Kaikilla ISO-standardeihin perustuvilla johtamisjärjestelmillä on yksi yhteinen piirre: PDCA-sykli (Plan, Do, Check, and Act), joka voi helpottaa eri ISO-standardien integrointia ja saavuttamista organisaatiossa.
Koska näillä hallintajärjestelmillä on samanlaiset prosessit, ne voidaan toteuttaa yhtenäisellä tavalla. Tämä virtaviivaistettu lähestymistapa näkyy ISO/IEC 27013 -kehyksessä, joka luotiin opastamaan organisaatioita integrointiin tietoturva- ja palvelunhallintajärjestelmävaatimukset.
Kansainvälinen standardointijärjestö (ISO) ylläpitää laajaa valikoimaa standardeja kansainvälisenä elimenä. Yleisesti ottaen standardit edustavat eri puolilta maailmaa olevien asiantuntijoiden yksimielisyyttä omaan alaansa liittyvissä asioissa. The ISO 27000 sarja on yksi tärkeimmistä tietoturvastandardeista. Tämä standardisarja tarjoaa puitteet tietoturvariskien hallintaan.
ISO 27013 -standardi asettaa organisaatiolle vaatimukset tietoturvallisuuden hallintajärjestelmän (ISMS) ja palvelunhallintajärjestelmän (SMS) käyttöönotolle. ISO / IEC 27001 on standardi, joka määrittelee tietoturvan hallintajärjestelmät (ISMS) joka tarjoaa organisaatioille tehokkaat puitteet kyberturvallisuuden parhaiden käytäntöjen ja ohjeiden toteuttamiseen.
ISO/IEC 20000-1 on IT-palvelujen hallinnan kansainvälinen viitekehys, jonka avulla organisaatiot voivat varmistaa, että niiden IT-palvelujen hallintajärjestelmät ovat yhteensopivia liiketoiminnan tarpeiden kanssa.
ISO 27013 -standardi luotiin auttamaan organisaatioita ottamaan käyttöön sekä ISO 27001 että ISO 20000-1 samanaikaisesti tai ottamaan käyttöön toisen, kun toinen on jo olemassa. Näin yritykset voivat maksimoida asiakasuskollisuuden, saada strategista etua, tehostaa yrityksen toimintaa ja saavuttaa ajan mittaan merkittäviä kustannussäästöjä.
ISMS on tietoturvan hallintajärjestelmä. Tämä on puitteet täytäntöönpanolle turvallisuusaloitteita, kuten pääsyn valvontaa, tapaturmien reagointi, valvonta, turvallisuuskoulutus ja paljon muuta. An ISMS:stä käytetään joskus nimitystä ISO 27001 tässä kehyksessä käytetyn kansainvälisen standardin jälkeen.
Se kuvaa ja esittelee organisaatiosi toimintaa lähestymistapa tietoturvaan. Nämä järjestelmät voidaan toteuttaa useilla tavoilla yrityksestäsi riippuen.
On tärkeää ymmärtää, mitä ISMS on ja mitä toimintoa se palvelee saavuttaa ISO 27001 -standardin mukainenYhdysvaltain ulkoministeriön mukaan. ISO 27001 -standardin mukaan kaikissa organisaatioissa tulee olla tietoturvan hallintajärjestelmä.
IT-palvelujen hallinta, joka tunnetaan yleisimmin nimellä ITSM, on yksimielisyys IT-alalla siitä, miten palvelut toimitetaan asiakkaille. Yksinkertaisesti sanottuna ITSM on viitekehys IT-palvelujen tarjoamiseen ja tukemiseen. ITSM:n määritteleviä käytäntöjä voidaan käyttää missä tahansa organisaatiossa koosta, teknologiatyypistä tai liiketoiminnan tasosta riippumatta.
ITSM mahdollistaa IT-palvelujen tehokkaan ja tehokkaan toimituksen sisäisille tai ulkoisille asiakkaille. IT-palvelu on mikä tahansa asiakkaalle toimitettu tuote, joka voidaan rahoittaa, suorittaa tai hankkia IT-palveluna.
Se on pohjimmiltaan hallintakehys, jonka avulla voit hallita ja järjestää kaikkia palveluiden toimittamiseen liittyviä näkökohtia tehokkaalla, tehokkaalla, luotettavalla ja turvallisella tavalla asiakkaan tarpeiden ja odotusten mukaisesti. ISO 20000-1 on ITSM (IT Service Management) -järjestelmien standardi ja asettaa suuntaviivat ulkopuolisten tahojen sertifiointiauditoille. ISO 20000-1:n tavoitteena on ITSM:n strateginen linjaus muiden IT-toimintojen, -prosessien ja -resurssien kanssa.
