ISO27001信息安全管理体系和ISO20000信息技术服务管理体系,这两个认证的名称很相似,但内容却大不相同。 ISO 27001是评价组织整体或部分信息安全管理体系的基础,可作为组织整体或部分信息安全管理体系审核和认证的标准。 ISO20000是面向组织的IT服务管理标准,旨在为建立、实施、运行、监控、评审、维护和改进IT服务管理体系(ITSM)提供模型。 ISO20000以过程为核心,定义了一系列相对抽象的过程目标,而ISO27001侧重于控制点/控制措施,更加具体。
体系规范的侧重点不同:ISO20000是IT服务管理的质量体系标准,而ISO27001是信息安全的质量标准规范,ISO20000强调通过过程实现质量管理标准,ISO27001强调风险控制点。达到信息安全管理的目的。系统规范的共同特征,如:事件管理、业务连续性管理、信息资产管理等,大部分企业会选择同时实施ISO20000和ISO27001认证项目,这样两个系统的特征可以互补充分发挥、更、更规范地控制公司服务运维体系和安全管理。范围不同:ISO20000适用于企业的IT服务部门,通常是IT部门; ISO27001适用于整个企业,不仅是IT部门,还包括业务部门、财务、人事等部门。
ISO20000认证和ISO27001认证有本质的区别。 ISO20000是IT信息技术服务管理体系,ISO27001是信息安全管理体系。信息安全对于企业来说非常重要。在所有的信息安全事件中,只有20%-30%是由于黑客入侵或其他外部原因,70%-80%是内部员工疏忽或故意泄露造成的;同时,78%的企业数据泄露是由于内部员工的不规范操作造成的。因此,企业信息安全建设需要内外兼修,构建企业信息安全整体解决方案。企业可以通过办理ISO27001和ISO20000来提高自身的整体管理水平和信息安全标准。
