客服热线:
手机版
二维码
ISO27001与ISO20000的区别是什么
ISO 27001是1个组织的全面或部分信息安全管理体系评估的基础,它能够作为对1个组织的全面或部分信息安全管理体系进行评审认证的标准。
ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。
相关补贴政策
关于开展2019年度余杭区信息服务产业财政资助与奖励项目申报的通知奖励标准:按照国际、国家和行业标准等级分别给予100万元、50万元和30万元奖励。
(二)企业资质升级项目及奖励标准:对通过计算机集成资质(CMMI)3级、4级、5级认证的企业,分别奖励15万元、30万元、60万元;对通过信息技术服务标准资质(ITSS)三级、二级、一级认证的企业,分别奖励10万元、20万元、25万元;对通过信息安全服务资质三级、二级、一级认证的企业,分别奖励5万元、10万元、15万元;对通过人力资源成熟度模型(PCMM)、信息安全管理(ISO27001/BS7799)、IT服务管理(ISO20000)、服务提供商环境安全性(SAS70)、云计算服务信息安全管理体系(ISO27017)、云隐私保护(ISO27018)等相关国际、国内权威机构认证的企业,每项奖励5万元;单个企业最高补助额不超过60万元。
关于申报2019年东莞市经济和信息化专项资金(信息化专业认证领域)的通知
4. 获得信息技术服务管理体系标准认证(ISO20000)的, 最高奖励 5 万元;
5. 获得信息安全管理体系标准认证(ISO27001)的,最高奖励 5 万元;
重庆市经济和信息化委员会重庆市财政局关于做好2020年第一批重庆市工业和信息化专项资金项目申报工作的通知
补助标准:通过CMMI四级、五级分别奖励20万、30万;DCMM二级、三级、四级分别奖励20万元、30万元、50万元;ITSS一、二级分别奖励20万元、10万元;ISO27001奖励15万元。同一企业通过多项认证可累加奖励,单个项目补助金额不超过100万元。
ISO27001与ISO20000体系融合
ISO27001与ISO20000体系融合
ISO20000和ISO27001等关注不同的领域,可是不同标准在信息安全方面存在交叉,同时,由于ISO20000和ISO27001两者都属于国际标准,因此在宏观上又存在相似之处,为了避免重复性项目建设,同时也为了将两种体系尽量融合,给出整合建议。
借助于安信达咨询公司以前在多家企业的ISO20000和ISO27001咨询项目中的ISO20000&ISO27001体系整合实施的经验,本项目中,安信达将尽可能实现ISO27001和ISO20000标准的体系融合,尽量避免重复建设及标准的冲突,同时将考虑与及ISO9000的体系融合与接口。
ISO20000和ISO27001整合思路
将两个体系作为1个整体的体系来建设,这样最终仅有一套体系文件。主要思路是:
ISO20000、ISO27001、ISO9000具有相同的文档体系结构:定义相同的体系文档结构,包含管理层承诺、目标、方针、组织架构、管理体系要求和PDCA等方面的要求,这种文档体系以满足标准的共同要求。
ISO20000和ISO27001在信息安全方面具有交叉内容,而ISO27001在信息安全方面完全覆盖ISO20000中信息安全的要求部分,同时1个企业只能存在一种安全标准,因此,信息安全主要以ISO27001构建为主,同时考虑ISO20000的信息安全的要求,做好两个标准的接口。
必须实现文件编码方面的整合,争取两个体系采用类似或者同样的文件编码结构,如ISO20000体系可采用ITSM-2-IM-01形式,其中第一段代表所属体系简写,第二段代表文件阶层,第三段代表控制域或者过程缩写,第四段采用顺序号来编号。
CMMI和ISO27001在信息系统的开发及维护上存在交叉内容,ISO27001体系要求在信息系统开发过程中需符合ISO27001 A12(信息系统的开发及维护)中的安全管控要求,以满足ISO27001的整体安全管控要求。因此要做好软件定制中安全管理与信息安全的接口。
CMMI和ISO20000在软件的变更、发布以及新服务或变更的服务交付上存在交叉内容,因此在整合文档时要考虑以上几点,并界定两个体系的接口。
ISO9000的章节7.1和7.3(产品交付)与ISO20000的新服务和变更的服务(章节5)存在交叉,ISO9000的章节7.2与ISO20000顾客关系管理方面存在交叉,因此在整合文档时会覆盖ISO9000的相关内容。
ISO20000和ISO27001融合的体系文件结构
多个体系可公用一套体系文件,整个体系分为四阶:
一阶:主要是Statement和手册,定义了体系的目标、组织架构、管理层声明、管理者代表和体系的总体要求的纲领性文件。
二阶:各个体系的流程层面的管理指引文件,在二阶文件中来最大限度的整合ISO27001&ISO20000体系的管理流程,信息安全的流程尽力整成1个文件。所有的二阶流程文件都是各个体系的流程层面的指引,规定了各个流程的整体活动、角色、执行原则、KPI要求等方面。
三阶:各体系的执行层面的规章制度,例如服务台热线操作手册、系统使用说明等。假如存在总公司-分公司管理、或者不同顾客的要求有很大的不同时,可在相应二阶流程指引的框架下,在三阶文件中制定不同的执行制度,例如可制定各个分运维中心的事件管理流程或事件操作制度。
四阶:各体系的文件记录和相关报表。
