ISO/IEC 27013 ISMS & ITIL/Service-Management

Was ist der ISO 27013-Standard?

Die Internationale Organisation für Normung (ISO) pflegt als internationales Gremium eine Vielzahl von Normen. Im Allgemeinen stellen die Standards den Konsens von Experten aus aller Welt zu Fragen ihres Fachgebiets dar. Der ISO 27000 ist einer der wichtigsten Standards für Informationssicherheit. Diese Normenreihe bietet einen Rahmen dafür Management von Informationssicherheitsrisiken.

Der ISO 27013-Standard legt die Anforderungen an eine Organisation zur Implementierung eines Informationssicherheits-Managementsystems (ISMS) und eines Service-Management-Systems (SMS) fest. ISO / IEC 27001 ist ein Standard, der Informationssicherheits-Managementsysteme definiert (ISMS) Das bietet Organisationen einen leistungsstarken Rahmen für die Implementierung von Best Practices und Richtlinien zur Cybersicherheit.

ISO/IEC 20000-1 ist ein internationales Rahmenwerk für das IT-Service-Management, das es Unternehmen ermöglicht, sicherzustellen, dass ihre IT-Service-Management-Systeme mit den Geschäftsanforderungen kompatibel sind.

Der ISO 27013-Standard wurde erstellt, um Organisationen bei der gleichzeitigen Implementierung von ISO 27001 und ISO 20000-1 oder bei der Implementierung einer davon zu unterstützen, wo eine andere bereits vorhanden ist. Auf diese Weise können Unternehmen die Kundenbindung maximieren, sich einen strategischen Vorteil verschaffen, den Unternehmensbetrieb verbessern und im Laufe der Zeit erhebliche Kosteneinsparungen erzielen.

Was ist ein ISMS?

Ein ISMS ist ein Informationssicherheits-Managementsystem. Dies ist ein Rahmen für die Umsetzung Sicherheitsinitiativen wie Zugangskontrollen, Reaktion auf Vorfälle, Überwachung, Sicherheitsschulung und vieles mehr. Ein ISMS wird manchmal als ISO 27001 bezeichnet nach dem internationalen Standard, der für dieses Framework verwendet wird.

Es beschreibt und demonstriert Ihre Organisation Ansatz zur Informationssicherheit. Diese Systeme können je nach Unternehmen auf verschiedene Arten implementiert werden.

Es ist wichtig zu verstehen, was ein ISMS ist und welche Funktion(en) es erfüllt Einhaltung der ISO 27001 erreichen, nach Angaben des US-Außenministeriums. Gemäß der Norm ISO 27001 sollten alle Organisationen über ein Informationssicherheits-Managementsystem verfügen.

Was ist IT-Service-Management?

IT Service Management, meist bekannt als ITSM, ist ein Konsens innerhalb der IT-Branche darüber, wie Dienstleistungen für Kunden bereitgestellt werden. Einfach ausgedrückt ist ITSM ein Rahmenwerk für die Bereitstellung und Unterstützung von IT-Diensten. Die Praktiken, die ITSM definieren, können in jeder Organisation angewendet werden, unabhängig von Größe, Art der Technologie oder Grad der Geschäftsaktivität.

ITSM ermöglicht eine effektive und effiziente Bereitstellung von IT-Services für interne oder externe Kunden. Ein IT-Service ist jedes Produkt, das einem Kunden geliefert wird und als IT-Service finanziert, erbracht oder beschafft werden kann.

Es handelt sich im Wesentlichen um ein Management-Framework, das Ihnen dabei hilft, alle Aspekte der Bereitstellung von Dienstleistungen effektiv, effizient, zuverlässig und sicher zu verwalten und zu organisieren, ausgerichtet auf die Bedürfnisse und Erwartungen der Kunden. ISO 20000-1 ist der Standard für IT-Service-Management-Systeme (ITSM) und legt Richtlinien für die Zertifizierungsprüfung durch externe Parteien fest. Das Ziel von ISO 20000-1 ist die strategische Ausrichtung von ITSM mit anderen IT-Aktivitäten, -Prozessen und -Ressourcen.

Integrierte Implementierung von ISO 27001 und ISO 20000-1 basierend auf ISO 27013

ISO/IEC 27001 und ISO/IEC 20000-1 sind zwei Standards, die eine große Anzahl gemeinsamer Komponenten und Ziele sowie das entscheidende Prinzip der kontinuierlichen Verbesserung haben. Daher wäre die Integration der Implementierung eines Service-Management-Systems (SMS) und eines Informationssicherheits-Managementsystems (ISMS) die optimale Lösung.

