ISO20000和ISO27001？

ISO/IEC 20000是 IT服務(wù)管理體系，適用于企業(yè)的IT服務(wù)部門，通常是IT部門 ISO/IEC 27001 ...

ISO/IEC27001:2005的iso認(rèn)證流程建議是 “Information technology- Security ...

ISO 20000是面向機(jī)構(gòu)的IT服務(wù)管理標(biāo)準(zhǔn)，目的是提供建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)IT服務(wù)管理體系...

ISO20000和ISO27001映射關(guān)系是什么？

ISO20000主要是講的IT服務(wù)管理，里面包括運(yùn)維、事件、問題等管理，ISO27001也包括了運(yùn)維、事件、問題等管理，存在一定的交叉。

關(guān)于27001與20000的關(guān)系問題，我想主要要從三個(gè)方面進(jìn)行分析：一是兩者在組織管理中的地位關(guān)系；二是兩者如何互相融合、借鑒；三是企業(yè)如何考慮使用這兩套標(biāo)準(zhǔn)。首先，來說說兩者在組織管理中的地位。我先接觸的是20000體系，而且在學(xué)之前系統(tǒng)學(xué)過ITIL理論。關(guān)于完整的IT服務(wù)管理體系，我的認(rèn)識(shí)是它是關(guān)于企業(yè)中如何進(jìn)行IT系統(tǒng)的運(yùn)行服務(wù)管理的體系。這里有三個(gè)關(guān)鍵詞語需要注意，一是IT系統(tǒng)，如果一個(gè)組織的業(yè)務(wù)對(duì)IT系統(tǒng)的依賴不大，大可不必上此套管理體系；二是運(yùn)行，最終目的強(qiáng)調(diào)的是IT系統(tǒng)的可用性，這也是整個(gè)ISO20000管理體系的核心；三是服務(wù)管理，強(qiáng)調(diào)說明運(yùn)行維護(hù)是一項(xiàng)服務(wù)，服務(wù)級(jí)別管理及服務(wù)報(bào)告是服務(wù)管理的核心體現(xiàn)，也是ISO20000的精髓。在ISO20000的13個(gè)流程中有信息安全管理流程，標(biāo)準(zhǔn)中注明了信息安全管理要參考ISO17799。從這個(gè)層面理解，ISO20000應(yīng)該包含ISO27001的內(nèi)容。這也是我學(xué)完ISO20000后的初步認(rèn)識(shí)和后來進(jìn)一步學(xué)習(xí)27001的動(dòng)機(jī)，目的都是為了做好IT服務(wù)的管理。但是，當(dāng)我學(xué)完27001后，我才發(fā)現(xiàn)，這個(gè)認(rèn)識(shí)是錯(cuò)誤的。正確的理解應(yīng)該是，從整個(gè)組織管理的角度看，ISO27001應(yīng)該包含ISO20000。為什么這么理解？這要從ISO27001在組織管理中所起的作用來分析。27001主要講的是信息安全管理體系的建設(shè)、運(yùn)行、維護(hù)和改進(jìn)。對(duì)于信息安全管理的目的，標(biāo)準(zhǔn)中反復(fù)強(qiáng)調(diào)的是保證信息的保密性、完整性和可用性，而我們最容易陷入的誤區(qū)是信息安全就是保密性，不牽涉到完整性和可用性，實(shí)際上三者的整合才是信息安全管理的目的。