ISO/IEC 27013 ISMS & ITIL/gestion des services

Qu'est-ce que la norme ISO 27013 ?

L'Organisation internationale de normalisation (ISO) maintient un large éventail de normes en tant qu'organisme international. En général, les normes représentent le consensus d'experts du monde entier sur des questions liées à leur domaine. Le ISO 27000 La série est l'une des normes les plus importantes en matière de sécurité de l'information. Cette série de normes fournit un cadre pour gérer les risques liés à la sécurité de l'information.

La norme ISO 27013 établit les exigences requises par une organisation pour mettre en œuvre un système de gestion de la sécurité de l'information (ISMS) et un système de gestion des services (SMS). ISO / IEC 27001 est une norme qui définit les systèmes de gestion de la sécurité de l'information (SMSI) qui fournit aux organisations un cadre puissant pour mettre en œuvre les meilleures pratiques et lignes directrices en matière de cybersécurité.

ISO/IEC 20000-1 est un cadre international pour la gestion des services informatiques qui permet aux organisations de garantir que leurs systèmes de gestion des services informatiques sont compatibles avec les besoins de l'entreprise.

La norme ISO 27013 a été créée pour aider les organisations à mettre en œuvre simultanément les normes ISO 27001 et ISO 20000-1 ou à mettre en œuvre l'une là où une autre est déjà en place. Ce faisant, les entreprises peuvent optimiser la fidélité de leurs clients, acquérir un avantage stratégique, améliorer leurs opérations et, au fil du temps, réaliser d'importantes économies.

Qu’est-ce qu’un SMSI ?

Un ISMS est un système de gestion de la sécurité de l'information. Il s'agit d'un cadre pour la mise en œuvre initiatives de sécurité telles que les contrôles d’accès, réponse aux incidents, surveillance, formation à la sécurité et bien plus encore. Un Le SMSI est parfois appelé ISO 27001 après la norme internationale utilisée pour ce cadre.

Il décrit et démontre les activités de votre organisation approche de la sécurité de l’information. Ces systèmes peuvent être mis en œuvre de différentes manières en fonction de votre entreprise.

Comprendre ce qu'est un SMSI et la ou les fonctions qu'il remplit est important pour atteindre la conformité à la norme ISO 27001, selon le Département d'État américain. Selon la norme ISO 27001, toutes les organisations doivent mettre en œuvre un système de gestion de la sécurité de l'information.

Qu'est-ce que la gestion des services informatiques ?

La gestion des services informatiques, plus communément appelée ITSM, constitue un consensus au sein du secteur informatique sur la manière dont les services sont fournis aux clients. En termes simples, l'ITSM est un cadre permettant de fournir et de prendre en charge des services informatiques. Les pratiques qui définissent l'ITSM peuvent être utilisées dans n'importe quelle organisation, quels que soient sa taille, son type de technologie ou son niveau d'activité commerciale.

L'ITSM permet une fourniture efficace et efficiente de services informatiques aux clients internes ou externes. Un service informatique est tout produit fourni à un client et peut être financé, exécuté ou acheté en tant que service informatique.

Il s'agit essentiellement d'un cadre de gestion qui vous aide à gérer et à organiser tous les aspects de la prestation de services de manière efficace, efficiente, fiable et sécurisée, en adéquation avec les besoins et les attentes des clients. ISO 20000-1 est la norme pour les systèmes de gestion des services informatiques (ITSM) et définit des lignes directrices pour l'audit de certification externe. L'objectif de la norme ISO 20000-1 est l'alignement stratégique de l'ITSM avec d'autres activités, processus et ressources informatiques.

Mise en œuvre intégrée des normes ISO 27001 et ISO 20000-1 Basée sur la norme ISO 27013

ISO/IEC 27001 et ISO/IEC 20000-1 sont deux normes qui partagent un grand nombre de composants et d'objectifs, ainsi que le principe critique d'amélioration continue. Ainsi, intégrer la mise en œuvre d’un système de gestion des services (SMS) et d’un système de gestion de la sécurité de l’information (ISMS) serait la solution optimale.

