ГОСТ Р ИСО/МЭК 20000-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Менеджмент сервисов. Часть 1. Требования к системе менеджмента сервисов
8 Функционирование системы менеджмента сервисов
8.1 Планирование и управление деятельностью
Организация должна планировать, внедрять и управлять процессами, необходимыми для выполнения требований и осуществления действий, определенных в пункте 6 по средствам:
a) установления критериев результативности деятельности для процессов на основе требований стандарта;
b) управления процессами в соответствии с установленными критериями функционирования;
c) сохранения документированной информации в объеме, необходимом для обеспечения уверенности в том, что процессы выполнялись, как запланировано.
Организация должна управлять запланированными изменениями в СМС и анализировать последствия непредусмотренных изменений, при необходимости принимая меры по смягчению любых негативных воздействий (см. п. 8.5.1).
Организация должна обеспечивать, чтобы процессы, переданные на аутсорсинг, находились под управлением (см. п. 8.2.3).
8.2 Портфолио сервисов
8.2.1 Предоставление сервисов
Организация должна управлять СМС, обеспечивая координирование деятельности и ресурсов. Организация должна осуществлять деятельность, необходимую для предоставления сервисов.
Примечание - Портфолио сервисов используется для управления всем жизненным циклом всех сервисов, включая предлагаемые сервисы, разрабатываемые, действующие сервисы, указанные в каталоге(ах) сервисов, а также сервисы, которые должны быть удалены. Менеджмент портфолио сервисов обеспечивает, что поставщик сервиса имеет право сочетать сервисы. Виды деятельности, связанные с портфолио сервисов, перечисленные в данном стандарте, включают планирование сервисов, управление сторонами, задействованными в жизненном цикле сервисов, менеджмент каталога сервисов, менеджмент активов и менеджмент конфигураций.
8.2.2 Планирование сервисов
Требования для существующих сервисов, новых сервисов и изменений в сервисах должны быть определены и документированы.
Организация должна определить критичность сервисов, основываясь на потребностях организации, потребителей, пользователей и других заинтересованных сторон. Организация должна определить и управлять отношениями и дублированием сервисов, где это необходимо. Организация должна предложить изменения с целью согласования сервисов с политикой менеджмента сервисов, целями в области менеджмента сервисов и требованиями к сервисам, учитывая известные ограничения и риски.
Организация должна определять первоочередную последовательность запросов о внесении изменений и предложений о новых или измененных сервисах с целью их согласования с бизнес-потребностями и целями в области менеджмента сервисов, учитывая доступные ресурсы.
8.2.3 Управление сторонами, задействованными в жизненном цикле сервисов
8.2.3.1 Организация должна поддерживать ответственность за выполнение требований, приведенных в настоящем стандарте, и предоставление сервисов вне зависимости от того, какая сторона задействована в осуществлении деятельности по поддержанию жизненного цикла сервиса.
Организация должна определить и применять критерии оценки и выбора других сторон, задействованных в жизненном цикле сервиса. Другими сторонами могут являться внешние поставщики, внутренние поставщики или потребители, выступающие в роли поставщиков.
Другие стороны не должны предоставлять или управлять всеми сервисами, компонентами сервисов или процессами в рамках области распространения СМС.
Организация должна определить и документировать:
a) сервисы, предоставляемые или управляемые другими сторонами;
b) компоненты сервисов, предоставляемые или управляемые другими сторонами;
c) процессы или части процессов в рамках СМС организации, управляемые другими сторонами.
Организация должна интегрировать сервисы, компоненты сервисов и процессы в рамках СМС, предоставляемые или управляемые организацией или другими сторонами, с целью соответствия требованиям к сервисам. Организация должна координировать деятельность с другими сторонами, задействованными в жизненном цикле сервиса, включая планирование, проектирование, перенесение, поставку и улучшение сервисов.
