ГОСТ Р ИСО/МЭК 27013—2014
c) небольшая организация может сосредоточиться либо на ИСО/МЭК 27001, либо на
ИСО/МЭК 20000-1, исходя из ее уровня уверенности в менеджменте услуг или информационной
безопасности:
d) крупная организация, предоставляющая внутренние услуги, должна управлять реализацией
как одним проектом. Если это невозможно, ей следует разделить реализацию на два параллельных
подпроекта в рамках общей программы работ. В рамках каждого подпроекта следует осуществлять
реализацию менеджмента согласно одному стандарту и интегрировать её с реализацией следующего
подпроекта. В случае выбора такого подхода крайне важно обеспечить уверенность в совместимости
проектов при их разработке. В результате это может приводить к дополнительным накладным расхо
дам и дополнительному риску, так что к этому сценарию следует прибегать только при
отсутствии альтернативы;
e) любая организация, придающая большое значение обеспечению информационной безопас
ности, должна сначала реализовать СМИБ. в соответствии с требованиями ИСО/МЭК 27001. Сле
дующим шагом, поддерживающим информационную безопасность, должно быть расширение этой
системы менеджмента с целью соответствия требованиям ИСО/МЭК 20000-1.
Объединенная рабочая группа / регулярные совещания в течение внедрения обоих стандартов
будут способствовать обеспечению уверенности в том. что требования обоих стандартов согласова
ны.
5.3.3 Существует система менеджмента, удовлетворяющая требованиям одного из
стандартов
Если система менеджмента уже соответствует одному из двух стандартов, то основной целью
должна быть интеграция с требованиями другого стандарта. Это должно выполняться, не приводя ни к
каким потерям в отношении услуг или опасностям для информационной безопасности услуг. Однако
существующая система менеджмента должна быть подразделена на отдельные элементы. Это сле
дует тщательно планировать заранее с проверкой существующей документации специалистами по
применению стандарта, который будет вводиться, и специалистами по применению стандарта, кото
рый уже реализован.
Организация должна идентифицировать атрибуты установленной системы менеджмента, вклю
чающие. по меньшей мере, следующее:
a) область действия:
b
) организационная структура;
c) политики;
d) деятельности по планированию:
e) полномочия и ответственности;
f) практические приемы:
д) методики, касающиеся менеджмента риска;
h) процессы;
i) процедуры:
j) термины и определения;
k) ресурсы.
Эти атрибуты необходимо рассматривать, чтобы установить, как их можно использовать в ин
тегрированной системе менеджмента. Если выбирается двухступенчатый подход с применением од
ной системы менеджмента в качестве первой ступени, то второй ступенью является реализация дру гой
системы менеджмента. Область действия каждой ступени должна быть определена и согласова на до
начала каких-либо действий по реализации.
5.3.4 Существуют отдельные системы менеджмента, удовлетворяющие требованиям
каждого из стандартов
Этот последний случай является, вероятно, наиболее сложным. Он поясняет области примене
ния настоящего стандарта, см.5.2.Возможно, что организацияреализовала стандарт
ИСО/МЭК 27001 применительно к одной области деятельности, а стандарт ИСО/МЭК 20000-1 — к
другой. Затем организация может принять решение о применении одного или другого стандарта к
бо лее широкой области деятельности. В какой-то момент времени системы менеджмента будут
реали зовываться для одних и тех же областей деятельности. В качестве альтернативы может быть
запла нировано слияние двух областей деятельности организаций. В одной области деятельности
органи зации демонстрируется соответствие требованиям ИСО/МЭК 27001, в то время как в другой
области деятельности демонстрируется соответствие требованиям ИСО/МЭК 20000-1.
6