而ISO/IEC20000 IT服务管理质量标准提供基于ITSM 的度量,其标准着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务水准协议进行计划、推行和监控,并强调与客户的沟通。

该标准同时关注体系的能力,体系变更时所要求的管理水平、财务预算、软件控制和分配。

原理和方法。

ISO27000信息安全管理体系标准有效的保护信息资源,保护信息化进程健康、有序、可持续发展。

ISO27001是信息安全领域的管理体系标准,类似于质量管理体系认证的ISO9000标准。

ISO/IEC20000是有效解决IT行业中的如何控制这个IT服务的整体风险(无论是内部还是外部),提高IT的整体服务水平的问题。

因此ISO27000较ISO20000适用的领域面更广阔,但ISO20000是就IT行业的管理标准更具专业性和针对性。

iso27001认证

首先,必须注意,ISO 27001的全名是“ ISO / IEC 27001 –信息技术–安全技术–信息安全管理系统–要求”。

它是国际标准化组织(ISO)与国际电工委员会(IEC)联合发布的关注信息安全的**国际标准,两者都是开发国际标准的**国际组织;ISO-27001是为处理信息安全而开发的一组标准的一部分:

ISO / IEC 27000系列。

ISO 20000认证

ISO 20000也是非常相似的SMS(服务管理系统),它定义,实施,管理和改进IT服务,从设计到发布并在实时环境中进行改进和管理;这远远超出了服务的功能,涵盖了如何构建服务,如何使用服务以及如何处理发生的问题;它还包括您如何设置组织,对第三方的处理,报告和客户满意度/投诉/赞誉等。

iso20000和iso27001的区别

ISO 20000是基于过程的,尽管ISO 27001并非明确基于流程,但是如果您查看附件A(用于管理风险的控件列表),则需要定义许多控件,ISO 20000流程处理与ISO 27001控件相同的主题;让我们看看您的ISMS实施在其风险评估范围内可能需要的几个示例:

容量 – ISO 27001要求提供支持所需系统性能的容量,ISO 20000在容量要求,计划和监视方面更加详细。

配置 –两种标准对支持IT服务所需的资产(即信息处理)都有严格的要求,ISO 20000更深入,并提出了更详细的要求。

事件 –信息安全事件只是ISO 20000中的一类事件,如果您在ISO 20000中实施了事件管理,那么对于ISO 27001的实施也足够了。

变更 –这两个标准都要求实施变更管理,ISO 20000将变更管理视为对许多活动的控制,从规划和设计IT服务到服务在实时环境中进行控制。

供应商 –两种标准都将供应商视为管理系统的重要要素之一,ISO20000认证要求对与供应商及其子供应商的关系进行更多控制。

因此,那些声称,如果您拥有一项标准,那么您已经拥有另一项标准的很大一部分,那基本上是正确的。

从ISO 20000的角度来看,该标准要求实施信息安全管理,IT服务连续性和可用性过程;这两个过程的要求与ISO 27001定义的ISMS要求非常吻合,因此,如果已采用ISO 27001,则对ISO 20000实施将有很大帮助。