ISO/IEC 27001 ja ISO/IEC 20000-1 ovat kaksi standardia, joilla on suuri määrä yhteisiä komponentteja ja tavoitteita sekä jatkuvan parantamisen kriittinen periaate. Näin ollen palvelunhallintajärjestelmän (SMS) ja tietoturvan hallintajärjestelmän (ISMS) toteutuksen integrointi olisi optimaalinen ratkaisu.
Nämä ovat ISO 27001- ja ISO 20000 -standardien PDCA-pisteet, jotka voidaan integroida ISO 27013 -standardin käyttöönoton aikana:
Määrittää integroidun järjestelmän hallinnan sisäiset ohjeet.
Kaiken henkilöstön, johon integroidun johtamisjärjestelmän käyttöönotto vaikuttaisi, tulee saada riittävä koulutus tietoturvasta ja palveluiden hallinnasta.
Integroitua hallintakehystä koskeva sisäinen ja ulkoinen kirjeenvaihto on suoritettava määriteltyjen ohjeiden mukaisesti (määritetään yleensä viestintäprotokollaksi).
Määrittää integroidun järjestelmän toteuttamisen kautta saavutettavat tavoitteet. Tähän sisältyy myös tiettyjen vertailuarvojen määrittäminen sen määrittämiseksi, onko tavoitteet saavutettu.
Siinä määritellään vastuut integroidun järjestelmän hallinta. Tyypillisesti tämä termi viittaa henkilöön, joka on vastuussa integroidusta järjestelmästä. Lisäksi johtamisjärjestelmän integrointia varten muodostetaan tiimi, jonka pääjäsenenä on ylin johto.
ISMS.online tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
ISMS.onlinen avulla versionhallintaan, käytäntöjen hyväksymiseen ja käytäntöjen jakamiseen liittyvät haasteet ovat menneisyyttä.
Integroidun järjestelmän dokumentaation ja kirjanpidon valvonnasta ja hallinnasta on huolehdittava.
ISO 27001 -standardin osalta on otettava käyttöön mittarit turvavalvonnan tehokkuuden arvioimiseksi. ISO 20000:lle on laadittava mittareita protokollien tehokkuuden arvioimiseksi.
Sisäinen auditointi suoritetaan integroidun järjestelmän mahdollisten poikkeamien tunnistamiseksi ja vaatimustenmukaisuuden arvioimiseksi standardivaatimuksiin nähden.
Organisaation ylimmän johdon on arvioitava joukko sisääntulopisteitä integroituun hallintajärjestelmään. Heidän on tehtävä tiettyjä havaintoja tai tuloksia analyysin tuloksena.
Integroidun järjestelmän hallinta ottaa käyttöön korjaavia ja ehkäiseviä toimenpiteitä havaittujen (yleensä auditoinneissa, katsauksissa jne. havaittujen) poikkeamien käsittelemiseksi.
Kuten näemme, sekä ISO 27001 että ISO 20000-1 vaatimukset ovat täysin yhteensopivia ja ne voidaan yhdistää saumattomasti perustaksi ISO 27013:lle, mikä johtaa integroituun johtamisjärjestelmään, joka varmistaa yrityksen prosessien ja palveluiden johdonmukaisuuden ja turvallisuuden, mikä lisää asiakastyytyväisyys.
ISO 27013 -standardi sisältää ohjeet ISO 27001- ja ISO 20000-1 -standardien sisällyttämiseen automaattisesti organisaatioille, jotka suunnittelevat:
Tämän standardin soveltamisala kattaa kaksi ISO/IEC JTC1 -alakomiteaa. SC 27 ja SC 7 pyrkivät varmistamaan, että tietotekniikan ja IT-palvelujen hallinnan näkemykset huomioidaan riittävästi.
ISO 27013 -standardi antaa myös ohjeita tehtävien suunnitteluun ja priorisoimiseen, mukaan lukien seuraavat:
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
Ennen edistyneen hallintajärjestelmän suunnittelua organisaatiolla tulee olla vakaa käsitys ISO/IEC 27001:n ja ISO/IEC 20000-1:n ominaisuuksista, yhtäläisyyksistä ja eroista. Tämä vähentää merkittävästi toteuttamiseen tarvittavaa aikaa ja rahaa. ISO 27013 -standardin lausekkeet 4.2–4.4 tarjoavat yleiskatsauksen kaikkien eritelmien taustalla oleviin tärkeimpiin periaatteisiin, mutta niitä ei pidä korvata yksityiskohtaisen analyysin sijasta.
