Ces deux domaines étant étroitement liés, de nombreuses organisations reconnaissent déjà l'intérêt d'adopter à la fois ISO/CEI 27001 relative à la sécurité de l'information et ISO/CEI 20000-1, qui traite de la gestion des services.
Dans cette optique, la nouvelle norme ISO/CEI 27013:2012, Technologies de l'information – Techniques de sécurité – Guide sur la mise en œuvre intégrée d'ISO/CEI 27001 et ISO/CEI 20000-1, propose des recommandations utiles pour la mise en place consécutive ou simultanée des deux systèmes de management.
Comme l'explique Edward Humphreys, animateur du groupe chargé des techniques de sécurité des technologies de l'information (ISO/CEI JTC 1/SC 27), les processus et les activités des systèmes de management décrits dans ISO/CEI 27001 (sécurité de l'information) et dans ISO/CEI 20000-1 (gestion des services) sont très similaires, y compris quant à l'importance du principe de l'amélioration continue. La mise en œuvre intégrée d'un système de management portant sur les services fournis et sur la protection des actifs informationnels, présente un certain nombre d'avantages. »
Pour Jenny Dugmore, l'ancienne animatrice du groupe de travail du JTC 1/SC 7, Management de service TI, qui a participé à la rédaction de la norme : « la décision d'établir ISO/CEI 27013 a été prise au vu des avantages supplémentaires que procure la mise en œuvre combinée de ces deux systèmes de management. La norme a en effet pour objet d'expliquer les premières étapes de la démarche aux organisations soucieuses d'efficacité et d'améliorations au niveau des services, de la sécurité de l'information et de la gestion des services. »
Les principaux avantages d'une mise en œuvre intégrée sont les suivants :
- Gage de crédibilité en termes d'efficacité et de sécurité des services pour les clients internes ou externes à l'organisation
- Réduction des coûts avec un programme intégré
- Réduction du temps nécessaire à l'implantation des systèmes du fait de la mise en place intégrée des processus communs aux deux normes
- Élimination des redondances
- Meilleure compréhension entre les responsables de la gestion des services et les responsables de la sécurité
- Processus de certification amélioré
Cette Norme internationale sera utile aux auditeurs, aux organisations qui mettent en place un système de management de la sécurité des informations et/ou un système de management des services, aux organismes qui procèdent à la certification ou à la formation des auditeurs, à la certification/enregistrement des systèmes de management et à l'accréditation ou à la normalisation dans le domaine de l'évaluation de la conformité.
Un rapport technique, ISO/CEI TR 20000-10, en cours de préparation, fournira une vue d'ensemble des concepts d'ISO/CEI 20000, en expliquant la terminologie utilisée dans la norme, la manière dont ses différentes parties s'articulent et la corrélation avec d'autres normes ISO/CEI. Un autre rapport technique, ISO/CEI TR 90006, est également en préparation pour fournir des lignes directrices relatives à l'audit dans le cadre de l'application d'ISO 9001 pour la gestion des services.
ISO/CEI 27013:2012, Technologies de l'information – Techniques de sécurité – Guide sur la mise en œuvre intégrée d'ISO/CEI 27001 et ISO/CEI 20000-1, a été élaborée par le comité technique mixte ISO/CEI JTC 1, Technologies de l'information, sous-comité SC 27, Techniques de sécurité des technologies de l'information, en coopération avec l'ISO/CEI JTC 1, sous-comité SC 7, Ingénierie du logiciel et des systèmes. Elle est disponible, au prix de 140 francs suisses, auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées) et peut également être obtenue directement au Secrétariat central de l'ISO par l'intermédiaire de l'ISO Store ou en contactant le département Marketing, Communication & Information.
