implementeert, exploiteert, bewaakt, beoordeelt, onderhoudt en verbetert een informatiebeveiligingsbeheersysteem (ISMS) om informatiemiddelen te beschermen. De voorwaarde “informatiemiddelen” verwijst naar gegevens in welke vorm dan ook, opgeslagen op welk medium dan ook en om welke reden dan ook gebruikt door of binnen de organisatie.

Om te voldoen aan ISO/IEC 27001 moet een organisatie een managementsysteem voor informatiebeveiliging (ISMS) invoeren, gebaseerd op een risicobeoordelingsmethode voor het identificeren van bedreigingen voor informatie activa. Het bedrijf moet als onderdeel van deze functie een aantal risicobeheerprogramma's kiezen, aannemen, evalueren en opnieuw bekijken. Deze worden controles genoemd.

De organisatie moet passende aanvaardbare risiconormen vaststellen, waarbij rekening wordt gehouden met marktomstandigheden en extern opgelegde zaken. Wettelijke en administratieve eisen, maar ook contractuele verplichtingen, zijn voorbeelden van extern opgelegde eisen.

4.3 ISO/IEC 20000-1-concept

ISO/IEC 20000-1 is van toepassing op organisaties of segmenten van organisaties die diensten gebruiken of aanbieden. Dit vergroot de waarde van zowel de klant als de dienstverlener. De norm vereist echter dat de dienstverlener alle processen controleert die door de norm worden beïnvloed, en alleen de dienstverlener is in staat naleving van ISO/IEC 20000-1 te bereiken.

Het primaire doel van de standaard is ervoor te zorgen dat aanbieders voldoen aan de kwaliteitsnormen en waarde bieden aan zowel de gebruiker als de dienstverlener. Dienst Het management beheert en controleert de activiteiten en middelen van een dienstverlener in de planning, productie, overdracht, implementatie en uitbreiding van diensten om aan de wensen van de klant te voldoen.

Om aan de specificaties van de standaard te voldoen, moet de dienstverlener een aantal relevante servicemanagementprocessen incorporeren. Deze omvatten, maar zijn niet beperkt tot, probleembehandeling, verandermanagement en probleemmanagement. Informatiebeveiligingsmanagement is een servicemanagementproces gespecificeerd in ISO/IEC 20000-1.

4.4 Overeenkomsten en verschillen

Vaak worden servicemanagement en informatiebeveiligingsmanagement behandeld alsof ze niets met elkaar te maken hebben of onlosmakelijk met elkaar verbonden zijn. De context voor dit onderscheid is dat hoewel servicemanagement snel wordt geassocieerd met kwaliteit en prestaties, informatiebeveiligingsmanagement vaak over het hoofd wordt gezien als een noodzakelijk onderdeel van een efficiënte dienstverlening. Als gevolg hiervan is servicemanagement vaak het eerste onderdeel dat wordt geïntroduceerd.

Er zijn echter talrijke controledoelstellingen en waarborgen gedefinieerd in ISO/IEC 27001, bijlage A, zijn ook opgenomen in de ISO/IEC 20000-1 servicemanagementvereisten.

Wat zijn de voordelen van de implementatie van de ISO/IEC 27013-norm?

Het implementeren van een geavanceerd managementraamwerk zoals ISO 27013, dat rekening houdt met zowel de aangeboden diensten als de beveiliging van informatiemiddelen, zal een verscheidenheid aan voordelen opleveren.

Hieronder volgen enkele van de belangrijkste voordelen van het samen implementeren van ISO 27001 en ISO 20000-1:

• Verhoogde betrouwbaarheid bij het leveren van betrouwbare en effectieve IT-diensten aan interne en externe klanten, evenals aan belanghebbenden
• Enorme kostenbesparingen, vergeleken met het afzonderlijk implementeren ervan.
• Tijdbesparing doordat het niet meer nodig is om systemen te creëren die tweemaal aan alle vereisten voldoen.
• Processen die overbodig of onnodig zijn, worden geëlimineerd.
• Onder servicemanagement- en informatiebeveiligingsmedewerkers is er meer kennis van zowel servicemanagement als informatiebeveiliging.
• Elke organisatie die de ISO/IEC 27001-certificering heeft behaald, zal sneller voldoen aan de ISO/IEC 20000-1-norm voor informatiebeveiliging.

