ГОСТ Р ИСО/МЭК 27013-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1 (Переиздание)

     5.2 Рассмотрение области применения

Одной из областей, где отмечается существенное различие двух стандартов, является объект их области применения, а именно активы, процессы и роли, которые должна включать система менеджмента организации.

ИСО/МЭК 20000-1 рассматривает требования к проектированию, развитию, предоставлению и совершенствованию услуг, направленных на удовлетворение требований. Это осуществляется через совокупность процессов. Поэтому область применения ИСО/МЭК 20000-1 охватывает процессы менеджмента в организации и предоставляемые услуги. Для ИСО/МЭК 27001 важно осуществление менеджмента риска информационной безопасности. Область применения ИСО/МЭК 27001 охватывает те элементы ее деятельности, которые организация хочет защитить. В этом отношении области применения двух стандартов описываются по-разному. В результате можно реализовать ИСО/МЭК 27001 для той же области, что и ИСО/МЭК 20000-1, но ИСО/МЭК 20000-1 не может быть применен ко всей организации, если только эта организация полностью не является поставщиком услуг.

Таким образом, некоторые процессы, активы и роли в организации могут быть исключены из области действия СМИБ, разработанной в соответствии с ИСО/МЭК 27001. Что касается ИСО/МЭК 20000-1, то они не могут быть исключены из области действия, если являются частью услуги или способствуют услуге в области действия СМУ. Область действия СМИБ также может быть определена исключительно четкими физическими границами, такими как периметр безопасности.

В некоторых случаях оба стандарта не могут быть реализованы для всей или даже части деятельности организации. Например, когда организация не может отвечать требованиям ИСО/МЭК 20000-1, поскольку она может не управлять всеми процессами, осуществляемыми другими сторонами.

Организация может реализовать СМУ и СМИБ с некоторым перекрытием различных областей их действия. Там, где деятельность находится в пределах области применения как ИСО/МЭК 27001, так и ИСО/МЭК 20000-1, для интегрированной системы менеджмента следует учитывать требования обоих стандартов, см. приложение А настоящего стандарта. Несовпадение областей применения может привести к тому, что некоторые услуги, включенные в СМУ, будут исключены из СМИБ. Равным образом из СМУ могут быть исключены процессы и функции СМИБ. Например, некоторые организации выбирают к реализации СМИБ только для своих рабочих и коммуникационных функций наряду с тем, что услуги по менеджменту приложений включены в их СМУ. В качестве альтернативы СМИБ может охватывать все услуги, в то время как СМУ может охватывать только услуги для отдельного клиента или часть услуг для всех клиентов. Организации следует, насколько возможно, согласовать области применения стандартов, чтобы обеспечить уверенность в том, что системы менеджмента могут быть успешно интегрированы.

Примечание - Руководство по определению области действия ИСО/МЭК 20000-1 можно найти в ИСО/МЭК 20000-3:2012 "Руководство по определению области действия и применимости ИСО/МЭК 20000-1".