日前，ISO聯(lián)合IEC發(fā)布了一項新的國際標準，其中為相關(guān)組織提供了如何整合使用信息安全和服務管理體系標準的建議。

　　信息安全和服務管理有著十分緊密的關(guān)系，許多組織已經(jīng)意識到積極采納信息安全標準ISO/IEC 27001和服務管理標準ISO/IEC 20000-1將會帶來很多益處。

　　新標準ISO/IEC 27013:2012《信息技術(shù) 安全技術(shù)—ISO/IEC 27001和ISO/IEC 20000-1的整合執(zhí)行指南》，提供了兩個標準執(zhí)行先后順序或同時執(zhí)行的相關(guān)指南。

　　“信息安全標準ISO/IEC 27001和服務管理標準ISO/IEC 20000-1管理的是非常相似的過程和活動，包括持續(xù)改進的重要原則。” 信息安全管理體系工作組（ISO/IEC JTC 1/SC 27）召集人Edward Humphreys指出。“用戶通過執(zhí)行兼顧服務提供和信息資產(chǎn)保護的綜合管理體系可以獲得許多優(yōu)勢。”

　　新標準的編輯人，同時也是服務管理工作組(ISO/IEC JTC 1/ SC 7)原召集人Jenny Dugmore補充說：“ISO/IEC 27013的出版源于人們認識到綜合使用兩個國際標準可以帶來附加利益。ISO/IEC 27013 為那些希望提高效率，改進他們信息安全、服務管理和服務的組織提供了行動第一步的指南。”

　　整合執(zhí)行的主要益處包括：為組織的內(nèi)部或外部客戶增加有效和安全服務可信性。

　　降低整合項目成本；

　　兩個標準進程整合發(fā)展的共性可以減少執(zhí)行時間；

　　消除重復；

　　增強服務管理人員和安全人員間的了解；

　　改進認證過程。

　　該國際標準的用戶包括：審核員，執(zhí)行信息安全和/或服務管理體系的組織，參與審核員認證或培訓、管理體系的認證/注冊以及一致性評估領(lǐng)域中認證和標準化活動的組織機構(gòu)。

　　此外，技術(shù)報告ISO/IEC TR 20000-10正在制定過程中。它將提供對ISO/IEC 20000概念的描述，標準中所用的術(shù)語解釋，識別ISO/IEC 20000不同部分間如何相互作用以及該標準與其他ISO/IEC標準的關(guān)聯(lián)情況。同樣，作為ISO 9001應用到服務管理審核指南的ISO/IEC TR 90006也在制定過程中。

　　ISO/IEC 27013:2012《信息技術(shù) 安全技術(shù)—ISO/IEC 27001和ISO/IEC 20000-1的整合執(zhí)行指南》由ISO/IEC JTC 1 IT安全技術(shù)分委員會SC27聯(lián)合ISO/IEC JTC 1 軟件和系統(tǒng)工程分委員會SC7制定完成。