前面已經(jīng)提到，ISO20000的最終目的是要管理IT系統(tǒng)的可用性，實(shí)際上只是完成了ISO27001中的可用性管理。而且從IT系統(tǒng)的生命周期看，20000管的是系統(tǒng)建設(shè)完成后的可用性管理，27001管的是從需求到開發(fā)到運(yùn)行維護(hù)整個(gè)IT系統(tǒng)生命周期的可用性管理。從這個(gè)角度理解，僅僅對(duì)于可用性的管理，27001需要管理的范圍就更大，而且，27001還要管理信息的保密性和完整性。當(dāng)然，信息的完整性是個(gè)基本要求，信息不完整也意味者不可用，因此，無論是27001還是20000，對(duì)完整性的管理都是基本要求。因此，我們基本可以得出結(jié)論，對(duì)于一個(gè)比較依賴IT系統(tǒng)的組織來說，27001的內(nèi)容包含20000的內(nèi)容。做好20000對(duì)于27001的建設(shè)是大有好處的，而且，對(duì)于一個(gè)有需求的組織來說我也建議先上20000，再上27001。其次，來說說兩者之間如何融合、借鑒。ISO20000的服務(wù)管理思想是ISO27001所沒有的，對(duì)于承擔(dān)運(yùn)維管理和安全管理的組織中的團(tuán)隊(duì)來說，服務(wù)管理的思想都是值得借鑒和采用的，因此服務(wù)級(jí)別協(xié)議和服務(wù)報(bào)告是首先應(yīng)該考慮融合、借鑒的。ITIL流程管理的思路，我覺得不論是運(yùn)維管理還是信息安全管理都應(yīng)該采用，大家應(yīng)該好好學(xué)習(xí)和使用。尤其是對(duì)于27001的建設(shè)，133個(gè)控制措施，點(diǎn)太多，根本就沒有串起來。我的感覺是應(yīng)該用服務(wù)臺(tái)、事件、問題、變更、發(fā)布、配置管理將20000和27001的要求串起來。至于如何將27001的要求串起來，可以作為一個(gè)課題討論、研究。ISO27001的風(fēng)險(xiǎn)管理的思想是一個(gè)非常好的且非常實(shí)用的思路,一定要融合及借鑒。綜合上述思路，可以歸納為“以服務(wù)管理的思想為指導(dǎo)，以風(fēng)險(xiǎn)管理的思想為核心，以ITIL流程管理的思路為主線對(duì)ISO27001和ISO20000進(jìn)行融合”最后，說說組織應(yīng)該如何如何考慮使用這兩套標(biāo)準(zhǔn)。在這個(gè)話題上，組織應(yīng)該著重考慮兩個(gè)問題。其一，這兩套標(biāo)準(zhǔn)公司需要嗎？其二，何時(shí)具備上的條件？我在這里主要強(qiáng)調(diào)的是第二個(gè)問題，當(dāng)組織決定采用其中一個(gè)標(biāo)準(zhǔn)或兩個(gè)標(biāo)準(zhǔn)都采用時(shí)，應(yīng)該具備的條件。要知道，一套體系的建設(shè)是高難度的工作。按照我理解的成熟度模型，體系的建設(shè)應(yīng)該是第三階段的工作。第一個(gè)階段為打基礎(chǔ)階段，主要解決日常工作和監(jiān)控的問題；第二個(gè)階段是流程建設(shè)階段，要具備流程管理的能力；第三個(gè)階段才是體系建設(shè)階段。因此，一個(gè)組織在沒有經(jīng)歷前兩個(gè)階段前，不要盲目進(jìn)入體系建設(shè)階段。

