iso27001,iso20000,iso20000 iso27001?
ISO20000和ISO27001?
ISO/IEC 20000是 IT服務(wù)管理體系,適用于企業(yè)的IT服務(wù)部門,通常是IT部門 ISO/IEC 27001 ...
ISO/IEC27001:2005的iso認(rèn)證流程建議是 “Information technology- Security ...
ISO 20000是面向機(jī)構(gòu)的IT服務(wù)管理標(biāo)準(zhǔn),目的是提供建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)IT服務(wù)管理體系...
瑞星有沒(méi)有ISO27001、ISO20000 證書(shū)?
瑞星沒(méi)有您提到的這兩個(gè)證書(shū)
iso20000,iso27001,itss能等效么?
認(rèn)證咨詢費(fèi)用的決定因素有多,包括組織審核范圍內(nèi)的員工數(shù)量、場(chǎng)所數(shù)、IT的復(fù)雜性、組織類型和業(yè)務(wù)性質(zhì)等等。每個(gè)組織的認(rèn)證咨詢費(fèi)用都各不相同
ISO20000和ISO27001映射關(guān)系是什么?
ISO20000主要是講的IT服務(wù)管理,里面包括運(yùn)維、事件、問(wèn)題等管理,ISO27001也包括了運(yùn)維、事件、問(wèn)題等管理,存在一定的交叉。
關(guān)于27001與20000的關(guān)系問(wèn)題,我想主要要從三個(gè)方面進(jìn)行分析:一是兩者在組織管理中的地位關(guān)系;二是兩者如何互相融合、借鑒;三是企業(yè)如何考慮使用這兩套標(biāo)準(zhǔn)。首先,來(lái)說(shuō)說(shuō)兩者在組織管理中的地位。我先接觸的是20000體系,而且在學(xué)之前系統(tǒng)學(xué)過(guò)ITIL理論。關(guān)于完整的IT服務(wù)管理體系,我的認(rèn)識(shí)是它是關(guān)于企業(yè)中如何進(jìn)行IT系統(tǒng)的運(yùn)行服務(wù)管理的體系。這里有三個(gè)關(guān)鍵詞語(yǔ)需要注意,一是IT系統(tǒng),如果一個(gè)組織的業(yè)務(wù)對(duì)IT系統(tǒng)的依賴不大,大可不必上此套管理體系;二是運(yùn)行,最終目的強(qiáng)調(diào)的是IT系統(tǒng)的可用性,這也是整個(gè)ISO20000管理體系的核心;三是服務(wù)管理,強(qiáng)調(diào)說(shuō)明運(yùn)行維護(hù)是一項(xiàng)服務(wù),服務(wù)級(jí)別管理及服務(wù)報(bào)告是服務(wù)管理的核心體現(xiàn),也是ISO20000的精髓。在ISO20000的13個(gè)流程中有信息安全管理流程,標(biāo)準(zhǔn)中注明了信息安全管理要參考ISO17799。從這個(gè)層面理解,ISO20000應(yīng)該包含ISO27001的內(nèi)容。這也是我學(xué)完ISO20000后的初步認(rèn)識(shí)和后來(lái)進(jìn)一步學(xué)習(xí)27001的動(dòng)機(jī),目的都是為了做好IT服務(wù)的管理。但是,當(dāng)我學(xué)完27001后,我才發(fā)現(xiàn),這個(gè)認(rèn)識(shí)是錯(cuò)誤的。正確的理解應(yīng)該是,從整個(gè)組織管理的角度看,ISO27001應(yīng)該包含ISO20000。為什么這么理解?這要從ISO27001在組織管理中所起的作用來(lái)分析。27001主要講的是信息安全管理體系的建設(shè)、運(yùn)行、維護(hù)和改進(jìn)。對(duì)于信息安全管理的目的,標(biāo)準(zhǔn)中反復(fù)強(qiáng)調(diào)的是保證信息的保密性、完整性和可用性,而我們最容易陷入的誤區(qū)是信息安全就是保密性,不牽涉到完整性和可用性,實(shí)際上三者的整合才是信息安全管理的目的。