Для краткости в таблице В.1 настоящего стандарта в столбце "Комментарии по использованию терминов в обоих стандартах" даются ссылки на стандарты без указания года выпуска. В таблице В.1 приводится сравнение терминов, использованных в ИСО/МЭК 27001 и определенных в ИСО/МЭК 27000:2009, который является глоссарием для ИСО/МЭК 27001:2005, и терминов, определенных или используемых в ИСО/МЭК 20000-1:2011. Области, где термины ИСО/МЭК 27000 и ИСО/МЭК 20000-1 определены по-разному, выделены светло-серым цветом.
|
Термин
|
ИСО/МЭК 27000:2009
|
ИСО/МЭК 20000-1:2011
|
Комментарии по использованию терминов в обоих стандартах
|
|
Управление доступом (access control)
|
2.1
Средство обеспечения уверенности в том, что доступ к активам (2.3) санкционирован и ограничен на основе требований бизнеса и требований безопасности
|
Не определен
|
Нет прямого эквивалента
|
|
Подотчетность (accountability)
|
2.2
Ответственность сущности за свои действия и решения
|
Не определен
|
Слово "подотчетность" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: ответственность, необходимость объяснения или отстаивания своих действий или поведения, признание и принятие ответственности.
Слово "подотчетность" является важным для требований подраздела 4.2 ИСО/МЭК 20000-1, т.е. "... путем ... а) демонстрации подотчетности в отношении процессов и полномочий требовать соблюдения процессов;"
|
|
Актив (asset)
|
2.3
Все, что имеет ценность для организации.
Примечание - Существует много видов активов, включая:
a) информацию (2.18);
b) программные средства, такие как компьютерные программы;
c) физические активы, такие как компьютеры;
d) услуги;
e) кадры и их квалификация, навыки и опыт; и
f) нематериальные активы, такие как репутация и имидж
|
Не определен
|
Слово "актив" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: все, что считается ценным или полезным, например, навыки, качество, индивидуум и т. д..
В ИСО/МЭК 20000-1 слово "актив" используется очень редко:
- пункт 4.1.4:
"Представитель руководства наделен обязанностями и полномочиями, включающими: d) обеспечение уверенности в том, что активы, включая лицензии, используемые для предоставления услуг, управляются в соответствии с законодательными и регулирующими требованиями и договорными обязательствами";
- подраздел 6.4:
"Должны существовать политики и документально оформленные процедуры для: а) составления бюджета и учета компонентов услуг, включая, по крайней мере: 1) активы, в том числе и лицензии, используемые для обеспечения услуг";
- пункт 6.6.2:
"Поставщик услуг должен реализовывать физические, административные и технические меры и средства контроля и управления безопасностью для: а) сохранения конфиденциальности, целостности и досягаемости (acibility) информационных активов";
- подраздел 9.1:
"Должно существовать определенное взаимодействие между процессом управления конфигурацией и процессом менеджмента финансовых активов.
Примечание - Менеджмент финансовых активов исключен из сферы действия процесса управления конфигурацией".
|
|
Атака
(attack)
|
2.4
Попытка разрушить, подвергнуть опасности, изменить, заблокировать, похитить актив (2.3), или получить несанкционированный доступ к активу, или несанкционированным образом использовать его
|
Не определен
|
Нет прямого эквивалента
|
|
Аутентификация
(authentication)
|
2.5
Обеспечение уверенности в том, что заявленная характеристика сущности является верной
|
Не определен
|
Не имеет прямого отношения к рассматриваемому термину "аутентификация", связанному с информационной безопасностью, который используется в ИСО/МЭК 27001 в формальном значении.
"Аутентификация" не является аналогом термина "верификация" в деятельностях, связанных с жизненным циклом системы менеджмента
|
|
Аутентичность (authenticity)
|
2.6
Свойство, подтверждающее, что сущность идентична заявленной
|
3.11
Примечание 1 - Кроме того, также могут быть затронуты другие свойства, например, аутентичность, подотчетность, неотказуемость и достоверность
|
Упоминается в ISO/IEC 20000-1, но не используется в дальнейшем
|
|
Доступность (availability)
|
2.7
Свойство, определяющее досягаемость и используемость по запросу уполномоченной сущности
|
3.1
Способность услуги или компонента услуги выполнять свою требуемую функцию в согласованный момент или в согласованный период времени.
Примечание - Доступность обычно выражается отношением или процентным отношением времени реальной доступности услуги или компонента услуги для клиента в согласованный период времени, в течение которого услуга должна быть доступна.
3.11
Примечание 1 - Дополнительно могут также затрагиваться другие свойства, такие как аутентичность, подотчетность, неотказуемость и достоверность.
Примечание 2 - Термин "доступность (availability)" не был использован в этом определении, поскольку он является определяемым термином в этой части ИСО/МЭК 20000, который не соответствует этому определению.
Примечание 3 - Адаптировано из ИСО/МЭК 27000:2009
|
См. "информационная безопасность".
Доступность часто считается основой менеджмента услуг и играет значимую роль в ИСО/МЭК 20000-1 с точки зрения оценки качества предоставляемых услуг, см. подраздел 6.3 ИСО/МЭК 20000-1. Различия между двумя определениями невелики, но из-за важности, придаваемой "доступности" в менеджменте услуг, это различие заслуживает внимания.
Прямым следствием различия между двумя значениями доступности является то, что определение информационной безопасности в ИСО/МЭК 27000 было приспособлено для ИСО/МЭК 20000-1 путем использования слова досягаемость (accessibility) вместо слова доступность (availability).
|
|
Обеспечение непрерывности бизнеса (business continuity)
|
2.8
Процессы (2.31) и (или) процедуры (2.30), обеспечивающие уверенность в непрерывности операций бизнеса
|
Не определен
|
В ИСО/МЭК 20000-1 обеспечение непрерывности услуг используется как элемент обеспечения непрерывности бизнеса.
См. "обеспечение непрерывности услуг"
|
|
Конфиденциальность (confidentiality)
|
2.9
Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов (2.31)
|
Не определен
|
Нет прямого эквивалента
|
|
Базовая конфигурация (configuration baseline)
|
Не определен
|
3.2
Информация о конфигурации, формально обозначенная в конкретное время в течение срока оказания услуги или компонента услуги.
Примечание 1 - Базовые конфигурации и принятые отступления от них составляют текущую информацию о конфигурации.
Примечание 2 - Адаптировано из ИСО/МЭК/IEE 24765:2010.
|
В ИСО/МЭК 20000-1 данный термин используется один раз, например см. подраздел 9.1: "...При вводе новой версии CI в рабочую среду нужно использовать базовые параметры конфигурации затрагиваемых CI."
|
|
Элемент конфигурации (configuration item - CI)
|
Не определен
|
3.3
Элемент, подлежащий управлению, для того чтобы предоставить услугу или услуги
|
CI часто используется в ИСО/МЭК 20000-1 и рассматривается как компонент услуги. CI может быть единственным или частью компонентов услуг.
См. в ИСО/МЭК 20000-1 определение 3.27 "компонент услуги"
|
|
База данных управления конфигурацией (configuration management database - CMDB)
|
Не определен
|
3.4
Хранилище данных, используемое для фиксирования атрибутов CI и взаимосвязей между CI в течение их жизненного цикла
|
В зависимости от подхода принятого организацией CMDB может быть использована для сохранения реестра активов. См. пункт А.7.1.1 приложения А
ИСО/МЭК 27001
|
|
Постоянное совершенствование (continual improvement)
|
Не определен
|
3.5
Периодическая деятельность, направленная на расширение возможности выполнения требований к услугам.
Примечание - Адаптировано из ИСО 9000:2005
|
Пункт 4.1.2 ИСО/МЭК 20000-1 требует наличия политики постоянного совершенствования в рамках политики менеджмента услуг.
Во "Введение" к ИСО/МЭК 27001 включен цикл PDCA, очень сходный с циклом из ИСО 9001 и ИСО/МЭК 20000-1 (например, сравните пункт 4.2.4 ИСО/МЭК 27001 и пункт 4.5.5 ИСО/МЭК 20000-1)
|
|
Mepa и средство контроля и управления (control)
|
2.10
Средство менеджмента риска (2.34), включающее политики (2.28), процедуры (2.30), рекомендации (2.16), практические приемы или организационные структуры, которые могут иметь административный, технический, управленческий или правовой характер.
ИСО 31000:2009
2.26
Мера, которая модифицирует
риск (2.1).
Примечание 1 - Меры и средства контроля и управления включают любой процесс, политику, устройство, практический прием или иные действия, которые модифицируют риск.
Примечание 2 - Меры и средства контроля и управления не всегда могут приводить к намеченному или предполагаемому модифицирующему результату.
[ИСО Руководство 73:2009, определение 3.8.1.1]
|
Не определен
|
Слово "control" используется в ИСО/МЭК 20000-1 как существительное, и как глагол, но не определяется как специальный термин, поэтому применяется в обычном значении, присущем английскому языку:
сущ.: полномочие или надзор; полномочие оказывать влияние или руководить; принять управление; средство ограничения (мера и средство контроля и управления), как устройство для управления, регулирования или тестирования (машина, система и т.д.);
глагол: (находиться под контролем, контролировать) - иметь или осуществлять контроль над кем-то или над чем-то; регулировать; ограничивать; регламентировать; регулировать или тестировать (машина, система и т.д.).
Все, кроме двух случаев использования термина "control" как существительного, приходятся на подраздел 6.6. "Менеджмент информационной безопасности" ИСО/МЭК 20000-1, другие используются в пунктах 4.3.2 и 4.4.3, где текст взят из ИСО 9001:2008 практически неизмененным.
В качестве глагола "control" используется во многих местах, обычно как "контролировать XXX процесс" или "X должен находиться под контролем Y"
|
|
Цель применения мер и средств контроля и управления (control objective)
|
2.11
Формулировка, характеризующая, чего следует достичь в результате реализации мер и средств контроля и управления (2.10)
|
Не определен
|
Существительное "цель"
используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: нечто, к чему стремятся или желают; задача.
Существует самая незначительная связь между понятием "цель применения мер и средств контроля и управления", используемым в ИСО/МЭК 27001, и выражениями, используемыми в ИСО/МЭК 20000-1, такими как "цели менеджмента услуг" (см. раздел 4) или "цели менеджмента информационной безопасности" (см. подраздел 6.6)
|
|
Корректирующее действие (corrective action)
|
2.12
Действие, предпринимаемое для устранения причины обнаруженного несоответствия или другой нежелательной ситуации. [ИСО 9000:2005]
|
3.6
Действие, предпринимаемое для устранения причины или снижения вероятности повторения обнаруженного несоответствия или другой нежелательной ситуации.
Примечание - Адаптировано из ИСО 9000:2005
|
В обоих стандартах используется одинаковый термин, но существуют различия в значении. Не всегда возможно или желательно устранить причину, вместо этого может быть лучше или более рентабельно избежать повторения. См. в ИСО/МЭК 20000-1 определение 3.18 "предупреждающее действие"
|
|
Клиент (customer)
|
Не определен
|
3.7
Организация или часть организации, получающая услугу или услуги.
Примечание 1 - Клиент может быть внутренним или внешним по отношению к организации-поставщику услуг.
Примечание 2 - Адаптировано из ИСО 9000:2005.
|
В соответствии с ИСО/МЭК 20000-1 клиент дополнительно может действовать как поставщик
|
|
Документ (document)
|
Не определен
|
3.8
Информация, представленная на соответствующем носителе.
[ИСО 9000:2005]
Пример - Политики, планы, описания процессов, процедуры, соглашения об уровне услуг, договоры или записи.
Примечание 1 - Документация может существовать в любой форме или на любом носителе данных.
Примечание 2 - В ИСО/МЭК 20000, в документах за исключением записей излагается намерение, которое должно быть достигнуто
|
Нет прямого эквивалента
|
|
Результативность (effectiveness)
|
2.13
Степень реализации запланированной деятельности и достижения запланированных результатов.
[ИСО 9000:2005]
|
3.9
Степень реализации запланированной деятельности и достижения запланированных результатов.
[ИСО 9000:2005]
|
Идентично
|
|
Эффективность (efficiency)
|
2.14
Соотношение между достигнутыми результатами и тем, насколько рационально использовались ресурсы
|
Не определен
|
Это слово используется в обычном смысле, присущем английскому языку и только единожды, во введении к ИСО/МЭК 20000-1. Не существует требований, касающихся эффективности.
|
|
Событие (event)
|
2.15
Возникновение специфического набора обстоятельств. [ИСО/МЭК Руководство 73:2002]
|
Не определен
|
Слово "событие" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: что-то, что происходит или случается. Например, см. подраздел 6.2 ИСО/МЭК 27001: "значимые события" или пункт 6.3.2 "Планы обеспечения непрерывности и доступности услуг": "если происходит событие, связанное с серьезной утратой услуг". Эти выражения аналогичны, используемым в ИСО/МЭК 27001, поэтому в целом сопоставимы. См. "событие информационной безопасности".
|
|
Рекомендация (guideline)
|
2.16
Описание того, что следует
сделать для достижения цели
|
Не определен
|
См. другие части ИСО/МЭК 20000. Наряду с тем, что ИСО/МЭК 20000-1 содержит нормативные требования, все другие части ИСО/МЭК 20000 являются информационными стандартами или техническими отчетами
|
|
Влияние (impact)
|
2.17
Неблагоприятное изменение
уровня достигнутых целей
бизнеса
|
Не определен
|
Использование слова "влияние" в обоих стандартах является во многом сходным. "Влияние" в ИСО/МЭК 20000-1 используется 26 раз в обычном смысле, присущем английскому языку: влияние, сущ.: - сильный эффект или воздействие.
Такое использование понятия "влияние" в ИСО/МЭК 20000-1 является менее конкретным, чем "влияние", используемое в ИСО/МЭК 27001. Большинство случаев использования этого понятия в ИСО/МЭК 20000-1 связано с риском или фактическими негативными обстоятельствами, например, см. определение 3.15 "известная ошибка" и в:
- разделе 5: "Поставщик услуг должен использовать этот процесс для всех новых услуг или изменений к услугам, которые могут оказывать потенциально серьезное влияние на услуги или клиента", или;
- пункте 6.3.2 "Поставщик услуг должен дать оценку влиянию запросов об изменении на план(ы) обеспечения непрерывности услуг и план(ы) обеспечения доступности"
|
|
Инцидент
(incident)
|
См. "инцидент информационной безопасности"
|
3.10
Незапланированное прерывание услуги, снижение качества услуги или событие, которое еще не оказало влияние на услугу для клиента
|
Существует значительное различие между использованием слова "инцидент" в стандартах ИСО/МЭК 27001 и ИСО/МЭК 20000-1.
Слово "инцидент" используется в ИСО/МЭК 27001 для обозначения "того, что с безопасностью в эксплуатационной среде что-то не так". В ИСО/МЭК 20000-1 слово "инцидент" имеет определенное значение и является более конкретным, чем в ИСО/МЭК 27001. В ИСО/МЭК 20000-1 "инцидент" является одним из серии родственных терминов и связан не только с инцидентами информационной безопасности. Другие родственные термины:
- 3.19 Проблема (problem): Основная причина одного или нескольких инцидентов.
На время создания записи о проблеме основная причина обычно неизвестна, и за дальнейшее расследование ответственность несет процесс менеджмента проблем;
- 3.15 Известная ошибка (known error): Проблема, которая имеет установленную основную причину и метод снижения или устранения ее влияния на услугу путем ее обхода;
- "Серьезный инцидент" (не определенный термин): Инцидент (или проблема), который(ая) рассматривается, как имеющий(ая) высшую категорию влияния.
Менеджмент каждого "инцидента", "проблемы" и "серьезного инцидента" осуществляется по-разному, и к нему предъявляются разные требования.
"Известная ошибка" является проблемой, в которой лежащая в ее основе причина понятна и управляема процессом менеджмента проблем, включающим требования, применяемые тогда, когда проблема становится известной ошибкой.
Менеджмент "серьезного инцидента" осуществляется посредством процесса менеджмента инцидентов и менеджмента запроса услуг с требованием наличия специальной процедуры для менеджмента "серьезных инцидентов".
См. "инцидент информационной безопасности"
|
|
Информационный актив (information asset)
|
2.18
Знания или данные, имеющие ценность для организации
|
Не определен
|
Этот термин не является определяемым термином, однако используется в ИСО/МЭК 20000-1, например, пункт 6.6.2:
"Поставщик услуг должен реализовать и привести в действие физические, административные и технические меры и средства контроля и управления информационной безопасности для а) сохранения конфиденциальности, целостности и досягаемости (accessibility) информационных активов".
См. "актив"
|
|
Информационная безопасность (information security)
|
2.19
Свойство информации сохранять конфиденциальность (2.13), целостность (2.36) и доступность (2.10) информации.
Примечание - Кроме того, данный термин может также включать и другие свойства, такие как аутентичность (2.9), подотчетность (2.2), неотказуемость (2.49) и достоверность (2.56)
|
3.11
Сохранение конфиденциальности, целостности и досягаемости (accessibility) информации.
Примечание 1 - Дополнительно могут также затрагиваться и другие свойства, такие как аутентичность, подотчетность, неотказуемость и достоверность.
Примечание 2 - Термин "доступность (availability)" не был использован в этом определении, поскольку он является определяемым термином в этой части ИСО/МЭК 20000. который не соответствует этому определению.
Примечание 3 - Адаптирован из ИСО/МЭК 27000:2009
|
В ИСО/МЭК 20000-1 слово
"доступность (availability)" не
может быть использовано в определении информационной безопасности (3.11), поскольку доступность является термином, имеющим другое значение (см. "доступность (availability)"). Таким образом, определение понятия "информационная безопасность" было адаптировано для использования термина "досягаемость (accessibility)". Определение "досягаемость (accessibility)" взято из определения "доступность" ИСО/МЭК 27000 как "свойство досягаемости и используемости по запросу уполномоченной сущности".
|
|
Событие информационной безопасности (information security event)
|
2.20
Установленное проявление состояния системы, услуги или сети, указывающее на возможное нарушение информационной безопасности (2.19), политики (2.28) или неосуществление мер и средств контроля и управления (2.10), или на ранее неизвестную ситуацию, которая может иметь отношение к безопасности
|
Не определен
|
"Событие информационной безопасности" применяется в ИСО/МЭК 20000-1 только как часть понятия 3.12 "инцидент информационной безопасности".
Кроме того, "событие" 2.15 (не являющееся событием информационной безопасности) также используется в:
a) определении риска - см. 3.25, включающем примечания 3 и 4, в которых упоминаются события;
b) определении "обеспечение непрерывности услуг" (3.28);
c) подразделе 6.2 "Отчетность по услугам" ИСО/МЭК 20000-1;
d) пункте 6.3.2. "Планы обеспечения непрерывности и доступности услуг" ИСО/МЭК 20000-1.
См. "событие"; одно или несколько событий могут быть частью инцидента безопасности
|
|
Инцидент информационной безопасности (information security incident)
|
2.21
Единичное событие или серия нежелательных или неожиданных событий информационной безопасности (2.20), которые обладают значительной вероятностью компрометации операций бизнеса и создания угрозы для информационной безопасности (2.19)
|
3.12
Единичное событие или серия нежелательных или неожиданных событий информационной безопасности, которые обладают значительной вероятностью компрометации операций бизнеса и создания угрозы для информационной безопасности [ИСО/МЭК 27000:2009]
|
Определение 3.12 ИСО/МЭК 20000-1 включает формулировку "инцидент информационной безопасности" из ИСО/МЭК 27000.
Пункт 6.6.3 ИСО/МЭК 20000-1 содержит требование: Инцидентами информационной безопасности следует управлять с использованием процедур менеджмента инцидентов с приоритетом, соответствующим риску информационной безопасности.
Это не принимает во внимание "то, что услуга не оказывается как надо", поскольку причиной является проблема, лежащая в основе одного или более инцидентов, хотя во время создания записи о проблеме основная причина обычно неизвестна, и за дальнейшее рассмотрение отвечает процесс менеджмента проблем. С проблемами справляются посредством
процесса менеджмента проблем, а не процесса менеджмента инцидентов и запроса услуг.
Менеджмент серьезных инцидентов информационной безопасности осуществляется посредством упомянутого процесса менеджмента инцидентов и запроса услуг.
Различия в особенностях терминов, используемых в разных стандартах, более сложны, чем события или инциденты безопасности, являющиеся подклассом или определенным типом инцидентов менеджмента услуг (см. пункт 6.2.5 данного стандарта)
|
|
Менеджмент инцидентов информационной безопасности (information security incident management)
|
2.22
Процессы (2.31) обнаружения, сообщения, оценки, реагирования, урегулирования (2.21) и извлечения уроков из инцидентов информационной безопасности
|
Не определен
|
См.:
- "инцидент";
- "инцидент информационной безопасности";
- "известная ошибка";
- "проблема"
|
|
Система менеджмента информационной безопасности (СМИБ) (information security management system - ISMS)
|
2.23
Часть общей системы менеджмента (2.26), основанная на подходе к рискам бизнеса, которая устанавливает, реализует, управляет, осуществляет мониторинг, проверяет, поддерживает и совершенствует информационную безопасность (2.19)
|
Не определен
|
См. "система менеджмента услуг" и "система менеджмента"
|
|
Риск информационной безопасности (information security risk)
|
2.24
Возможность того, что угроза (2.45) будет использовать уязвимость (2.46) актива (2.3) или группы активов и, тем самым, причинит ущерб организации
|
Не определен
|
См. "риск".
Риск информационной безопасности не определяется, но используется в разделе ИСО/МЭК 20000-1, касающемся менеджмента информационной безопасности, пункт 6.6.1
|
|
Целостность (integrity)
|
2.25
Свойство сохранять точность и полноту активов (2.3)
|
Не определен
|
Слово "целостность" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: свойство или состояние быть целым и неповрежденным. (Например, см. пункт 6.6.2 ИСО/МЭК 20000-1: "Поставщик услуг должен реализовать и привести в действие физические, административные и технические меры и средства контроля и управления информационной безопасности для: а) сохранения конфиденциальности, целостности и досягаемости (accessibility) информационных активов".
Подраздел 9.1
ИСО/МЭК 20000-1 включает требования:
- "Должны быть документально оформлены процедуры записи, управления и отслеживания версий CI. Целостность услуг и компонентов услуг, с учетом требований к услугам и риска, связанного с CI, должны поддерживаться соответствующим уровнем управления."
- "Изменения CI должны быть прослеживаемыми и проверяемыми для обеспечения уверенности в целостности CI и данных в CMDB." Подраздел 9.3 ИСО/МЭК 20000-1 включает требования: "Изменения следует внедрять в рабочую среду так, чтобы целостность аппаратных средств, программного обеспечения и других компонентов услуг поддерживалась во время внедрения изменения"
|
|
Заинтересованная сторона (interested party)
|
He определен
|
3.13
Лицо или группа, имеющие особую заинтересованность в функционировании, успехе действия или деятельности поставщика услуг.
Пример - клиенты, владельцы, руководство, работники организации-поставщика услуг, поставщики, банкиры, объединения или партнеры.
Примечание 1 - Группа может включать организацию, часть организации или несколько организаций.
Примечание 2 - Адаптировано из ИСО 9000:2005
|
См. "поставщик услуг"
|
|
Внутренняя группа (internal group)
|
Не определен
|
3.14
Часть организации-поставщика услуг, вступающая в документально оформленное соглашение с поставщиком услуг для содействия проектированию, развитию, предоставлению и совершенствованию услуг.
Примечание - Внутренняя группа находится вне сферы действия SMS поставщика услуг
|
См. "поставщик услуг"
|
|
Известная ошибка (known error)
|
Не определен
|
3.15
Проблема, которая имеет установленную основную причину, метод снижения или устранения ее воздействия на услуги путем ее обхода
|
См. "инцидент" и "проблема"
|
|
Система менеджмента (management system)
|
2.26
Структура, включающая политики (2.28), процедуры (2.30), рекомендации (2.16) и взаимосвязанные ресурсы для достижения целей организации
|
Система менеджмента определяется в примечании 1 определения системы менеджмента услуг:
"Примечание 1 - Система менеджмента является совокупностью взаимосвязанных или взаимодействующих элементов для создания политики и целей, а также для достижения этих целей"
|
Используется в ИСО/МЭК 20000-1 для упоминания "других систем менеджмента", в ИСО/МЭК 20000-1 называется как "система менеджмента услуг"
|
|
Неотказуемость (nonrepudiation)
|
2.27
Возможность подтвердить происхождение заявленного события (2.15) или действия и наличие сущностей, от которых оно исходит, с целью разрешения споров о возникновении или не возникновении события (2.15) или действия и вовлечения сущностей в это событие (2.15)
|
Не определен или не используется
|
Нет прямого эквивалента
|
|
Организация (organization)
|
Не определен
|
3.17
Группа работников и необходимых средств с распределением ответственности, полномочий и взаимоотношений.
Пример - Компания, корпорация, фирма, предприятие, учреждение, благотворительная организация, предприятие розничной торговли, ассоциация, а также их подразделения или комбинация из них.
Примечание 1 - Распределение обычно является упорядоченным.
Примечание 2 - Организация может быть государственной или частной.
[ИСО 9000:2005]
|
В ИСО/МЭК 20000-1 используются термины "поставщик услуг" и "организация" для разных сущностей, поскольку в любых пояснениях для интегрированной системы менеджмента различие является существенным. См. "поставщик услуг"
|
|
Политика (policy)
|
2.28
Общая концепция и направление деятельности, формально выраженные руководством
|
Не определен
|
Слово "политика" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: (политика) план действий, обычно основанный на определенных принципах, выбранных органом или лицом; принцип или совокупность принципов, на которых должны основываться решения; линия поведения, которой нужно придерживаться.
Политики в ИСО/МЭК 20000-1 используются для руководящих указаний. Некоторые из них требуются стандартом ИСО/МЭК 20000-1, включая политику менеджмента услуг. Использование их в основном одинаково в обоих стандартах
|
|
Предупреждающее действие (preventive action)
|
2.29
Действие, предпринятое для устранения причин потенциального несоответствия или иной потенциально нежелательной ситуации.
[ИСО 9000: 2005]
|
3.18
Действие по избеганию, или устранению причины или уменьшению вероятности возникновения потенциального несоответствия или иной потенциально нежелательной ситуации.
Примечание - Адаптировано из ИСО 9000:2005
|
Определения различаются, так как определение в ИСО/МЭК 20000-1 было расширено, чтобы включить: предупреждающее действие, которое не устраняет причину, но каким-то образом обходит ее, чтобы избежать влияния.
В обоих стандартах используется одинаковый термин, но существуют различия в его значении. Не всегда можно или нужно принимать предупреждающие действия в рамках менеджмента услуг. Вместо этого может быть лучше/эффективнее по затратам избежать повторного проявления. Поэтому, чтобы учесть такую возможность, определение из ИСО 9000 было адаптировано в ИСО/МЭК 20000-1.
Это связывает корректирующее действие в ИСО/МЭК 20000-1 (определении 3.6) и ИСО/МЭК 27000 (определении 2.12)
|
|
Проблема (problem)
|
Не определен
|
3.19
Основная причина одного или
нескольких инцидентов.
Примечание - Во время создания записи о проблеме основная причина обычно неизвестна, и за дальнейшее рассмотрение отвечает процесс менеджмента проблем
|
См. "инцидент" и "известная ошибка"
|
|
Процедура (procedure)
|
2.30
Установленный способ осуществления деятельности или процесса (2.31).
[ИСО 9000:2005]
|
3.20
Установленный способ осуществления деятельности или процесса.
[ИСО 9000:2005]
Примечание - Процедуры могут быть документированными или недокументированными
|
Оба определения основаны на ИСО 9000. В общих чертах они сходны. Отличаются только примечания, т.е. процедуры могут быть недокументированными, однако в ИСО/МЭК 20000-1 все процедуры упоминаются как "документированные процедуры". Те процедуры, которые являются частью плана, документируются как часть этого плана
|
|
Процесс (process)
|
2.31
Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.
[ИСО 9000:2005]
|
3.21
Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.
[ИСО 9000:2005]
|
Оба определения, основанные на ИСО 9000:2005, одинаковы
|
|
Запись (record)
|
2.32
Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.
[ИСО 9000:2005]
|
3.22
Документ, содержащий достигнутые результаты или свидетельства осуществленной деятельности.
[ИСО 9000:2005]
Пример - Отчеты о результатах аудита, отчеты об инцидентах, записи об обучении или протоколы совещаний
|
Оба определения, основанные на ИСО 9000:2005, одинаковы
|
|
Выпуск (release)
|
Не определен или не используется
|
3.23
Совокупность одного или нескольких новых или измененных CI, введенных в рабочую среду в результате одного или более изменений
|
Нет прямого эквивалента
|
|
Достоверность (reliability)
|
2.33
Свойство непротиворечивого предусмотренного поведения и результатов
|
Имеет отношение к информационной безопасности в пункте 3.11:
"Примечание 1 - Дополнительно данный термин может также включать и другие свойства, такие как, аутентичность, подотчетность, неотказуемость и достоверность"
|
Слово "достоверность (reliability)" используется в ИСО/МЭК 20000-1 в обычном смысле, присущем английскому языку: надежность (trustworthiness).
См. подраздел 9.1 ИСО/МЭК 20000-1: "Должен осуществляться менеджмент CMDB для обеспечения уверенности в ее точности и достоверности, включая уп |
