La norme internationale ISO/IEC 27013:2012, intitulée « Technologies de l’information – Techniques de sécurité – Guide sur la mise en œuvre intégrée d’ISO/IEC 27001 et ISO/IEC 20000-1 » fournit des recommandations pour la mise en œuvre consécutive ou simultanée des deux systèmes de management décrits dans les normes ISO/IEC 27001 et ISO/IEC 20000-1, qui traitent respectivement de la sécurité de l’information et de la gestion des services.
La nouvelle norme internationale ISO/IEC 27013:2012 a récemment été publiée par le comité technique de normalisation ISO/IEC JTC 1 (« Joint Technical Committee 1 »), Technologies de l’information, sous-comité 27, Techniques de sécurité des technologies de l’information.
Cette norme internationale a été établie en regard des avantages procurés par la mise en œuvre combinée des deux systèmes de management décrits dans les normes ISO/IEC 27001 et ISO/IEC 20000-1, qui sont les suivants :
- Un gage de crédibilité en termes d'efficacité et de sécurité des services pour les clients internes ou externes à l'organisation ;
- Une réduction des coûts avec un programme intégré ;
- Une réduction du temps nécessaire à l'implantation des systèmes du fait de la mise en place intégrée des processus communs aux deux normes ;
- Une élimination des redondances ;
- Une amélioration de la compréhension entre les responsables de la gestion des services et les responsables de la sécurité ;
- Une amélioration du processus de certification.
Cette nouvelle norme sera notamment utile :
- Aux auditeurs ;
- Aux organisations qui mettent en place un système de management de la sécurité de l’information et/ou un système de management des services ;
- Aux organismes de certification ou de formation des auditeurs ;
- Aux organismes de certification ou d’enregistrement des systèmes de management ;
- Aux organismes d’accréditation ou de normalisation dans le domaine de l'évaluation de la conformité.
Parallèlement à cette nouvelle publication, deux rapports techniques relatifs aux systèmes de management sont en cours d’élaboration. Le premier, ISO/IEC TR 20000-10, proposera une vue d’ensemble des concepts d’ISO/IEC 20000 (terminologie, articulations et corrélations avec les autres normes ISO). Le second, ISO/IEC TR 90006, fournira quant à lui des lignes directrices relatives à l’audit dans le cadre de l’application de la norme ISO 9001 pour la gestion des services.
La norme ISO/IEC 27013:2012 peut être achetée via l’e-Shop de l’ILNAS (catalogue en ligne des normes). Pour rappel, il est aussi possible de la consulter gratuitement dans les locaux de l’ILNAS en contactant au préalable l’Organisme Luxembourgeois de Normalisation par courriel à normalisation@ilnas.etat.lu.
Enfin, pour toute question relative à ce domaine d'activité : confiance-numerique@ilnas.etat.lu