Tous les systèmes de gestion basés sur les normes ISO ont une chose en commun : le cycle PDCA (Planifier, Faire, Vérifier et Agir), qui peut faciliter l'intégration et l'application des différentes normes ISO dans une organisation.
Comme ces systèmes de gestion partagent des processus similaires, ils peuvent être mis en œuvre de manière unifiée. Cette approche simplifiée se reflète dans le cadre ISO/IEC 27013, qui a été créé pour fournir des conseils aux organisations sur la manière d'intégrer exigences du système de sécurité de l'information et de gestion des services.
L'Organisation internationale de normalisation (ISO) maintient un large éventail de normes en tant qu'organisme international. En général, les normes représentent le consensus d'experts du monde entier sur des questions liées à leur domaine. Le ISO 27000 La série est l'une des normes les plus importantes en matière de sécurité de l'information. Cette série de normes fournit un cadre pour gérer les risques liés à la sécurité de l'information.
La norme ISO 27013 établit les exigences requises par une organisation pour mettre en œuvre un système de gestion de la sécurité de l'information (ISMS) et un système de gestion des services (SMS). ISO / IEC 27001 est une norme qui définit les systèmes de gestion de la sécurité de l'information (SMSI) qui fournit aux organisations un cadre puissant pour mettre en œuvre les meilleures pratiques et lignes directrices en matière de cybersécurité.
ISO/IEC 20000-1 est un cadre international pour la gestion des services informatiques qui permet aux organisations de garantir que leurs systèmes de gestion des services informatiques sont compatibles avec les besoins de l'entreprise.
La norme ISO 27013 a été créée pour aider les organisations à mettre en œuvre simultanément les normes ISO 27001 et ISO 20000-1 ou à mettre en œuvre l'une là où une autre est déjà en place. Ce faisant, les entreprises peuvent optimiser la fidélité de leurs clients, acquérir un avantage stratégique, améliorer leurs opérations et, au fil du temps, réaliser d'importantes économies.
Un ISMS est un système de gestion de la sécurité de l'information. Il s'agit d'un cadre pour la mise en œuvre initiatives de sécurité telles que les contrôles d’accès, réponse aux incidents, surveillance, formation à la sécurité et bien plus encore. Un Le SMSI est parfois appelé ISO 27001 après la norme internationale utilisée pour ce cadre.
Il décrit et démontre les activités de votre organisation approche de la sécurité de l’information. Ces systèmes peuvent être mis en œuvre de différentes manières en fonction de votre entreprise.
Comprendre ce qu'est un SMSI et la ou les fonctions qu'il remplit est important pour atteindre la conformité à la norme ISO 27001, selon le Département d'État américain. Selon la norme ISO 27001, toutes les organisations doivent mettre en œuvre un système de gestion de la sécurité de l'information.
La gestion des services informatiques, plus communément appelée ITSM, constitue un consensus au sein du secteur informatique sur la manière dont les services sont fournis aux clients. En termes simples, l'ITSM est un cadre permettant de fournir et de prendre en charge des services informatiques. Les pratiques qui définissent l'ITSM peuvent être utilisées dans n'importe quelle organisation, quels que soient sa taille, son type de technologie ou son niveau d'activité commerciale.
L'ITSM permet une fourniture efficace et efficiente de services informatiques aux clients internes ou externes. Un service informatique est tout produit fourni à un client et peut être financé, exécuté ou acheté en tant que service informatique.
Il s'agit essentiellement d'un cadre de gestion qui vous aide à gérer et à organiser tous les aspects de la prestation de services de manière efficace, efficiente, fiable et sécurisée, en adéquation avec les besoins et les attentes des clients. ISO 20000-1 est la norme pour les systèmes de gestion des services informatiques (ITSM) et définit des lignes directrices pour l'audit de certification externe. L'objectif de la norme ISO 20000-1 est l'alignement stratégique de l'ITSM avec d'autres activités, processus et ressources informatiques.
Téléchargez gratuitement votre
brochure pour en savoir plus
ISO/IEC 27001 et ISO/IEC 20000-1 sont deux normes qui partagent un grand nombre de composants et d'objectifs, ainsi que le principe critique d'amélioration continue. Ainsi, intégrer la mise en œuvre d’un système de gestion des services (SMS) et d’un système de gestion de la sécurité de l’information (ISMS) serait la solution optimale.
Voici les points PDCA des normes ISO 27001 et ISO 20000 qui peuvent être intégrés lors de la mise en œuvre de la norme ISO 27013 :
Spécifie les directives internes pour l'administration du système intégré.
Tout le personnel qui serait concerné par la mise en œuvre du système de gestion intégré doit recevoir une formation adéquate en matière de sécurité de l'information et de gestion des services.
La correspondance interne et externe concernant le cadre de gestion intégré doit être menée conformément aux lignes directrices définies (généralement définies comme un protocole de communication).
