ГОСТ Р ИСО/МЭК 27013-2014. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1

5.3 Предварительно используемые сценарии

5.3.1 Общая информация

Организация, планирующая интегрированную систему менеджмента, может находиться в одном из трех состояний, как описано в 5.3.2 - 5.3.4 настоящего стандарта. Во всех случаях в организации будет применяться несколько разновидностей менеджмента процессов, иначе она не смогла бы существовать. В нижеследующих пунктах даются предложения по реализации для каждого из трех состояний, также описанных в 5.1 настоящего стандарта.

5.3.2 Ни один из стандартов в настоящее время не используется в качестве основы для системы менеджмента

Легко предположить, что когда ни один из стандартов в настоящее время не реализован, не существует политик, процессов и процедур и поэтому ситуация разрешается проще. К сожалению, это неверное представление. У организаций, не имеющих систем менеджмента, основанных либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1, вероятно, существует какая-то разновидность системы менеджмента. Ее необходимо будет адаптировать для достижения соответствия с каждым или обоими стандартами.

Решение, касающееся последовательности реализации двух систем менеджмента, должно быть основано на потребностях бизнеса. Решения могут приниматься в зависимости от того, существует ли конкурентоспособный мотив использования одного или другого стандарта, или существует необходимость продемонстрировать выполнение требований одного или другого стандарта для существующих или новых клиентов.

Другое важное решение касается того, будет ли реализована система менеджмента, основанная на обоих стандартах с самого начала, или следует реализовать систему менеджмента, основанную на одном стандарте, а позднее расширить ее, чтобы включить требования другого стандарта, см. 5.3.3 настоящего стандарта. Оба стандарта могут быть реализованы одновременно. Однако в зависимости от особенностей организации может быть более целесообразным начать с одного стандарта, а затем приступить к реализации другого.

Эти рассуждения поясняются следующими сценариями:

a) организация, которая предоставляет услуги, должна начать с реализации ИСО/МЭК 20000-1, а затем, исходя из уроков, извлеченных из его применения, расширить систему менеджмента, учитывая ИСО/МЭК 27001;

b) организация, использующая поставщиков, в том числе другие стороны для поставки некоторых элементов услуг, должна сначала сосредоточиться на ИСО/МЭК 20000-1. Это предоставляет дополнительные требования к другим сторонам, включая управление поставщиками. Это дает возможность принимать решения относительно управления поставщиками и вопросов управления процессом. Затем организация должна перейти к ИСО/МЭК 27001;

c) небольшая организация может сосредоточиться либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1, исходя из ее уровня уверенности в менеджменте услуг или информационной безопасности;

d) крупная организация, предоставляющая внутренние услуги, должна управлять реализацией как одним проектом. Если это невозможно, ей следует разделить реализацию на два параллельных подпроекта в рамках общей программы работ. В рамках каждого подпроекта следует осуществлять реализацию менеджмента согласно одному стандарту и интегрировать ее с реализацией следующего подпроекта. В случае выбора такого подхода крайне важно обеспечить уверенность в совместимости проектов при их разработке. В результате это может приводить к дополнительным накладным расходам и дополнительному риску, так что к этому сценарию следует прибегать только при отсутствии альтернативы;

e) любая организация, придающая большое значение обеспечению информационной безопасности, должна сначала реализовать СМИБ, в соответствии с требованиями ИСО/МЭК 27001. Следующим шагом, поддерживающим информационную безопасность, должно быть расширение этой системы менеджмента с целью соответствия требованиям ИСО/МЭК 20000-1.

Объединенная рабочая группа/регулярные совещания в течение внедрения обоих стандартов будут способствовать обеспечению уверенности в том, что требования обоих стандартов согласованы.

5.3.3 Существует система менеджмента, удовлетворяющая требованиям одного из стандартов

Если система менеджмента уже соответствует одному из двух стандартов, то основной целью должна быть интеграция с требованиями другого стандарта. Это должно выполняться, не приводя ни к каким потерям в отношении услуг или опасностям для информационной безопасности услуг. Однако существующая система менеджмента должна быть подразделена на отдельные элементы. Это следует тщательно планировать заранее с проверкой существующей документации специалистами по применению стандарта, который будет вводиться, и специалистами по применению стандарта, который уже реализован.

Организация должна идентифицировать атрибуты установленной системы менеджмента, включающие, по меньшей мере, следующее:

a) область действия;

b) организационная структура;

c) политики;

d) деятельности по планированию;

e) полномочия и ответственности;

f) практические приемы;

g) методики, касающиеся менеджмента риска;

h) процессы;

i) процедуры;

j) термины и определения;

k) ресурсы.

Эти атрибуты необходимо рассматривать, чтобы установить, как их можно использовать в интегрированной системе менеджмента. Если выбирается двухступенчатый подход с применением одной системы менеджмента в качестве первой ступени, то второй ступенью является реализация другой системы менеджмента. Область действия каждой ступени должна быть определена и согласована до начала каких-либо действий по реализации.

5.3.4 Существуют отдельные системы менеджмента, удовлетворяющие требованиям каждого из стандартов

Этот последний случай является, вероятно, наиболее сложным. Он поясняет области применения настоящего стандарта, см. 5.2. Возможно, что организация реализовала стандарт ИСО/МЭК 27001 применительно к одной области деятельности, а стандарт ИСО/МЭК 20000-1 - к другой. Затем организация может принять решение о применении одного или другого стандарта к более широкой области деятельности. В какой-то момент времени системы менеджмента будут реализовываться для одних и тех же областей деятельности. В качестве альтернативы может быть запланировано слияние двух областей деятельности организаций. В одной области деятельности организации демонстрируется соответствие требованиям ИСО/МЭК 27001, в то время как в другой области деятельности демонстрируется соответствие требованиям ИСО/МЭК 20000-1.

Отправной точкой должен стать анализ, направленный на достижение следующего:

a) определение и документирование существующих и предполагаемых областей деятельности, в которых применяется каждый стандарт, обращая особое внимание на их различия;

b) сравнение существующих систем менеджмента и установление наличия любых взаимно несовместимых аспектов;

c) инициирование взаимодействия причастных сторон друг с другом в обеих системах менеджмента;

d) планирование наилучшего подхода к интегрированной системе менеджмента:

1) начать с общего развернутого обзора;

2) осуществлять обзор на различных уровнях организации для добавления деталей;

3) направлять замечания и предложения лицам с соответствующим уровнем полномочий для принятия необходимых решений.

Несмотря на то, что существует много способов интеграции систем менеджмента при сохранении согласованности, должен быть выполнен этап широкомасштабного планирования.