W październiku 2012 roku zostały wydane wytyczne dotyczące zintegrowanego wdrażania systemów zarządzania opartych o normy ISO/IEC 27001 i ISO/IEC 20000 - ISO/IEC 27013:2012.
Celem normy jest przekazanie wskazówek, pomocnych organizacjom zarządzać zarówno systemem bezpieczeństwa informacji, jak i systemem zarządzania usługami IT - dwa systemy zarządzania, które uzupełniają i wzajemnie wspierają swoje cele.
Standard ten zawiera wytyczne dotyczące wdrożenia zintegrowanego systemu zarządzania bezpieczeństwem informacji i usługami IT – spełniającego wymagania norm ISO/IEC 27001:2005 oraz ISO/IEC 20000-1:2011 (specyfikacja zarządzania usługami IT oparta na bibliotece ITIL).
ISO/IEC 27013:2012 zaleca organizacjom wdrożenie zintegrowanego (podwójnego) systemu zarządzania opartego na jednolitych procesach oraz niezbędnej dokumentacji, na przykład:
- uzupełnienie już funkcjonującego systemu ISO/IEC 20000-1 o system ISO/IEC 27001 lub odwrotnie
- zbudowanie od zera systemów ISO/IEC 27001 oraz ISO/IEC 20000-1
- zintegrowanie poprzez koordynację i wyrównanie już posiadanych systemów ISO/IEC 27001 i ISO/IEC 20000-1
Standard określa ramy dla działania organizacji i priorytetów, w zakresie:
- wyrównywania celów zarządzania bezpieczeństwem informacji i jakością usług IT
- wspólnej wizji
- wspólnego słownika pojęć
- połączonych korzyści biznesowe dla klientów i dostawców usług
- zapewnienia równego traktowania problemów objętych systemem zarządzania – nie dyskryminowanie jednego obszaru na rzecz innego
- zmniejszenia liczby procedur, instrukcji i zapisów
- ujednolicenia dokumentacji systemu
- jednolitego sposóbu nadzoru nad dokumentacją
- prowadzenia wspólnych audytów wewnętrznych, działań korygujących i zapobiegawczych oraz jednego przeglądu zarządzania
- oszczędność czasu audytów, a co za tym idzie zmniejszenie kosztów z nimi związanych
- jednolitego cyklu doskonalenia systemu
- zapobiegania dublowaniu się ról takich, jak pełnomocnicy systemów czy audytorzy
- obniżenia kosztów utrzymania jednego systemu
Źródło: www.iso27000.pl