Définit les objectifs à atteindre grâce à la mise en œuvre du système intégré. Cela comprendra également l'établissement de certains critères permettant de déterminer si les objectifs ont été atteints.
Définit les responsabilités du gestion du système intégré. Généralement, ce terme fait référence à la personne responsable du système intégré. De plus, une équipe comprenant la haute direction comme membre principal sera formée pour l'intégration du système de gestion.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
Avec ISMS.online, les défis liés au contrôle de version, à l'approbation et au partage de politiques appartiennent au passé.
Des dispositions doivent être prises pour le contrôle et la gestion de la documentation et des enregistrements du système intégré.
Pour la norme ISO 27001, des métriques doivent être mises en place pour évaluer l'efficacité des contrôles de sécurité. Pour la norme ISO 20000, des mesures doivent être établies pour évaluer l'efficacité des protocoles.
Un audit interne sera mené pour identifier les non-conformités potentielles dans le système intégré et pour évaluer le degré de conformité par rapport aux exigences standard.
L'organisation la haute direction doit évaluer un ensemble de points d’entrée dans le système de gestion intégré. Ils sont tenus de tirer certaines conclusions ou résultats à la suite de l’analyse.
La gestion du système intégré établira des mesures correctives et préventives pour le traitement des non-conformités identifiées (généralement détectées lors des audits, revues, etc.).
Comme nous pouvons le constater, les exigences ISO 27001 et ISO 20000-1 sont entièrement compatibles et peuvent être combinées de manière transparente pour former la base de la norme ISO 27013, ce qui donne lieu à un système de gestion intégré qui garantit la cohérence et la sécurité des processus et des services de l'entreprise, augmentant ainsi satisfaction du client.
La norme ISO 27013 fournit des instructions sur la manière d'incorporer ISO 27001 et ISO 20000-1 de manière automatisée pour les organisations qui envisagent de :
Le domaine d'application de cette norme englobe deux sous-comités ISO/IEC JTC1. Les SC 27 et SC 7 ont veillé à ce que les points de vue des technologies de l'information et de la gestion des services informatiques soient correctement pris en compte.
La norme ISO 27013 fournit également des conseils sur la planification et la priorisation des tâches, notamment :
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
Avant de planifier un système de management avancé, l'organisation doit bien comprendre les caractéristiques, les similitudes et les distinctions entre l'ISO/IEC 27001 et l'ISO/IEC 20000-1. Cela réduit considérablement le temps et l’argent nécessaires à la mise en œuvre. Les articles 27013 à 4.2 de la norme ISO 4.4 offrent un aperçu des grands principes qui sous-tendent toutes les spécifications, mais ne doivent pas remplacer une analyse détaillée.
La norme ISO/IEC 27001 établit, met en œuvre, exploite, surveille, examine, maintient et améliore un système de gestion de la sécurité de l'information (ISMS) pour protéger les actifs informationnels. Le terme « actifs informationnels » fait référence aux données de toute forme, stockées sur n'importe quel support et utilisées par ou au sein de l'organisation pour quelque raison que ce soit.
Pour se conformer à la norme ISO/IEC 27001, une organisation doit adopter un système de gestion de la sécurité de l'information (ISMS) basé sur un méthode d'évaluation des risques pour identifier les menaces pesant sur l'information actifs. L'entreprise doit choisir, adopter, évaluer et revoir un certain nombre de programmes de gestion des risques dans le cadre de cette fonction. C’est ce qu’on appelle des contrôles.
L'organisation doit établir des normes de risque acceptables et appropriées, en tenant compte des conditions du marché et des éléments imposés de l'extérieur. Les exigences légales et administratives, ainsi que les engagements contractuels, sont des exemples d'exigences imposées de l'extérieur.
L'ISO/IEC 20000-1 s'applique aux organisations ou segments d'organisations qui utilisent ou offrent des services. Cela améliore à la fois la valeur du client et celle du fournisseur de services. Cependant, la norme exige que le prestataire de services surveille tous les processus concernés par la norme, et seul le prestataire de services est capable de se conformer à la norme ISO/IEC 20000-1.
L'objectif principal de la norme est de garantir que les prestataires répondent aux normes de qualité et apportent de la valeur à la fois à l'utilisateur et au prestataire de services. Service la direction gère et contrôle les opérations et les ressources d'un fournisseur de services dans la planification, production, transfert, mise en œuvre et extension des services afin de répondre à la ou aux exigences du client.
Pour se conformer aux spécifications de la norme, le prestataire de services doit intégrer un certain nombre de processus de gestion de services pertinents. Ceux-ci incluent, sans toutefois s'y limiter, la gestion des incidents, la gestion du changement et la gestion des problèmes. La gestion de la sécurité de l'information est un processus de gestion des services spécifié dans la norme ISO/IEC 20000-1.
