ISO22000認(rèn)證和ISO27000認(rèn)證是IT企業(yè)常做的兩種認(rèn)證他們的區(qū)別在哪里呢?

    ISO27000認(rèn)證雖然也是做IT企業(yè)的但面對(duì)的點(diǎn)是信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范，強(qiáng)調(diào)以風(fēng)險(xiǎn)控制點(diǎn)的方式來(lái)達(dá)到信息安全的目的。雖然是不同的側(cè)重點(diǎn)不過(guò)ISO20000和ISO27000還是有很多共同點(diǎn)的。比如在：事件管理、業(yè)務(wù)連續(xù)性管理、信息資產(chǎn)管理標(biāo)準(zhǔn)等。所以一般企業(yè)都會(huì)把ISO20000和ISO270000認(rèn)證一起實(shí)施，用兩套體系的互補(bǔ)特性得到充分的發(fā)揮。

    綜上所述ISO20000適用于IT服務(wù)部門(mén)，一般是企業(yè)的IT部門(mén)做的認(rèn)證，ISO27000適用于整個(gè)IT企業(yè)，不僅是研發(fā)部門(mén)還有包括財(cái)務(wù)，人事，業(yè)務(wù)等多個(gè)部門(mén)。

ISO27001和ISO20000是兩個(gè)獨(dú)立的國(guó)際標(biāo)準(zhǔn)，分別關(guān)注信息安全管理和IT服務(wù)管理。雖然兩個(gè)標(biāo)準(zhǔn)都與企業(yè)的安全和可靠性有關(guān)，但它們具有不同的焦點(diǎn)和目標(biāo)，并且適用于不同類(lèi)型的組織。

ISO27001是一個(gè)系統(tǒng)性的框架，旨在幫助企業(yè)設(shè)計(jì)、實(shí)施和維護(hù)一個(gè)信息安全管理體系(ISMS)。ISMS是一個(gè)全面的安全管理系統(tǒng)，掃描所有潛在的安全風(fēng)險(xiǎn)和威脅，并采取行動(dòng)措施以減輕這些風(fēng)險(xiǎn)，使企業(yè)信息資產(chǎn)安全。ISO27001認(rèn)證并不是義務(wù)性的，但是對(duì)于有敏感信息的組織來(lái)說(shuō)會(huì)增加信任度和競(jìng)爭(zhēng)優(yōu)勢(shì)。

ISO20000是一個(gè)IT服務(wù)管理體系(ISMS)的框架，它可以幫助組織建立和維護(hù)一個(gè)可靠、高效的IT服務(wù)管理系統(tǒng)。ISO20000標(biāo)準(zhǔn)確保IT服務(wù)的交付、監(jiān)測(cè)、度量和改進(jìn)，以提高服務(wù)質(zhì)量、增加客戶(hù)滿(mǎn)意度和提高競(jìng)爭(zhēng)力。ISO20000認(rèn)證不僅僅是企業(yè)必須的，它還比較常見(jiàn)的是外包企業(yè)或者IT服務(wù)提供商。

ISO27001和ISO20000的區(qū)別

ISO27001和ISO20000的區(qū)別在于，前者側(cè)重于保護(hù)信息資產(chǎn)，后者側(cè)重于優(yōu)化IT服務(wù)管理。兩個(gè)標(biāo)準(zhǔn)都強(qiáng)調(diào)了建立體系和維護(hù)流程，但是對(duì)于各個(gè)領(lǐng)域提供的服務(wù)有不同的關(guān)注點(diǎn)。

具體的差別如下：

1） 目標(biāo)

ISO27001的目標(biāo)是幫助組織設(shè)計(jì)、實(shí)施和維護(hù)安全管理體系，從而保護(hù)下面的所有信息資產(chǎn)。ISO20000的目標(biāo)是幫助組織設(shè)計(jì)、實(shí)施和維護(hù)IT服務(wù)管理體系，以提高IT服務(wù)的交付、監(jiān)測(cè)、度量和改進(jìn)，從而提高IT服務(wù)質(zhì)量和客戶(hù)滿(mǎn)意度。

2） 適用范圍

ISO27001適用于所有組織，無(wú)論是公共部門(mén)、私營(yíng)企業(yè)還是非營(yíng)利組織。ISO20000通常適用于IT服務(wù)提供商、內(nèi)部IT部門(mén)和外包IT服務(wù)提供商。

3） 關(guān)注領(lǐng)域

ISO27001強(qiáng)調(diào)信息安全，例如：

- 安全策略和流程
- 風(fēng)險(xiǎn)管理和監(jiān)測(cè)
- 物理安全控制
- 網(wǎng)絡(luò)安全控制
- 人員安全
- 處理報(bào)告等等

ISO20000主要關(guān)注IT服務(wù)管理，例如：

- 服務(wù)管理體系
- 交付、運(yùn)營(yíng)和支持流程
- 服務(wù)質(zhì)量和性能度量
- 客戶(hù)體驗(yàn)
- 常規(guī)運(yùn)營(yíng)等等

