ISO/IEC 27013 ISMS וניהול ITIL/שירות

מהו תקן ISO 27013?

ארגון התקינה הבינלאומי (ISO) מקיים מגוון רחב של תקנים כגוף בינלאומי. ככלל, התקנים מייצגים את הקונצנזוס של מומחים מרחבי העולם בעניינים הקשורים לתחומם. ה ISO 27000 סדרה היא אחד התקנים החשובים ביותר לאבטחת מידע. סדרת תקנים זו מספקת מסגרת עבור ניהול סיכוני אבטחת מידע.

תקן ISO 27013 קובע את הדרישות לארגון ליישם מערכת ניהול אבטחת מידע (ISMS) ומערכת ניהול שירות (SMS). ISO / IEC 27001 הוא תקן המגדיר מערכות ניהול אבטחת מידע (ISMS) המספק לארגונים מסגרת רבת עוצמה ליישום שיטות עבודה מומלצות והנחיות בנושא אבטחת סייבר.

ISO/IEC 20000-1 הוא מסגרת בינלאומית לניהול שירותי IT המאפשרת לארגונים להבטיח שמערכות ניהול שירותי ה-IT שלהם תואמות לצרכים העסקיים.

תקן ISO 27013 נוצר כדי לסייע לארגונים ביישום תקן ISO 27001 ו-ISO 20000-1 במקביל או ביישום אחד במקום אחר כבר קיים. על ידי כך, עסקים יכולים למקסם את נאמנות הלקוחות, להשיג יתרון אסטרטגי, לשפר את הפעילות הארגונית, ולאורך זמן, לממש חיסכון משמעותי בעלויות.

מה זה ISMS?

ISMS היא מערכת ניהול אבטחת מידע. זוהי מסגרת ליישום יוזמות אבטחה כגון בקרות גישה, תגובה לאירועים, ניטור, הדרכות אבטחה ועוד ועוד. א ISMS מכונה לפעמים ISO 27001 לאחר התקן הבינלאומי המשמש למסגרת זו.

הוא מתאר ומדגים את הארגון שלך גישה לאבטחת מידע. מערכות אלו יכולות להיות מיושמות בכל מספר דרכים בהתאם לעסק שלך.

חשוב להבין מהי ISMS והפונקציות שהוא משרת השגת עמידה בתקן ISO 27001לפי משרד החוץ האמריקאי. על פי תקן ISO 27001, על כל הארגונים להטמיע מערכת ניהול אבטחת מידע.

מהו ניהול שירותי IT?

ניהול שירותי IT, הידוע לרוב בשם ITSM, הוא קונצנזוס בתעשיית ה-IT בנוגע לאופן שבו השירותים מועברים ללקוחות. במילים פשוטות, ITSM היא מסגרת למתן ותמיכה בשירותי IT. ניתן להשתמש בפרקטיקות שמגדירות ITSM בכל ארגון ללא קשר לגודל, סוג הטכנולוגיה או רמת הפעילות העסקית.

ITSM מאפשר אספקה ​​יעילה ויעילה של שירותי IT ללקוחות פנימיים או חיצוניים. שירות IT הוא כל מוצר הנמסר ללקוח ועשוי להיות ממומן, מבוצע או נרכש כשירות IT.

זוהי בעצם מסגרת ניהול המסייעת לך לנהל ולארגן את כל ההיבטים של אספקת שירותים בצורה יעילה, יעילה, אמינה ומאובטחת המותאמת לצרכי הלקוח ולציפיותיו. ISO 20000-1 הוא התקן למערכות ניהול שירות IT (ITSM) וקובע הנחיות לביקורת הסמכה של צד חיצוני. המטרה של ISO 20000-1 היא התאמה אסטרטגית של ITSM עם פעילויות, תהליכים ומשאבים אחרים של IT.

יישום משולב של ISO 27001 ו-ISO 20000-1 מבוסס על ISO 27013

ISO/IEC 27001 ו-ISO/IEC 20000-1 הם שני תקנים החולקים מספר רב של רכיבים ויעדים, כמו גם את העיקרון הקריטי של שיפור מתמיד. לפיכך, שילוב של יישום מערכת ניהול שירות (SMS) ומערכת ניהול אבטחת מידע (ISMS) יהיה הפתרון האופטימלי.