8.2.3.2 Организация должна определить и применять соответствующие средства управления другими сторонами из числа приведенных ниже:
a) измерение и оценка показателей деятельности;
b) измерение и оценка результативности соответствия сервисов и компонентов сервисов требованиям.
Примечание - ИСО/МЭК 20000-3 содержит руководство по управлению другими сторонами, задействованными в жизненном цикле сервиса.
8.2.4 Менеджмент каталога сервисов
Организация должна создать и поддерживать в рабочем состоянии один или более каталогов сервисов. Каталог(и) сервисов должны включать в себя информацию для организации, потребителей, пользователей и других заинтересованных сторон, описывать сервисы, их запланированные результаты и отношения между сервисами.
Организация должна обеспечивать своим потребителям, пользователям и другим заинтересованным сторонам доступ к соответствующим частям каталога(ов) сервисов.
8.2.5 Менеджмент активов
Организация должна гарантировать, что активы, используемые для предоставления сервисов, управляются с целью соответствия требованиям к сервисам и обязательствам, перечисленным в п. 6.3 c).
Примечания
1 ИСО 55001 и ИСО/МЭК 19770-1 содержат требования для поддержания внедрения и управления активами и менеджмента ИТ-активов.
2 Кроме того, см. менеджмент конфигураций, когда актив также является элементом конфигурации (ЭК).
8.2.6 Менеджмент конфигураций
Типы ЭК должны быть определены. Сервисы должны быть классифицированы как ЭК.
Информация о конфигурации должна быть документирована со степенью подробности, соответствующей критичности и типу сервисов. Доступ к информации о конфигурации подлежит управлению. Информация о конфигурации, документированная по каждому ЭК, должна включать:
a) уникальную идентификацию;
b) тип ЭК;
c) описание ЭК;
d) взаимоотношение с другими ЭК;
e) статус.
ЭК подлежит управлению. Изменения в ЭК должны быть прослеживаемыми и проверяемыми для поддержания целостности информации о конфигурации. Информация о конфигурации должна быть актуализирована после внедрения изменений в ЭК.
Через запланированные интервалы времени организация должна верифицировать точность информации о конфигурации. При выявлении неточностей организация должна предпринимать соответствующие действия.
При необходимости информация о конфигурации должна быть доступна для осуществления других видов деятельности, связанных с менеджментом сервисов.
8.3 Отношения и соглашения
8.3.1 Общие положения
Организация может использовать поставщиков для:
a) предоставления или управления сервисами;
b) предоставления или управления компонентами сервисов;
c) управления процессами или частями процессов, которые находятся в рамках СМС организации.
Рисунок 2 иллюстрирует менеджмент использования, соглашений и взаимоотношений с бизнесом, менеджмент уровня сервисов и менеджмент поставщиков.
Рисунок 2 - Отношения и соглашения
между сторонами, задействованными в жизненном цикле сервиса
Примечания
1 ИСО/МЭК 20000-3 содержит примеры взаимоотношений в рамках цепи поставок с их потенциальной применимостью и областью.
2 Менеджмент поставщиков в настоящем стандарте исключает закупки поставщиков.
8.3.2 Менеджмент деловых отношений
Потребители, пользователи и другие заинтересованные стороны сервисов должны быть идентифицированы и документированы. Организация должна иметь одного или более уполномоченных лиц, ответственных за менеджмент отношений с потребителями и поддержание удовлетворенности потребителей.
Организация должна определить порядок обмена информацией со своими потребителями и другими заинтересованными сторонами. Обмен информацией должен способствовать пониманию изменяющейся деловой среды, в которой функционируют сервисы, и должен давать организации возможность реагировать на новые или измененные требования к сервисам.
Через запланированные интервалы времени организация должна анализировать тенденции изменения производительности и результаты сервисов.
Через запланированные интервалы времени организация должна измерять удовлетворенность сервисами, основываясь на репрезентативной выборке потребителей. Результаты должны быть проанализированы, рассмотрены в целях идентификации возможностей для улучшения и предоставлены в форме отчета.
