ГОСТ Р ИСО/МЭК 27013-2014 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1 (Переиздание)

     5.3 Предварительно используемые сценарии

5.3.1 Общая информация

Организация, планирующая интегрированную систему менеджмента, может находиться в одном из трех состояний, как описано в 5.3.2-5.3.4 настоящего стандарта. Во всех случаях в организации будет применяться несколько разновидностей менеджмента процессов, иначе она не смогла бы существовать. В нижеследующих пунктах даются предложения по реализации для каждого из трех состояний, также описанных в 5.1 настоящего стандарта.

5.3.2 Ни один из стандартов в настоящее время не используется в качестве основы для системы менеджмента

Легко предположить, что когда ни один из стандартов в настоящее время не реализован, не существует политик, процессов и процедур и поэтому ситуация разрешается проще. К сожалению, это неверное представление. У организаций, не имеющих систем менеджмента, основанных либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1, вероятно, существует какая-то разновидность системы менеджмента. Ее необходимо будет адаптировать для достижения соответствия с каждым или обоими стандартами.

Решение, касающееся последовательности реализации двух систем менеджмента, должно быть основано на потребностях бизнеса. Решения могут приниматься в зависимости от того, существует ли конкурентоспособный мотив использования одного или другого стандарта или существует необходимость продемонстрировать выполнение требований одного или другого стандарта для существующих или новых клиентов.

Другое важное решение касается того, будет ли реализована система менеджмента, основанная на обоих стандартах с самого начала, или следует реализовать систему менеджмента, основанную на одном стандарте, а позднее расширить ее, чтобы включить требования другого стандарта, см. 5.3.3 настоящего стандарта. Оба стандарта могут быть реализованы одновременно. Однако в зависимости от особенностей организации может быть более целесообразным начать с одного стандарта, а затем приступить к реализации другого.

Эти рассуждения поясняются следующими сценариями:

a) организация, которая предоставляет услуги, должна начать с реализации ИСО/МЭК 20000-1, а затем, исходя из уроков, извлеченных из его применения, расширить систему менеджмента, учитывая ИСО/МЭК 27001;

b) организация, использующая поставщиков, в том числе другие стороны для поставки некоторых элементов услуг, должна сначала сосредоточиться на ИСО/МЭК 20000-1. Это предоставляет дополнительные требования к другим сторонам, включая управление поставщиками. Это дает возможность принимать решения относительно управления поставщиками и вопросов управления процессом. Затем организация должна перейти к ИСО/МЭК 27001;

c) небольшая организация может сосредоточиться либо на ИСО/МЭК 27001, либо на ИСО/МЭК 20000-1, исходя из ее уровня уверенности в менеджменте услуг или информационной безопасности;

d) крупная организация, предоставляющая внутренние услуги, должна управлять реализацией как одним проектом. Если это невозможно, ей следует разделить реализацию на два параллельных подпроекта в рамках общей программы работ. В рамках каждого подпроекта следует осуществлять реализацию менеджмента согласно одному стандарту и интегрировать ее с реализацией следующего подпроекта. В случае выбора такого подхода крайне важно обеспечить уверенность в совместимости проектов при их разработке. В результате это может приводить к дополнительным накладным расходам и дополнительному риску, так что к этому сценарию следует прибегать только при отсутствии альтернативы;