Voici les points PDCA des normes ISO 27001 et ISO 20000 qui peuvent être intégrés lors de la mise en œuvre de la norme ISO 27013 :

Politique

Spécifie les directives internes pour l'administration du système intégré.

Formation

Tout le personnel qui serait concerné par la mise en œuvre du système de gestion intégré doit recevoir une formation adéquate en matière de sécurité de l'information et de gestion des services.

Communications

La correspondance interne et externe concernant le cadre de gestion intégré doit être menée conformément aux lignes directrices définies (généralement définies comme un protocole de communication).

Définition des objectifs

Définit les objectifs à atteindre grâce à la mise en œuvre du système intégré. Cela comprendra également l'établissement de certains critères permettant de déterminer si les objectifs ont été atteints.

Définition des responsabilités

Définit les responsabilités du gestion du système intégré. Généralement, ce terme fait référence à la personne responsable du système intégré. De plus, une équipe comprenant la haute direction comme membre principal sera formée pour l'intégration du système de gestion.

Contrôle des documents et des dossiers

Des dispositions doivent être prises pour le contrôle et la gestion de la documentation et des enregistrements du système intégré.

Métrique

Pour la norme ISO 27001, des métriques doivent être mises en place pour évaluer l'efficacité des contrôles de sécurité. Pour la norme ISO 20000, des mesures doivent être établies pour évaluer l'efficacité des protocoles.

Audit interne

Un audit interne sera mené pour identifier les non-conformités potentielles dans le système intégré et pour évaluer le degré de conformité par rapport aux exigences standard.

Examen de la gestion

L'organisation la haute direction doit évaluer un ensemble de points d’entrée dans le système de gestion intégré. Ils sont tenus de tirer certaines conclusions ou résultats à la suite de l’analyse.

L'amélioration continue

La gestion du système intégré établira des mesures correctives et préventives pour le traitement des non-conformités identifiées (généralement détectées lors des audits, revues, etc.).

Comme nous pouvons le constater, les exigences ISO 27001 et ISO 20000-1 sont entièrement compatibles et peuvent être combinées de manière transparente pour former la base de la norme ISO 27013, ce qui donne lieu à un système de gestion intégré qui garantit la cohérence et la sécurité des processus et des services de l'entreprise, augmentant ainsi satisfaction du client.

Portée et objectif de la norme ISO 27013

La norme ISO 27013 fournit des instructions sur la manière d'incorporer ISO 27001 et ISO 20000-1 de manière automatisée pour les organisations qui envisagent de :

• Mettre en œuvre la norme ISO/IEC 27001 après avoir adopté la norme ISO/IEC 20000-1, ou vice versa ; mettre en œuvre simultanément les normes ISO/IEC 27001 et ISO/IEC 20000-1 ou
• Alignez et intégrez les systèmes de gestion ISO/IEC 27001 et ISO/IEC 20000-1 précédemment mis en œuvre.

Le domaine d'application de cette norme englobe deux sous-comités ISO/IEC JTC1. Les SC 27 et SC 7 ont veillé à ce que les points de vue des technologies de l'information et de la gestion des services informatiques soient correctement pris en compte.

La norme ISO 27013 fournit également des conseils sur la planification et la priorisation des tâches, notamment :

• Aligner le objectifs de la sécurité de l'information, l'administration et l'amélioration des services ;
• Coordination des tâches collaboratives, aboutissant à un cadre plus coordonné et aligné ;
• Créer une collection de protocoles et de documentation à l'appui (politiques, pratiques, etc.) ;
• Terminologie et objectifs communs ;
• Offrir des avantages aux prestataires de services et aux clients grâce à la convergence de tous les systèmes de contrôle ; et
• Audit simultané de tous les processus de contrôle, entraînant des économies de dépenses.