Жалобы в отношении сервисов должны быть зарегистрированы, управляться с целью их закрытия и предоставлены в форме отчета. В случаях, когда жалоба в отношении сервисов не решена посредством обычных каналов связи, должен быть предоставлен метод распространения.
8.3.3 Менеджмент уровнем сервисов
Организация и потребитель определяют сервисы, которые должны быть предоставлены.
В отношении каждого предоставляемого сервиса организация должна подготовить одно или несколько SLA на основе документированных требований к сервисам. SLA должны включать цели уровня сервисов, предельную рабочую нагрузку и исключения.
Через запланированные промежутки времени организация должна осуществлять мониторинг, анализировать и предоставлять отчетность в отношении:
a) показателей деятельности на соответствие целям уровня сервисов;
b) фактических и периодических изменений рабочей нагрузки по сравнению с предельной рабочей нагрузкой, указанной в SLA.
В случаях, когда цели уровня сервисов не достигаются, организация должна идентифицировать возможности для улучшения.
Примечание - Соглашения между организацией и ее потребителями о сервисах, которые должны быть предоставлены, могут принимать различные формы, такие как документированное соглашение, протоколы устных соглашений, достигнутых в ходе совещания, соглашение, изложенное в электронном письме, или соглашение об условиях предоставления сервиса.
8.3.4 Менеджмент поставщиков
8.3.4.1 Менеджмент внешних поставщиков
Организация должна иметь одного или более уполномоченных лиц, ответственных за менеджмент отношений, договоры и показатели деятельности внешних поставщиков.
В отношении каждого внешнего поставщика организация должна согласовать документированный договор. Договор должен включать в себя или содержать ссылку:
a) на область применения сервисов, компоненты сервисов, процессы или части процессов, которые должны быть предоставлены или приведены в действие внешним поставщиком;
b) требования, которые должны соблюдаться внешним поставщиком;
c) цели уровня сервисов или другие договорные обязательства;
d) полномочия и ответственности организации и внешнего поставщика.
Организация должна оценивать согласованность целей уровня сервисов и других договорных обязательств внешнего поставщика на соответствие SLA с потребителями, а также управлять идентифицированными рисками. Организация должна определить и управлять взаимодействием с внешними поставщиками.
Через запланированные промежутки времени организация должна осуществлять мониторинг показателей деятельности внешнего поставщика. В случаях, когда цели уровня сервисов или другие договорные обязательства не соблюдаются, организация должна обеспечивать идентификацию возможностей для улучшения.
Через запланированные промежутки времени организация должна анализировать договор на предмет соответствия действующим требованиям к сервисам. Изменения, идентифицированные в отношении договора, должны быть оценены на предмет воздействия изменения на СМС и сервисы до утверждения изменения.
Споры между организацией и внешним поставщиком должны быть зарегистрированы и управляться до момента их урегулирования.
8.3.4.2 Менеджмент внутренних поставщиков и потребителей, выступающих в роли поставщика
В отношении каждого внутреннего поставщика и потребителя, выступающего в его роли, организация должна разработать, согласовать и поддерживать в рабочем состоянии документированное соглашение для определения целей уровня сервисов, других обязательств, видов деятельности и взаимосвязей между сторонами.
Через запланированные промежутки времени организация должна осуществлять мониторинг показателей деятельности внутреннего поставщика или потребителя, выступающего в роли поставщика. В случаях, когда цели уровня сервисов или другие согласованные обязательства не соблюдаются, организация должна обеспечивать идентификацию возможностей для улучшения.
8.4 Предложение и спрос
8.4.1 Бюджетирование и учет затрат на сервисы
Организация должна осуществлять бюджетирование и учет сервисов или групп сервисов в соответствии со своими политиками и процессами финансового менеджмента.
Затраты должны быть заложены в бюджет в целях обеспечения результативного финансового управления и принятия решений в отношении сервисов.
