新标准帮助组织整合实施信息安全和服务管理体系标准

由于信息安全和服务管理之间的紧密联系，很多组织已经意识到采取ISO/IEC 27001《信息技术 安全技术 信息安全管理体系 要求》和ISO/IEC 20000-1《信息技术 服务管理 第一部分：服务管理体系要求》两项标准所带来的诸多益处。为此，ISO和IEC近期发布了一项新的国际标准——ISO/IEC 27013:2012《信息技术 安全技术 ISO/IEC 27001和ISO/IEC 20000-1整合实施指南》，旨在帮助组织整合实施信息安全和服务管理体系标准，该标准由ISO/IEC JTC1信息技术联合技术委员会下属的IT安全技术分技术委员会与软件和系统工程分技术委员会共同制定。

IT安全技术分技术委员会下属的信息安全管理体系工作组的召集人爱德华•汉弗莱表示，ISO/IEC 27001信息安全管理体系标准和ISO/IEC 20000-1服务管理体系标准有着非常相似的过程和活动，包括持续改进原则。实施重视服务管理和保护信息安全的整合型管理体系，对组织来说有许多好处。该标准的编写者之一、同时也是软件和系统工程分技术委员会下属的服务管理工作组前召集人詹妮•达格莫表示，发布ISO/IEC 27013标准，是因为ISO和IEC认识到整合两项国际标准会带来许多额外的收益。对于那些希望提升效率、加强信息安全和服务管理以及提高服务质量的组织来说，ISO/IEC 27013能为他们提供指导。

整合实施ISO/IEC 27001和ISO/IEC 20000-1的主要益处包括：为组织内部或外部的顾客提供有效而且安全的服务，从而提升企业信誉；降低整合型项目的成本；通过整合两种标准的通用过程来缩短标准的实施周期；消除重复工作；增进服务管理和信息安全人员之间的相互理解；改进认证过程。

ISO/IEC 27013标准的使用者包括：审核员、实施信息安全和/或服务管理体系的组织、参与审核员认证或培训的组织、参与管理体系认证和注册的组织、参与合格评定领域标准化活动的组织和认可机构。

ISO/IEC TR 20000-10技术报告正在编制过程中，该技术报告将介绍ISO/IEC 20000系列标准中的概念，解释使用的术语，并确定ISO/IEC 20000系列标准中的不同部分之间如何相互作用，以及它们与其他ISO/IEC标准之间的相互联系。ISO/IEC TR 90006技术报告也处于编制过程中，它将为组织在服务管理中实施ISO 9001提供审核指南。

更多信息，请浏览www.iso.org。