Comprendre le concept ISO 27001 et ISO 20000-1

Avant de planifier un système de management avancé, l'organisation doit bien comprendre les caractéristiques, les similitudes et les distinctions entre l'ISO/IEC 27001 et l'ISO/IEC 20000-1. Cela réduit considérablement le temps et l’argent nécessaires à la mise en œuvre. Les articles 27013 à 4.2 de la norme ISO 4.4 offrent un aperçu des grands principes qui sous-tendent toutes les spécifications, mais ne doivent pas remplacer une analyse détaillée.

4.2 Concepts ISO/CEI 27001

La norme ISO/IEC 27001 établit, met en œuvre, exploite, surveille, examine, maintient et améliore un système de gestion de la sécurité de l'information (ISMS) pour protéger les actifs informationnels. Le terme « actifs informationnels » fait référence aux données de toute forme, stockées sur n'importe quel support et utilisées par ou au sein de l'organisation pour quelque raison que ce soit.

Pour se conformer à la norme ISO/IEC 27001, une organisation doit adopter un système de gestion de la sécurité de l'information (ISMS) basé sur un méthode d'évaluation des risques pour identifier les menaces pesant sur l'information actifs. L'entreprise doit choisir, adopter, évaluer et revoir un certain nombre de programmes de gestion des risques dans le cadre de cette fonction. C’est ce qu’on appelle des contrôles.

L'organisation doit établir des normes de risque acceptables et appropriées, en tenant compte des conditions du marché et des éléments imposés de l'extérieur. Les exigences légales et administratives, ainsi que les engagements contractuels, sont des exemples d'exigences imposées de l'extérieur.

4.3 Concept ISO/CEI 20000-1

L'ISO/IEC 20000-1 s'applique aux organisations ou segments d'organisations qui utilisent ou offrent des services. Cela améliore à la fois la valeur du client et celle du fournisseur de services. Cependant, la norme exige que le prestataire de services surveille tous les processus concernés par la norme, et seul le prestataire de services est capable de se conformer à la norme ISO/IEC 20000-1.

L'objectif principal de la norme est de garantir que les prestataires répondent aux normes de qualité et apportent de la valeur à la fois à l'utilisateur et au prestataire de services. Service la direction gère et contrôle les opérations et les ressources d'un fournisseur de services dans la planification, production, transfert, mise en œuvre et extension des services afin de répondre à la ou aux exigences du client.

Pour se conformer aux spécifications de la norme, le prestataire de services doit intégrer un certain nombre de processus de gestion de services pertinents. Ceux-ci incluent, sans toutefois s'y limiter, la gestion des incidents, la gestion du changement et la gestion des problèmes. La gestion de la sécurité de l'information est un processus de gestion des services spécifié dans la norme ISO/IEC 20000-1.

4.4 Similitudes et distinctions

Souvent, la gestion des services et la gestion de la sécurité de l’information sont traitées comme si elles n’étaient pas liées ou étaient inextricablement liées. Le contexte de cette distinction est que si la gestion des services est facilement associée à la qualité et à la performance, la gestion de la sécurité de l'information est souvent négligée en tant qu'élément nécessaire d'une prestation de services efficace. En conséquence, la gestion des services est souvent la première composante à être introduite.

Cependant, de nombreux objectifs de contrôle et garanties définis dans la norme ISO/IEC 27001, Annexe A, sont également inclus dans les exigences de gestion des services ISO/IEC 20000-1.

Quels sont les avantages de la mise en œuvre de la norme ISO/IEC 27013 ?

La mise en œuvre d'un cadre de gestion avancé tel que la norme ISO 27013 qui prend en compte à la fois les services offerts et la sécurité des actifs informationnels offrira de nombreux avantages.

Voici quelques-uns des principaux avantages de la mise en œuvre conjointe des normes ISO 27001 et ISO 20000-1 :

• Fiabilité accrue dans la fourniture de services informatiques fiables et efficaces aux clients internes et externes, ainsi qu'aux parties prenantes
• D’énormes économies de coûts par rapport à la mise en œuvre de chacun séparément.
• Gain de temps grâce à l'élimination de la nécessité de créer deux fois des systèmes communs à toutes les exigences.
• Les processus redondants ou inutiles seront éliminés.
• Parmi le personnel de gestion des services et de sécurité de l’information, il existe une meilleure connaissance de la gestion des services et de la sécurité de l’information.
• Toute organisation ayant obtenu la certification ISO/IEC 27001 répondra plus facilement à la norme ISO/IEC 20000-1 en matière de sécurité de l'information.

Compte tenu de ces avantages, il est évident qu’une approche automatisée de la mise en œuvre des SMS et ISMS est une excellente idée.

Qui devrait mettre en œuvre la norme ISO 27013 ?

Toute organisation opérant dans le monde physique a de grandes chances d’être touchée par une cyberattaque. Le fait est que nous ne sommes pas aussi en sécurité qu’on pourrait le penser. En fait, la mise en œuvre du SMSI offre aux entreprises plus de protection qu’elles ne le pensent. Chaque année, nos vies sont de plus en plus liées à la technologie et, par conséquent, notre dépendance à son égard augmente.

Pour cette raison, les auditeurs, ainsi que organisations qui mettent en œuvre la sécurité de l’information et/ou programmes de gestion des services, et les organisations participant à la formation et à la certification des auditeurs ou à l'accréditation des systèmes de gestion devraient envisager la mise en œuvre intégrée des normes ISO 27001 et ISO 20000-1.

Quelles sont les exigences pour la mise en œuvre de la norme ISO 27013 ?

Une organisation envisageant de mettre en œuvre à la fois ISO/IEC 27001 et ISO/IEC 20000-1 peut être classée en trois catégories :

• Ils disposent de structures de gestion ad hoc qui incluent à la fois la gestion de la sécurité de l'information et la gestion des services ;
• Ils disposent d'un cadre de gestion basé sur l'une ou l'autre des normes ;
• Ils disposent de systèmes de gestion différents basés sur les deux normes, qui ne sont pas intégrés (systèmes de gestion distincts basés sur les deux normes).

Une organisation envisageant de mettre en œuvre un système de gestion intégré doit prendre en compte les éléments suivants :

• Tout autre(s) système(s) de gestion actuellement en opération ;
• Tous les services, procédures et leurs interrelations dans le cadre du système de gestion intégré ;
• Caractéristiques de chaque norme pouvant être fusionnée et comment elles peuvent être fusionnées ; Des caractéristiques qui doivent rester distinctes ;
• L'effet du système de gestion intégré sur les clients, les fournisseurs et les autres parties prenantes ;
• L'impact du système de gestion intégré sur les technologies utilisées ;
• L'impact ou le danger du système de gestion intégré sur les services et la gestion de l'entreprise ;
• L'impact ou le risque du système de gestion intégré sur la sécurité de l'information ;
• Formation et éducation en matière de gestion de la sécurité de l'information ;
• Les étapes et le calendrier de mise en œuvre du système de gestion intégré.

Comment ISMS.online facilite l'exécution d'un système de gestion intégré

Ici sur ISMS.online, nous aidons les entreprises à faire le bon choix en leur fournissant les outils et les ressources nécessaires pour gérer un système de gestion intégré conforme à la norme ISO 27013. ISMS.online est une solution logicielle en ligne qui permet aux utilisateurs de démontrer à leurs clients, régulateurs et auditeurs qu'ils disposent d'un système de gestion des réclamations.

Notre puissant logiciel basé sur le cloud vous permet de vérifier vos processus pour vous assurer qu'ils sont conformes aux exigences de la norme ISO 27013. En fait, notre système est l’un des chemins les plus pratiques, les plus faciles à utiliser et les plus complets vers le succès du SMSI.

ISMS.online fournit également un Coach virtuel qui offre une assistance contextuelle 24h/7 et XNUMXj/XNUMX. Vous pouvez discuter avec nous depuis au sein de notre plateforme et vous ne ferez jamais de faux pas ou ne vous perdrez jamais. Appelez ISMS.online au +44 (0)1273 041140 pour en savoir plus sur la façon dont notre plateforme peut vous aider à gérer un système de gestion intégré qui répond aux exigences de la norme ISO 27013.