ISO/IEC 27001 perustaa, toteuttaa, käyttää, valvoo, tarkastaa, ylläpitää ja parantaa tietoturvan hallintajärjestelmää (ISMS) tietovarallisuuden suojaamiseksi. Termi "tietovarat" viittaa minkä tahansa muotoiseen tietoon, joka on tallennettu mille tahansa välineelle ja jota käytetään organisaatiossa tai sen sisällä mistä tahansa syystä.
ISO/IEC 27001:n noudattamiseksi organisaation on otettava käyttöön tietoturvan hallintajärjestelmä (ISMS), joka perustuu riskinarviointimenetelmä tietoon kohdistuvien uhkien tunnistamiseksi omaisuutta. Yrityksen tulee valita, ottaa käyttöön, arvioida ja käydä uudelleen läpi useita riskienhallintaohjelmia osana tätä tehtävää. Näitä kutsutaan ohjauksiksi.
Organisaation tulee luoda asianmukaiset hyväksyttävät riskistandardit ottaen huomioon markkinaolosuhteet ja ulkopuoliset asiat. Lakisääteiset ja hallinnolliset vaatimukset sekä sopimussitoumukset ovat esimerkkejä ulkopuolisista vaatimuksista.
ISO/IEC 20000-1 koskee palveluja käyttäviä tai tarjoavia organisaatioita tai organisaatiosegmenttejä. Tämä lisää sekä asiakkaan että palveluntarjoajan arvoa. Standardi edellyttää kuitenkin, että palveluntarjoaja valvoo kaikkia prosesseja, joihin standardi vaikuttaa, ja vain palveluntarjoaja pystyy saavuttamaan ISO/IEC 20000-1 -standardin mukaisuuden.
Standardin ensisijaisena tavoitteena on varmistaa, että palveluntarjoajat täyttävät laatustandardit ja tarjoavat lisäarvoa sekä käyttäjälle että palveluntarjoajalle. Palvelu johto ohjaa ja ohjaa suunnittelussa palveluntuottajan toimintaa ja resursseja, palvelujen tuotanto, siirto, toteutus ja laajentaminen asiakkaan tarpeiden täyttämiseksi.
Standardin vaatimusten noudattamiseksi palveluntarjoajan on sisällytettävä joukko asiaankuuluvia palvelunhallintaprosesseja. Näitä ovat muun muassa vaaratilanteiden hallinta, muutoksenhallinta ja ongelmanhallinta. Tietoturvan hallinta on ISO/IEC 20000-1:ssä määritelty palvelunhallintaprosessi.
Usein palvelunhallintaa ja tietoturvan hallintaa käsitellään ikään kuin ne eivät liity toisiinsa tai liittyvät erottamattomasti toisiinsa. Tämän eron taustalla on se, että vaikka palvelunhallinta yhdistetään helposti laatuun ja suorituskykyyn, tietoturvan hallinta jää usein huomiotta tehokkaan palveluntarjonnan välttämättömänä osana. Tästä johtuen palvelunhallinta on usein ensimmäinen komponentti, joka otetaan käyttöön.
Kuitenkin lukuisat ISO/IEC 27001:ssä määritellyt ohjaustavoitteet ja suojatoimenpiteet, Liite A, sisältyvät myös ISO/IEC 20000-1 palvelunhallintavaatimuksiin.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Edistyneen hallintakehyksen, kuten ISO 27013:n, käyttöönotto, joka ottaa huomioon sekä tarjotut palvelut että tietoresurssien turvallisuuden, tarjoaa monia etuja.
Seuraavassa on joitain ISO 27001:n ja ISO 20000-1:n yhteiskäytön tärkeimmistä eduista:
Nämä edut huomioon ottaen on selvää, että automaattinen lähestymistapa SMS- ja ISMS-toteutukseen on loistava idea.
Jokaisella organisaatiolla, joka toimii fyysisessä maailmassa, on suuri mahdollisuus joutua kyberhyökkäyksen kohteeksi. Tosiasia on, ettemme ole niin turvassa kuin luulemme. Itse asiassa ISMS-toteutus antaa yrityksille enemmän suojaa kuin he ymmärtävät. Joka vuosi elämämme kietoutuu teknologian kanssa ja siksi riippuvuutemme siitä kasvaa.
