新闻中心
ISO27001和ISO20000相辅相成,组合认证优势更大-领汇认证中心
一、ISO27001和ISO20000相辅相成,但又有所区别:
1.主体的侧重点不同
ISO20000 以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001 以控制点/控制措施为主,比较具体。
2.体系规范的侧重点有所不同
ISO20000是面向IT服务管理的质量体系标准,而ISO27001是面向信息安全的质量标准规范,ISO20000强调以流程的方式达到质量管理标准,ISO27001强调以风险控制点的方式来达到信息安全管理的目的。
3.体系规范存在的共性特征
如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000 与ISO27001认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范地控制公司的服务运维体系与安全管理。
4.范围不一样
ISO20000适用于企业的IT服务部门,通常是IT部门;ISO27001 适用于整个企业,不仅是IT 部门,还包括业务部门、财务、人事等部门。
综合来看,ISO27001较ISO20000适用的领域面更广阔,但ISO20000是就IT行业的管理标准更具专业性和针对性。
二、ISO27001和ISO20000相互包含,彼此互补,综合认证,优势明显
关于整体的IT服务管理体系,它是针对企业中如何进行IT系统的运行服务管理的体系。这里有三个关键词语值得注意,一是IT系统,假如一个组织的业务对IT系统的依赖不大,那就不必上此套管理体系;二是运行,最终目的强调的是IT系统的可用性,这才是整个ISO20000管理体系的核心;三是服务管理,主要说明运行维护是一项服务,服务等级管理及服务报告是服务管理的核心体现,也是ISO20000的精髓。在ISO20000的13个流程中有信息安全管理流程,标准中注明了信息安全管理要参考ISO17799。从这个层面理解,ISO20000应该包含ISO27001的内容。
但是,从整个组织管理的方向看,ISO27001应当包含ISO20000。为什么这么理解?这可以从ISO27001在组织管理中所起的作用来分析。27001主要讲的是信息安全管理体系的建设、运行、维护和改进。在信息安全管理的目的,标准中反复强调的是保证信息的保密性、完整性和可用性,而我们极易陷入的误区是信息安全就是保密性,不涉及到完整性和可用性,实际上三者的整合才是信息安全管理的目的。前面已经提到,ISO20000的最终目的是要管理IT系统的可用性,实际上只是完成了ISO27001中的可用性管理。而且从IT系统的生命周期看,20000管的是系统建设完成后的可用性管理,27001管的是从需求到开发到运行维护整个IT系统生命周期的可用性管理。从这个角度理解,仅仅对于可用性的管理,27001需要管理的范围就更大,而且,27001还要管理信息的保密性和完整性。当然,信息的完整性是个基本要求,信息不完整也意味者不可用,因此,无论是27001还是20000,对完整性的管理都是基本要求,因此,对于一个较依赖IT系统的组织来说,27001的内容涵盖20000的内容。做好20000对于27001的建设是很有好处的。
ISO20000的服务管理思想是ISO27001所不具备的,对于负责运维管理和安全管理的组织中的团队来说,服务管理的思想都是值得参考和采用的,所以服务级别协议和服务报告是首先应该考虑融合、借鉴的。
综上所述,ISO20000与ISO27001有着许多的相似点与不同点,大多数企业都会选择一同认证ISO20000与ISO27001,更全面的使两个体系在企业自身发挥互补且增加管理的作用。领汇认证中心深耕IT行业资质体系认证多年,拥有资深专家团队,主要为企业提供CMMI、ITSS、ISO体系、高企认定等资质认证办理服务,根据企业发展需求制定专业化认证办理方案,如果您在此方面有任何问题,欢迎拨打电话热线400-800-6621进行咨询!