Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 27013:2015 — 信息安全管理 — ISO/IEC 27001 与 ISO/IEC 20000-1 整合实施指南
整合信息安全管理与 IT 服务管理,实现卓越运营
一、为何整合 ISO/IEC 27001 和 ISO/IEC 20000-1
ISO/IEC 27013:2015 为 ISO/IEC 27001(信息安全管理)和 ISO/IEC 20000-1(服务管理)的整合实施提供了指南。这两个标准共享通用的高层结构(Annex SL)、相似的 PDCA 过程模型和重叠的治理要求,使其成为天然的整合候选对象。同时运行 ISMS 和 IT 服务管理体系的组织通常发现,将它们作为独立的孤立系统维护会导致重复工作、流程不一致和运营协同机会的流失。
ISO/IEC 27013 的关键洞见是:信息安全不是独立的功能,而是服务质量和可靠性的一个组成部分。将安全控制整合到服务管理流程中能够产生更具弹性和成本效益的结果。
2015 版提供了两个标准要求之间的结构化映射,识别了共同点、互补性和潜在冲突的领域。它认识到许多为 IT 服务管理实施 ISO/IEC 20000-1 的组织也需要 ISO/IEC 27001 认证来处理信息安全风险,反之亦然。与管理两个独立的合规计划相比,整合方法减少了审计负担,简化了管理体系文档,并使安全能够从一开始就内建于服务设计中,而不是事后附加。
二、整合管理体系方法
ISO/IEC 27013 推荐的整合方法以一个统一的管理体系为核心,通过一套统一的策略、流程和治理结构同时满足两个标准的要求。从建立统一的策略框架开始,该框架在连贯的战略背景下同时处理信息安全目标和服务管理目标。该标准提供了如何将每个标准的具体要求映射到统一流程架构的详细指南,避免重复同时确保所有强制性要求都得到满足。
| 流程领域 | ISO/IEC 27001 要求 | ISO/IEC 20000-1 要求 | 整合方法 |
|---|---|---|---|
| 策略与治理 | ISMS 策略、风险评估方法、安全目标 | 服务管理策略、服务目标、治理框架 | 统一策略文件,包含双重目标;单一管理评审会议同时涵盖 ISMS 和 SMS |
| 风险管理 | 信息安全风险评估和处理 | 服务风险评估、服务连续性、可用性管理 | 合并风险登记册,融合安全、服务和业务视角;统一风险处理规划 |
| 事件管理 | 安全事件报告、响应和经验教训 | 服务事件管理、问题管理、请求履行 | 整合事件管理流程包含安全分类;合并问题和根本原因分析 |
| 供应商管理 | 供应商协议中的信息安全、监控供应商安全 | 供应商管理、绩效监控、合同管理 | 统一供应商治理框架;合并安全和服务绩效评审 |
| 审计与评审 | 内部 ISMS 审计、管理评审、纠正措施 | 内部 SMS 审计、服务报告、管理评审、持续改进 | 整合内部审计计划覆盖两个标准;统一纠正措施跟踪系统 |
整合并不意味着稀释。组织必须确保每个标准的特定强制性要求得到可证明的满足。在追求双重认证之前,必须对照两个标准的检查表进行差距分析。
三、实施路线图
成功的整合实施通常采用分阶段方法,耗时 12 到 18 个月。第一阶段涉及比较性差距分析,评估组织当前的管理体系与两个标准要求的差距,识别可以统一的重复领域和需要新建或增强能力的缺口。此分析应涉及来自信息安全和服务管理团队的利益相关者,以确保认同并捕获特定领域的需求。
第二阶段侧重于设计整合管理体系架构,包括统一流程文档、结合安全和服务职责的角色定义,以及跟踪安全和服务成果的整合绩效指标。第三阶段实施整合系统,特别注意培训员工掌握联合流程,部署用于事件和问题管理的整合工具,以及建立统一的管理层可见性报告仪表板。第四阶段通过内部审计、管理评审以及最终针对两个标准的外部认证审计来验证整合系统。一个关键成功因素是任命一位对安全和服务管理领域都具有权限的整合管理体系负责人。组织还应考虑整合的文化层面:信息安全团队和服务管理团队通常具有不同的专业背景、优先事项和词汇,需要刻意努力在这两个团队之间建立共同理解和协作工作关系。
实施整合 ISMS 和 SMS 的组织报告管理开销减少 20-35%,审计周期加快,安全投资与服务质效目标之间的协调性得到改善。整合方法还促进了安全团队和服务团队之间更好的沟通,减少了摩擦,使得对变化的业务需求能够做出更敏捷的响应。
常见问题
问:组织能否根据本指南同时获得 ISO/IEC 27001 和 ISO/IEC 20000-1 认证?
答:可以。ISO/IEC 27013 专门设计用于促进联合认证。许多认证机构提供整合审计,可在一次合作中评估对两个标准的合规性,从而减少总审计时间和成本。与单独的认证流程相比,最多可节省 30% 的时间和费用。
答:可以。ISO/IEC 27013 专门设计用于促进联合认证。许多认证机构提供整合审计,可在一次合作中评估对两个标准的合规性,从而减少总审计时间和成本。与单独的认证流程相比,最多可节省 30% 的时间和费用。
问:如果我的组织已经获得其中一个认证并想增加另一个认证怎么办?
答:该标准为新建实施和分阶段整合都提供了指南。如果您已有 ISMS 或 SMS,请对照另一个标准的要求评估现有系统并扩展流程,而不是从头重建。这种增量方法通常需要 6 到 9 个月。
答:该标准为新建实施和分阶段整合都提供了指南。如果您已有 ISMS 或 SMS,请对照另一个标准的要求评估现有系统并扩展流程,而不是从头重建。这种增量方法通常需要 6 到 9 个月。
问:整合方法是否需要单一的文档集?
答:不一定。该标准推荐统一的策略框架和流程架构,但一些操作程序可以在服务于不同目的时保持独立。关键要求是整合具有连贯性且避免两个管理体系之间的冲突或空白。
答:不一定。该标准推荐统一的策略框架和流程架构,但一些操作程序可以在服务于不同目的时保持独立。关键要求是整合具有连贯性且避免两个管理体系之间的冲突或空白。
问:整合方法如何影响内部审计资源需求?
答:整合管理体系使得可以在一次内部审计中同时评估 ISMS 和 SMS 要求,减少审计员时间的同时提供更全面的覆盖。内部审计员应具备两个标准的能力并理解其相互关系。
答:整合管理体系使得可以在一次内部审计中同时评估 ISMS 和 SMS 要求,减少审计员时间的同时提供更全面的覆盖。内部审计员应具备两个标准的能力并理解其相互关系。