Souvent, la gestion des services et la gestion de la sécurité de l’information sont traitées comme si elles n’étaient pas liées ou étaient inextricablement liées. Le contexte de cette distinction est que si la gestion des services est facilement associée à la qualité et à la performance, la gestion de la sécurité de l'information est souvent négligée en tant qu'élément nécessaire d'une prestation de services efficace. En conséquence, la gestion des services est souvent la première composante à être introduite.
Cependant, de nombreux objectifs de contrôle et garanties définis dans la norme ISO/IEC 27001, Annexe A, sont également inclus dans les exigences de gestion des services ISO/IEC 20000-1.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
La mise en œuvre d'un cadre de gestion avancé tel que la norme ISO 27013 qui prend en compte à la fois les services offerts et la sécurité des actifs informationnels offrira de nombreux avantages.
Voici quelques-uns des principaux avantages de la mise en œuvre conjointe des normes ISO 27001 et ISO 20000-1 :
Compte tenu de ces avantages, il est évident qu’une approche automatisée de la mise en œuvre des SMS et ISMS est une excellente idée.
Toute organisation opérant dans le monde physique a de grandes chances d’être touchée par une cyberattaque. Le fait est que nous ne sommes pas aussi en sécurité qu’on pourrait le penser. En fait, la mise en œuvre du SMSI offre aux entreprises plus de protection qu’elles ne le pensent. Chaque année, nos vies sont de plus en plus liées à la technologie et, par conséquent, notre dépendance à son égard augmente.
Pour cette raison, les auditeurs, ainsi que organisations qui mettent en œuvre la sécurité de l’information et/ou programmes de gestion des services, et les organisations participant à la formation et à la certification des auditeurs ou à l'accréditation des systèmes de gestion devraient envisager la mise en œuvre intégrée des normes ISO 27001 et ISO 20000-1.
Une organisation envisageant de mettre en œuvre à la fois ISO/IEC 27001 et ISO/IEC 20000-1 peut être classée en trois catégories :
Une organisation envisageant de mettre en œuvre un système de gestion intégré doit prendre en compte les éléments suivants :
Ici sur ISMS.online, nous aidons les entreprises à faire le bon choix en leur fournissant les outils et les ressources nécessaires pour gérer un système de gestion intégré conforme à la norme ISO 27013. ISMS.online est une solution logicielle en ligne qui permet aux utilisateurs de démontrer à leurs clients, régulateurs et auditeurs qu'ils disposent d'un système de gestion des réclamations.
Notre puissant logiciel basé sur le cloud vous permet de vérifier vos processus pour vous assurer qu'ils sont conformes aux exigences de la norme ISO 27013. En fait, notre système est l’un des chemins les plus pratiques, les plus faciles à utiliser et les plus complets vers le succès du SMSI.
ISMS.online fournit également un Coach virtuel qui offre une assistance contextuelle 24h/7 et XNUMXj/XNUMX. Vous pouvez discuter avec nous depuis au sein de notre plateforme et vous ne ferez jamais de faux pas ou ne vous perdrez jamais. Appelez ISMS.online au +44 (0)1273 041140 pour en savoir plus sur la façon dont notre plateforme peut vous aider à gérer un système de gestion intégré qui répond aux exigences de la norme ISO 27013.
Nous sommes très heureux d'avoir trouvé cette solution, elle a permis à tout de s'assembler plus facilement.
Collaborez, créez et montrez facilement que vous êtes au top de votre documentation à tout moment
En savoir plusGérez sans effort les menaces et les opportunités et créez des rapports dynamiques sur les performances.
En savoir plusPrenez de meilleures décisions et montrez que vous avez le contrôle grâce aux tableaux de bord, aux KPI et aux rapports associés.
En savoir plusSimplifiez les actions correctives, les améliorations, les audits et les revues de direction.
En savoir plusMettre en lumière les relations critiques et relier élégamment des domaines tels que les actifs, les risques, les contrôles et les fournisseurs.
En savoir plusSélectionnez des actifs dans la banque d'actifs et créez facilement votre inventaire d'actifs
En savoir plusIntégrations prêtes à l'emploi avec vos autres systèmes commerciaux clés pour simplifier votre conformité
En savoir plusAjoutez judicieusement d'autres domaines de conformité affectant votre organisation pour obtenir encore plus
En savoir plusEngagez le personnel, les fournisseurs et autres avec une conformité dynamique de bout en bout à tout moment
En savoir plusGérer la diligence raisonnable, les contrats, les contacts et les relations tout au long de leur cycle de vie
En savoir plusCartographier visuellement et gérer les parties intéressées pour garantir que leurs besoins sont clairement satisfaits
En savoir plusForte confidentialité dès la conception et contrôles de sécurité adaptés à vos besoins et attentes
En savoir plusNous avons tout ce dont vous avez besoin pour concevoir, construire et mettre en œuvre votre premier SMSI.
Nous vous aiderons à tirer le meilleur parti du travail de sécurité informatique que vous avez déjà effectué.
Avec notre plateforme, vous pouvez créer le SMSI dont votre organisation a vraiment besoin.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup