Todos los sistemas de gestión basados en estándares ISO tienen una cosa en común: el ciclo PDCA (Planificar, Hacer, Verificar y Actuar), que puede facilitar la integración y el logro de diferentes estándares ISO en una organización.
Como estos sistemas de gestión comparten procesos similares, se pueden implementar de forma unificada. Este enfoque simplificado se refleja en el marco ISO/IEC 27013, que fue creado para brindar orientación a las organizaciones sobre cómo integrar Requisitos del sistema de gestión de servicios y seguridad de la información..
La Organización Internacional de Normalización (ISO) mantiene una amplia gama de normas como organismo internacional. En general, los estándares representan el consenso de expertos de todo el mundo sobre asuntos relacionados con sus campos. El ISO 27000 La serie es uno de los estándares más importantes para la seguridad de la información. Esta serie de normas proporciona un marco para gestionar los riesgos de seguridad de la información.
La norma ISO 27013 establece los requisitos para que una organización implemente un Sistema de Gestión de Seguridad de la Información (SGSI) y un Sistema de Gestión de Servicios (SMS). ISO / IEC 27001 Es un estándar que define los sistemas de gestión de seguridad de la información. (SGSI) que proporciona a las organizaciones un marco poderoso para implementar las mejores prácticas y directrices sobre ciberseguridad.
ISO/IEC 20000-1 es un marco internacional para la gestión de servicios de TI que permite a las organizaciones garantizar que sus sistemas de gestión de servicios de TI sean compatibles con las necesidades comerciales.
El estándar ISO 27013 se creó para ayudar a las organizaciones a implementar ISO 27001 e ISO 20000-1 simultáneamente o a implementar uno donde ya existe otro. Al hacerlo, las empresas pueden maximizar la lealtad de los clientes, obtener una ventaja estratégica, mejorar las operaciones corporativas y, con el tiempo, lograr importantes ahorros de costos.
Un SGSI es un sistema de gestión de seguridad de la información. Este es un marco para implementar Iniciativas de seguridad como controles de acceso., respuesta a incidentes, monitoreo, capacitación en seguridad y mucho más. Un A veces se hace referencia al SGSI como ISO 27001. según el estándar internacional que se utiliza para este marco.
Describe y demuestra la capacidad de su organización. enfoque de la seguridad de la información. Estos sistemas se pueden implementar de varias formas dependiendo de su negocio.
Comprender qué es un SGSI y las funciones que cumple es importante para lograr el cumplimiento de la norma ISO 27001, según el Departamento de Estado de Estados Unidos. Según la norma ISO 27001, todas las organizaciones deberían tener implementado un Sistema de Gestión de Seguridad de la Información.
La gestión de servicios de TI, más comúnmente conocida como ITSM, es un consenso dentro de la industria de TI sobre cómo se entregan los servicios a los clientes. En pocas palabras, ITSM es un marco para proporcionar y respaldar servicios de TI. Las prácticas que definen ITSM se pueden utilizar en cualquier organización independientemente de su tamaño, tipo de tecnología o nivel de actividad empresarial.
ITSM permite la prestación eficaz y eficiente de servicios de TI a clientes internos o externos. Un servicio de TI es cualquier producto que se entrega a un cliente y puede financiarse, realizarse o adquirirse como un servicio de TI.
Es esencialmente un marco de gestión que le ayuda a gestionar y organizar todos los aspectos de la prestación de servicios de una manera eficaz, eficiente, confiable y segura, alineada con las necesidades y expectativas del cliente. ISO 20000-1 es el estándar para los sistemas de gestión de servicios de TI (ITSM) y establece pautas para la auditoría de certificación de partes externas. El objetivo de ISO 20000-1 es la alineación estratégica de ITSM con otras actividades, procesos y recursos de TI.
ISO/IEC 27001 e ISO/IEC 20000-1 son dos estándares que comparten una gran cantidad de componentes y objetivos, así como el principio crítico de mejora continua. Por lo tanto, integrar la implementación de un sistema de gestión de servicios (SMS) y un sistema de gestión de seguridad de la información (SGSI) sería la solución óptima.
Estos son los puntos PDCA de ISO 27001 e ISO 20000 que se pueden integrar durante la implementación de ISO 27013:
Especifica lineamientos internos para la administración del sistema integrado.
Todo el personal que se vería afectado por la implementación del sistema de gestión integrada debe recibir una educación adecuada en seguridad de la información y gestión de servicios.
La correspondencia interna y externa sobre el marco de gestión integrada debe realizarse de acuerdo con directrices definidas (generalmente definidas como protocolo de comunicaciones).
Define los objetivos a alcanzar mediante la implementación del sistema integrado. Esto también incluirá el establecimiento de ciertos puntos de referencia para determinar si se han cumplido los objetivos.