אלו הן נקודות PDCA מ-ISO 27001 ו-ISO 20000 שניתן לשלב במהלך היישום של ISO 27013:

מדיניות

מפרט הנחיות פנימיות לניהול המערכת המשולבת.

הדרכה

כל הצוות שיושפע מהטמעת מערכת הניהול המשולבת חייב לקבל השכלה נאותה באבטחת מידע וניהול שירותים.

תקשורת

התכתבות פנימית וחיצונית על מסגרת הניהול המשולבת חייבת להתנהל בהתאם להנחיות מוגדרות (בדרך כלל מוגדרות כפרוטוקול תקשורת).

הגדרת יעדים

מגדיר את המטרות שיש להשיג באמצעות יישום המערכת המשולבת. זה יכלול גם הקמת אמות מידה מסוימות לקביעה אם היעדים הושגו.

הגדרת אחריות

מפרט את האחריות עבור ניהול מערכת משולבת. בדרך כלל, מונח זה מתייחס לאדם האחראי על המערכת המשולבת. כמו כן, ייווצר צוות הכולל את ההנהלה הבכירה כחבר העיקרי לאינטגרציה של מערכת הניהול.

בקרה על מסמכים ורישומים

יש להקפיד על בקרה וניהול של התיעוד והרישומים של המערכת המשולבת.

מדדים

עבור ISO 27001, יש להציב מדדים כדי להעריך את האפקטיביות של בקרות האבטחה. עבור ISO 20000, יש לקבוע מדדים כדי להעריך את יעילות הפרוטוקולים.

ביקורת פנימית

תיערך ביקורת פנימית לאיתור אי התאמות פוטנציאליות במערכת המשולבת ולהערכת מידת התאימות ביחס לדרישות התקן.

סקירת הנהלה

של הארגון ההנהלה הבכירה חייבת להעריך מערך נקודות כניסה למערכת הניהול המשולבת. הם נדרשים להגיע לממצאים או תוצאות מסוימות כתוצאה מהניתוח.

שיפור מתמשך

הנהלת המערכת המשולבת תקבע אמצעי תיקון ומניעה לטיפול באי-התאמה שזוהו (המתגלים בדרך כלל בביקורות, סקירות וכו').

כפי שאנו יכולים לראות, גם דרישות ISO 27001 וגם ISO 20000-1 תואמות לחלוטין וניתן לשלב אותן בצורה חלקה כדי להוות את הבסיס ל-ISO 27013, וכתוצאה מכך מערכת ניהול משולבת המבטיחה את העקביות והאבטחה של תהליכי החברה והשירותים, ובכך מגדילה שביעות רצון של לקוח.

היקף ומטרת תקן ISO 27013

תקן ISO 27013 מספק הוראות כיצד לשלב את ISO 27001 ו-ISO 20000-1 באופן אוטומטי עבור ארגונים שמתכננים:

• יישם את ISO/IEC 27001 לאחר אימוץ ISO/IEC 20000-1, או להיפך; ליישם את ISO/IEC 27001 ו-ISO/IEC 20000-1 במקביל או
• יישר ושלב מערכות ניהול ISO/IEC 27001 ו-ISO/IEC 20000-1 שיושמו בעבר.

היקף התקן הזה מקיף שתי ועדות משנה ISO/IEC JTC1. SC 27 ו- SC 7 פעלו כדי להבטיח שההשקפות של טכנולוגיית מידע וניהול שירותי IT יטופלו כראוי.

תקן ISO 27013 מספק גם הנחיות לגבי תכנון ותעדוף משימות, כולל הדברים הבאים:

• יישור ה- מטרות אבטחת מידע, ניהול שירות ושיפור;
• תיאום משימות שיתופיות, וכתוצאה מכך מסגרת מתואמת ומיושרת יותר;
• יצירת אוסף של פרוטוקולים ותיעוד תומך (מדיניות, נהלים וכו');
• טרמינולוגיה ומטרות נפוצות;
• מתן הטבות לנותני שירותים וללקוחות כתוצאה מהתכנסות של כל מערכות הבקרה; ו
• ביקורת במקביל של כל תהליכי הבקרה, וכתוצאה מכך חיסכון בהוצאות.

