iso20000及iso27001管理體系，iso20000及iso27001

中服質(zhì)量認(rèn)證 2022-08-31 07:50

【摘要】小編為您整理ISO20000和ISO27001、iso20000是什么管理體系、ISO20000和ISO27001映射關(guān)系是什么、iso27001是什么管理體系、ISO27001是什么管理體系相關(guān)iso認(rèn)證公司知識(shí)，詳情可查看下方正文！

ISO20000和ISO27001？

ISO/IEC 20000是 IT服務(wù)管理體系，適用于企業(yè)的IT服務(wù)部門，通常是IT部門 ISO/IEC 27001 ...

ISO/IEC27001:2005的iso認(rèn)證流程建議是 “Information technology- Security ...

ISO 20000是面向機(jī)構(gòu)的IT服務(wù)管理標(biāo)準(zhǔn)，目的是提供建立、實(shí)施、運(yùn)作、監(jiān)控、評審、維護(hù)和改進(jìn)IT服務(wù)管理體系...

iso20000是什么管理體系？

ISO/IEC20000標(biāo)準(zhǔn)發(fā)展于BS15000標(biāo)準(zhǔn)，始于1995年，后來幾經(jīng)發(fā)展迭代，成為了由兩部分內(nèi)容構(gòu)成ISO20000信息技術(shù)服務(wù)管理體系，并且被IT服務(wù)管理廣泛接受的標(biāo)準(zhǔn)。
1.1 什么是IT服務(wù)管理
1.2 為什么要實(shí)施基于ISO20000標(biāo)準(zhǔn)的IT服務(wù)管理隨著市場競爭的加劇和電子商務(wù)在世界范圍內(nèi)的興起，現(xiàn)在的企業(yè)必須持續(xù)不斷地和快速地對其業(yè)務(wù)進(jìn)行管理和變革。這些企業(yè)的業(yè)務(wù)很大一部分越來越依賴于其IT系統(tǒng)來提供使客戶滿意的服務(wù)，為了實(shí)現(xiàn)高質(zhì)量的服務(wù)管理，可以借鑒服務(wù)管理的“最佳實(shí)踐”。這些實(shí)踐在英國商務(wù)部開發(fā)的ITIL系列指南和英國率先開發(fā)的單位標(biāo)準(zhǔn)BS15000實(shí)施基礎(chǔ)上，最終形成了ISO20000國際標(biāo)準(zhǔn)。經(jīng)驗(yàn)表明，企業(yè)通過實(shí)施基于ISO20000的IT服務(wù)管理方案可以取得良好的效益，包括：

ISO/IEC 20000信息技術(shù)服務(wù)管理體系認(rèn)證咨詢通過，表明你的IT服務(wù)管理完全符合國際基準(zhǔn)。有助于提升過程協(xié)作，并提供高品質(zhì)的受管控的服務(wù)。ISO/IEC 20000信息技術(shù)服務(wù)管理體系證明你已經(jīng)根據(jù)業(yè)務(wù)功能成功進(jìn)行了IT系統(tǒng)的整合，實(shí)現(xiàn)無縫操作。

