Для краткости в таблице В.1 настоящего стандарта в столбце "Комментарии по использованию терминов в обоих стандартах" даются ссылки на стандарты без указания года выпуска. В таблице В.1 приводится сравнение терминов, использованных в ИСО/МЭК 27001 и определенных в ИСО/МЭК 27000:2009, который является глоссарием для ИСО/МЭК 27001:2005, и терминов, определенных или используемых в ИСО/МЭК 20000-1:2011. Области, где термины ИСО/МЭК 27000 и ИСО/МЭК 20000-1 определены по-разному, выделены светло-серым цветом.
|
Термин
|
ИСО/МЭК 27000:2009
|
ИСО/МЭК 20000-1:2011
|
Комментарии по использованию терминов в обоих стандартах
|
|
Управление доступом (access control)
|
2.1
Средство обеспечения уверенности в том, что доступ к активам (2.3) санкционирован и ограничен на основе требований бизнеса и требований безопасности
|
Не определен
|
Нет прямого эквивалента
|
|
Подотчетность (accountability)
|
2.2
Ответственность сущности за свои действия и решения
|
Не определен
|
Слово "подотчетность" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: ответственность, необходимость объяснения или отстаивания своих действий или поведения, признание и принятие ответственности.
Слово "подотчетность" является важным для требований подраздела 4.2 ИСО/МЭК 20000-1, т.е. "... путем ... а) демонстрации подотчетности в отношении процессов и полномочий требовать соблюдения процессов;"
|
|
Актив (asset)
|
2.3
Все, что имеет ценность для организации.
Примечание - Существует много видов активов, включая:
a) информацию (2.18);
b) программные средства, такие как компьютерные программы;
c) физические активы, такие как компьютеры;
d) услуги;
e) кадры и их квалификация, навыки и опыт; и
f) нематериальные активы, такие как репутация и имидж
|
Не определен
|
Слово "актив" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: все, что считается ценным или полезным, например, навыки, качество, индивидуум и т. д..
В ИСО/МЭК 20000-1 слово "актив" используется очень редко:
- пункт 4.1.4:
"Представитель руководства наделен обязанностями и полномочиями, включающими: d) обеспечение уверенности в том, что активы, включая лицензии, используемые для предоставления услуг, управляются в соответствии с законодательными и регулирующими требованиями и договорными обязательствами";
- подраздел 6.4:
"Должны существовать политики и документально оформленные процедуры для: а) составления бюджета и учета компонентов услуг, включая, по крайней мере: 1) активы, в том числе и лицензии, используемые для обеспечения услуг";
- пункт 6.6.2:
"Поставщик услуг должен реализовывать физические, административные и технические меры и средства контроля и управления безопасностью для: а) сохранения конфиденциальности, целостности и досягаемости (acibility) информационных активов";
- подраздел 9.1:
"Должно существовать определенное взаимодействие между процессом управления конфигурацией и процессом менеджмента финансовых активов.
Примечание - Менеджмент финансовых активов исключен из сферы действия процесса управления конфигурацией".
|
|
Атака
(attack)
|
2.4
Попытка разрушить, подвергнуть опасности, изменить, заблокировать, похитить актив (2.3), или получить несанкционированный доступ к активу, или несанкционированным образом использовать его
|
Не определен
|
Нет прямого эквивалента
|
|
Аутентификация
(authentication)
|
2.5
Обеспечение уверенности в том, что заявленная характеристика сущности является верной
|
Не определен
|
Не имеет прямого отношения к рассматриваемому термину "аутентификация", связанному с информационной безопасностью, который используется в ИСО/МЭК 27001 в формальном значении.
"Аутентификация" не является аналогом термина "верификация" в деятельностях, связанных с жизненным циклом системы менеджмента
|
|
Аутентичность (authenticity)
|
2.6
Свойство, подтверждающее, что сущность идентична заявленной
|
3.11
Примечание 1 - Кроме того, также могут быть затронуты другие свойства, например, аутентичность, подотчетность, неотказуемость и достоверность
|
Упоминается в ISO/IEC 20000-1, но не используется в дальнейшем
|
|
Доступность (availability)
|
2.7
Свойство, определяющее досягаемость и используемость по запросу уполномоченной сущности
|
3.1
Способность услуги или компонента услуги выполнять свою требуемую функцию в согласованный момент или в согласованный период времени.
Примечание - Доступность обычно выражается отношением или процентным отношением времени реальной доступности услуги или компонента услуги для клиента в согласованный период времени, в течение которого услуга должна быть доступна.
3.11
Примечание 1 - Дополнительно могут также затрагиваться другие свойства, такие как аутентичность, подотчетность, неотказуемость и достоверность.
Примечание 2 - Термин "доступность (availability)" не был использован в этом определении, поскольку он является определяемым термином в этой части ИСО/МЭК 20000, который не соответствует этому определению.
Примечание 3 - Адаптировано из ИСО/МЭК 27000:2009
|
См. "информационная безопасность".
Доступность часто считается основой менеджмента услуг и играет значимую роль в ИСО/МЭК 20000-1 с точки зрения оценки качества предоставляемых услуг, см. подраздел 6.3 ИСО/МЭК 20000-1. Различия между двумя определениями невелики, но из-за важности, придаваемой "доступности" в менеджменте услуг, это различие заслуживает внимания.
Прямым следствием различия между двумя значениями доступности является то, что определение информационной безопасности в ИСО/МЭК 27000 было приспособлено для ИСО/МЭК 20000-1 путем использования слова досягаемость (accessibility) вместо слова доступность (availability).
|
|
Обеспечение непрерывности бизнеса (business continuity)
|
2.8
Процессы (2.31) и (или) процедуры (2.30), обеспечивающие уверенность в непрерывности операций бизнеса
|
Не определен
|
В ИСО/МЭК 20000-1 обеспечение непрерывности услуг используется как элемент обеспечения непрерывности бизнеса.
См. "обеспечение непрерывности услуг"
|
|
Конфиденциальность (confidentiality)
|
2.9
Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов (2.31)
|
Не определен
|
Нет прямого эквивалента
|
|
Базовая конфигурация (configuration baseline)
|
Не определен
|
3.2
Информация о конфигурации, формально обозначенная в конкретное время в течение срока оказания услуги или компонента услуги.
Примечание 1 - Базовые конфигурации и принятые отступления от них составляют текущую информацию о конфигурации.
Примечание 2 - Адаптировано из ИСО/МЭК/IEE 24765:2010.
|
В ИСО/МЭК 20000-1 данный термин используется один раз, например см. подраздел 9.1: "...При вводе новой версии CI в рабочую среду нужно использовать базовые параметры конфигурации затрагиваемых CI."
|
|
Элемент конфигурации (configuration item - CI)
|
Не определен
|
3.3
Элемент, подлежащий управлению, для того чтобы предоставить услугу или услуги
|
CI часто используется в ИСО/МЭК 20000-1 и рассматривается как компонент услуги. CI может быть единственным или частью компонентов услуг.
См. в ИСО/МЭК 20000-1 определение 3.27 "компонент услуги"
|
|
База данных управления конфигурацией (configuration management database - CMDB)
|
Не определен
|
3.4
Хранилище данных, используемое для фиксирования атрибутов CI и взаимосвязей между CI в течение их жизненного цикла
|
В зависимости от подхода принятого организацией CMDB может быть использована для сохранения реестра активов. См. пункт А.7.1.1 приложения А
ИСО/МЭК 27001
|
|
Постоянное совершенствование (continual improvement)
|
Не определен
|
3.5
Периодическая деятельность, направленная на расширение возможности выполнения требований к услугам.
Примечание - Адаптировано из ИСО 9000:2005
|
Пункт 4.1.2 ИСО/МЭК 20000-1 требует наличия политики постоянного совершенствования в рамках политики менеджмента услуг.
Во "Введение" к ИСО/МЭК 27001 включен цикл PDCA, очень сходный с циклом из ИСО 9001 и ИСО/МЭК 20000-1 (например, сравните пункт 4.2.4 ИСО/МЭК 27001 и пункт 4.5.5 ИСО/МЭК 20000-1)
|
|
Mepa и средство контроля и управления (control)
|
2.10
Средство менеджмента риска (2.34), включающее политики (2.28), процедуры (2.30), рекомендации (2.16), практические приемы или организационные структуры, которые могут иметь административный, технический, управленческий или правовой характер.
ИСО 31000:2009
2.26
Мера, которая модифицирует
риск (2.1).
Примечание 1 - Меры и средства контроля и управления включают любой процесс, политику, устройство, практический прием или иные действия, которые модифицируют риск.
Примечание 2 - Меры и средства контроля и управления не всегда могут приводить к намеченному или предполагаемому модифицирующему результату.
[ИСО Руководство 73:2009, определение 3.8.1.1]
|
Не определен
|
Слово "control" используется в ИСО/МЭК 20000-1 как существительное, и как глагол, но не определяется как специальный термин, поэтому применяется в обычном значении, присущем английскому языку:
сущ.: полномочие или надзор; полномочие оказывать влияние или руководить; принять управление; средство ограничения (мера и средство контроля и управления), как устройство для управления, регулирования или тестирования (машина, система и т.д.);
глагол: (находиться под контролем, контролировать) - иметь или осуществлять контроль над кем-то или над чем-то; регулировать; ограничивать; регламентировать; регулировать или тестировать (машина, система и т.д.).
Все, кроме двух случаев использования термина "control" как существительного, приходятся на подраздел 6.6. "Менеджмент информационной безопасности" ИСО/МЭК 20000-1, другие используются в пунктах 4.3.2 и 4.4.3, где текст взят из ИСО 9001:2008 практически неизмененным.
В качестве глагола "control" используется во многих местах, обычно как "контролировать XXX процесс" или "X должен находиться под контролем Y"
|
|
Цель применения мер и средств контроля и управления (control objective)
|
2.11
Формулировка, характеризующая, чего следует достичь в результате реализации мер и средств контроля и управления (2.10)
|
Не определен
|
Существительное "цель"
используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: нечто, к чему стремятся или желают; задача.
Существует самая незначительная связь между понятием "цель применения мер и средств контроля и управления", используемым в ИСО/МЭК 27001, и выражениями, используемыми в ИСО/МЭК 20000-1, такими как "цели менеджмента услуг" (см. раздел 4) или "цели менеджмента информационной безопасности" (см. подраздел 6.6)
|
|
Корректирующее действие (corrective action)
|
2.12
Действие, предпринимаемое для устранения причины обнаруженного несоответствия или другой нежелательной ситуации. [ИСО 9000:2005]
|
3.6
Действие, предпринимаемое для устранения причины или снижения вероятности повторения обнаруженного несоответствия или другой нежелательной ситуации.
Примечание - Адаптировано из ИСО 9000:2005
|
В обоих стандартах используется одинаковый термин, но существуют различия в значении. Не всегда возможно или желательно устранить причину, вместо этого может быть лучше или более рентабельно избежать повторения. См. в ИСО/МЭК 20000-1 определение 3.18 "предупреждающее действие"
|
|
Клиент (customer)
|
Не определен
|
3.7
Организация или часть организации, получающая услугу или услуги.
Примечание 1 - Клиент может быть внутренним или внешним по отношению к организации-поставщику услуг.
Примечание 2 - Адаптировано из ИСО 9000:2005.
|
В соответствии с ИСО/МЭК 20000-1 клиент дополнительно может действовать как поставщик
|
|
Документ (document)
|
Не определен
|
3.8
Информация, представленная на соответствующем носителе.
[ИСО 9000:2005]
Пример - Политики, планы, описания процессов, процедуры, соглашения об уровне услуг, договоры или записи.
Примечание 1 - Документация может существовать в любой форме или на любом носителе данных.
Примечание 2 - В ИСО/МЭК 20000, в документах за исключением записей излагается намерение, которое должно быть достигнуто
|
Нет прямого эквивалента
|
|
Результативность (effectiveness)
|
2.13
Степень реализации запланированной деятельности и достижения запланированных результатов.
[ИСО 9000:2005]
|
3.9
Степень реализации запланированной деятельности и достижения запланированных результатов.
[ИСО 9000:2005]
|
Идентично
|
|
Эффективность (efficiency)
|
2.14
Соотношение между достигнутыми результатами и тем, насколько рационально использовались ресурсы
|
Не определен
|
Это слово используется в обычном смысле, присущем английскому языку и только единожды, во введении к ИСО/МЭК 20000-1. Не существует требований, касающихся эффективности.
|
|
Событие (event)
|
2.15
Возникновение специфического набора обстоятельств. [ИСО/МЭК Руководство 73:2002]
|
Не определен
|
Слово "событие" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: что-то, что происходит или случается. Например, см. подраздел 6.2 ИСО/МЭК 27001: "значимые события" или пункт 6.3.2 "Планы обеспечения непрерывности и доступности услуг": "если происходит событие, связанное с серьезной утратой услуг". Эти выражения аналогичны, используемым в ИСО/МЭК 27001, поэтому в целом сопоставимы. См. "событие информационной безопасности".
|
|
Рекомендация (guideline)
|
2.16
Описание того, что следует
сделать для достижения цели
|
Не определен
|
См. другие части ИСО/МЭК 20000. Наряду с тем, что ИСО/МЭК 20000-1 содержит нормативные требования, все другие части ИСО/МЭК 20000 являются информационными стандартами или техническими отчетами
|
|
Влияние (impact)
|
2.17
Неблагоприятное изменение
уровня достигнутых целей
бизнеса
|
Не определен
|
Использование слова "влияние" в обоих стандартах является во многом сходным. "Влияние" в ИСО/МЭК 20000-1 используется 26 раз в обычном смысле, присущем английскому языку: влияние, сущ.: - сильный эффект или воздействие.
Такое использование понятия "влияние" в ИСО/МЭК 20000-1 является менее конкретным, чем "влияние", используемое в ИСО/МЭК 27001. Большинство случаев использования этого понятия в ИСО/МЭК 20000-1 связано с риском или фактическими негативными обстоятельствами, например, см. определение 3.15 "известная ошибка" и в:
- разделе 5: "Поставщик услуг должен использовать этот процесс для всех новых услуг или изменений к услугам, которые могут оказывать потенциально серьезное влияние на услуги или клиента", или;
- пункте 6.3.2 "Поставщик услуг должен дать оценку влиянию запросов об изменении на план(ы) обеспечения непрерывности услуг и план(ы) обеспечения доступности"
|
|
Инцидент
(incident)
|
См. "инцидент информационной безопасности"
|
3.10
Незапланированное прерывание услуги, снижение качества услуги или событие, которое еще не оказало влияние на услугу для клиента
|
Существует значительное различие между использованием слова "инцидент" в стандартах ИСО/МЭК 27001 и ИСО/МЭК 20000-1.
Слово "инцидент" используется в ИСО/МЭК 27001 для обозначения "того, что с безопасностью в эксплуатационной среде что-то не так". В ИСО/МЭК 20000-1 слово "инцидент" имеет определенное значение и является более конкретным, чем в ИСО/МЭК 27001. В ИСО/МЭК 20000-1 "инцидент" является одним из серии родственных терминов и связан не только с инцидентами информационной безопасности. Другие родственные термины:
- 3.19 Проблема (problem): Основная причина одного или нескольких инцидентов.
На время создания записи о проблеме основная причина обычно неизвестна, и за дальнейшее расследование ответственность несет процесс менеджмента проблем;
- 3.15 Известная ошибка (known error): Проблема, которая имеет установленную основную причину и метод снижения или устранения ее влияния на услугу путем ее обхода;
- "Серьезный инцидент" (не определенный термин): Инцидент (или проблема), который(ая) рассматривается, как имеющий(ая) высшую категорию влияния.
Менеджмент каждого "инцидента", "проблемы" и "серьезного инцидента" осуществляется по-разному, и к нему предъявляются разные требования.
"Известная ошибка" является проблемой, в которой лежащая в ее основе причина понятна и управляема процессом менеджмента проблем, включающим требования, применяемые тогда, когда проблема становится известной ошибкой.
Менеджмент "серьезного инцидента" осуществляется посредством процесса менеджмента инцидентов и менеджмента запроса услуг с требованием наличия специальной процедуры для менеджмента "серьезных инцидентов".
См. "инцидент информационной безопасности"
|
|
Информационный актив (information asset)
|
2.18
Знания или данные, имеющие ценность для организации
|
Не определен
|
Этот термин не является определяемым термином, однако используется в ИСО/МЭК 20000-1, например, пункт 6.6.2:
"Поставщик услуг должен реализовать и привести в действие физические, административные и технические меры и средства контроля и управления информационной безопасности для а) сохранения конфиденциальности, целостности и досягаемости (accessibility) информационных активов".
См. "актив"
|
|
Информационная безопасность (information security)
|
2.19
Свойство информации сохранять конфиденциальность (2.13), целостность (2.36) и доступность (2.10) информации.
Примечание - Кроме того, данный термин может также включать и другие свойства, такие как аутентичность (2.9), подотчетность (2.2), неотказуемость (2.49) и достоверность (2.56)
|
3.11
Сохранение конфиденциальности, целостности и досягаемости (accessibility) информации.
Примечание 1 - Дополнительно могут также затрагиваться и другие свойства, такие как аутентичность, подотчетность, неотказуемость и достоверность.
Примечание 2 - Термин "доступность (availability)" не был использован в этом определении, поскольку он является определяемым термином в этой части ИСО/МЭК 20000. который не соответствует этому определению.
Примечание 3 - Адаптирован из ИСО/МЭК 27000:2009
|
В ИСО/МЭК 20000-1 слово
"доступность (availability)" не
может быть использовано в определении информационной безопасности (3.11), поскольку доступность является термином, имеющим другое значение (см. "доступность (availability)"). Таким образом, определение понятия "информационная безопасность" было адаптировано для использования термина "досягаемость (accessibility)". Определение "досягаемость (accessibility)" взято из определения "доступность" ИСО/МЭК 27000 как "свойство досягаемости и используемости по запросу уполномоченной сущности".
|
|
Событие информационной безопасности (information security event)
|
2.20
Установленное проявление состояния системы, услуги или сети, указывающее на возможное нарушение информационной безопасности (2.19), политики (2.28) или неосуществление мер и средств контроля и управления (2.10), или на ранее неизвестную ситуацию, которая может иметь отношение к безопасности
|
Не определен
|
"Событие информационной безопасности" применяется в ИСО/МЭК 20000-1 только как часть понятия 3.12 "инцидент информационной безопасности".
Кроме того, "событие" 2.15 (не являющееся событием информационной безопасности) также используется в:
a) определении риска - см. 3.25, включающем примечания 3 и 4, в которых упоминаются события;
b) определении "обеспечение непрерывности услуг" (3.28);
c) подразделе 6.2 "Отчетность по услугам" ИСО/МЭК 20000-1;
d) пункте 6.3.2. "Планы обеспечения непрерывности и доступности услуг" ИСО/МЭК 20000-1.
См. "событие"; одно или несколько событий могут быть частью инцидента безопасности
|
|
Инцидент информационной безопасности (information security incident)
|
2.21
Единичное событие или серия нежелательных или неожиданных событий информационной безопасности (2.20), которые обладают значительной вероятностью компрометации операций бизнеса и создания угрозы для информационной безопасности (2.19)
|
3.12
Единичное событие или серия нежелательных или неожиданных событий информационной безопасности, которые обладают значительной вероятностью компрометации операций бизнеса и создания угрозы для информационной безопасности [ИСО/МЭК 27000:2009]
|
Определение 3.12 ИСО/МЭК 20000-1 включает формулировку "инцидент информационной безопасности" из ИСО/МЭК 27000.
Пункт 6.6.3 ИСО/МЭК 20000-1 содержит требование: Инцидентами информационной безопасности следует управлять с использованием процедур менеджмента инцидентов с приоритетом, соответствующим риску информационной безопасности.
Это не принимает во внимание "то, что услуга не оказывается как надо", поскольку причиной является проблема, лежащая в основе одного или более инцидентов, хотя во время создания записи о проблеме основная причина обычно неизвестна, и за дальнейшее рассмотрение отвечает процесс менеджмента проблем. С проблемами справляются посредством
процесса менеджмента проблем, а не процесса менеджмента инцидентов и запроса услуг.
Менеджмент серьезных инцидентов информационной безопасности осуществляется посредством упомянутого процесса менеджмента инцидентов и запроса услуг.
Различия в особенностях терминов, используемых в разных стандартах, более сложны, чем события или инциденты безопасности, являющиеся подклассом или определенным типом инцидентов менеджмента услуг (см. пункт 6.2.5 данного стандарта)
|
|
Менеджмент инцидентов информационной безопасности (information security incident management)
|
2.22
Процессы (2.31) обнаружения, сообщения, оценки, реагирования, урегулирования (2.21) и извлечения уроков из инцидентов информационной безопасности
|
Не определен
|
См.:
- "инцидент";
- "инцидент информационной безопасности";
- "известная ошибка";
- "проблема"
|
|
Система менеджмента информационной безопасности (СМИБ) (information security management system - ISMS)
|
2.23
Часть общей системы менеджмента (2.26), основанная на подходе к рискам бизнеса, которая устанавливает, реализует, управляет, осуществляет мониторинг, проверяет, поддерживает и совершенствует информационную безопасность (2.19)
|
Не определен
|
См. "система менеджмента услуг" и "система менеджмента"
|
|
Риск информационной безопасности (information security risk)
|
2.24
Возможность того, что угроза (2.45) будет использовать уязвимость (2.46) актива (2.3) или группы активов и, тем самым, причинит ущерб организации
|
Не определен
|
См. "риск".
Риск информационной безопасности не определяется, но используется в разделе ИСО/МЭК 20000-1, касающемся менеджмента информационной безопасности, пункт 6.6.1
|
|
Целостность (integrity)
|
2.25
Свойство сохранять точность и полноту активов (2.3)
|
Не определен
|
Слово "целостность" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: свойство или состояние быть целым и неповрежденным. (Например, см. пункт 6.6.2 ИСО/МЭК 20000-1: "Поставщик услуг должен реализовать и привести в действие физические, административные и технические меры и средства контроля и управления информационной безопасности для: а) сохранения конфиденциальности, целостности и досягаемости (accessibility) информационных активов".
Подраздел 9.1
ИСО/МЭК 20000-1 включает требования:
- "Должны быть документально оформлены процедуры записи, управления и отслеживания версий CI. Целостность услуг и компонентов услуг, с учетом требований к услугам и риска, связанного с CI, должны поддерживаться соответствующим уровнем управления."
- "Изменения CI должны быть прослеживаемыми и проверяемыми для обеспечения уверенности в целостности CI и данных в CMDB." Подраздел 9.3 ИСО/МЭК 20000-1 включает требования: "Изменения следует внедрять в рабочую среду так, чтобы целостность аппаратных средств, программного обеспечения и других компонентов услуг поддерживалась во время внедрения изменения"
|
|
Заинтересованная сторона (interested party)
|
He определен
|
3.13
Лицо или группа, имеющие особую заинтересованность в функционировании, успехе действия или деятельности поставщика услуг.
Пример - клиенты, владельцы, руководство, работники организации-поставщика услуг, поставщики, банкиры, объединения или партнеры.
Примечание 1 - Группа может включать организацию, часть организации или несколько организаций.
Примечание 2 - Адаптировано из ИСО 9000:2005
|
См. "поставщик услуг"
|
|
Внутренняя группа (internal group)
|
Не определен
|
3.14
Часть организации-поставщика услуг, вступающая в документально оформленное соглашение с поставщиком услуг для содействия проектированию, развитию, предоставлению и совершенствованию услуг.
Примечание - Внутренняя группа находится вне сферы действия SMS поставщика услуг
|
См. "поставщик услуг"
|
|
Известная ошибка (known error)
|
Не определен
|
3.15
Проблема, которая имеет установленную основную причину, метод снижения или устранения ее воздействия на услуги путем ее обхода
|
См. "инцидент" и "проблема"
|
|
Система менеджмента (management system)
|
2.26
Структура, включающая политики (2.28), процедуры (2.30), рекомендации (2.16) и взаимосвязанные ресурсы для достижения целей организации
|
Система менеджмента определяется в примечании 1 определения системы менеджмента услуг:
"Примечание 1 - Система менеджмента является совокупностью взаимосвязанных или взаимодействующих элементов для создания политики и целей, а также для достижения этих целей"
|
Используется в ИСО/МЭК 20000-1 для упоминания "других систем менеджмента", в ИСО/МЭК 20000-1 называется как "система менеджмента услуг"
|
|
Неотказуемость (nonrepudiation)
|
2.27
Возможность подтвердить происхождение заявленного события (2.15) или действия и наличие сущностей, от которых оно исходит, с целью разрешения споров о возникновении или не возникновении события (2.15) или действия и вовлечения сущностей в это событие (2.15)
|
Не определен или не используется
|
Нет прямого эквивалента
|
|
Организация (organization)
|
Не определен
|
3.17
Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.
Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.
Примечание 1 - Распределение обычно является упорядоченным.
Примечание 2 - Организация может быть государственной или частной.
[ИСО 9000:2005]
|
В ИСО/МЭК 20000-1 используются термины "поставщик услуг" и "организация" для разных сущностей, поскольку в любых пояснениях для интегрированной системы менеджмента различие является существенным. См. "поставщик услуг"
|
|
Политика (policy)
|
2.28
Общая концепция и направление деятельности, формально выраженные руководством
|
Не определен
|
Слово "политика" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: (политика) план действий, обычно основанный на определенных принципах, выбранных органом или лицом; принцип или совокупность принципов, на которых должны основываться решения; линия поведения, которой нужно придерживаться.
Политики в ИСО/МЭК 20000-1 используются для руководящих указаний. Некоторые из них требуются стандартом ИСО/МЭК 20000-1, включая политику менеджмента услуг. Использование их в основном одинаково в обоих стандартах
|
|
Предупреждающее действие (preventive action)
|
2.29
Действие, предпринятое для устранения причин потенциального несоответствия или иной потенциально нежелательной ситуации.
[ИСО 9000: 2005]
|
3.18
Действие по избеганию, или устранению причины или уменьшению вероятности возникновения потенциального несоответствия или иной потенциально нежелательной ситуации.
Примечание - Адаптировано из ИСО 9000:2005
|
Определения различаются, так как определение в ИСО/МЭК 20000-1 было расширено, чтобы включить: предупреждающее действие, которое не устраняет причину, но каким-то образом обходит ее, чтобы избежать влияния.
В обоих стандартах используется одинаковый термин, но существуют различия в его значении. Не всегда можно или нужно принимать предупреждающие действия в рамках менеджмента услуг. Вместо этого может быть лучше/эффективнее по затратам избежать повторного проявления. Поэтому, чтобы учесть такую возможность, определение из ИСО 9000 было адаптировано в ИСО/МЭК 20000-1.
Это связывает корректирующее действие в ИСО/МЭК 20000-1 (определении 3.6) и ИСО/МЭК 27000 (определении 2.12)
|
|
Проблема (problem)
|
Не определен
|
3.19
Основная причина одного или
нескольких инцидентов.
Примечание - Во время создания записи о проблеме основная причина обычно неизвестна, и за дальнейшее рассмотрение отвечает процесс менеджмента проблем
|
См. "инцидент" и "известная ошибка"
|
|
Процедура (procedure)
|
2.30
Установленный способ осуществления деятельности или процесса (2.31).
[ИСО 9000:2005]
|
3.20
Установленный способ осуществления деятельности или процесса.
[ИСО 9000:2005]
Примечание - Процедуры могут быть документированными или недокументированными
|
Оба определения основаны на ИСО 9000. В общих чертах они сходны. Отличаются только примечания, т.е. процедуры могут быть недокументированными, однако в ИСО/МЭК 20000-1 все процедуры упоминаются как "документированные процедуры". Те процедуры, которые являются частью плана, документируются как часть этого плана
|
|
Процесс (process)
|
2.31
Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.
[ИСО 9000:2005]
|
3.21
Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.
[ИСО 9000:2005]
|
Оба определения, основанные на ИСО 9000:2005, одинаковы
|
|
Запись (record)
|
2.32
Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.
[ИСО 9000:2005]
|
3.22
Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.
[ИСО 9000:2005]
Пример - Отчеты о результатах аудита, отчеты об инцидентах, записи об обучении или протоколы совещаний
|
Оба определения, основанные на ИСО 9000:2005, одинаковы
|
|
Выпуск (release)
|
Не определен или не используется
|
3.23
Совокупность одного или нескольких новых или измененных CI, введенных в рабочую среду в результате одного или более изменений
|
Нет прямого эквивалента
|
|
Достоверность (reliability)
|
2.33
Свойство непротиворечивого предусмотренного поведения и результатов
|
Имеет отношение к информационной безопасности в пункте 3.11:
"Примечание 1 - Дополнительно данный термин может также включать и другие свойства, такие как, аутентичность, подотчетность, неотказуемость и достоверность"
|
Слово "достоверность (reliability)" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: надежность (trustworthiness).
См. подраздел 9.1 ИСО/МЭК 20000-1: "Должен осуществляться менеджмент CMDB для обеспечения уверенности в ее точности и достоверности, включая управление доступом для обновления"
|
|
Запрос об изменении (request for change)
|
Не определен или не используется
|
3.24
Предложение об изменении
которое должно быть внесено
в услугу, компонент услуги
или систему менеджмента
услуг.
Примечание - Изменение услуги включает предоставление новой услуги или отмену услуги, которая больше не нужна
|
В приложении А ИСО/МЭК 27001 говорится о "менеджменте изменений" как о мере и средстве контроля и управления в А.10.1.2.
Многие меры и средства контроля и управления в ИСО/МЭК 27001 касаются управления или контроля изменений. Например, А.8.3, А.10.1, А.10.2.3, А.12.5.1
|
|
Риск (risk)
|
2.34
Сочетание вероятности события (2.15) и его последствий.
[ИСО/МЭК Руководство 73:2002]
|
3.25
Влияние неопределенности на цели.
Примечание 1 - Влияние представляет собой отклонение от ожидаемого - позитивное и (или) негативное.
Примечание 2 - Цели могут иметь различные аспекты (например, финансовые, аспекты техники безопасности и охраны труда, экологические) и могут применяться на разных уровнях (например, стратегическом, в масштабах организации, для проекта, продукта и процесса).
Примечание 3 - Риск часто характеризуется ссылкой на потенциальные события и последствия или на их комбинацию.
Примечание 4 - Риск часто выражается с точки зрения комбинации последствий события (включая изменения обстоятельств) и соответствующей вероятности их возникновения.
[ИСО 31000:2009]
|
В стандартах ИСО/МЭК 20000 явные случаи использования термина "риск" ограничены, хотя многие упреждающие аспекты менеджмента услуг направлены на снижение риска.
Следует отметить, что концепция "риска", принятая в перерабатываемом ИСО/МЭК 27001, такая же, как в ИСО/МЭК 20000-1, основана на ИСО 31000.
См. "уязвимость"
|
|
Принятие риска (risk acceptance)
|
2.35
Решение о принятии риска (2.34).
[ИСО/МЭК Руководство 73:2002]
|
Не определен
|
Термин "принятие риска" не определен и не используется в ИСО/МЭК 20000-1. Тем не менее, в ИСО/МЭК 20000-1 имеются требования для определения критериев принятия риска в плане по менеджменту услуг (пункт 4.5.2) и в процессе менеджмента информационной безопасности (пункт 6.6.1). Аналогичные понятия имеются в подразделе 5.4 в требованиях по использованию критериев принятия
|
|
Анализ риска (risk analysis)
|
2.36
Систематическое использование информации для идентификации источников риска и количественной оценки риска (2.34).
[ИСО/МЭК Руководство 73:2002]
Примечание - Анализ риска обеспечивает основу для оценивания риска (2.41), обработки риска (2.43) и принятия риска (2.35)
|
Не определен
|
См. "оценка риска". Следует обращать особое внимание на то, что "анализ риска" - это определенно не то же самое, что "принятие риска" - для справки см. ИСО/МЭК 27005
|
|
Оценка риска (risk assessment)
|
2.37
Общий процесс (2.31) анализа риска (2.36) и оценивания риска (2.41).
[ИСО/МЭК Руководство 73:2002]
|
Не определен
|
Ссылки на оценку риска в ИСО/МЭК 20000-1 связаны с услугами. Например:
- пункт 4.5.3: (Реализация и введение в действие СМУ (Осуществление)) включает "... d) идентификацию, оценку и менеджмент рисков для услуг";
- подраздел 5.2: (Планирование новых или измененных услуг) включает "f) идентификацию, оценку и менеджмент рисков";
- пункт 6.6.1: "d) обеспечение уверенности в проведении оценок риска информационной безопасности через запланированные интервалы времени"
|
|
Коммуникация риска (risk communication)
|
2.38
Обмен информацией о риске (2.34) или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.
[ИСО/МЭК Руководство 73:2002]
|
Не определен
|
Не используется в ИСО/МЭК 20000-1 ни в одном аспекте, непосредственно связанным с риском
|
|
Критерии риска (risk criteria)
|
2.39
Правила, в соответствии с которыми производят оценивание значимости риска (2.34).
[ИСО/МЭК Руководство 73:2002]
|
Не определен
|
Используется в ИСО/МЭК 20000-1 подобно его использованию в стандарте ИСО/МЭК 27001:
Пункт 4.5.2 ИСО/МЭК 20000-1: "План менеджмента услуг должен включать или содержать ссылку на ...j) подход, который должен быть принят в отношении менеджмента рисков и критериев принятия рисков".
Понятие является сходным для обоих стандартов, но имеет большее значение для ИСО/МЭК 27001, чем для ИСО/МЭК 20000-1
|
|
Количественная оценка риска (risk estimation)
|
2.40
Процесс присвоения значений вероятности и последствиям риска (2.34).
[ИСО/МЭК Руководство 73:2002]
|
Не определен
|
См. "оценка риска"
|
|
Оценивание риска (risk evaluation)
|
2.41
Процесс (2.31) сравнения количественно оцененного риска (2.34) с установленными критериями риска (2.39) для определения значимости риска (2.34).
[ИСО/МЭК Руководство 73:2002]
|
Не определен
|
См. "оценка риска"
|
|
Менеджмент риска (risk management)
|
2.42
Скоординированные действия по руководству и управлению организацией в отношении риска (2.34).
[ИСО/МЭК Руководство 73:2002]
Примечание - Обычно менеджмент риска включает оценку риска (2.37), обработку риска (2.43), принятие риска (2.35), коммуникацию риска (2.38), мониторинг риска и проверку риска
|
Не определен
|
В общих чертах одинаковое значение в обоих стандартах
|
|
Обработка риска (risk treatment)
|
2.43
Процесс (2.31) выбора и реализации мер по модификации риска (2.34).
[ИСО/МЭК Руководство 73:2002]
|
Не определен
|
Термин "обработка риска" не используется в ИСО/МЭК 20000-1; этот термин охвачен термином "менеджмент риска" (см. примеры в "оценке риска")
|
|
Услуга (service)
|
Не определен
|
3.26
Средство предоставления ценности клиенту посредством содействия результатам, которых клиент хочет достичь.
Примечание 1 - Услуга обычно нематериальна.
Примечание 2 - Услуга также может быть передана провайдеру услуг поставщиком, внутренней группой или клиентом, действующим как поставщик
|
Нет прямого эквивалента
|
|
Компонент услуги (service component)
|
Не определен
|
3.27
Единичный элемент услуги, который при соединении с другими элементами будет предоставлять полную услугу.
Пример - аппаратные средства, программное обеспечение, инструментальные средства, приложения, документация, информация, процессы или вспомогательные услуги.
Примечание - Компонент услуги может состоять из одного или нескольких CI
|
Нет прямого эквивалента
|
|
Обеспечение непрерывности услуг (service continuity)
|
Не определен
|
3.28
Возможность осуществления менеджмента рисков и событий, которые могли бы оказать серьезное влияние на услугу или услуги для того, чтобы постоянно предоставлять услуги на согласованных уровнях
|
См. "уязвимость" и "риск". См. "обеспечение непрерывности бизнеса". Непрерывность услуги обычно понимается как подсовокупность обеспечения непрерывности бизнеса
|
|
Соглашение об уровне услуг (service level agreement - SLA)
|
He определен
|
3.29
Документально оформленное соглашение между поставщиком услуг и клиентом, в котором определены услуги и цели услуг.
Примечание 1 - Соглашение об уровне услуг может также устанавливаться между поставщиком услуг и поставщиком, внутренней группой или клиентом, действующими как поставщик.
Примечание 2 - Соглашение об уровне услуг может быть включено в договор или иной вид документально оформленного соглашения
|
Этот термин не используется в ИСО/МЭК 27001. Однако понятие применяется по отношению к цели применения мер и средств контроля и управления А.10.2, когда рассматриваются аспекты безопасности услуги, предоставляемой и поддерживаемой третьей стороной, например, мера и средство контроля и управления А.10.2.1 (согласованные уровни обеспечения непрерывности услуг)
|
|
Менеджмент услуг (service management)
|
He определен
|
3.30
Совокупность возможностей и процессов по руководству и контролю деятельности и ресурсов поставщика услуг при проектировании, развитии, предоставлении и совершенствовании услуг для выполнения требований к услугам
|
Цель применения мер и средств контроля и управления А.10.2 ИСО/МЭК 27001 связана с этим термином
|
|
Система менеджмента услуг - СМУ (service management system - SMS)
|
He определен
|
3.31
Система менеджмента для руководства и управления деятельностями, связанными с менеджментом услуг в отношении поставщика услуг.
Примечание 1 - Система менеджмента - это совокупность взаимосвязанных или взаимодействующих элементов для установления политики и целей, а также для достижения этих целей.
Примечание 2 - СМУ включает все политики, цели, планы, процессы, документацию и ресурсы менеджмента услуг, которые необходимы для проектирования, развития, предоставления и совершенствования услуг и выполнения требований в этой части ИСО/МЭК 20000.
Примечание 3 - Адаптировано из определения "система менеджмента качества" ИСО 9000:2005
|
См. "система менеджмента информационной безопасности (СМИБ)"
|
|
Поставщик услуг (service provider)
|
Не определен
|
3.32
Организация или часть организации, осуществляющая менеджмент и предоставление услуги или услуг клиенту.
Примечание - Клиент может быть внутренним или внешним по отношению к организации-поставщику услуг
|
Поставщик услуг в ИСО/МЭК 20000-1 (определение 3.32) является организацией, стремящейся выполнять требования ИСО/МЭК 20000-1.
Этот термин используется, потому что он проводит различие между поставщиком услуг и другими группами, являющимися клиентами, другими частями (поставщики, внутренние группы, клиенты, действующие как поставщики) внешних организаций, заинтересованными сторонами или поставщиками продуктов или инструментальных средств, поддерживающих функционирование СМУ. Поставщик услуг может быть частью более крупной организации или целой организацией.
|
|
Запрос услуги (service request)
|
Не определен или не используется
|
3.33
Запрос информации, консультации, доступа к услуге или заранее утвержденного изменения
|
Нет прямого эквивалента
|
|
Требование к услуге (service requirement)
|
Не определен
|
3.34
Потребности клиента или пользователей в услугах, включающие требования к уровню услуг, а также потребности поставщика услуг
|
"Требование к услуге" определено в ИСО/МЭК 20000-1 (см. определении 3.34).
В ИСО/МЭК 27001 "требование" используется в обычном смысле, присущем английскому языку: необходимо, то, что попросил, необходимо, заказано. "Требование" в ИСО/МЭК 27001 не используется в значении "требования к услуге", хотя в нем существует несколько применений "требований безопасности", законодательных или нормативных требований и т.д.
|
|
Поставщик (supplier)
|
Не определен
|
3.35
Организация или часть организации, являющаяся внешней по отношению к организации-поставщику услуг, и заключающая договор с поставщиком услуг о содействии проектированию, развитию, предоставлению и совершенствованию услуг или процессов.
Примечание - К поставщикам относятся назначенные ведущие поставщики, а не их поставщики-субподрядчики
|
ИСО/МЭК 20000-1 содержит ссылки на требования и сами требования к менеджменту относительно:
a) поставщиков;
b) ведущих поставщиков (осуществляющих управление субподрядчиками поставщиков);
c) внутренних групп (вносящих вклад в услугу);
d) клиентов (действующих в качестве поставщиков).
Все это способствует услуге в целом и управляется поставщиком услуги.
Менеджмент поставщика охватывает поставщиков/ведущих поставщиков (а через ведущих поставщиков - субподрядчиков поставщиков). Менеджмент уровня услуг охватывает менеджмент внутренних групп и клиентов, действующих в качестве поставщиков.
В ИСО/МЭК 27001 термин "поставщик" используется только один раз
|
|
Положение о применимости
(statement of applicability)
|
2.44
Документ, определяющий цели применения мер и средств контроля и управления (2.11) и меры и средства контроля и управления (2.10), являющиеся адекватными и применимыми для СМИБ (2.23) организации
|
Не определен или не используется
|
Подраздел 1.2 "Применение" ИСО/МЭК 20000-1, не является идентичным положению о применимости в ИСО/МЭК 27001
|
|
Угроза (threat)
|
2.45
Потенциальная причина нежелательного инцидента, который может нанести вред системе или организации
|
Не определен
|
В ИСО/МЭК 20000-1 термин "создание угрозы" используется единожды в определении 3.12:
"Инцидент информационной безопасности - это единичное событие или серия нежелательных или неожиданных событий, связанных с информационной безопасностью, которые обладают значительной вероятностью компрометации деятельности бизнеса и создания угрозы для информационной безопасности"
|
|
Развитие (transition)
|
Не определен
|
3.37
Деятельность, связанная с внедрением новой или измененной услуги в рабочую среду или из нее
|
Существует связь между развитием, использованным в разделе 5 ИСО/МЭК 20000-1, и способом управления некоторыми изменениями согласно ИСО/МЭК 27001. Процессы управления, описанные в разделах 5 и 9 ИСО/МЭК 20000-1, тесно связаны с этой концепцией. ISO/IEC 27001 обсуждает менеджмент изменений в следующих пунктах:
- А.10.1.2 "Менеджмент изменений операционных процедур и обязанностей";
- А.10.2.3 "Менеджмент изменений сер висов третьей стороны".
|
|
Уязвимость (vulnerability)
|
2.46
Недостаток актива (2.3) или меры и средства контроля и управления (2.10), который может быть использован угрозой (2.45)
|
Не определен или не используется
|
Нет прямого эквивалента
|
