ISO_IEC 27013_2023 中文版 信息安全管理体系与信息技术服务管理体系整合指南.docxVIP

ISO/IEC27013:2023中文版信息安全管理体系与信息技术服务管理体系整合指南

一、指南编制前言与核心定位

ISO/IEC27013:2023是国际标准化组织与国际电工委员会联合发布的ISO/IEC27000信息安全与ISO/IEC20000信息技术服务两大管理体系专属整合顶层权威指导标准，专门聚焦ISO/IEC27001信息安全管理体系与ISO/IEC20000-1信息技术服务管理体系一体化融合建设、同步实施、协同运维、联合合规、持续改进全流程管控工作，是两大核心体系并行落地、避免重复建设、消除管理冲突、实现流程互通、标准统一对标唯一专属实操总指南。长期以来，各类企事业单位、数字化运维机构、IT外包服务单位、政务信息化运营主体、金融医疗关键行业技术保障组织在同步建设信息安全管理体系与信息技术服务管理体系过程中，普遍存在两大体系管理架构割裂、制度文件重复堆砌、岗位职责交叉重叠、流程执行相互冲突、资源投入重复浪费、合规审计分别对标、安全管控与服务质量脱节、故障处置与安全响应各自为政等突出共性问题。多数组织将信息安全管理与IT服务运维划分为两个独立管控板块，安全部门侧重风险防护合规达标、服务部门侧重运维交付效率提升，双方管理目标不一致、工作协同不顺畅、管控标准不统一、台账记录不通用，导致日常IT运维服务开展过程中忽视信息安全风险管控，信息安全合规整改工作阻碍I