ISO 20000是面向機構的IT服務管理標準，目的是提供建立、實施、運作、監控、評審、維護和改進IT服務管理體系(ITSM)的模型。建立IT服務管理體系(ITSM)已成為各種組織，特別是金融機構、電信、高科技產業等管理運營風險不可缺少的重要機制。ISO 20000讓IT管理者有一個參考框架用來管理IT服務，完善的IT管理水平也能通過認證咨詢的方式表現出來。

ISO/IEC27001:2005的iso認證流程建議是 “Information technology- Security techniques-Information security management systems-requirements”，可翻譯為“信息技術- 安全技術-信息安全管理體系 要求”。它規定信息安全管理體系要求與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為對一個組織的全面或部分信息安全管理體系進行評審認證咨詢的標準。

前者針對整體的信息服務管理，后者針對信息安全管理。

認證咨詢費用則和企業規模，具體業務等有關。

網上有這么一篇iso質量體系證書，不知道對你有沒有幫助，你看看吧！

各行業許多企業都根據業務所需選擇不同的國際、國內標準搭建了信息安全管理體系（ISMS），無論是基于國際信息安全標準ISO27000，還是基于單位標準單位等級保護測評準則的要求，信息安全管理體系（ISMS）的建立并不是一蹴而就的。在建立信息安全管理體系（ISMS）過程中企業會投入很多資源進行資產收集、風險評估、采取種種控制措施降低風險、且制定相關的管理制度規范以降低企業風險，提升員工信息安全意識，從而達到提升企業整體信息安全管理水平。但如何可以真正的將信息安全管理體系落到實處，而不僅僅停留在一年一到兩次的風險評估、突擊性的控制措施實施和一套看似完備的信息安全管理制度，這可能是許多信息安全管理體系管理者經常思考且關注的話題。就此話題，我想簡單總結一下在這方面的經驗，希望籍此能啟發您的更多靈感。

ISO已為信息安全管理體系標準預留了ISO/IEC27000系列編號，是信息安全管理體系標準

規劃的ISO27000系列包含下列標準

ISO 27000 原理與術語

ISO 27001 信息安全管理體系—要求

ISO 27002 信息技術—安全技術—信息安全管理實踐規范 (ISO/IEC 17799:2005)

ISO 27003 信息安全管理體系—風險管理

ISO 27004 信息安全管理體系—指標與測量 ISO 27005 信息安全管理體系—實施南

ISO 27003 信息安全管理體系—風險管理

ISO 27004 信息安全管理體系—指標與測量

ISO 27005 信息安全管理體系—實施指南