ISO/IEC 27013 ISMS & ITIL/palvelunhallinta

Mikä on ISO 27013 -standardi?

Kansainvälinen standardointijärjestö (ISO) ylläpitää laajaa valikoimaa standardeja kansainvälisenä elimenä. Yleisesti ottaen standardit edustavat eri puolilta maailmaa olevien asiantuntijoiden yksimielisyyttä omaan alaansa liittyvissä asioissa. The ISO 27000 sarja on yksi tärkeimmistä tietoturvastandardeista. Tämä standardisarja tarjoaa puitteet tietoturvariskien hallintaan.

ISO 27013 -standardi asettaa organisaatiolle vaatimukset tietoturvallisuuden hallintajärjestelmän (ISMS) ja palvelunhallintajärjestelmän (SMS) käyttöönotolle. ISO / IEC 27001 on standardi, joka määrittelee tietoturvan hallintajärjestelmät (ISMS) joka tarjoaa organisaatioille tehokkaat puitteet kyberturvallisuuden parhaiden käytäntöjen ja ohjeiden toteuttamiseen.

ISO/IEC 20000-1 on IT-palvelujen hallinnan kansainvälinen viitekehys, jonka avulla organisaatiot voivat varmistaa, että niiden IT-palvelujen hallintajärjestelmät ovat yhteensopivia liiketoiminnan tarpeiden kanssa.

ISO 27013 -standardi luotiin auttamaan organisaatioita ottamaan käyttöön sekä ISO 27001 että ISO 20000-1 samanaikaisesti tai ottamaan käyttöön toisen, kun toinen on jo olemassa. Näin yritykset voivat maksimoida asiakasuskollisuuden, saada strategista etua, tehostaa yrityksen toimintaa ja saavuttaa ajan mittaan merkittäviä kustannussäästöjä.

Mikä on ISMS?

ISMS on tietoturvan hallintajärjestelmä. Tämä on puitteet täytäntöönpanolle turvallisuusaloitteita, kuten pääsyn valvontaa, tapaturmien reagointi, valvonta, turvallisuuskoulutus ja paljon muuta. An ISMS:stä käytetään joskus nimitystä ISO 27001 tässä kehyksessä käytetyn kansainvälisen standardin jälkeen.

Se kuvaa ja esittelee organisaatiosi toimintaa lähestymistapa tietoturvaan. Nämä järjestelmät voidaan toteuttaa useilla tavoilla yrityksestäsi riippuen.

On tärkeää ymmärtää, mitä ISMS on ja mitä toimintoa se palvelee saavuttaa ISO 27001 -standardin mukainenYhdysvaltain ulkoministeriön mukaan. ISO 27001 -standardin mukaan kaikissa organisaatioissa tulee olla tietoturvan hallintajärjestelmä.

Mitä IT-palveluiden hallinta on?

IT-palvelujen hallinta, joka tunnetaan yleisimmin nimellä ITSM, on yksimielisyys IT-alalla siitä, miten palvelut toimitetaan asiakkaille. Yksinkertaisesti sanottuna ITSM on viitekehys IT-palvelujen tarjoamiseen ja tukemiseen. ITSM:n määritteleviä käytäntöjä voidaan käyttää missä tahansa organisaatiossa koosta, teknologiatyypistä tai liiketoiminnan tasosta riippumatta.

ITSM mahdollistaa IT-palvelujen tehokkaan ja tehokkaan toimituksen sisäisille tai ulkoisille asiakkaille. IT-palvelu on mikä tahansa asiakkaalle toimitettu tuote, joka voidaan rahoittaa, suorittaa tai hankkia IT-palveluna.

Se on pohjimmiltaan hallintakehys, jonka avulla voit hallita ja järjestää kaikkia palveluiden toimittamiseen liittyviä näkökohtia tehokkaalla, tehokkaalla, luotettavalla ja turvallisella tavalla asiakkaan tarpeiden ja odotusten mukaisesti. ISO 20000-1 on ITSM (IT Service Management) -järjestelmien standardi ja asettaa suuntaviivat ulkopuolisten tahojen sertifiointiauditoille. ISO 20000-1:n tavoitteena on ITSM:n strateginen linjaus muiden IT-toimintojen, -prosessien ja -resurssien kanssa.

ISO 27001- ja ISO 20000-1 -standardien integroitu käyttöönotto ISO 27013 -standardin perusteella

ISO/IEC 27001 ja ISO/IEC 20000-1 ovat kaksi standardia, joilla on suuri määrä yhteisiä komponentteja ja tavoitteita sekä jatkuvan parantamisen kriittinen periaate. Näin ollen palvelunhallintajärjestelmän (SMS) ja tietoturvan hallintajärjestelmän (ISMS) toteutuksen integrointi olisi optimaalinen ratkaisu.

