新標準幫助組織整合實施信息安全和服務管理體系標準

由于信息安全和服務管理之間的緊密聯(lián)系，很多組織已經(jīng)意識到采取ISO/IEC 27001《信息技術(shù) 安全技術(shù) 信息安全管理體系 要求》和ISO/IEC 20000-1《信息技術(shù) 服務管理 第一部分：服務管理體系要求》兩項標準所帶來的諸多益處。為此，ISO和IEC近期發(fā)布了一項新的國際標準——ISO/IEC 27013:2012《信息技術(shù) 安全技術(shù) ISO/IEC 27001和ISO/IEC 20000-1整合實施指南》，旨在幫助組織整合實施信息安全和服務管理體系標準，該標準由ISO/IEC JTC1信息技術(shù)聯(lián)合技術(shù)委員會下屬的IT安全技術(shù)分技術(shù)委員會與軟件和系統(tǒng)工程分技術(shù)委員會共同制定。

IT安全技術(shù)分技術(shù)委員會下屬的信息安全管理體系工作組的召集人愛德華?漢弗萊表示，ISO/IEC 27001信息安全管理體系標準和ISO/IEC 20000-1服務管理體系標準有著非常相似的過程和活動，包括持續(xù)改進原則。實施重視服務管理和保護信息安全的整合型管理體系，對組織來說有許多好處。該標準的編寫者之一、同時也是軟件和系統(tǒng)工程分技術(shù)委員會下屬的服務管理工作組前召集人詹妮?達格莫表示，發(fā)布ISO/IEC 27013標準，是因為ISO和IEC認識到整合兩項國際標準會帶來許多額外的收益。對于那些希望提升效率、加強信息安全和服務管理以及提高服務質(zhì)量的組織來說，ISO/IEC 27013能為他們提供指導。

整合實施ISO/IEC 27001和ISO/IEC 20000-1的主要益處包括：為組織內(nèi)部或外部的顧客提供有效而且安全的服務，從而提升企業(yè)信譽；降低整合型項目的成本；通過整合兩種標準的通用過程來縮短標準的實施周期；消除重復工作；增進服務管理和信息安全人員之間的相互理解；改進認證過程。

ISO/IEC 27013標準的使用者包括：審核員、實施信息安全和/或服務管理體系的組織、參與審核員認證或培訓的組織、參與管理體系認證和注冊的組織、參與合格評定領域標準化活動的組織和認可機構(gòu)。

ISO/IEC TR 20000-10技術(shù)報告正在編制過程中，該技術(shù)報告將介紹ISO/IEC 20000系列標準中的概念，解釋使用的術(shù)語，并確定ISO/IEC 20000系列標準中的不同部分之間如何相互作用，以及它們與其他ISO/IEC標準之間的相互聯(lián)系。ISO/IEC TR 90006技術(shù)報告也處于編制過程中，它將為組織在服務管理中實施ISO 9001提供審核指南。

更多信息，請瀏覽www.iso.org。