新標準幫助組織整合實施信息安全和服務管理體系標準

由于信息安全和服務管理之間的緊密聯系，很多組織已經意識到采取ISO/IEC 27001《信息技術 安全技術 信息安全管理體系 要求》和ISO/IEC 20000-1《信息技術 服務管理 第一部分：服務管理體系要求》兩項標準所帶來的諸多益處。為此，ISO和IEC近期發布了一項新的國際標準——ISO/IEC 27013:2012《信息技術 安全技術 ISO/IEC 27001和ISO/IEC 20000-1整合實施指南》，旨在幫助組織整合實施信息安全和服務管理體系標準，該標準由ISO/IEC JTC1信息技術聯合技術委員會下屬的IT安全技術分技術委員會與軟件和系統工程分技術委員會共同制定。

IT安全技術分技術委員會下屬的信息安全管理體系工作組的召集人愛德華?漢弗萊表示，ISO/IEC 27001信息安全管理體系標準和ISO/IEC 20000-1服務管理體系標準有著非常相似的過程和活動，包括持續改進原則。實施重視服務管理和保護信息安全的整合型管理體系，對組織來說有許多好處。該標準的編寫者之一、同時也是軟件和系統工程分技術委員會下屬的服務管理工作組前召集人詹妮?達格莫表示，發布ISO/IEC 27013標準，是因為ISO和IEC認識到整合兩項國際標準會帶來許多額外的收益。對于那些希望提升效率、加強信息安全和服務管理以及提高服務質量的組織來說，ISO/IEC 27013能為他們提供指導。

整合實施ISO/IEC 27001和ISO/IEC 20000-1的主要益處包括：為組織內部或外部的顧客提供有效而且安全的服務，從而提升企業信譽；降低整合型項目的成本；通過整合兩種標準的通用過程來縮短標準的實施周期；消除重復工作；增進服務管理和信息安全人員之間的相互理解；改進認證過程。

ISO/IEC 27013標準的使用者包括：審核員、實施信息安全和/或服務管理體系的組織、參與審核員認證或培訓的組織、參與管理體系認證和注冊的組織、參與合格評定領域標準化活動的組織和認可機構。

ISO/IEC TR 20000-10技術報告正在編制過程中，該技術報告將介紹ISO/IEC 20000系列標準中的概念，解釋使用的術語，并確定ISO/IEC 20000系列標準中的不同部分之間如何相互作用，以及它們與其他ISO/IEC標準之間的相互聯系。ISO/IEC TR 90006技術報告也處于編制過程中，它將為組織在服務管理中實施ISO 9001提供審核指南。

更多信息，請瀏覽www.iso.org。