ГОСТ Р ИСО/МЭК 27013—2014
Отправной точкой должен стать анализ, направленный на достижение следующего:
a) определение и документирование существующих и предполагаемых областей деятельности,
в которых применяется каждый стандарт, обращая особое внимание на их различия;
b
) сравнение существующих систем менеджмента и установление наличия любых взаимно не
совместимых аспектов;
c) инициирование взаимодействия причастных сторон друг с другом в обеих системах менедж
мента;
d) планирование наилучшего подхода к интегрированной системе менеджмента:
1) начать с общего развернутого обзора:
2) осуществлять обзор на различных уровнях организации для добавления деталей:
3) направлять замечания и предложения лицам с соответствующим уровнем полномочий
для принятия необходимых решений.
Несмотря на то, что существует много способов интеграции систем менеджмента при сохране
нии согласованности, должен быть выполнен этап широкомасштабного планирования.
6 Факторы, касающиеся совместного использования
6.1 Общая информация
Во всех случаях целью организации должно быть создание жизнеспособной интегрированной
системы менеджмента, позволяющей обеспечить согласованность с обоими стандартами. Целью не
является сравнение стандартов или определение того, какой стандарт лучше или правильнее. При
наличии конфликта точек зрения его следует разрешать способом, удовлетворяющим требованиям
обоих стандартов, и обеспечивать уверенность в достижении организацией постоянного совершенст
вования СМИБ и СМУ. Идеальная интегрированная система менеджмента должна базироваться на
наиболее действенном подходе, основанном на требованиях обоих стандартов, примененных соот
ветствующим образом. Это поддерживается также путем дополнения частей одного стандарта к час тям
другого. Следует проявлять внимание, чтобы сохранить все необходимое для соответствия обо им
стандартам.
Между интегрированной системой менеджмента и требованиями каждого отдельного стандарта
должна поддерживаться документированная прослеживаемость. С целью уменьшения объема работ
для интегрированной системы менеджмента может быть создан единый комплект документации. В
поддержку этого организация может создать документацию прослеживания, например, таблицу про
слеживаемости. Это детально покажет, как интегрированная система менеджмента согласуется с
требованиями каждого стандарта. Преимущества этого подхода заключаются в возможности более
простого подтверждения соответствия во время аудитов и проверок. Эти преимущества также вклю чают
возможности отслеживания того, какие деятельности являются необходимыми для подтвержде ния
соответствия каждому стандарту.
6.2 Возможные проблемы
6.2.1 Использование и значение актива
Актив, рассматриваемый в ИСО/МЭК 20000-1, отличается от информационного актива
ИСО/МЭК 27001. В ИСО/МЭК 20000-1 актив не определяется как термин, поэтому он употребляется в
значении обычном для английского языка, означающем нечто ценное. В некоторых пунктах
ИСО/МЭК 20000-1:2011 использование активов связано с финансовыми активами, такими как лицен
зии на программные средства. В отличие от этого стандарт ИСО/МЭК 27001 основывается на концеп
ции защиты информации и имеет формальное определение информационного актива. В последую
щей части 6.2 настоящего стандарта обсуждаются сходства и различия использования понятий двух
стандартов. Включены предложения, касающиеся того, как привести в соответствие два стандарта.
В стандарте ИСО/МЭК 20000-1 используется термин «элемент конфигурации (configuration
item - Cl)», определяемый как элемент, подлежащий управлению, для предоставления услуги или
услуг. Организации следует определить, что такое CI для ее собственных целей с учетом ее
потреб ностей в эффективности. «Информационный актив» может быть включен в это
определение. В ИСО/МЭК 20000-1 база данных управления конфигурацией является хранилищем
данных всех О и их взаимосвязей. Некоторые организационные активы не могут входить в базу
данных управления конфигурацией (например, персональные компьютеры, не используемые для
поставки услуг). Равным
7