Москва, Россия
Система менеджмента качества сертификат исо 9001 кто выдает где получить

РОСТЕСТСТАНДАРТ

Разработка, внедрение и сертификация систем менеджмента качества

8 (800) 100-90-15

Навигация

Система управления

ГОСТ Р ИСО/МЭК 27013-2014 Обзор ИСО/МЭК 27001 и ИСО/МЭК 20000-1

 Обзор ИСО/МЭК 27001 и ИСО/МЭК 20000-1 ГОСТ Р ИСО/МЭК 27013-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1

Понимание стандартов ГОСТ Р ИСО/МЭК 27013-2014


Прежде чем планировать интегрированную систему менеджмента, организации следует достичь полного понимания характерных особенностей, сходств и различий ИСО/МЭК 27001 и ИСО/МЭК 20000-1. Это позволяет оптимизировать время и ресурсы, доступные для реализации. В 4.2-4.4 настоящего стандарта представлены основные концепции, лежащие в основе обоих стандартов, но их не следует использовать взамен детального рассмотрения указанных стандартов.

4.2 Концепции ИСО/МЭК 27001


ИСО/МЭК 27001 представляет модель для установления, реализации, эксплуатации, мониторинга, проверки, поддержки и совершенствования СМИБ, используемой для защиты информационных активов. Информационные активы охватывают информацию любого вида, хранимую в любой форме и используемую для любых целей организации или в ее рамках.

Для достижения согласованности с ИСО/МЭК 27001 организация должна реализовать СМИБ на основе процесса оценки риска, чтобы определить риски информационных активов. Как часть этой работы, организация должна сделать выбор, реализовать, провести мониторинг и проверить разнообразные меры для осуществления менеджмента этих рисков. Эти меры известны как меры и средства контроля и управления. Организации необходимо определять допустимые уровни риска, учитывая требования бизнеса и налагаемые внешние требования. Примерами налагаемых внешних требований являются законодательные и нормативные требования или договорные обязательства.

ИСО/МЭК 27001 предназначен для использования организацией любого вида и величины.

4.3 Концепции ИСО/МЭК 20000-1


ИСО/МЭК 20000-1 предназначен для применения организациями или частями организаций, использующих или предоставляющих услуги. Это добавляет значимости, как клиенту, так и поставщику услуг. Тем не менее, все процессы, охватываемые стандартом, контролируются поставщиком услуг, и только поставщик услуг может добиться соответствия ИСО/МЭК 20000-1. Стандарт в первую очередь нацелен на обеспечение уверенности в том, что услуги удовлетворяют требованиям по обслуживанию и обеспечивают выгоду, как для клиента, так и для поставщика услуг.

Менеджмент услуг управляет и контролирует деятельности и ресурсы поставщика услуг при проектировании, разработке, развитии, предоставлении и совершенствовании услуг с целью выполнения требований к услугам, согласованных со своим клиентом(ами).

Для выполнения требований этого стандарта поставщиком услуг должен быть реализован ряд определенных процессов менеджмента услуг. Они включают, среди прочего, менеджмент инцидентов, менеджмент изменений и менеджмент проблем. Менеджмент информационной безопасности считается одним из процессов менеджмента услуг ИСО/МЭК 20000-1.

ИСО/МЭК 20000-1 может быть использован организацией любого вида и величины.

4.4 Сходства и различия


Менеджмент услуг и менеджмент информационной безопасности часто рассматривают так, будто они не связаны и даже не зависимы один от другого. Условием такого разделения является то, что менеджмент услуг, бесспорно, может иметь отношение к эффективности и рентабельности, тогда как менеджмент информационной безопасности часто не рассматривается как основа для эффективного оказания услуг. В результате менеджмент услуг часто реализуется в первую очередь. Однако, как показано на рисунке 1, многие цели управления, а также меры и средства контроля и управления из приложения А ИСО/МЭК 27001:2005, также включены в требования менеджмента услуг из ИСО/МЭК 20000-1.

Рисунок 1 - Сравнение концепций ИСО/МЭК 27001 и ИСО/МЭК 20000-1

ГОСТ Р ИСО/МЭК 27013-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1


Рисунок 1 - Сравнение концепций ИСО/МЭК 27001 и ИСО/МЭК 20000-1


Очевидно, что менеджмент информационной безопасности и менеджмент услуг рассматривают очень похожие процессы и деятельности, даже несмотря на то, что одна система менеджмента выделяет некоторые детали больше чем другая. Дополнительную информацию см. в приложении А настоящего стандарта. При работе с двумя стандартами необходимо понимать, что они различаются по некоторым аспектам. Например, их области действия различны, см. 5.2 настоящего стандарта. К тому же у них разные цели. ИСО/МЭК 20000-1 предназначен для обеспечения уверенности в том, что организация предоставляет эффективные услуги, тогда как ИСО/МЭК 27001 предназначен для того, чтобы дать возможность организации осуществлять менеджмент риска информационной безопасности и предотвращать инциденты безопасности.

 

Получить сертификат ИСО/МЭК 27013 - 8 (800) 100-90-15 консультация

 НАЦИОНАЛЬНЫЙ СТАНДАРТ ГОСТ Р ИСО/МЭК 27013-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1

29.03.2018