ISO20000信息技术和ISO27001信息安全认证办理指南

ISO20000信息技术和ISO27001信息安全认证办理指南

ISO/IEC27001简介
    ISO/IEC27001是组织信息安全管理体系（ISMS）评估的基础，可以作为对组织的信息安全管理体系进行全面或部分评审认证的标准。

一、主体侧重点不同
ISO20000：以流程为核心，定义了一系列较为抽象的流程目标。
ISO27001：以控制点/控制措施为主，更加具体。
二、体系规范侧重点不同
ISO20000：面向IT服务管理的质量体系标准，强调通过流程方式达到质量管理标准。
ISO27001：面向信息安全的质量标准规范，强调通过风险控制点方式达到信息安全管理的目的。
三、体系规范的共性特征
尽管ISO20000和ISO27001在侧重点上有所不同，但在某些方面存在共性，例如：

事件管理
业务连续性管理
信息资产管理
大多数企业会选择将ISO20000与ISO27001认证项目一同实施，以充分发挥两套体系之间的互补特性，更全面、更规范地控制公司的服务运维体系与安全管理。

四、适用范围不同
ISO20000：主要适用于企业的IT服务部门，通常是IT部门。
ISO27001：适用于整个企业，不仅限于IT部门，还包括业务部门、财务、人事等部门。
办理步骤
初步咨询：
联系ISO认证顾问，了解具体的认证要求和流程。
获取免费的初步咨询和评估。
文件准备：
根据ISO20000或ISO27001的要求，准备相应的管理体系文件。
包括流程文档、控制措施、风险评估报告等。
内部审核：
组织内部审核，确保管理体系符合标准要求。
识别并纠正不符合项。
外部审核：
邀请第三方认证机构进行外部审核。
提交审核申请，安排审核时间。
认证颁发：
通过外部审核后，认证机构将颁发ISO20000或ISO27001认证证书。
定期进行复审，确保管理体系持续有效。
总结
ISO20000和ISO27001虽然在侧重点和适用范围上有所不同，但它们在提升组织的IT服务质量和信息安全管理方面都发挥着重要作用。通过同时实施这两项认证，企业可以实现更全面、更系统的管理和控制，从而提升整体竞争力。