הבנת תפיסת ISO 27001 ו-ISO 20000-1

לפני תכנון מערכת ניהול מתקדמת, על הארגון להבין היטב את התכונות, קווי הדמיון וההבחנות בין ISO/IEC 27001 ו-ISO/IEC 20000-1. זה מקטין משמעותית את כמות הזמן והכסף הנדרשים ליישום. סעיפי תקן ISO 27013 4.2 עד 4.4 מציעים סקירה כללית של העקרונות העיקריים מאחורי כל המפרטים, אך אין לקחת אותם במקום ניתוח מפורט.

4.2 מושגי ISO/IEC 27001

ISO/IEC 27001 מקים, מיישם, מפעיל, מנטר, סוקר, מתחזק ומשפר מערכת ניהול אבטחת מידע (ISMS) לשמירה על נכסי מידע. התנאי "נכסי מידע" מתייחס לנתונים מכל צורה שהיא, המאוחסנים בכל מדיום, ומשמשים את הארגון או בתוכו מכל סיבה שהיא.

כדי לעמוד בתקן ISO/IEC 27001, ארגון חייב לאמץ מערכת ניהול אבטחת מידע (ISMS) המבוססת על שיטת הערכת סיכונים לזיהוי איומים על מידע נכסים. על החברה לבחור, לאמץ, להעריך ולבקר מחדש במספר תוכניות לניהול סיכונים כחלק מתפקיד זה. אלה מכונים בקרות.

על הארגון לקבוע תקני סיכון מקובלים מתאימים, תוך התחשבות בתנאי השוק ובדברים שנכפו מבחוץ. דרישות סטטוטוריות ומנהליות, כמו גם התחייבויות חוזיות, הן דוגמאות לדרישות שהוטלו מבחוץ.

4.3 ISO/IEC 20000-1 קונספט

ISO/IEC 20000-1 חל על ארגונים או פלחים של ארגונים המשתמשים או מציעים שירותים. זה משפר את הערך של הלקוח וגם של נותן השירות. עם זאת, התקן מחייב את ספק השירות לפקח על כל התהליכים המושפעים מהתקן, ורק נותן השירות מסוגל להשיג עמידה בתקן ISO/IEC 20000-1.

המטרה העיקרית של התקן היא להבטיח שספקים עומדים בתקני איכות ומספקים ערך הן למשתמש והן לנותן השירות. שֵׁרוּת ההנהלה מנהלת ובקרה על הפעולות והמשאבים של ספק שירות בתכנון, ייצור, העברה, הטמעה והרחבה של שירותים על מנת לעמוד בדרישות הלקוח.

כדי לעמוד במפרטי התקן, על ספק השירות לשלב מספר תהליכי ניהול שירות רלוונטיים. אלה כוללים, אך אינם מוגבלים ל, ניהול אירועים, ניהול שינויים וניהול בעיות. ניהול אבטחת מידע הוא תהליך ניהול שירות המפורט ב-ISO/IEC 20000-1.

4.4 קווי דמיון והבחנות

לעתים קרובות, ניהול שירות וניהול אבטחת מידע מטופלים כאילו הם לא קשורים או קשורים קשר בל יינתק. ההקשר להבחנה זו הוא שבעוד שניהול שירות מקושר בקלות לאיכות וביצועים, לעיתים קרובות מתעלמים מניהול אבטחת מידע כמרכיב הכרחי באספקת שירות יעילה. כתוצאה מכך, ניהול שירות הוא לעתים קרובות הרכיב הראשון שיוצג.

עם זאת, יעדי בקרה ואמצעי הגנה רבים המוגדרים ב-ISO/IEC 27001, נספח א, כלולים גם בדרישות ניהול השירות ISO/IEC 20000-1.

מהם היתרונות של יישום תקן ISO/IEC 27013?

הטמעת מסגרת ניהול מתקדמת כמו ISO 27013 המתחשבת הן בשירותים המוצעים והן באבטחת נכסי המידע תספק מגוון יתרונות.

להלן כמה מהיתרונות העיקריים של יישום ISO 27001 ו-ISO 20000-1 ביחד:

• אמינות מוגברת במתן שירותי IT אמינים ויעילים ללקוחות פנימיים וחיצוניים, כמו גם לבעלי עניין
• חיסכון עצום בעלויות, בהשוואה ליישום כל אחד בנפרד.
• חיסכון בזמן עקב ביטול הצורך ביצירת מערכות משותפות לכל הדרישות פעמיים.
• תהליכים מיותרים או מיותרים יבוטלו.
• בקרב צוותי ניהול שירות ואבטחת מידע, יש ידע רב יותר הן בניהול השירות והן באבטחת מידע.
• כל ארגון שהשיג הסמכת ISO/IEC 27001 יעמוד ביתר קלות בתקן ISO/IEC 20000-1 לאבטחת מידע.