Через запланированные промежутки времени организация должна осуществлять мониторинг и предоставлять отчетность о фактических затратах в сравнении с бюджетом, анализировать прогнозы финансового положения и управлять затратами.
Примечание - Многие, но не все организации берут плату за свои сервисы. Бюджетирование и учет затрат на сервисы в настоящем стандарте исключает взимание платы для обеспечения применимости ко всем организациям.
8.4.2 Управление спросом
Через запланированные промежутки времени организация должна:
a) определять текущий и прогнозировать будущий уровень спроса на сервисы;
b) осуществлять мониторинг и предоставлять отчетность об уровне спроса и потреблении сервисов.
Примечание - Управление спросом обеспечивает понимание текущего и будущего уровня спроса потребителей на сервисы. Управление мощностями совмещается с управлением спросом в целях планирования и предоставления достаточных мощностей для удовлетворения спроса.
8.4.3 Управление мощностями
Требования к мощностям человеческих, технических, информационных и финансовых ресурсов должны быть определены, документированы и поддерживаться в рабочем состоянии с учетом требований к сервисам и производительности.
Организация должна планировать мощности, включая:
a) текущую и прогнозируемую мощность на основе спроса на сервисы;
b) ожидаемое воздействие согласованных целей уровня сервисов, требований к доступности и непрерывности сервисов на мощность;
c) временные рамки и пороговые значения для изменений в мощности сервиса.
Организация должна обеспечить мощность, достаточную для соответствия согласованным требованиям к мощности и производительности. Организация должна осуществлять мониторинг использования мощностей, анализировать данные о мощностях и производительности, а также идентифицировать возможности для повышения производительности.
8.5 Проектирование, построение и перенесение сервисов
8.5.1 Управление изменениями
8.5.1.1 Политика в области управления изменениями
Политика в области управления изменениями должна быть разработана и документирована для определения:
a) компонентов сервисов и других факторов, находящихся под контролем при управлении изменениями;
b) категорий изменений, включая аварийное изменение и то, как они должны управляться;
c) критериев для определения изменений, которые потенциально могут оказывать значительное воздействие на потребителей или сервисы.
8.5.1.2 Инициирование управления изменениями
Запросы на изменения, включая предложения о добавлении, прекращении или перенесении сервисов, должны быть зарегистрированы и классифицированы.
Организация должна использовать проектирование и перенесение сервисов, описанные в п. 8.5.2, в отношении:
a) новых сервисов, которые потенциально могут оказывать значительное воздействие на потребителей или другие сервисы, как определено политикой в области управления изменениями;
b) изменений сервисов, которые потенциально могут оказывать значительное воздействие на потребителей или другие сервисы, как определено политикой в области управления изменениями;
c) категорий изменений, которые должны управляться проектированием и перенесением в соответствии с политикой в области управления изменениями;
d) прекращения предоставления сервиса;
e) перехода существующего сервиса от организации потребителю или другой стороне;
f) перехода существующих сервисов от потребителей или других сторон организации.
Оценка, утверждение, планирование и анализ новых или измененных сервисов в области п. 8.5.2 должны управляться посредством деятельности по управлению изменениями, описанному в п. 8.5.1.3.
Запросы на изменения, не управляемые посредством п. 8.5.2, должны управляться посредством деятельности по управлению изменениями, описанному в п. 8.5.1.3.
8.5.1.3 Деятельность по управлению изменениями
Организация и заинтересованные стороны должны принимать решения об утверждении и приоритетности запросов на изменения. При принятии решений должны быть учтены риски, коммерческие выгоды, осуществимость и финансовые последствия. При принятии решений также должны быть учтены потенциальные воздействия изменения на:
a) существующие сервисы;
b) потребителей, пользователей и другие заинтересованные стороны;
c) политики и планы, необходимые согласно настоящему стандарту;
d) мощность, доступность, непрерывность сервисов и информационную безопасность;
e) другие запросы на изменения, релизы и планы развертывания.