Establece las responsabilidades del gestión del sistema integrado. Normalmente, este término se refiere a la persona responsable del sistema integrado. Adicionalmente, se conformará un equipo que incluya a la alta dirección como miembro principal para la integración del sistema de gestión.
ISMS.online hace que configurar y administrar su SGSI sea lo más fácil posible.
Con ISMS.online, los desafíos relacionados con el control de versiones, la aprobación y el intercambio de políticas son cosa del pasado.
Deberá preverse el control y gestión de la documentación y registros del sistema integrado.
Para ISO 27001, se deben implementar métricas para evaluar la efectividad de los controles de seguridad. Para ISO 20000, se deben establecer métricas para evaluar la efectividad de los protocolos.
Se llevará a cabo una auditoría interna para identificar posibles no conformidades en el sistema integrado y evaluar el grado de cumplimiento en relación con los requisitos estándar.
la organizacion la alta dirección debe evaluar un conjunto de puntos de entrada al sistema de gestión integrado. Se les exige que realicen ciertos hallazgos o resultados como resultado del análisis.
La dirección del sistema integrado establecerá medidas correctoras y preventivas para el tratamiento de las no conformidades identificadas (normalmente detectadas en auditorías, revisiones, etc.).
Como podemos ver, los requisitos de ISO 27001 e ISO 20000-1 son completamente compatibles y se pueden combinar perfectamente para formar la base de ISO 27013, lo que da como resultado un sistema de gestión integrado que garantiza la coherencia y seguridad de los procesos y servicios de la empresa, aumentando así la satisfacción del cliente.
El estándar ISO 27013 proporciona instrucciones sobre cómo incorporar ISO 27001 e ISO 20000-1 de manera automatizada para organizaciones que planean:
El alcance de esta norma abarca dos subcomités ISO/IEC JTC1. SC 27 y SC 7 trabajaron para garantizar que las opiniones de la tecnología de la información y la gestión de servicios de TI se abordaran adecuadamente.
La norma ISO 27013 también proporciona orientación sobre la planificación y priorización de tareas, incluidas las siguientes:
Reserve una sesión práctica personalizada según sus necesidades y objetivos.
Antes de planificar un sistema de gestión avanzado, la organización debe tener una idea clara de las características, similitudes y distinciones entre ISO/IEC 27001 e ISO/IEC 20000-1. Esto reduce significativamente la cantidad de tiempo y dinero necesarios para la implementación. Las cláusulas 27013 a 4.2 de la norma ISO 4.4 ofrecen una descripción general de los principios principales detrás de todas las especificaciones, pero no deben tomarse en lugar de un análisis detallado.
ISO/IEC 27001 establece, implementa, opera, monitorea, revisa, mantiene y mejora un sistema de gestión de seguridad de la información (SGSI) para salvaguardar los activos de información. El término “activos de información” se refiere a datos de cualquier forma, almacenados en cualquier medio y utilizados por o dentro de la organización por cualquier motivo.
Para cumplir con ISO/IEC 27001, una organización debe adoptar un sistema de gestión de seguridad de la información (SGSI) basado en un Método de evaluación de riesgos para identificar amenazas a la información. activos. La empresa debe elegir, adoptar, evaluar y revisar una serie de programas de gestión de riesgos como parte de esta función. Estos se conocen como controles.
La organización debe establecer estándares de riesgo apropiados y aceptables, teniendo en cuenta las condiciones del mercado y las cosas impuestas externamente. Los requisitos legales y administrativos, así como los compromisos contractuales, son ejemplos de requisitos impuestos externamente.
ISO/IEC 20000-1 es aplicable a organizaciones o segmentos de organizaciones que utilizan u ofrecen servicios. Esto mejora el valor tanto del cliente como del proveedor de servicios. Sin embargo, la norma exige que el proveedor de servicios supervise todos los procesos afectados por la norma, y sólo el proveedor de servicios es capaz de lograr el cumplimiento de la norma ISO/IEC 20000-1.
El objetivo principal del estándar es garantizar que los proveedores cumplan con los estándares de calidad y proporcionen valor tanto al usuario como al proveedor de servicios. Servicio La gerencia gestiona y controla las operaciones y recursos de un proveedor de servicios en la planificación., producción, transferencia, implementación y ampliación de servicios con el fin de satisfacer los requisitos del (los) cliente(s).
Para cumplir con las especificaciones de la norma, el proveedor de servicios debe incorporar una serie de procesos de gestión de servicios relevantes. Estos incluyen, pero no se limitan a, la gestión de incidencias, gestión de cambios y gestión de problemas. La gestión de la seguridad de la información es un proceso de gestión de servicios especificado en ISO/IEC 20000-1.