ISO20000是信息技術(shù)管理體系。ISO20000標(biāo)準(zhǔn)可以用于IT服務(wù)業(yè)，比如IT咨詢、系統(tǒng)集成、IT教育與培訓(xùn)、IT系統(tǒng)外包、業(yè)務(wù)流程外包、軟件與硬件維護(hù)與支持等服務(wù)；也可以應(yīng)用于組織內(nèi)部的IT服務(wù)部門，比如金融、電信等行業(yè)的數(shù)據(jù)中心等。ISO20000認(rèn)證條件如下：
1、企業(yè)信用：正常合法經(jīng)營三個(gè)月以上的企業(yè)，信用良好，沒有違規(guī)記錄；
2、人力資源：員工5人以上，有與業(yè)務(wù)相關(guān)的技術(shù)人員；
3、項(xiàng)目資源：有2個(gè)以上成熟的與認(rèn)證范圍相關(guān)的項(xiàng)目；
4、運(yùn)行時(shí)間：運(yùn)行體系三個(gè)月以上；
5、內(nèi)審管評：至少完成一次內(nèi)部審核，并進(jìn)行了管理評審。【法律依據(jù)】《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》第七條證券基金經(jīng)營機(jī)構(gòu)董事會(huì)負(fù)責(zé)審議本公司的信息技術(shù)管理目標(biāo)，對信息技術(shù)管理的有效性承擔(dān)責(zé)任，履行下列職責(zé)：（一）審議信息技術(shù)戰(zhàn)略，確保與本公司的發(fā)展戰(zhàn)略、風(fēng)險(xiǎn)管理策略、資本實(shí)力相一致；（二）建立信息技術(shù)人力和資金保障方案；（三）評估年度信息技術(shù)管理工作的總體效果和效率；（四）公司章程規(guī)定的其他信息技術(shù)管理職責(zé)。第九條證券基金經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)在公司管理層下設(shè)立信息技術(shù)治理委員會(huì)或指定專門委員會(huì)（以下統(tǒng)稱信息技術(shù)治理委員會(huì)）負(fù)責(zé)制定信息技術(shù)戰(zhàn)略并審議下列事項(xiàng)：（一）信息技術(shù)規(guī)劃，包括但不限于信息技術(shù)建設(shè)規(guī)劃、信息安全規(guī)劃、數(shù)據(jù)治理規(guī)劃等；（二）信息技術(shù)投入預(yù)算及分配方案；（三）重要信息系統(tǒng)建設(shè)或重大改造立項(xiàng)、重大變更方案；（四）信息技術(shù)應(yīng)急預(yù)案；（五）使用信息技術(shù)手段開展相關(guān)業(yè)務(wù)活動(dòng)的審查報(bào)告以及年度評估報(bào)告；（六）信息技術(shù)治理委員會(huì)委員提請審議的事項(xiàng)；（七）其他對信息技術(shù)管理產(chǎn)生重大影響的事項(xiàng)。信息技術(shù)治理委員會(huì)應(yīng)當(dāng)由高級管理人員以及合規(guī)管理部門、風(fēng)險(xiǎn)管理部門、稽核審計(jì)部門、主要業(yè)務(wù)部門、信息技術(shù)管理部門等部門負(fù)責(zé)人組成，可聘請外部專業(yè)人員擔(dān)任信息技術(shù)治理委員會(huì)委員或顧問。

ISO20000和ISO27001映射關(guān)系是什么？

ISO20000主要是講的IT服務(wù)管理，里面包括運(yùn)維、事件、問題等管理，ISO27001也包括了運(yùn)維、事件、問題等管理，存在一定的交叉。