Met deze voordelen in gedachten is het duidelijk dat een geautomatiseerde aanpak van SMS- en ISMS-implementatie een geweldig idee is.

Wie moet ISO 27013 implementeren?

Elke organisatie die in de fysieke wereld actief is, heeft een grote kans om getroffen te worden door een cyberaanval. Feit is dat we niet zo veilig zijn als we misschien denken. In feite biedt ISMS-implementatie bedrijven meer bescherming dan ze zich realiseren. Elk jaar raken onze levens meer verweven met technologie en daardoor wordt onze afhankelijkheid ervan groter.

Om deze reden, accountants, evenals organisaties die informatiebeveiliging implementeren en/of servicemanagementprogramma's, en organisaties die deelnemen aan auditortraining en certificering of accreditatie van managementsystemen moeten de geïntegreerde implementatie van ISO 27001 en ISO 20000-1 overwegen.

Wat zijn de vereisten voor de implementatie van ISO 27013?

Een organisatie die overweegt zowel ISO/IEC 27001 als ISO/IEC 20000-1 te implementeren, kan in drie categorieën worden ingedeeld:

• Ze hebben ad-hocbeheerstructuren die zowel informatiebeveiligingsbeheer als servicebeheer omvatten;
• Ze hebben een managementraamwerk gebaseerd op een van beide standaarden;
• Ze hebben verschillende managementsystemen gebaseerd op de twee standaarden, die niet geïntegreerd zijn (afzonderlijke managementsystemen gebaseerd op de twee standaarden).

Een organisatie die overweegt een geïntegreerd managementsysteem te implementeren, moet rekening houden met het volgende:

• Alle andere managementsystemen die momenteel in gebruik zijn;
• Alle diensten, procedures en hun onderlinge relaties binnen het kader van het geïntegreerde managementsysteem;
• Kenmerken van elke standaard die kan worden samengevoegd en hoe deze kan worden samengevoegd; Kenmerken die onderscheidend moeten blijven;
• Het effect van het geïntegreerde managementsysteem op klanten, leveranciers en andere belanghebbenden;
• De impact van het geïntegreerde managementsysteem op de gebruikte technologieën;
• De impact van het geïntegreerde managementsysteem op, of het gevaar voor, diensten en bedrijfsvoering;
• De impact van het geïntegreerde managementsysteem op, of het risico voor, informatiebeveiliging;
• Training en onderwijs op het gebied van informatiebeveiligingsbeheer;
• De fasen en het tijdschema van de implementatie van het geïntegreerde managementsysteem.

Hoe ISMS.online het runnen van een geïntegreerd managementsysteem eenvoudig maakt

Hier op ISMS.onlinehelpen we bedrijven het juiste te doen door hen de tools en middelen te bieden om een ​​geïntegreerd managementsysteem te beheren in overeenstemming met de ISO 27013-norm. ISMS.online is een online softwareoplossing waarmee gebruikers aan hun klanten, toezichthouders en auditors kunnen aantonen dat ze over een klachtenbeheersysteem beschikken.

Met onze krachtige cloudgebaseerde software kunt u uw processen controleren om er zeker van te zijn dat ze voldoen aan de eisen van de ISO 27013-norm. In feite is ons systeem een ​​van de meest praktische, gebruiksvriendelijke en uitgebreide wegen naar ISMS-succes.

ISMS.online biedt ook een Virtuele Coach die 24/7 contextspecifieke ondersteuning biedt. U kunt met ons chatten vanaf binnen ons platform en je zult nooit de verkeerde stap zetten of de weg kwijtraken. Bel ISMS.online op +44 (0)1273 041140 voor meer informatie over hoe ons platform u kan helpen een geïntegreerd managementsysteem te beheren dat voldoet aan de eisen van ISO 27013.