Dies sind die PDCA-Punkte aus ISO 27001 und ISO 20000, die bei der Implementierung von ISO 27013 integriert werden können:

Rückgabepolitik

Gibt interne Richtlinien für die Verwaltung des integrierten Systems an.

Ausbildung

Alle Mitarbeiter, die von der Implementierung des integrierten Managementsystems betroffen wären, müssen eine angemessene Ausbildung in Informationssicherheit und Servicemanagement erhalten.

Kommunikation

Die interne und externe Korrespondenz über das integrierte Management-Framework muss gemäß definierten Richtlinien (normalerweise definiert als Kommunikationsprotokoll) geführt werden.

Definition der Ziele

Definiert die Ziele, die durch die Implementierung des integrierten Systems erreicht werden sollen. Dazu gehört auch die Festlegung bestimmter Benchmarks zur Feststellung der Zielerreichung.

Definition der Verantwortlichkeiten

Legt die Verantwortlichkeiten für die fest integriertes Systemmanagement. Typischerweise bezieht sich dieser Begriff auf die Person, die für das integrierte System verantwortlich ist. Darüber hinaus wird für die Integration des Managementsystems ein Team gebildet, dem vor allem die Geschäftsleitung angehört.

Kontrolle von Dokumenten und Aufzeichnungen

Es müssen Vorkehrungen für die Kontrolle und Verwaltung der Dokumentation und Aufzeichnungen des integrierten Systems getroffen werden.

Metrik

Für ISO 27001 müssen Metriken eingeführt werden, um die Wirksamkeit von Sicherheitskontrollen zu bewerten. Für ISO 20000 müssen Metriken festgelegt werden, um die Wirksamkeit von Protokollen zu bewerten.

Interne Anhörung

Es wird ein internes Audit durchgeführt, um potenzielle Nichtkonformitäten im integrierten System zu identifizieren und den Grad der Konformität in Bezug auf Standardanforderungen zu bewerten.

Managementbewertung

Die der Organisation Das Top-Management muss bewerten eine Reihe von Einstiegspunkten in das integrierte Managementsystem. Sie sind verpflichtet, als Ergebnis der Analyse bestimmte Feststellungen oder Ergebnisse zu treffen.

Kontinuierliche Verbesserung

Das Management des integrierten Systems legt Korrektur- und Präventivmaßnahmen für die Behandlung festgestellter Nichtkonformitäten fest (normalerweise bei Audits, Überprüfungen usw. festgestellt).

Wie wir sehen, sind die Anforderungen von ISO 27001 und ISO 20000-1 vollständig kompatibel und können nahtlos zur Grundlage für ISO 27013 kombiniert werden. Das Ergebnis ist ein integriertes Managementsystem, das die Konsistenz und Sicherheit von Unternehmensprozessen und -dienstleistungen gewährleistet und somit erhöht Kundenzufriedenheit.

Umfang und Zweck der Norm ISO 27013

Der ISO 27013-Standard bietet Anweisungen zur automatisierten Integration von ISO 27001 und ISO 20000-1 für Organisationen, die Folgendes planen:

• Implementieren Sie ISO/IEC 27001 nach der Einführung von ISO/IEC 20000-1 oder umgekehrt; ISO/IEC 27001 und ISO/IEC 20000-1 gleichzeitig implementieren oder
• Richten Sie zuvor implementierte ISO/IEC 27001- und ISO/IEC 20000-1-Managementsysteme aus und integrieren Sie sie.

Der Geltungsbereich dieser Norm umfasst zwei ISO/IEC JTC1-Unterausschüsse. SC 27 und SC 7 arbeiteten daran, sicherzustellen, dass die Ansichten der Informationstechnologie und des IT-Service-Managements angemessen berücksichtigt wurden.

Die Norm ISO 27013 bietet außerdem Anleitungen zur Planung und Priorisierung von Aufgaben, darunter Folgendes:

• Ausrichten der Ziele der Informationssicherheit, Serviceverwaltung und -verbesserung;
• Koordinierung kollaborativer Aufgaben, was zu einem besser koordinierten und abgestimmten Rahmen führt;
• Erstellen einer Sammlung von Protokollen und unterstützender Dokumentation (Richtlinien, Praktiken usw.);
• Gemeinsame Terminologie und Ziele;
• Bereitstellung von Vorteilen für Dienstleister und Kunden durch die Konvergenz aller Steuerungssysteme; Und
• Gleichzeitige Prüfung aller Kontrollprozesse, was zu Kosteneinsparungen führt.

Verständnis des ISO 27001- und ISO 20000-1-Konzepts

Vor der Planung eines erweiterten Managementsystems sollte sich die Organisation über die Merkmale, Gemeinsamkeiten und Unterschiede zwischen ISO/IEC 27001 und ISO/IEC 20000-1 im Klaren sein. Dadurch wird der Zeit- und Kostenaufwand für die Umsetzung deutlich reduziert. Die Abschnitte 27013 bis 4.2 der ISO 4.4-Norm bieten einen Überblick über die wichtigsten Prinzipien hinter allen Spezifikationen, sollten jedoch nicht als Ersatz für eine detaillierte Analyse angesehen werden.

4.2 ISO/IEC 27001-Konzepte

ISO/IEC 27001 richtet ein Informationssicherheitsmanagementsystem (ISMS) ein, implementiert, betreibt, überwacht, überprüft, pflegt und verbessert den Schutz von Informationsressourcen. Der Begriff „Informationswerte“ bezieht sich auf Daten jeglicher Form, die auf einem beliebigen Medium gespeichert und aus irgendeinem Grund von oder innerhalb der Organisation verwendet werden.

Um ISO/IEC 27001 einzuhalten, muss eine Organisation ein Informationssicherheits-Managementsystem (ISMS) einführen, das auf a basiert Risikobewertungsmethode zur Identifizierung von Bedrohungen für Informationen Vermögenswerte. Im Rahmen dieser Funktion sollte das Unternehmen eine Reihe von Risikomanagementprogrammen auswählen, übernehmen, bewerten und überarbeiten. Diese werden als Kontrollen bezeichnet.

Die Organisation sollte angemessene akzeptable Risikostandards festlegen und dabei die Marktbedingungen und von außen auferlegte Dinge berücksichtigen. Beispiele für von außen auferlegte Anforderungen sind gesetzliche und behördliche Vorgaben sowie vertragliche Verpflichtungen.

4.3 ISO/IEC 20000-1-Konzept

ISO/IEC 20000-1 gilt für Organisationen oder Segmente von Organisationen, die Dienste nutzen oder anbieten. Dies steigert den Mehrwert sowohl für den Kunden als auch für den Dienstleister. Der Standard verlangt jedoch, dass der Dienstanbieter alle von der Norm betroffenen Prozesse überwacht, und nur der Dienstanbieter ist in der Lage, die Einhaltung von ISO/IEC 20000-1 zu erreichen.

Das Hauptziel des Standards besteht darin, sicherzustellen, dass Anbieter Qualitätsstandards erfüllen und sowohl dem Benutzer als auch dem Dienstanbieter einen Mehrwert bieten. Service Das Management verwaltet und steuert die Abläufe und Ressourcen eines Dienstleisters in der Planung, Produktion, Übertragung, Implementierung und Erweiterung von Dienstleistungen, um den Anforderungen des Kunden gerecht zu werden.

Um die Vorgaben des Standards einzuhalten, muss der Dienstanbieter eine Reihe relevanter Service-Management-Prozesse integrieren. Dazu gehören unter anderem: Vorfallmanagement, Änderungsmanagement und Problemmanagement. Informationssicherheitsmanagement ist ein Service-Management-Prozess, der in ISO/IEC 20000-1 spezifiziert ist.

4.4 Gemeinsamkeiten und Unterschiede

Oftmals werden Service Management und Informationssicherheitsmanagement so behandelt, als ob sie nichts miteinander zu tun hätten oder untrennbar miteinander verbunden wären. Der Kontext für diese Unterscheidung besteht darin, dass Servicemanagement zwar leicht mit Qualität und Leistung in Verbindung gebracht wird, Informationssicherheitsmanagement jedoch häufig als notwendiger Bestandteil einer effizienten Servicebereitstellung übersehen wird. Daher ist Service Management oft die erste Komponente, die eingeführt wird.

Zahlreiche in ISO/IEC 27001 definierte Kontrollziele und Schutzmaßnahmen Anhang Asind auch in den ISO/IEC 20000-1-Service-Management-Anforderungen enthalten.

Welche Vorteile bietet die Implementierung des ISO/IEC 27013-Standards?

Die Implementierung eines fortschrittlichen Managementrahmens wie ISO 27013, der sowohl die angebotenen Dienste als auch die Sicherheit von Informationsressourcen berücksichtigt, bietet eine Reihe von Vorteilen.

Im Folgenden sind einige der Hauptvorteile der gemeinsamen Implementierung von ISO 27001 und ISO 20000-1 aufgeführt:

• Erhöhte Vertrauenswürdigkeit bei der Bereitstellung zuverlässiger und effektiver IT-Dienste für interne und externe Kunden sowie Stakeholder
• Enorme Kosteneinsparungen im Vergleich zur separaten Implementierung.
• Zeitersparnis durch den Wegfall der doppelten Erstellung von für alle Anforderungen gemeinsamen Systemen.
• Überflüssige oder unnötige Prozesse werden eliminiert.
• Unter den Mitarbeitern im Bereich Servicemanagement und Informationssicherheit gibt es ein größeres Wissen sowohl über Servicemanagement als auch über Informationssicherheit.
• Jede Organisation, die die ISO/IEC 27001-Zertifizierung erhalten hat, wird den ISO/IEC 20000-1-Standard für Informationssicherheit leichter erfüllen.

Angesichts dieser Vorteile liegt es auf der Hand, dass ein automatisierter Ansatz zur SMS- und ISMS-Implementierung eine gute Idee ist.

Wer sollte ISO 27013 implementieren?

Jedes Unternehmen, das in der physischen Welt tätig ist, hat ein großes Risiko, von einem Cyberangriff betroffen zu werden. Tatsache ist, dass wir nicht so sicher sind, wie wir vielleicht denken. Tatsächlich bietet die ISMS-Implementierung Unternehmen mehr Schutz, als ihnen bewusst ist. Jedes Jahr wird unser Leben stärker mit der Technologie verflochten und daher wächst auch unsere Abhängigkeit von ihr.

Aus diesem Grund sind Wirtschaftsprüfer sowie Organisationen, die Informationssicherheit implementieren und/oder Service-Management-Programme sowie Organisationen, die an der Schulung und Zertifizierung von Auditoren oder der Akkreditierung von Managementsystemen teilnehmen, sollten die integrierte Implementierung von ISO 27001 und ISO 20000-1 in Betracht ziehen.

Was sind die Anforderungen für die Implementierung von ISO 27013?

Eine Organisation, die die Implementierung von ISO/IEC 27001 und ISO/IEC 20000-1 in Betracht zieht, kann in drei Kategorien eingeteilt werden:

• Sie verfügen über Ad-hoc-Managementstrukturen, die sowohl Informationssicherheitsmanagement als auch Servicemanagement umfassen;
• Sie verfügen über ein Management-Framework, das auf einem der beiden Standards basiert.
• Sie verfügen über unterschiedliche Managementsysteme, die auf den beiden Standards basieren, die jedoch nicht integriert sind (getrennte Managementsysteme, die auf den beiden Standards basieren).

Eine Organisation, die die Einführung eines integrierten Managementsystems in Betracht zieht, sollte Folgendes berücksichtigen:

• Alle anderen derzeit in Betrieb befindlichen Managementsysteme;
• Alle Leistungen, Abläufe und deren Zusammenhänge im Rahmen des integrierten Managementsystems;
• Merkmale der einzelnen Standards, die zusammengeführt werden können, und wie sie zusammengeführt werden können; Merkmale, die deutlich bleiben müssen;
• Die Wirkung des integrierten Managementsystems auf Kunden, Lieferanten und andere Interessengruppen;
• Die Auswirkungen des integrierten Managementsystems auf die eingesetzten Technologien;
• Die Auswirkungen oder Gefahren des integrierten Managementsystems auf Dienstleistungen und Unternehmensführung;
• Die Auswirkungen oder Risiken des integrierten Managementsystems auf die Informationssicherheit;
• Schulung und Ausbildung im Bereich Informationssicherheitsmanagement;
• Die Phasen des integrierten Managementsystems und der Zeitplan für die Umsetzung.

Wie ISMS.online den Betrieb eines integrierten Managementsystems vereinfacht

Hier bei ISMS.onlineWir helfen Unternehmen dabei, das Richtige zu tun, indem wir ihnen die Tools und Ressourcen zur Verfügung stellen, mit denen sie ein integriertes Managementsystem gemäß der Norm ISO 27013 betreiben können. ISMS.online ist eine Online-Softwarelösung Damit können Benutzer ihren Kunden, Aufsichtsbehörden und Prüfern nachweisen, dass sie über ein Beschwerdemanagementsystem verfügen.

Mit unserer leistungsstarken cloudbasierten Software können Sie Ihre Prozesse überprüfen, um sicherzustellen, dass sie den Anforderungen der Norm ISO 27013 entsprechen. Tatsächlich ist unser System einer der praktischsten, benutzerfreundlichsten und umfassendsten Wege zum ISMS-Erfolg.

ISMS.online bietet auch eine Virtueller Coach, der rund um die Uhr kontextspezifischen Support bietet. Sie können mit uns chatten innerhalb unserer Plattform und Sie werden niemals den falschen Schritt machen oder sich verirren. Rufen Sie ISMS.online unter +44 (0)1273 041140 an, um mehr darüber zu erfahren, wie unsere Plattform Ihnen beim Betrieb eines integrierten Managementsystems helfen kann, das die Anforderungen von ISO 27013 erfüllt.