Утвержденные изменения должны быть подготовлены, верифицированы и, если это возможно, подвержены испытаниям. Предлагаемые даты развертывания и другая подробная информация о развертывании утвержденных изменений должны быть доведены до сведения заинтересованных сторон.
Виды деятельности, направленные на отмену или исправление неудачного изменения, должны быть запланированы и, если это возможно, подвержены испытаниям.
При неудачных изменениях следует провести расследование и принять согласованные действия.
Организация должна анализировать изменения на предмет их результативности для внедрения действий, согласованных с заинтересованными сторонами.
Через запланированные промежутки времени записи по запросам на изменения должны подвергаться анализу для выявления тенденций. Результаты и заключения анализа должны быть зарегистрированы и рассмотрены для выявления возможностей для улучшения.
8.5.2 Проектирование и перенесение сервисов
8.5.2.1 Планирование новых или измененных сервисов
При планировании должны быть использованы требования к сервисам для новых и измененных сервисов, указанные в п. 8.2.2, а также должны быть включены или указаны в виде ссылок:
a) полномочия и ответственности за деятельность по проектированию, построению и перенесению сервисов;
b) виды деятельности, которые должны осуществляться организацией или другими сторонами, и сроки их выполнения;
c) человеческие, технические, информационные и финансовые ресурсы;
d) зависимости от других сервисов;
e) необходимые испытания новых и измененных сервисов;
f) критерии приемки сервисов;
g) запланированные результаты предоставления новых или измененных сервисов, выраженные в измеримой форме;
h) воздействие на СМС, другие сервисы, запланированные изменения, потребителей, пользователей и другие заинтересованные стороны.
В отношении сервисов, подлежащих отмене, планирование должно дополнительно включать дату(ы) отмены сервисов и деятельность по архивированию, удалению или перенесению данных, документированной информации и компонентов сервисов.
В отношении сервисов, которые должны быть перенесены, планирование должно дополнительно включать дату(ы) перенесения сервисов и мероприятия по перенесению данных, документированной информации, знаний и компонентов сервисов.
ЭК, на которые воздействовали новые или измененные сервисы, подлежат управлению посредством менеджмента конфигураций.
8.5.2.2 Проектирование
Новые или измененные сервисы должны быть спроектированы и документированы таким образом, чтобы соответствовать требованиям к сервисам, указанным в п. 8.2.2. Проектирование должно включать соответствующие разделы из приведенного ниже списка:
a) полномочия и ответственности сторон, участвующих в предоставлении новых или измененных сервисов;
b) требования к изменениям в человеческих, технических, информационных и финансовых ресурсах;
c) требования к соответствующему образованию, подготовке и опыту;
d) новые или измененные SLA, договоры и другие документированные соглашения, поддерживающие сервисы;
e) изменения в СМС, включая новые или измененные политики, планы, процессы, процедуры, измерения и знания;
f) воздействие на другие сервисы;
g) актуализация каталога(ов) сервисов.
8.5.2.3 Построение и перенесение
Новые или измененные сервисы подлежат испытанию для верификации того, что они удовлетворяют требованиям к сервисам, соответствуют документированному проекту и отвечают согласованным критериям приемки сервисов. При несоблюдении критериев приемки сервисов организация и заинтересованные стороны должны принять решение в отношении необходимых действий и внедрения.
Управление релизами и внедрением должно использоваться для внедрения утвержденных новых или измененных сервисов в производственную среду.
По завершении деятельности по перенесению организация должна предоставить заинтересованным сторонам отчетность о достижении запланированных результатов.
8.5.3 Управление релизами и внедрением
Организация должна определить типы релизов, включая аварийные релизы, их частоту и способ управления.
Организация должна планировать внедрение новых или измененных сервисов и компонентов сервисов в производственную среду. Планирование должно быть скоординировано с менеджментом изменений и включать ссылки на соответствующие запросы на изменения, известные ошибки или проблемы, закрываемые посредством релиза. Планирование должно включать даты внедрения каждого релиза, планируемые результаты и методы развертывания.
