Integrasi Keamanan Informasi Dan Manajemen Layanan
Hubungan antara keamanan informasi dan manajemen layanan sangat dekat sehingga banyak organisasi telah menyadari manfaat dari penerapan kedua standar: ISO/IEC 27001 untuk keamanan informasi dan ISO/IEC 20000-1 untuk manajemen layanan.
ISO/IEC 27013:2012 yang baru, Teknologi informasi – Teknik keamanan – Panduan penerapan terintegrasi ISO/IEC 27001 dan ISO/IEC 20000-1, memberikan panduan untuk digunakan apakah satu standar diterapkan sebelum standar lainnya, atau keduanya standar diimplementasikan secara bersamaan.
“Baik ISO/IEC 27001 untuk keamanan informasi dan ISO/IEC 20000-1 untuk manajemen layanan menangani proses dan aktivitas yang sangat mirip, termasuk prinsip penting peningkatan berkelanjutan” kata Edward Humphreys, Ketua kelompok kerja sistem manajemen keamanan informasi (ISO/ IEC JTC 1/SC 27). “Sejumlah keuntungan dapat diperoleh dengan menerapkan sistem manajemen terpadu yang memperhitungkan tidak hanya layanan yang diberikan, tetapi juga perlindungan aset informasi.”
Jenny Dugmore, editor standar baru dan mantan Ketua kelompok kerja manajemen layanan (ISO/IEC JTC 1/SC 7), menambahkan: “Publikasi ISO/IEC 27013 muncul dari pengakuan bahwa menggabungkan penggunaan kedua Standar Internasional membawa manfaat tambahan. ISO/IEC 27013 memberikan panduan tentang langkah pertama yang harus diambil oleh organisasi yang ingin meningkatkan efisiensi, meningkatkan keamanan informasi, manajemen layanan, dan layanan mereka.”
Manfaat utama dari implementasi terintegrasi meliputi:
Mendapatkan kredibilitas untuk layanan yang efektif dan aman kepada pelanggan internal atau eksternal organisasi
Menurunkan biaya program terintegrasi
Mengurangi waktu implementasi karena pengembangan terintegrasi dari proses yang umum untuk kedua standar
Menghilangkan duplikasi yang diperlukan
Mempromosikan pemahaman antara manajemen layanan dan personel keamanan
Meningkatkan proses sertifikasi Pengguna Standar Internasional ini termasuk auditor, organisasi yang menerapkan keamanan informasi dan/atau sistem manajemen layanan, dan organisasi yang terlibat dalam sertifikasi atau pelatihan auditor, sertifikasi/registrasi sistem manajemen, dan akreditasi atau standarisasi di bidang penilaian kesesuaian.