ISO双体系:信息技术服务管理体系和信息安全管理体系(快收藏)(iso27002信息安全体系)
双体系认证通常是两个体系同时申请,例如:ISO20000和ISO27001;ISO 9001和ISO14001等。双体系认证一般配套使用,即:同一个行业需要申请两个认证的需求。像ISO20000和ISO27001适用于互联网、信息行业的企业;ISO9001和ISO14001适用于旅游、制造行业的企业。这篇文章主要介绍的是ISO20000和ISO27001。
一、ISO20000信息技术服务管理体系
ISO20000是第一个关于IT服务管理体系的要求的国际标准,它秉承“以客户为导向,以流程为中线”的理念,并强调按照PDCA(戴明质量)的方法论持续改进组织多提供的IT服务。其目的是提供建立、实施、运作、监控、维护和改进IT服务管理体系(ITSM)的模型。
ISO20000的认证标准适用于各大信息技术行业,主要聚焦在服务领域上。
二、ISO27001信息安全管理体系认证
ISO27001是国际标准化组织(ISO)发布的一项标准它以其严格的审查标准和权威的认证体系,成为了全世界应用最为广泛和典型的信息安全管理标准,主要是针对信息安全中的系统漏洞、黑客入侵以及病毒感染等内容进行保护。给企业提供了应对当今信息安全问题的一条出路。信息安全对每个企业或者组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。
目前,ISO27001(信息安全管理体系)标准已经得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。
三、双体系的区别
ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。
ISO/IEC27001是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。
1.主体不同
ISO20000以流程为核心,定义了一系列比较抽象的流程目标;
ISO27001以控制点/控制措施为主,比较具体。
2.体系规范不同
ISO20000是面向IT服务管理的质量体系标准;
ISO27001是面向信息安全的质量标准规范;
ISO20000强调以流程的方式达到质量管理标准;
ISO27001强调以风险控制点的方式来达到信息安全管理的目的。
3.范围不同
ISO20000适用于企业的IT服务部门,通常只是IT部门;
ISO27001适用于整个企业,不仅是IT部门,还包括业务、财务、人事等部门。
4.共性特征
事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000 与ISO27001 认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范的控制公司的服务运维体系与安全管理。
四、双体系认证后有什么好处
1.获得地方政策的奖励补贴
部分地区的政府机构会对通过双体系认证的企业提供的一定奖励补贴。
2.参加招标项目的门槛/加分项
双体系证书已经成为很多信息服务外包项目的投标基础要求,部分招标方还会特意标明双体系证书获得4-12分的加分。
3.展示信息实力的有力证明
双体系认证能证明企业信息能力符合国际相关要求,同样也能作为良好的宣传材料,对行业内外的合作商、投资方展示企业整体实力。
如果大家还有什么不懂的地方,欢迎各位私信评论,我会一一回复大家,关注我了解更多企业资质。
部分素材来源于网络,如有侵权联系必删