Релиз должен быть верифицирован на соответствие документированным критериям приемки и утвержден до его внедрения. При несоблюдении критериев приемки организация и заинтересованные стороны должны принять решение в отношении необходимых действий и внедрения.
Перед внедрением релиза в производственную среду должны быть утверждены основные параметры затронутых ЭК. Релиз должен быть внедрен в производственную среду таким образом, чтобы сохранять целостность сервисов и компонентов сервисов.
Успешное или неудачное внедрение релиза должно подвергаться мониторингу и анализу. Измерения должны включать в себя инциденты, относящиеся к релизу в период, следующий за внедрением релиза. Результаты и заключения по анализу должны быть зарегистрированы и проанализированы для идентификации возможностей для улучшения.
Информация об успешных или неудачных внедрениях релизов и даты предстоящих релизов должны предоставляться для других видов деятельности по управлению сервисами, если применимо.
8.6 Разрешение и осуществление
8.6.1 Управление инцидентами
Инциденты должны быть:
a) зарегистрированы и классифицированы;
b) расположены в порядке приоритетности с учетом воздействия и экстренности;
c) расширены, если необходимо;
d) урегулированы;
e) закрыты.
Записи в отношении инцидентов должны быть актуализированы с указанием предпринятых действий.
Организация должна определить критерии для идентификации значительных инцидентов. Значительные инциденты должны быть классифицированы и управляться в соответствии с документированной процедурой. Высшее руководство должно быть осведомлено о значительных инцидентах. Организация должна распределить ответственности за управление каждым значительным инцидентом. После урегулирования значительный инцидент должен быть отражен в отчетности и проанализирован для идентификации возможностей для улучшения.
8.6.2 Управление запросами на сервисы
Запросы на сервисы должны быть:
a) зарегистрированы и классифицированы;
b) расположены в порядке приоритетности;
c) выполнены;
d) закрыты.
Записи в отношении запросов на сервисы должны быть актуализированы с указанием предпринятых действий.
Инструкции по выполнению запросов на сервисы должны быть доступны для лиц, участвующих в выполнении запросов на сервисы.
8.6.3 Управление проблемами
Организация должна анализировать данные и тенденции в отношении инцидентов с целью идентификации проблем, а также осуществлять анализ коренных причин и определять потенциальные действия по предотвращению возникновения или повторного возникновения инцидентов.
Проблемы должны быть:
a) зарегистрированы и классифицированы;
b) расположены в порядке приоритетности;
c) расширены, если необходимо;
d) урегулированы, если возможно;
e) закрыты.
Записи в отношении проблем должны быть актуализированы с указанием предпринятых действий. Изменения, необходимые для урегулирования проблемы, должны управляться в соответствии с политикой в области управления изменениями.
В случаях, когда коренная причина была идентифицирована, но проблема не была окончательно устранена, организация должна определить действия по снижению уровня или устранению воздействия проблемы на сервисы. Известные ошибки должны быть зарегистрированы. Актуальная информация об устранении известных ошибок и проблем должна быть доступна для других видов деятельности по менеджменту сервисов, если необходимо.
Через запланированные интервалы времени результативность урегулирования проблем должна подвергаться мониторингу, анализу и должна быть отражена в отчетности.
8.7 Обеспечение сервисов
8.7.1 Управление доступностью сервисов
Через запланированные интервалы времени риски в отношении доступности сервисов должны быть оценены и документированы. Организация должна определить требования и цели доступности сервисов. Согласованные требования должны учитывать соответствующие требования бизнеса, требования сервисов, SLA и риски.
Требования к доступности сервисов и цели должны быть документированы и поддерживаться в рабочем состоянии.
Доступность сервисов должна подвергаться мониторингу, результаты которого должны быть зарегистрированы и проверены на соответствие целям. Нарушение доступности должно быть расследовано, необходимые действия должны быть приняты.