關(guān)于27001與20000的關(guān)系問題，我想主要要從三個(gè)方面進(jìn)行分析：一是兩者在組織管理中的地位關(guān)系；二是兩者如何互相融合、借鑒；三是企業(yè)如何考慮使用這兩套標(biāo)準(zhǔn)。首先，來說說兩者在組織管理中的地位。我先接觸的是20000體系，而且在學(xué)之前系統(tǒng)學(xué)過ITIL理論。關(guān)于完整的IT服務(wù)管理體系，我的認(rèn)識(shí)是它是關(guān)于企業(yè)中如何進(jìn)行IT系統(tǒng)的運(yùn)行服務(wù)管理的體系。這里有三個(gè)關(guān)鍵詞語需要注意，一是IT系統(tǒng)，如果一個(gè)組織的業(yè)務(wù)對IT系統(tǒng)的依賴不大，大可不必上此套管理體系；二是運(yùn)行，最終目的強(qiáng)調(diào)的是IT系統(tǒng)的可用性，這也是整個(gè)ISO20000管理體系的核心；三是服務(wù)管理，強(qiáng)調(diào)說明運(yùn)行維護(hù)是一項(xiàng)服務(wù)，服務(wù)級別管理及服務(wù)報(bào)告是服務(wù)管理的核心體現(xiàn)，也是ISO20000的精髓。在ISO20000的13個(gè)流程中有信息安全管理流程，標(biāo)準(zhǔn)中注明了信息安全管理要參考ISO17799。從這個(gè)層面理解，ISO20000應(yīng)該包含ISO27001的內(nèi)容。這也是我學(xué)完ISO20000后的初步認(rèn)識(shí)和后來進(jìn)一步學(xué)習(xí)27001的動(dòng)機(jī)，目的都是為了做好IT服務(wù)的管理。但是，當(dāng)我學(xué)完27001后，我才發(fā)現(xiàn)，這個(gè)認(rèn)識(shí)是錯(cuò)誤的。正確的理解應(yīng)該是，從整個(gè)組織管理的角度看，ISO27001應(yīng)該包含ISO20000。為什么這么理解？這要從ISO27001在組織管理中所起的作用來分析。27001主要講的是信息安全管理體系的建設(shè)、運(yùn)行、維護(hù)和改進(jìn)。對于信息安全管理的目的，標(biāo)準(zhǔn)中反復(fù)強(qiáng)調(diào)的是保證信息的保密性、完整性和可用性，而我們最容易陷入的誤區(qū)是信息安全就是保密性，不牽涉到完整性和可用性，實(shí)際上三者的整合才是信息安全管理的目的。前面已經(jīng)提到，ISO20000的最終目的是要管理IT系統(tǒng)的可用性，實(shí)際上只是完成了ISO27001中的可用性管理。而且從IT系統(tǒng)的生命周期看，20000管的是系統(tǒng)建設(shè)完成后的可用性管理，27001管的是從需求到開發(fā)到運(yùn)行維護(hù)整個(gè)IT系統(tǒng)生命周期的可用性管理。從這個(gè)角度理解，僅僅對于可用性的管理，27001需要管理的范圍就更大，而且，27001還要管理信息的保密性和完整性。當(dāng)然，信息的完整性是個(gè)基本要求，信息不完整也意味者不可用，因此，無論是27001還是20000，對完整性的管理都是基本要求。因此，我們基本可以得出結(jié)論，對于一個(gè)比較依賴IT系統(tǒng)的組織來說，27001的內(nèi)容包含20000的內(nèi)容。做好20000對于27001的建設(shè)是大有好處的，而且，對于一個(gè)有需求的組織來說我也建議先上20000，再上27001。其次，來說說兩者之間如何融合、借鑒。ISO20000的服務(wù)管理思想是ISO27001所沒有的，對于承擔(dān)運(yùn)維管理和安全管理的組織中的團(tuán)隊(duì)來說，服務(wù)管理的思想都是值得借鑒和采用的，因此服務(wù)級別協(xié)議和服務(wù)報(bào)告是首先應(yīng)該考慮融合、借鑒的。ITIL流程管理的思路，我覺得不論是運(yùn)維管理還是信息安全管理都應(yīng)該采用，大家應(yīng)該好好學(xué)習(xí)和使用。尤其是對于27001的建設(shè)，133個(gè)控制措施，點(diǎn)太多，根本就沒有串起來。我的感覺是應(yīng)該用服務(wù)臺(tái)、事件、問題、變更、發(fā)布、配置管理將20000和27001的要求串起來。至于如何將27001的要求串起來，可以作為一個(gè)課題討論、研究。ISO27001的風(fēng)險(xiǎn)管理的思想是一個(gè)非常好的且非常實(shí)用的思路,一定要融合及借鑒。綜合上述思路，可以歸納為“以服務(wù)管理的思想為指導(dǎo)，以風(fēng)險(xiǎn)管理的思想為核心，以ITIL流程管理的思路為主線對ISO27001和ISO20000進(jìn)行融合”最后，說說組織應(yīng)該如何如何考慮使用這兩套標(biāo)準(zhǔn)。在這個(gè)話題上，組織應(yīng)該著重考慮兩個(gè)問題。其一，這兩套標(biāo)準(zhǔn)公司需要嗎？其二，何時(shí)具備上的條件？我在這里主要強(qiáng)調(diào)的是第二個(gè)問題，當(dāng)組織決定采用其中一個(gè)標(biāo)準(zhǔn)或兩個(gè)標(biāo)準(zhǔn)都采用時(shí)，應(yīng)該具備的條件。要知道，一套體系的建設(shè)是高難度的工作。按照我理解的成熟度模型，體系的建設(shè)應(yīng)該是第三階段的工作。第一個(gè)階段為打基礎(chǔ)階段，主要解決日常工作和監(jiān)控的問題；第二個(gè)階段是流程建設(shè)階段，要具備流程管理的能力；第三個(gè)階段才是體系建設(shè)階段。因此，一個(gè)組織在沒有經(jīng)歷前兩個(gè)階段前，不要盲目進(jìn)入體系建設(shè)階段。

iso27001是什么管理體系？

iso27001是信息安全管理體系。ISO27001即信息安全管理體系，它以其嚴(yán)格的審查標(biāo)準(zhǔn)和權(quán)威的認(rèn)證體系，成為全球應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)，主要是針對信息安全中的系統(tǒng)漏洞、黑客入侵、病毒感染等內(nèi)容進(jìn)行保護(hù)。引入信息安全管理體系就可以協(xié)調(diào)各個(gè)方面信息管理，從而使管理更為有效。ISO27001認(rèn)證的好處預(yù)防信息安全事故，保證組織業(yè)務(wù)的連續(xù)性，使組織的重要信息資產(chǎn)受到與其價(jià)值相符的保護(hù)，節(jié)省費(fèi)用。一個(gè)好的ISMS不僅可通過避免安全事故而使組織節(jié)省費(fèi)用，而且也能幫助組織合理籌劃信息安全費(fèi)用支出，保持組織良好的競爭力和成功運(yùn)作的狀態(tài)，提高在公眾中的形象和聲譽(yù)，最大限度的增加投資回報(bào)和商業(yè)機(jī)會(huì)。