前面已經(jīng)提到,ISO20000的最終目的是要管理IT系統(tǒng)的可用性,實(shí)際上只是完成了ISO27001中的可用性管理。而且從IT系統(tǒng)的生命周期看,20000管的是系統(tǒng)建設(shè)完成后的可用性管理,27001管的是從需求到開(kāi)發(fā)到運(yùn)行維護(hù)整個(gè)IT系統(tǒng)生命周期的可用性管理。從這個(gè)角度理解,僅僅對(duì)于可用性的管理,27001需要管理的范圍就更大,而且,27001還要管理信息的保密性和完整性。當(dāng)然,信息的完整性是個(gè)基本要求,信息不完整也意味者不可用,因此,無(wú)論是27001還是20000,對(duì)完整性的管理都是基本要求。因此,我們基本可以得出結(jié)論,對(duì)于一個(gè)比較依賴IT系統(tǒng)的組織來(lái)說(shuō),27001的內(nèi)容包含20000的內(nèi)容。做好20000對(duì)于27001的建設(shè)是大有好處的,而且,對(duì)于一個(gè)有需求的組織來(lái)說(shuō)我也建議先上20000,再上27001。其次,來(lái)說(shuō)說(shuō)兩者之間如何融合、借鑒。ISO20000的服務(wù)管理思想是ISO27001所沒(méi)有的,對(duì)于承擔(dān)運(yùn)維管理和安全管理的組織中的團(tuán)隊(duì)來(lái)說(shuō),服務(wù)管理的思想都是值得借鑒和采用的,因此服務(wù)級(jí)別協(xié)議和服務(wù)報(bào)告是首先應(yīng)該考慮融合、借鑒的。ITIL流程管理的思路,我覺(jué)得不論是運(yùn)維管理還是信息安全管理都應(yīng)該采用,大家應(yīng)該好好學(xué)習(xí)和使用。尤其是對(duì)于27001的建設(shè),133個(gè)控制措施,點(diǎn)太多,根本就沒(méi)有串起來(lái)。我的感覺(jué)是應(yīng)該用服務(wù)臺(tái)、事件、問(wèn)題、變更、發(fā)布、配置管理將20000和27001的要求串起來(lái)。至于如何將27001的要求串起來(lái),可以作為一個(gè)課題討論、研究。ISO27001的風(fēng)險(xiǎn)管理的思想是一個(gè)非常好的且非常實(shí)用的思路,一定要融合及借鑒。綜合上述思路,可以歸納為“以服務(wù)管理的思想為指導(dǎo),以風(fēng)險(xiǎn)管理的思想為核心,以ITIL流程管理的思路為主線對(duì)ISO27001和ISO20000進(jìn)行融合”最后,說(shuō)說(shuō)組織應(yīng)該如何如何考慮使用這兩套標(biāo)準(zhǔn)。在這個(gè)話題上,組織應(yīng)該著重考慮兩個(gè)問(wèn)題。其一,這兩套標(biāo)準(zhǔn)公司需要嗎?其二,何時(shí)具備上的條件?我在這里主要強(qiáng)調(diào)的是第二個(gè)問(wèn)題,當(dāng)組織決定采用其中一個(gè)標(biāo)準(zhǔn)或兩個(gè)標(biāo)準(zhǔn)都采用時(shí),應(yīng)該具備的條件。要知道,一套體系的建設(shè)是高難度的工作。按照我理解的成熟度模型,體系的建設(shè)應(yīng)該是第三階段的工作。第一個(gè)階段為打基礎(chǔ)階段,主要解決日常工作和監(jiān)控的問(wèn)題;第二個(gè)階段是流程建設(shè)階段,要具備流程管理的能力;第三個(gè)階段才是體系建設(shè)階段。因此,一個(gè)組織在沒(méi)有經(jīng)歷前兩個(gè)階段前,不要盲目進(jìn)入體系建設(shè)階段。
軟件公司過(guò)ISO27001,ISO20000什么的,有用嗎?
作為軟件公司,應(yīng)更為關(guān)注軟件需求分析、iso認(rèn)證和開(kāi)發(fā)工程的過(guò)程及質(zhì)量管理,這方面應(yīng)該是CMMI的領(lǐng)域。20000更多適用于運(yùn)行維護(hù)的團(tuán)隊(duì)。27001適用面較廣,可以幫助軟件公司強(qiáng)化安全的管理。