Примечание - Риски, идентифицированные в п. 6.1, могут предоставить входные данные для рисков в отношении доступности, непрерывности сервисов и информационной безопасности.
8.7.2 Управление непрерывностью сервисов
Через запланированные интервалы времени риски в отношении непрерывности сервисов должны быть оценены и документированы. Организация должна определить требования к непрерывности сервисов. Согласованные требования должны учитывать соответствующие требования бизнеса, требования сервисов, SLA и риски.
Организация должна разработать, внедрить и поддерживать в рабочем состоянии один или более планов непрерывности сервисов. План непрерывности сервисов должен включать в себя или содержать ссылку на:
a) критерии и ответственности за внедрение непрерывности сервисов;
b) процедуры, которые должны быть внедрены в случае значительных проблем в предоставлении сервиса;
c) цели в отношении доступности сервисов при внедрении плана непрерывности сервисов;
d) требования к восстановлению сервисов;
e) процедуры по возврату к нормальным условиям функционирования.
Планы непрерывности сервисов и перечни контактных лиц должны быть доступны при отсутствии доступа к обычным местам предоставления сервисов.
Через запланированные интервалы времени планы непрерывности сервисов должны подвергаться проверкам на соответствие требованиям к непрерывности сервисов. Планы непрерывности сервисов должны подвергаться повторным проверкам после внедрения значительных изменений в среду сервисов. Результаты проверок должны быть зарегистрированы. Анализ должен быть проведен после каждой проверки и после внедрения каждого плана непрерывности сервисов. При обнаружении несоответствий организация должна предпринимать соответствующие действия.
При внедрении плана непрерывности сервисов организация должна отражать в отчетности причину, воздействие и восстановление.
8.7.3 Менеджмент информационной безопасности
8.7.3.1 Политика в области информационной безопасности
Руководство с соответствующими полномочиями должно утвердить политику в области информационной безопасности, соответствующую организации. Политика в области информационной безопасности должна быть документирована и учитывать требования к сервисам и обязательства, указанные в 6.3 c).
Политика в области информационной безопасности должна быть доступна при необходимости. Организация должна довести важность соответствия политике в области информационной безопасности и ее применимость к СМС и сервисам до сведения соответствующих лиц среди:
a) организации;
b) потребителей и пользователей;
c) внешних поставщиков, внутренних поставщиков и других заинтересованных сторон.
8.7.3.2 Средства управления информационной безопасностью
Через запланированные интервалы времени риски, связанные с информационной безопасностью, в отношении СМС и сервисов должны быть оценены и документированы. Средства управления информационной безопасностью должны быть определены, внедрены и реализованы в целях обеспечения политики в области информационной безопасности, а также должны учитывать идентифицированные риски, связанные с информационной безопасностью. Решения в отношении средств управления информационной безопасностью должны быть документированы.
Организация должна согласовать и внедрить средства управления информационной безопасностью в отношении рисков, связанных с информационной безопасностью для внешних организаций.
Организация должна осуществлять мониторинг и анализ результативности средств управления информационной безопасностью и предпринимать соответствующие действия.
8.7.3.3 Инциденты информационной безопасности
Инциденты информационной безопасности должны быть:
a) зарегистрированы и классифицированы;
b) расположены в порядке приоритетности с учетом рисков, связанных с информационной безопасностью;
c) расширены, если необходимо;
d) урегулированы;
e) закрыты.
Организация должна анализировать инциденты информационной безопасности на основе их типа, объема и воздействия на СМС, сервисы и заинтересованные стороны. Инциденты информационной безопасности должны быть отражены в отчетности и проанализированы для идентификации возможностей для улучшения.
Примечание - Стандарты серии ИСО/МЭК 27000 содержат требования и предоставляют руководство для обеспечения внедрения и функционирования системы менеджмента информационной безопасности. ИСО/МЭК 27013 предоставляет руководство по интеграции ИСО/МЭК 27001 и ИСО/МЭК 20000-1 (настоящий стандарт).
Подписаться на обновления