Nämä ovat ISO 27001- ja ISO 20000 -standardien PDCA-pisteet, jotka voidaan integroida ISO 27013 -standardin käyttöönoton aikana:

Käytäntö

Määrittää integroidun järjestelmän hallinnan sisäiset ohjeet.

koulutus

Kaiken henkilöstön, johon integroidun johtamisjärjestelmän käyttöönotto vaikuttaisi, tulee saada riittävä koulutus tietoturvasta ja palveluiden hallinnasta.

Yhteydenpito

Integroitua hallintakehystä koskeva sisäinen ja ulkoinen kirjeenvaihto on suoritettava määriteltyjen ohjeiden mukaisesti (määritetään yleensä viestintäprotokollaksi).

Tavoitteiden määrittely

Määrittää integroidun järjestelmän toteuttamisen kautta saavutettavat tavoitteet. Tähän sisältyy myös tiettyjen vertailuarvojen määrittäminen sen määrittämiseksi, onko tavoitteet saavutettu.

Vastuualueiden määrittely

Siinä määritellään vastuut integroidun järjestelmän hallinta. Tyypillisesti tämä termi viittaa henkilöön, joka on vastuussa integroidusta järjestelmästä. Lisäksi johtamisjärjestelmän integrointia varten muodostetaan tiimi, jonka pääjäsenenä on ylin johto.

Asiakirjojen ja arkiston valvonta

Integroidun järjestelmän dokumentaation ja kirjanpidon valvonnasta ja hallinnasta on huolehdittava.

Metrics

ISO 27001 -standardin osalta on otettava käyttöön mittarit turvavalvonnan tehokkuuden arvioimiseksi. ISO 20000:lle on laadittava mittareita protokollien tehokkuuden arvioimiseksi.

Sisäinen tarkastus

Sisäinen auditointi suoritetaan integroidun järjestelmän mahdollisten poikkeamien tunnistamiseksi ja vaatimustenmukaisuuden arvioimiseksi standardivaatimuksiin nähden.

Johdon katsaus

Organisaation ylimmän johdon on arvioitava joukko sisääntulopisteitä integroituun hallintajärjestelmään. Heidän on tehtävä tiettyjä havaintoja tai tuloksia analyysin tuloksena.

Jatkuva parantaminen

Integroidun järjestelmän hallinta ottaa käyttöön korjaavia ja ehkäiseviä toimenpiteitä havaittujen (yleensä auditoinneissa, katsauksissa jne. havaittujen) poikkeamien käsittelemiseksi.

Kuten näemme, sekä ISO 27001 että ISO 20000-1 vaatimukset ovat täysin yhteensopivia ja ne voidaan yhdistää saumattomasti perustaksi ISO 27013:lle, mikä johtaa integroituun johtamisjärjestelmään, joka varmistaa yrityksen prosessien ja palveluiden johdonmukaisuuden ja turvallisuuden, mikä lisää asiakastyytyväisyys.

ISO 27013 -standardin soveltamisala ja tarkoitus

ISO 27013 -standardi sisältää ohjeet ISO 27001- ja ISO 20000-1 -standardien sisällyttämiseen automaattisesti organisaatioille, jotka suunnittelevat:

• Ota ISO/IEC 27001 käyttöön ISO/IEC 20000-1:n käyttöönoton jälkeen tai päinvastoin; ottaa käyttöön ISO/IEC 27001 ja ISO/IEC 20000-1 samanaikaisesti tai
• Kohdista ja integroi aiemmin käyttöönotetut ISO/IEC 27001- ja ISO/IEC 20000-1 -hallintajärjestelmät.

Tämän standardin soveltamisala kattaa kaksi ISO/IEC JTC1 -alakomiteaa. SC 27 ja SC 7 pyrkivät varmistamaan, että tietotekniikan ja IT-palvelujen hallinnan näkemykset huomioidaan riittävästi.

ISO 27013 -standardi antaa myös ohjeita tehtävien suunnitteluun ja priorisoimiseen, mukaan lukien seuraavat:

• Kohdista tietoturvan tavoitteita, palvelun hallinto ja parantaminen;
• Yhteistyötehtävien koordinointi, mikä johtaa koordinoidumpaan ja yhdenmukaisempaan kehykseen;
• Pöytäkirjakokoelman luominen ja tukidokumentaatio (käytännöt, käytännöt jne.);
• Yhteinen terminologia ja tavoitteet;
• Hyötyjen tarjoaminen palveluntarjoajille ja asiakkaille kaikkien valvontajärjestelmien lähentymisen seurauksena; ja
• Kaikkien valvontaprosessien samanaikainen auditointi, mikä johtaa kustannussäästöihin.

ISO 27001- ja ISO 20000-1 -konseptien ymmärtäminen

Ennen edistyneen hallintajärjestelmän suunnittelua organisaatiolla tulee olla vakaa käsitys ISO/IEC 27001:n ja ISO/IEC 20000-1:n ominaisuuksista, yhtäläisyyksistä ja eroista. Tämä vähentää merkittävästi toteuttamiseen tarvittavaa aikaa ja rahaa. ISO 27013 -standardin lausekkeet 4.2–4.4 tarjoavat yleiskatsauksen kaikkien eritelmien taustalla oleviin tärkeimpiin periaatteisiin, mutta niitä ei pidä korvata yksityiskohtaisen analyysin sijasta.

4.2 ISO/IEC 27001 -käsitteet

ISO/IEC 27001 perustaa, toteuttaa, käyttää, valvoo, tarkastaa, ylläpitää ja parantaa tietoturvan hallintajärjestelmää (ISMS) tietovarallisuuden suojaamiseksi. Termi "tietovarat" viittaa minkä tahansa muotoiseen tietoon, joka on tallennettu mille tahansa välineelle ja jota käytetään organisaatiossa tai sen sisällä mistä tahansa syystä.

ISO/IEC 27001:n noudattamiseksi organisaation on otettava käyttöön tietoturvan hallintajärjestelmä (ISMS), joka perustuu riskinarviointimenetelmä tietoon kohdistuvien uhkien tunnistamiseksi omaisuutta. Yrityksen tulee valita, ottaa käyttöön, arvioida ja käydä uudelleen läpi useita riskienhallintaohjelmia osana tätä tehtävää. Näitä kutsutaan ohjauksiksi.

Organisaation tulee luoda asianmukaiset hyväksyttävät riskistandardit ottaen huomioon markkinaolosuhteet ja ulkopuoliset asiat. Lakisääteiset ja hallinnolliset vaatimukset sekä sopimussitoumukset ovat esimerkkejä ulkopuolisista vaatimuksista.

4.3 ISO/IEC 20000-1 -konsepti

ISO/IEC 20000-1 koskee palveluja käyttäviä tai tarjoavia organisaatioita tai organisaatiosegmenttejä. Tämä lisää sekä asiakkaan että palveluntarjoajan arvoa. Standardi edellyttää kuitenkin, että palveluntarjoaja valvoo kaikkia prosesseja, joihin standardi vaikuttaa, ja vain palveluntarjoaja pystyy saavuttamaan ISO/IEC 20000-1 -standardin mukaisuuden.

Standardin ensisijaisena tavoitteena on varmistaa, että palveluntarjoajat täyttävät laatustandardit ja tarjoavat lisäarvoa sekä käyttäjälle että palveluntarjoajalle. Palvelu johto ohjaa ja ohjaa suunnittelussa palveluntuottajan toimintaa ja resursseja, palvelujen tuotanto, siirto, toteutus ja laajentaminen asiakkaan tarpeiden täyttämiseksi.

Standardin vaatimusten noudattamiseksi palveluntarjoajan on sisällytettävä joukko asiaankuuluvia palvelunhallintaprosesseja. Näitä ovat muun muassa vaaratilanteiden hallinta, muutoksenhallinta ja ongelmanhallinta. Tietoturvan hallinta on ISO/IEC 20000-1:ssä määritelty palvelunhallintaprosessi.

4.4 Yhtäläisyydet ja erot

Usein palvelunhallintaa ja tietoturvan hallintaa käsitellään ikään kuin ne eivät liity toisiinsa tai liittyvät erottamattomasti toisiinsa. Tämän eron taustalla on se, että vaikka palvelunhallinta yhdistetään helposti laatuun ja suorituskykyyn, tietoturvan hallinta jää usein huomiotta tehokkaan palveluntarjonnan välttämättömänä osana. Tästä johtuen palvelunhallinta on usein ensimmäinen komponentti, joka otetaan käyttöön.

Kuitenkin lukuisat ISO/IEC 27001:ssä määritellyt ohjaustavoitteet ja suojatoimenpiteet, Liite A, sisältyvät myös ISO/IEC 20000-1 palvelunhallintavaatimuksiin.

Mitä hyötyä ISO/IEC 27013 -standardin käyttöönotosta on?

Edistyneen hallintakehyksen, kuten ISO 27013:n, käyttöönotto, joka ottaa huomioon sekä tarjotut palvelut että tietoresurssien turvallisuuden, tarjoaa monia etuja.

Seuraavassa on joitain ISO 27001:n ja ISO 20000-1:n yhteiskäytön tärkeimmistä eduista:

• Lisääntynyt luotettavuus luotettavien ja tehokkaiden IT-palvelujen tarjoamisessa sisäisille ja ulkoisille asiakkaille sekä sidosryhmille
• Valtavat kustannussäästöt verrattuna kunkin toteuttamiseen erikseen.
• Ajan säästö, koska ei tarvitse luoda kahdesti kaikille vaatimuksille yhteisiä järjestelmiä.
• Ylimääräiset tai tarpeettomat prosessit eliminoidaan.
• Palvelujohtamisen ja tietoturvan henkilökunnalla on enemmän tietoa sekä palvelunhallinnasta että tietoturvasta.
• Kaikki ISO/IEC 27001 -sertifikaatin saavuttaneet organisaatiot täyttävät helpommin tietoturvastandardin ISO/IEC 20000-1.

Nämä edut huomioon ottaen on selvää, että automaattinen lähestymistapa SMS- ja ISMS-toteutukseen on loistava idea.

Kenen tulisi ottaa käyttöön ISO 27013?

Jokaisella organisaatiolla, joka toimii fyysisessä maailmassa, on suuri mahdollisuus joutua kyberhyökkäyksen kohteeksi. Tosiasia on, ettemme ole niin turvassa kuin luulemme. Itse asiassa ISMS-toteutus antaa yrityksille enemmän suojaa kuin he ymmärtävät. Joka vuosi elämämme kietoutuu teknologian kanssa ja siksi riippuvuutemme siitä kasvaa.

Tästä syystä tilintarkastajat sekä tietoturvaa toteuttavat organisaatiot ja/tai palvelunhallintaohjelmia sekä auditoijakoulutukseen ja sertifiointiin tai johtamisjärjestelmien akkreditointiin osallistuvien organisaatioiden tulee harkita ISO 27001:n ja ISO 20000-1:n integroitua käyttöönottoa.

Mitkä ovat vaatimukset ISO 27013:n käyttöönotolle?

Organisaatio, joka harkitsee sekä ISO/IEC 27001:n että ISO/IEC 20000-1:n käyttöönottoa, voidaan luokitella kolmeen luokkaan:

• Heillä on ad hoc -hallintarakenteet, jotka sisältävät sekä tietoturvan hallinnan että palvelunhallinnan;
• Niillä on jompaankumpaan standardiin perustuva hallintakehys;
• Niillä on eri hallintajärjestelmät, jotka perustuvat kahteen standardiin, joita ei ole integroitu (erilliset hallintajärjestelmät, jotka perustuvat kahteen standardiin).

Organisaation, joka harkitsee integroidun johtamisjärjestelmän käyttöönottoa, tulee ottaa huomioon seuraavat asiat:

• muut tällä hetkellä käytössä olevat hallintajärjestelmät;
• Kaikki palvelut, menettelyt ja niiden väliset suhteet integroidun hallintajärjestelmän puitteissa;
• Kunkin yhdistettävän standardin ominaisuudet ja kuinka ne voidaan yhdistää; Ominaisuudet, joiden on pysyttävä erillään;
• Integroidun hallintajärjestelmän vaikutus asiakkaisiin, toimittajiin ja muihin sidosryhmiin;
• Integroidun hallintajärjestelmän vaikutus käytössä oleviin teknologioihin;
• Integroidun johtamisjärjestelmän vaikutus palveluihin ja liiketoiminnan johtamiseen tai niihin kohdistuva vaara;
• Integroidun hallintajärjestelmän vaikutus tietoturvaan tai riski tietoturvalle;
• Tietoturvan hallinnan koulutus ja koulutus;
• Integroidun johtamisjärjestelmän vaiheet ja toteutusaikataulu.

Kuinka ISMS.online tekee integroidun hallintajärjestelmän käyttämisestä helppoa

Täällä osoitteessa ISMS.online, autamme yrityksiä toimimaan oikein tarjoamalla heille työkalut ja resurssit ISO 27013 -standardin mukaisen integroidun johtamisjärjestelmän toteuttamiseen. ISMS.online on online-ohjelmistoratkaisu jonka avulla käyttäjät voivat osoittaa asiakkailleen, sääntelyviranomaisille ja tilintarkastajille, että heillä on valitustenhallintajärjestelmä.

Tehokkaan pilvipohjaisen ohjelmistomme avulla voit tarkistaa prosessisi varmistaaksesi, että ne ovat ISO 27013 -standardin vaatimusten mukaisia. Itse asiassa järjestelmämme on yksi käytännöllisimmistä, helppokäyttöisimmistä ja kattavimmista poluista ISMS:n menestykseen.

ISMS.online tarjoaa myös a Virtual Coach, joka tarjoaa 24/7 kontekstikohtaista tukea. Voit keskustella kanssamme alkaen alustamme sisällä etkä koskaan ota väärää askelta tai eksy. Soita ISMS.online-numeroon +44 (0)1273 041140 saadaksesi lisätietoja siitä, kuinka alustamme voi auttaa sinua käyttämään integroitua hallintajärjestelmää, joka täyttää ISO 27013 -standardin vaatimukset.