A menudo, la gestión de servicios y la gestión de seguridad de la información se manejan como si no estuvieran relacionadas o estuvieran inextricablemente vinculadas. El contexto de esta distinción es que, si bien la gestión de servicios se asocia fácilmente con la calidad y el rendimiento, la gestión de la seguridad de la información a menudo se pasa por alto como un componente necesario para la prestación eficiente de servicios. Como consecuencia, la gestión de servicios suele ser el primer componente que se introduce.
Sin embargo, numerosos objetivos de control y salvaguardias definidos en ISO/IEC 27001, anexo A, también están incluidos en los requisitos de gestión de servicios ISO/IEC 20000-1.
Ayuda a impulsar nuestro comportamiento de una manera positiva que funcione para nosotros.
& Nuestra cultura.
La implementación de un marco de gestión avanzado como ISO 27013 que considere tanto los servicios ofrecidos como la seguridad de los activos de información proporcionará una variedad de beneficios.
Las siguientes son algunas de las principales ventajas de implementar ISO 27001 e ISO 20000-1 juntas:
Teniendo en cuenta estas ventajas, es obvio que un enfoque automatizado para la implementación de SMS e ISMS es una gran idea.
Cualquier organización que opere en el mundo físico tiene grandes posibilidades de verse afectada por un ciberataque. El hecho es que no estamos tan seguros como podemos pensar. De hecho, la implementación del SGSI brinda a las empresas más protección de la que creen. Cada año nuestras vidas se entrelazan más con la tecnología y, por lo tanto, aumenta nuestra dependencia de ella.
Por esta razón, los auditores, así como organizaciones que implementan seguridad de la información y/o programas de gestión de servicios, y las organizaciones que participan en la formación y certificación de auditores o en la acreditación de sistemas de gestión deberían considerar la implementación integrada de las normas ISO 27001 e ISO 20000-1.
Una organización que esté considerando implementar tanto ISO/IEC 27001 como ISO/IEC 20000-1 se puede clasificar en tres categorías:
Una organización que considere implementar un sistema de gestión integrado debe tener en cuenta lo siguiente:
Aquí en ISMS.online, ayudamos a las empresas a hacer lo correcto proporcionándoles las herramientas y recursos para ejecutar un sistema de gestión integrado en línea con la norma ISO 27013. ISMS.online es una solución de software en línea que permite a los usuarios demostrar a sus clientes, reguladores y auditores que cuentan con un sistema de gestión de quejas.
Nuestro potente software basado en la nube le permite realizar una lista de verificación de sus procesos para garantizar que cumplan con los requisitos de la norma ISO 27013. De hecho, nuestro sistema es uno de los caminos más prácticos, fáciles de usar y completos hacia el éxito del SGSI.
ISMS.online también proporciona una Entrenador virtual que ofrece soporte específico para cada contexto las 24 horas, los 7 días de la semana. Puedes chatear con nosotros desde dentro de nuestra plataforma y nunca darás un paso en falso ni perderás el rumbo. Llame a ISMS.online al +44 (0)1273 041140 para obtener más información sobre cómo nuestra plataforma puede ayudarlo a ejecutar un sistema de gestión integrado que cumpla con los requisitos de ISO 27013.
Estamos muy contentos de haber encontrado esta solución, hizo que todo encajara más fácilmente.
Colabora, crea y demuestra fácilmente que estás al tanto de tu documentación en todo momento
Más informaciónAborde sin esfuerzo amenazas y oportunidades e informe dinámicamente sobre el rendimiento
Más informaciónTome mejores decisiones y demuestre que tiene el control con paneles, KPI e informes relacionados.
Más informaciónSimplifique el trabajo de acciones correctivas, mejoras, auditorías y revisiones de gestión
Más informaciónIlumine las relaciones críticas y vincule elegantemente áreas como activos, riesgos, controles y proveedores.
Más informaciónSeleccione activos del Banco de Activos y cree su Inventario de Activos con facilidad
Más informaciónIntegraciones listas para usar con sus otros sistemas comerciales clave para simplificar su cumplimiento
Más informaciónAgregue claramente otras áreas de cumplimiento que afecten a su organización para lograr aún más
Más informaciónInvolucrar al personal, proveedores y otras personas con un cumplimiento dinámico de extremo a extremo en todo momento
Más informaciónGestionar la debida diligencia, contratos, contactos y relaciones a lo largo de su ciclo de vida.
Más informaciónMapee y gestione visualmente las partes interesadas para garantizar que sus necesidades se aborden claramente
Más informaciónFuerte privacidad por diseño y controles de seguridad para satisfacer sus necesidades y expectativas
Más informaciónTenemos todo lo que necesitas para diseñar, construir e implementar tu primer SGSI.
Le ayudaremos a sacar más provecho del trabajo de seguridad de la información que ya ha realizado.
Con nuestra plataforma puedes construir el SGSI que tu organización realmente necesita.
El 100% de nuestros usuarios obtienen la certificación ISO 27001 por primera vez