Como todos sabemos (y los que no que lean atentamente) ISO 27001 (seguridad de la información) e ISO 20000 (gestión de servicios TI) tienen muchos puntos en común. La pergunta es evidente: ¿merece la pena implantar a la vez o es mejor comenzar por una de las dos normas?.
Para dar pistas sobre la respuesta (no dejan de ser opiniones) cabe resaltar que como aspectos comunes fundamentales tenemos:
- Análisis de riesgos
- Plan de continuidad de negocio
- Plan de capacidad
- Adquisiciones
- Mejora continua: no confirmidades, acciones preventivas y acciones correctivas.
- Auditoría interna
- Revisión por la dirección.
- Formación y concienciación.
- Etc.
Por lo tanto, ¿merece la pena implantar a la vez?.