作者:Elizabeth Gasiorowski Denis 日期:2013年1月16日
http://www.iso.org/iso/home/news_index/news_archive/news.htm?refid=Ref1696
ISO 和IEC 发布了一个新的国际标准,为组织如何集成化使用信息安全和服务管理体系标准提供建议。
信息安全和服务管理之间关系紧密,许多组织已经认识到了采用信息安全标准ISO/IEC 27001和服务管理标准ISO/IEC 20000-1的好处。
新标准 ISO/IEC 27013:2012, 信息技术-安全技术—集成化实施ISO/IEC 27001 和 ISO/IEC 20000-1的指南 为先实施哪个标准,或者两个标准同时实施提供了建议。
“信息安全标准ISO/IEC 27001和服务管理标准ISO/IEC 20000-1 的程序和活动都很相似,包括持续改进的重要原则”,信息安全管理体系工作委员会(ISO/IEC JTC 1/SC 27)召集人爱德华·汉弗莱说:“实施集成管理体系能带来很多好处,它不仅仅考虑了提供的服务,也能起到保护信息资产的作用”。
新标准编写人和原信息安全管理体系工作委员会(ISO/IEC JTC 1/SC 7)召集人珍妮·达格摩尔补充说:“ISO/IEC 27013的出版激起了对于两个国际标准的结合使用能够带来额外好处的认同。 ISO/IEC 27013为希望提高效率、改善信息安全和管理服务的企业指明了第一步。”
集成化实施的关键好处包含:
² 提高了为组织内部或外部客户提供有效和安全服务的信誉度。
² 降低了综合规划的成本
² 由于两个标准共同的程序试行集成开发,减少了实施时间。
² 排除了必要的重复
² 促进了服务关了和安全人员的相互理解
² 改善了认证流程
这一国际标准的使用者包括审核员、实施信息安全和/或服务管理体系的组织、涉及审核员认证或培训的资质、合格评定领域中的管理体系认证/注册、认可或标准化组织。
目前正在开发ISO/IEC TR 20000-10技术报告,对ISO/IEC 20000的概念加以综述,解释此系列标准中使用的术语并识别如何ISO/IEC 20000的不同部分是如何相互作用,以及此标准是如何与其他ISO/IEC标准相互关联的。类似,ISO/IEC TR 90006也正在开发中,为申请ISO9001服务管理提供指导。