ISO20000和ISO27001的區(qū)別是什么？

ISO20000是IT服務(wù)管理，ISO27001是信息安全，是兩個(gè)不同的領(lǐng)域。公司如果做ISO體系認(rèn)證咨詢，可以提升企業(yè)的信息安全管理，直白點(diǎn)，根據(jù)每個(gè)企業(yè)發(fā)展需要，有的是招投標(biāo)可能會(huì)用到，有的可能辦理咨詢什么資質(zhì)會(huì)用到。反正同樣的企業(yè)，肯定通過認(rèn)證咨詢的優(yōu)勢更大一些。在這方面谷安周下是做iso體系最好的

很多人詢問iso9000和iso9001的區(qū)別在哪里，其實(shí)這是一個(gè)概念上的誤解。 iso9001是iso9000族標(biāo)準(zhǔn)所包括的一組質(zhì)量管理體系核心標(biāo)準(zhǔn)之一。iso9000族標(biāo)準(zhǔn)是國際標(biāo)準(zhǔn)化組織（iso）在1994年提出的概念，是指“由iso/tc176（國際標(biāo)準(zhǔn)化組織質(zhì)量管理和質(zhì)量保證技術(shù)委員會(huì)）制定的國際標(biāo)準(zhǔn)。 iso9001用于證實(shí)組織具有提供滿足顧客要求和適用法規(guī)要求的iso三體系認(rèn)證的能力，目的在于增進(jìn)顧客滿意。隨著iso體系證書經(jīng)濟(jì)的不斷擴(kuò)大和日益國際化，為提高iso三體系認(rèn)證的信譽(yù)、減少重復(fù)檢驗(yàn)、削弱和消除貿(mào)易技術(shù)壁壘、維護(hù)生產(chǎn)者、經(jīng)銷者、用戶和消費(fèi)者各方權(quán)益,這個(gè)第三認(rèn)證咨詢方不受產(chǎn)銷雙方經(jīng)濟(jì)利益支配，公證、科學(xué)，是各國對(duì)iso三體系認(rèn)證和企業(yè)進(jìn)行質(zhì)量評(píng)價(jià)和監(jiān)督的通行證；作為顧客對(duì)供方質(zhì)量體系審核的依據(jù)；企業(yè)有滿足其訂購iso三體系認(rèn)證技術(shù)要求的能力。 凡是通過iso9000認(rèn)證咨詢的企業(yè)，在各項(xiàng)管理系統(tǒng)整合上已達(dá)到了國際標(biāo)準(zhǔn)，表明企業(yè)能持續(xù)穩(wěn)定地向顧客提供預(yù)期和滿意的合格iso三體系認(rèn)證。站在消費(fèi)者的角度，公司以顧客為中心，能滿足顧客需求，達(dá)到顧客滿意，不誘導(dǎo)消費(fèi)者。 iso9000不是指一個(gè)標(biāo)準(zhǔn)，而是一族標(biāo)準(zhǔn)的統(tǒng)稱。 “iso9000族標(biāo)準(zhǔn)”指由iso/tc176制定的所有國際標(biāo)準(zhǔn)。 什么叫tc176呢？tc176即iso中第176個(gè)技術(shù)委員會(huì)，全稱是“質(zhì)量保證技術(shù)委員會(huì)”，1987年更名為“質(zhì)量管理和質(zhì)量保證技術(shù)委員會(huì)”。tc176專門負(fù)責(zé)制定質(zhì)量管理和質(zhì)量保證技術(shù)的標(biāo)準(zhǔn)。 iso/tc176早在1990年第九屆年會(huì)上提出的《90年代國際質(zhì)量標(biāo)準(zhǔn)的實(shí)施策略》中，即確定了一個(gè)宏偉的目標(biāo)：“要讓全世界都接受和使用iso9000族標(biāo)準(zhǔn)，為提高組織的運(yùn)作能力提供有效的方法；增進(jìn)國際貿(mào)易，促進(jìn)全球的繁榮和發(fā)展； 使任何機(jī)構(gòu)和個(gè)人，可以有信心從世界各地得到任何期望的iso三體系認(rèn)證，以及將自己的iso三體系認(rèn)證順利銷往世界各地?！?iso9001是iso9000族標(biāo)準(zhǔn)所包括的一組質(zhì)量管理體系核心標(biāo)準(zhǔn)之一，它包括的核心標(biāo)準(zhǔn)有四個(gè)：質(zhì)量管理體系——基礎(chǔ)和術(shù)語、質(zhì)量管理體系——要求、質(zhì)量管理體系——業(yè)績改進(jìn)指南、質(zhì)量和環(huán)境管理體系審核指南。 iso9001標(biāo)準(zhǔn)中的 質(zhì)量管理體系——要求 經(jīng)歷了以下幾個(gè)版本： iso9001：1994 —> iso9001：2000 —> iso9001：2008 上述標(biāo)準(zhǔn)中的iso9001：2008《質(zhì)量管理體系—要求》通常用于企業(yè)建立質(zhì)量管理體系并申請(qǐng)認(rèn)證咨詢之用。它主要通過對(duì)申請(qǐng)認(rèn)證咨詢組織的質(zhì)量管理體系提出各項(xiàng)要求來規(guī)范組織的質(zhì)量管理體系。主要分為五大模塊的要求，這五大模塊分別是：質(zhì) 量管理體系、管理職責(zé)、資源管理、iso三體系認(rèn)證實(shí)現(xiàn)、測量分析和改進(jìn)。其中每個(gè)模塊中又分有許多分條款。 隨著2008版標(biāo)準(zhǔn)的頒布，世界各國的企業(yè)紛紛開始采用新版的iso9001：2008標(biāo)準(zhǔn)申請(qǐng)認(rèn)證咨詢。國際標(biāo)準(zhǔn)化組織鼓勵(lì)各行各業(yè)的組織采用iso9001：2008標(biāo)準(zhǔn)來規(guī)范組織的質(zhì)量管理，并通過外部認(rèn)證咨詢來達(dá)到增強(qiáng)客戶信心和減少貿(mào)易壁壘的作用。 來自： seatone/shownews?id=1620