4） 認(rèn)證過(guò)程

ISO27001認(rèn)證過(guò)程包括評(píng)審和認(rèn)證，通常需要8-12周以完成。評(píng)審由一家獨(dú)立的認(rèn)證機(jī)構(gòu)評(píng)估體系的符合性，認(rèn)證機(jī)構(gòu)會(huì)決定是否頒發(fā)認(rèn)證證書(shū)。

ISO20000的認(rèn)證過(guò)程包括評(píng)審和認(rèn)證，具體取決于您選擇的認(rèn)證機(jī)構(gòu)。評(píng)審關(guān)注的重點(diǎn)是證明組織已經(jīng)實(shí)施了一系列IT服務(wù)管理的流程和控制，并對(duì)其進(jìn)行了度量和監(jiān)測(cè)。

結(jié)論

ISO27001和ISO20000是兩個(gè)獨(dú)立的標(biāo)準(zhǔn)，旨在優(yōu)化組織信息安全和IT服務(wù)管理。雖然兩個(gè)標(biāo)準(zhǔn)都關(guān)注體系的建立和流程的維護(hù)，但是適用領(lǐng)域有所不同。通過(guò)了解兩個(gè)標(biāo)準(zhǔn)之間的區(qū)別，您可以更好地決定組織需要哪個(gè)標(biāo)準(zhǔn)，并確定如何應(yīng)用標(biāo)準(zhǔn)以提高業(yè)務(wù)安全和IT服務(wù)質(zhì)量。

什么是ISO27000認(rèn)證？

ISO27000，即“信息安全管理體系標(biāo)準(zhǔn)”，ISO27000信息安全管理體系是適用于各種類(lèi)型、規(guī)模和特性的組織，如：商業(yè)企業(yè)、機(jī)構(gòu)、非盈利組織等。ISO27000體系為適應(yīng)不同組織或其部門(mén)的需要而定制的安全控制措施的實(shí)施要求。信息安全對(duì)每個(gè)企業(yè)或組織來(lái)說(shuō)都是需要的，所以信息安全管理體系認(rèn)證具有普遍的適用性，不受地域、產(chǎn)業(yè)類(lèi)別和公司規(guī)模限制。目前是涉及電信、保險(xiǎn)、銀行、數(shù)據(jù)處理中心、IC制造和軟件外包等行業(yè)的企業(yè)獲得認(rèn)證的較多。

ISO27000信息安全管理體系，該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全，采用PDCA過(guò)程方法，基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。信息安全管理體系標(biāo)準(zhǔn)，是一套科學(xué)有效的管理體系保障，是從預(yù)防控制的角度出發(fā)，保障企業(yè)的信息系統(tǒng)與業(yè)務(wù)之安全與正常運(yùn)作。

什么是ISO20000認(rèn)證？

ISO20000，即“信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)”，是面向機(jī)構(gòu)的IT服務(wù)管理標(biāo)準(zhǔn)。而ISO/IEC20000 IT服務(wù)管理質(zhì)量標(biāo)準(zhǔn)提供基于ITSM 的度量，其標(biāo)準(zhǔn)著重于通過(guò)“IT服務(wù)標(biāo)準(zhǔn)化”來(lái)管理IT問(wèn)題，即將IT問(wèn)題歸類(lèi)，識(shí)別問(wèn)題的內(nèi)在聯(lián)系，然后依據(jù)服務(wù)水準(zhǔn)協(xié)議進(jìn)行計(jì)劃、推行和監(jiān)控，并強(qiáng)調(diào)與客戶(hù)的溝通。該標(biāo)準(zhǔn)同時(shí)關(guān)注體系的能力，體系變更時(shí)所要求的管理水平、財(cái)務(wù)預(yù)算、軟件控制和分配。

ISO 20000，目的是提供建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)IT服務(wù)管理體系(ITSM)的模型。建立IT服務(wù)管理體系(ITSM)已成為各種組織，特別是金融機(jī)構(gòu)、電信、高科技產(chǎn)業(yè)等管理運(yùn)營(yíng)風(fēng)險(xiǎn)不可缺少的重要機(jī)制。ISO 20000讓IT管理者有一個(gè)參考框架用來(lái)管理IT服務(wù)，完善的IT管理水平也能通過(guò)認(rèn)證的方式表現(xiàn)出來(lái)。

他們兩者有何區(qū)別？

ISO27000信息安全管理體系標(biāo)準(zhǔn)有效的保護(hù)信息資源,保護(hù)信息化進(jìn)程健康、有序、可持續(xù)發(fā)展。ISO27000是信息安全領(lǐng)域的管理體系標(biāo)準(zhǔn)，類(lèi)似于質(zhì)量管理體系認(rèn)證的ISO9000標(biāo)準(zhǔn)。

ISO/IEC20000是有效解決IT行業(yè)中的如何控制這個(gè)IT服務(wù)的整體風(fēng)險(xiǎn)(無(wú)論是內(nèi)部還是外部)，提高IT的整體服務(wù)水平的問(wèn)題。因此ISO27000較ISO20000適用的領(lǐng)域面更廣闊，但I(xiàn)SO20000是就IT行業(yè)的管理標(biāo)準(zhǔn)更具專(zhuān)業(yè)性和針對(duì)性。