目前,许多公司在通过ISO 27001认证后,还继续申请认证ISO 20000,以提高整体IT服务质量。但是很多企业并不确定,ISO 20000信息技术服务管理标准和ISO 27001信息安全管理标准之间的联系和区别在哪里?
大家都知道ISO27001的新版本已于2013年10月19日正式发布。ISO27001和ISO20000之间的链接将由小编进行解释。
区别:
ISO 20000是面向组织的IT服务管理标准。目的是提供一个用于建立,实施,操作,监视,审查,维护和改进IT服务管理系统的模型。
ISO / IEC27001是组织全面或部分信息安全管理体系评估的基础。它可以用作审查和认证组织的全面或部分信息安全管理系统的标准。
一、主体有不同的重点
ISO20000以流程为核心,定义了一系列相对抽象的流程目标,而ISO27001则专注于控制点/控制措施,并且更加具体。
二、系统规范的重点不同
ISO20000是用于IT服务管理的质量体系标准,而ISO27001是用于信息安全的质量标准规范。 ISO20000强调通过过程实现质量管理标准,而ISO27001强调使用风险控制点来达到信息安全管理的目的。
三、系统规范的共同特征
例如:事件管理,业务连续性管理,信息资产管理等,大多数公司会选择一起实施ISO20000和ISO27001认证项目,以便可以充分利用两个系统之间的互补功能,并且公司可以全面,规范服务运维系统和安全管理。
四、运用范围
1.ISO27001可以运用于整个企业,不仅适用于IT部门,还适用于人事部、财务部、市场部门和其他部门。
2.ISO20000可以运用于企业的IT服务部门,通常是IT部门。