Tästä syystä tilintarkastajat sekä tietoturvaa toteuttavat organisaatiot ja/tai palvelunhallintaohjelmia sekä auditoijakoulutukseen ja sertifiointiin tai johtamisjärjestelmien akkreditointiin osallistuvien organisaatioiden tulee harkita ISO 27001:n ja ISO 20000-1:n integroitua käyttöönottoa.
Organisaatio, joka harkitsee sekä ISO/IEC 27001:n että ISO/IEC 20000-1:n käyttöönottoa, voidaan luokitella kolmeen luokkaan:
Organisaation, joka harkitsee integroidun johtamisjärjestelmän käyttöönottoa, tulee ottaa huomioon seuraavat asiat:
Täällä osoitteessa ISMS.online, autamme yrityksiä toimimaan oikein tarjoamalla heille työkalut ja resurssit ISO 27013 -standardin mukaisen integroidun johtamisjärjestelmän toteuttamiseen. ISMS.online on online-ohjelmistoratkaisu jonka avulla käyttäjät voivat osoittaa asiakkailleen, sääntelyviranomaisille ja tilintarkastajille, että heillä on valitustenhallintajärjestelmä.
Tehokkaan pilvipohjaisen ohjelmistomme avulla voit tarkistaa prosessisi varmistaaksesi, että ne ovat ISO 27013 -standardin vaatimusten mukaisia. Itse asiassa järjestelmämme on yksi käytännöllisimmistä, helppokäyttöisimmistä ja kattavimmista poluista ISMS:n menestykseen.
ISMS.online tarjoaa myös a Virtual Coach, joka tarjoaa 24/7 kontekstikohtaista tukea. Voit keskustella kanssamme alkaen alustamme sisällä etkä koskaan ota väärää askelta tai eksy. Soita ISMS.online-numeroon +44 (0)1273 041140 saadaksesi lisätietoja siitä, kuinka alustamme voi auttaa sinua käyttämään integroitua hallintajärjestelmää, joka täyttää ISO 27013 -standardin vaatimukset.
Olemme niin tyytyväisiä, että löysimme tämän ratkaisun, sillä sen avulla kaikki sovittiin yhteen helpommin.
Tee yhteistyötä, luo ja näytä, että olet aina dokumentaatiosi kärjessä
Lue lisääTartu uhkiin ja mahdollisuuksiin vaivattomasti ja raportoi suorituskyvystä dynaamisesti
Lue lisääTee parempia päätöksiä ja näytä hallitsevasi hallintapaneelien, KPI:iden ja niihin liittyvän raportoinnin avulla
Lue lisääTee kevyttä työtä korjaavista toimista, parannuksista, auditoinneista ja johdon arvioinneista
Lue lisääValaise kriittisiä suhteita ja yhdistä tyylikkäästi alueet, kuten omaisuus, riskit, valvonta ja toimittajat
Lue lisääValitse omaisuus omaisuuspankista ja luo omaisuusluettelo helposti
Lue lisääKäyttövalmiit integraatiot muihin keskeisiin liiketoimintajärjestelmiisi yksinkertaistamaan vaatimustenmukaisuuttasi
Lue lisääLisää siististi muita vaatimustenmukaisuuden osa-alueita, jotka vaikuttavat organisaatioosi, jotta saavutat vielä enemmän
Lue lisääSitouta henkilöstö, toimittajat ja muut dynaamiseen päästä päähän -säännösten noudattamiseen aina
Lue lisääHallitse due diligencea, sopimuksia, kontakteja ja suhteita koko elinkaarensa ajan
Lue lisääKartoita ja hallitse kiinnostuneita osapuolia visuaalisesti varmistaaksesi, että heidän tarpeisiinsa vastataan selvästi
Lue lisääVahva suunnittelun yksityisyys ja suojaustoiminnot tarpeidesi ja odotusten mukaan
Lue lisääMeillä on kaikki mitä tarvitset ensimmäisen ISMS:si suunnitteluun, rakentamiseen ja toteuttamiseen.
Autamme sinua saamaan enemmän irti jo tekemästäsi infosec-työstä.
Alustamme avulla voit rakentaa ISMS, jota organisaatiosi todella tarvitsee.
100 % käyttäjistämme saavuttaa ISO 27001 -sertifikaatin ensimmäistä kertaa