עם יתרונות אלו בחשבון, ברור שגישה אוטומטית להטמעת SMS ו-ISMS היא רעיון מצוין.

מי צריך ליישם את ISO 27013?

לכל ארגון שפועל בעולם הפיזי יש סיכוי גדול להיות מושפע ממתקפת סייבר. העובדה היא שאנחנו לא בטוחים כמו שאנחנו עשויים לחשוב. למעשה, הטמעת ISMS מעניקה לחברות הגנה רבה יותר ממה שהם מבינים. מדי שנה חיינו משתלבים יותר בטכנולוגיה ולכן ההסתמכות שלנו עליה גוברת.

מסיבה זו, רואי חשבון, כמו גם ארגונים המיישמים אבטחת מידע ו/או תוכניות ניהול שירות, וארגונים המשתתפים בהכשרת מבקרים והסמכה או הסמכת מערכת ניהול צריכים לשקול את היישום המשולב של ISO 27001 ו-ISO 20000-1.

מהן הדרישות ליישום ISO 27013?

ארגון השוקל ליישם גם את ISO/IEC 27001 וגם את ISO/IEC 20000-1 יכול להיות מסווג לשלוש קטגוריות:

• יש להם מבני ניהול אד-הוק הכוללים גם ניהול אבטחת מידע וגם ניהול שירותים;
• יש להם מסגרת ניהול המבוססת על אחד משני הסטנדרטים;
• יש להם מערכות ניהול שונות המבוססות על שני התקנים, שאינן משולבות (מערכות ניהול נפרדות המבוססות על שני התקנים).

ארגון השוקל ליישם מערכת ניהול משולבת צריך לקחת בחשבון את הדברים הבאים:

• כל מערכת ניהול אחרת הפועלת כעת;
• כל השירותים, הנהלים ויחסי הגומלין ביניהם במסגרת מערכת הניהול המשולבת;
• מאפיינים של כל תקן שניתן למזג וכיצד ניתן למזג אותם; מאפיינים שחייבים להישאר מובחנים;
• השפעת מערכת הניהול המשולבת על לקוחות, ספקים ובעלי עניין אחרים;
• השפעת מערכת הניהול המשולבת על הטכנולוגיות בשימוש;
• השפעת מערכת הניהול המשולבת על השירותים וניהול העסק או הסכנה לשירותים;
• השפעת מערכת הניהול המשולבת על אבטחת המידע או הסיכון שלה;
• הדרכה וחינוך לניהול אבטחת מידע;
• שלבי מערכת הניהול המשולבת וציר הזמן ליישום.

כיצד ISMS.online מקל על הפעלת מערכת ניהול משולבת

כאן ב-ISMS.online, אנו עוזרים לחברות לעשות את הדבר הנכון על ידי מתן הכלים והמשאבים להפעלת מערכת ניהול משולבת בהתאם לתקן ISO 27013. ISMS.online הוא פתרון תוכנה מקוון המאפשרת למשתמשים להוכיח ללקוחותיהם, הרגולטורים והמבקרים שלהם שיש להם מערכת לניהול תלונות.

התוכנה המבוססת על הענן החזקה שלנו מאפשרת לך לרשום את התהליכים שלך כדי להבטיח שהם עומדים בדרישות של תקן ISO 27013. למעשה, המערכת שלנו היא אחת הדרכים המעשיות, הקלות לשימוש והמקיפות ביותר להצלחת ISMS.

ISMS.online מספקים גם א מאמן וירטואלי המציע תמיכה ספציפית להקשר 24/7. אתה יכול לשוחח איתנו מ בתוך הפלטפורמה שלנו ולעולם לא תעשה את הצעד הלא נכון או תאבד את הדרך שלך. התקשר ל-ISMS.online בטלפון +44 (0)1273 041140 למידע נוסף על האופן שבו הפלטפורמה שלנו יכולה לעזור לך להפעיל מערכת ניהול משולבת העונה על הדרישות עבור ISO 27013.