ISO27001和ISO20000審核員值得考嗎？

是一個(gè)不錯(cuò)的選擇，收入可觀，但要經(jīng)常出差，如果不喜歡長期出差的話，也可以利用這兩個(gè)證書進(jìn)入企業(yè)的相關(guān)部門做內(nèi)審工作。

如果在大學(xué)里考的，基本沒太有什么用。因?yàn)閷徍藛T是一個(gè)只能有實(shí)際工作經(jīng)驗(yàn)后，才能了解怎樣去審的一個(gè)工作。如果在工作中的話，有的單位會(huì)自己組織培訓(xùn)考試，如果沒有的話，建議自己去考。因?yàn)檫@個(gè)證有時(shí)間限制，沒有必要早考。

哪些電腦企業(yè)通過iso27001？

認(rèn)監(jiān)委批準(zhǔn)的認(rèn)證咨詢公司分別是: 中國信息安全認(rèn)證咨詢中心 華夏認(rèn)證咨詢中心 中國電子技術(shù)標(biāo)準(zhǔn)化研究所 上海質(zhì)量體系審核中心 廣州賽寶認(rèn)證咨詢中心服務(wù)有限公司 北京新世紀(jì)認(rèn)證咨詢有限公司(BCC) 英國標(biāo)準(zhǔn)協(xié)會(huì)[4] （BSI） 北京挪華威認(rèn)證咨詢有限公司（DNV） 通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司（SGS） 江蘇艾凱艾國際標(biāo)準(zhǔn)認(rèn)證咨詢有限公司

任何企業(yè)都可以申請(qǐng)27001的認(rèn)證咨詢，與iso9000認(rèn)證咨詢是一樣的，就是針對(duì)的重點(diǎn)是信息安全這塊。一般it行業(yè)尤其服務(wù)外包行業(yè)較多，大多數(shù)企業(yè)做這個(gè)認(rèn)證咨詢都是為了客戶需求或者是招投標(biāo)的需要，這是證明公司信息安全方面能力的一種資質(zhì)和證明，對(duì)企業(yè)的有一定的指導(dǎo)作用。 過程中，企業(yè)配合咨詢公司進(jìn)行前期資料準(zhǔn)備，涉及到很多方面，尤其是信息資產(chǎn)等方面，這與企業(yè)申請(qǐng)證書具體范圍有關(guān)。

認(rèn)監(jiān)委批準(zhǔn)的認(rèn)證公司分別是:中國信息安全認(rèn)證中心華夏認(rèn)證中心中國電子技術(shù)標(biāo)準(zhǔn)化研究所上海質(zhì)量體系審核中心廣州賽寶認(rèn)證中心服務(wù)有限公司北京新世紀(jì)認(rèn)證有限公司(BCC)英國標(biāo)準(zhǔn)協(xié)會(huì)[4] （BSI）北京挪華威認(rèn)證有限公司（DNV）通標(biāo)標(biāo)準(zhǔn)技術(shù)服務(wù)有限公司（SGS）江蘇艾凱艾國際標(biāo)準(zhǔn)認(rèn)證有限公司