一文带你了解ISO27001+ISO20000双体系

体系

ISO27001信息安全管理体系

ISO20000信息技术服务管理体系

定义

ISO/IEC 27001是信息安全管理体系的标准，该标准基于风险评估，建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动。ISO27001管理体系主要针对信息安全中的系统漏洞、黑客入侵、病毒感染等内容进行保护，是全球应用最广泛与典型的信息安全管理标准。标准通过严格的审查标准和权威的认证体系，为组织提供了一个建立、实施、运行、监视、评审、保持和改进信息安全管理体系(ISMS)的模型。

ISO20000是世界上第一部针对信息技术服务管理（IT Service Management）领域的国际标准，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。该标准定义了一套全面的、紧密相关的服务管理流程。ISO20000认证指组织建立的信息技术服务管理符合ISO20000标准，从而通过ISO20000认证。

适用范围

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

(1) 电信、银行、证券、保险、民航、铁路信息中心；

(2) 政府、行政机构信息中心；

(3) IT相关软硬件产品企业的技术服务中心；

(4) 医院、学校信息中心；

(5) 跨地域企业集团中，负责IT规划、管理和服务的技术分管部门（或分支机构）；

(6) 数据处理中心、IDC机房、网络媒体技术中心；

(7) 提供在线交易的企业信息中心；

(8) 提供公众访问服务的政府机构信息中心；

(9) 以及提供上述服务的专业服务外包机构等。

认证好处

(1) 确保信息安全。明确规定组织内外的信息接口目标，以防止数据被滥用或遗失。制定安全工具的使用政策，保护技术机密，并加强组织内的安全意识。

(2) 构建信任基础。提升企业整体绩效。通过ISO27001信息安全管理体系认证的企业，通常能够与合作伙伴建立起信任关系。随着组织间电子交流的增加，信息安全管理的优势愈加显现，有助于在企业与用户之间架起更为牢固的信任桥梁。

(3) 增强竞争力。通过遵循国际标准，提高企业竞争力，进而提升企业形象。

(4) 预防和规避风险。信息安全管理体系有助于减少合同违约或违反法律法规带来的风险。通过认证，企业能够向政府和相关主管部门证明其符合法规要求。

(1) 获得业界普遍认同的国际认证ISO20000证书；

(2) 服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台；达到相关利益方均满意的IT服务管理目标；

(3) 提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；

(4) 持续优化服务流程，提升服务水平，提高业务满意度；

(5) 提高项目的可提供性并确保如期交付；

(6) 从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；

(7) 建立IT部门一整套行之有效的持续改善机制和内控机制；

(8) 明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务

(9) 战略和IT战略目标；

(10) 通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；

(11) 易于整合服务管理流程和其它管理系统，如：信息安全管理体系ISMS、质量管理体系ISO9000等；

(12) 将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；

(13) 提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率；

(14) 提升IT部门整体运作及部门间沟通的能力。

必备条件

(1) 具备国家或地方市场监督管理部门或相关机构的注册登记法人资格（或其组成部分）；

(2) 已获得相关法规要求的行政许可（如适用）；

(3) 未被列入严重违法失信名单；

(4) 所提供的产品或服务符合相关法律、法规、标准和规范的要求；

(5) 依据《信息安全、网络安全和隐私保护 信息安全管理体系 要求》标准，建立并实施了信息安全管理体系，并已有效运行3个月以上；

(6) 至少完成了一次内部审核，并进行了管理评审；

(7) 在过去一年内未受到主管部门的行政处罚。

(1) 持有工商行政管理部门颁发的《企业法人营业执照》、《社会团体法人登记证书》等有效法律地位证明文件。

(2) 申请方的IT服务管理体系已按ISO/EC 20000标准的要求建立，并实施运行3个月以上。

(3) 在进行认证审核前按照文件的要求进行了至少一次管理评审和内部IT服务管理体系审核。

(4) 信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚或该处罚已关闭。

资料清单

(1) 中国企业持有工商行政管理部门颁发的营业执照；国外企业持有有关部门的登记注册证明；

(2) 企业合法经营、近一年内没有被相关部门处罚；

(3) 企业简介及现有员工数；

(4) 企业网络方面的资料

(5) 企业供销方面的资料；

(6) 企业人力资源方面的资料；

(7) 企业硬件方面的资料；

(8) 包含信息安全手册和程序文件在内的一、二、三、级文件；

(9) 企业计量及检测设备有检定报告；

(10) 特种设备的年检记录；

(11) 特殊殊工种的上岗证书；

(12) 管理评审、内部审核、客户满意度等资料。

(1) 组织法律证明文件，如营业执照及年检证明复印件；

(2) 组织机构代码证书复印件；

(3) 申请认证体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印；

(4) 申请组织简介；

(5) 申请组织的体系文件；

(6) 申请组织体系文件与ISO/IEC20000-1：2018（E）要求的文件对照说明；

(7) 申请组织内部审核和管理评审的证明资料；

(8) 申请组织记录保密性或敏感性声明。