信息技术管理ISO20000/信息安全管理ISO27001

ISO 20000

ISO 20000，即"信息技术服务管理体系标准"，是面向组织机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系（ITSMS）的模型。

为什么要通过ISO20000？

伴随着企业IT 规模的扩大和IT 成熟度的提高，各类企业的成本管理、效率管理意识普遍增强。这时，向IT 管理要效益，要求更高的IT 服务水平，更强的运营管理能力迫在眉睫。

对IT 内部运营组织来说，IT 部门在企业的生产、管理环节发挥着重要作用。例如在银行、电信、政府、物流仓储，以及其他生产型企业当中，IT 运营管理成为核心业务运作依托的根本手段，也成为企业成本控制和效率提升的关键部分。

在这种情形下，提升组织内部的IT 服务水平和建立基于流程的高效率运作机制，可以为企业业务部门提供性价比更高的IT 服务支持，从而确保业务的高效运转，缩减运营成本、提高业务盈利能力。

ISO20000认证优势

1.   建立IT保障部门一整套行之有效的持续改善机制和内控机制；

2.   就服务品质和服务承诺与客户及供应商达成一致，建立和客户及供应商统一的沟通平台，达到相关利益方均满意的IT服务管理目标；

3.   提高IT服务的可用性，可靠性和安全性，为业务用户提供高品质的服务；

4.   持续优化服务流程，提升服务水准，提高业务满意度；

5.   从总体上提高企业IT投资报酬率，提升企业的综合市场服务能力。

申请ISO20000认证的条件

1.中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件。

2.外国企业持有关机构的登记注册证明。 

3.申请方的IT服务管理体系已按ISO/IEC 20000-1:2005标准的要求建立，并实施运行3个月以上。 

4.至少完成一次内部审核，并进行了管理评审。 信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。 

ISO27001

ISO27001即信息安全管理体系，它以其严格的审查标准和权威的认证体系，成为全球应用最广泛与典型的信息安全管理标准，主要是针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护。

为什么要通过ISO27001

1. 引入信息安全管理体系就可以协调各个方面信息管理，从而使管理更为有效。

2. 增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，并为广大用户和服务提供商提供一个基础的设备管理。同时，把组织的干扰因素降到最小，创造更大收益。

3. 通过认证能保证和证明组织所有的部门对信息安全的承诺。

4. 通过认证可改善全体的业绩、消除不信任感。

5. 获得国际认可的机构的认证证书，可得到国际上的承认，拓展您的业务。

6. 通过认证将可以向其客户、竞争对手、供应商、员工和投资方展示其在同行内的领导地位;定期的监督审核将确保组织的信息系统不断地被监督和改善，使客户及利益相关方感受到组织对信息安全的承诺。

ISO27001认证优势

1.  通过定义、评估和控制风险，确保经营的持续性和能力；

2.  减少由于合同违规行为以及直接触犯法律法规要求所造成的责任 ；

3.  通过遵守国际标准提高企业竞争能力，提升企业形象；

4.  明确定义所有组织的内部和外部的信息接口目标：谨防数据的误用和丢失；

5.  建立安全工具使用方针；

6.  谨防技术诀窍的丢失 ；

7.  在组织内部增强安全意识；

8.  可作为公共会计审计的证据。

那些企业适合做ISO27001

一、以信息为生命线的行业：

1、金融行业：银行、保险、证券、基金、期货等

2、通信行业：电信、网通、移动、联通等

3、咨询服务公司：外贸、进出口、HR、猎头、会计师事务所等

二、对信息技术依赖度高的行业：

1、钢铁、半导体、物流
2、电力、能源

3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

三、工艺技术要求高

1、医药、精细化工
2、研究机构

 
 
ISO20000和ISO27001的异同

目前，有不少企业在通过ISO 27001认证后，也会另外取得ISO 20000以提升整体IT服务质量，但ISO 20000信息技术服务管理标准与ISO 27001信息安全管理标准中的联系在哪里，很多公司搞不清楚。

一、主体侧重点不同

ISO 20000：以流程为核心，定义了一系列比较抽象的流程目标。

ISO 27001：以控制点/控制措施为主，比较具体。 

 二、体系规范的侧重点有所不同

ISO 20000：是面向 IT 服务管理的质量体系标准，强调以流程的方式达到质量管理标准。

ISO 27001：是面向信息安全的质量标准规范，强调以风险控制点的方式来达到信息安全管理的目的。

三、范围不一样

ISO 20000：适用于企业的 IT 服务部门，通常是 IT 部门。

ISO 27001：适用于整个企业，不仅是 IT 部门，还包括：业务部门、财务、人事等部门。

目前，大多数的企业都会选择将 ISO 27001 和 ISO 20000 认证项目一同实施，使两套体系间的互补特性得到充分发挥，更全面、更规范地控制公司的安全与服务运维体系管理。

易企帮为您配备了优秀的项目辅导团队，协助您在最短的时间内同时通过ISO 27001 和 ISO 20000 认证。

想了解更多内容，可拨打电话进行咨询

187 6591 9376（金经理）

185 6143 5813（刘经理）