ISO27001和ISO20000是两个独立的国家标准,各自偏重于网络安全管理和IT服务管理方法。虽然这俩规范都与公司的安全性稳定性相关,但是它们有着不同的着重点与目标,适用不同种类的机构。
ISO27001是一个基础框架,致力于帮助企业定制、执行与维护网络信息安全智能管理系统(ISMS)。ISMS是一个全方位的智能管理系统,它扫描仪所有隐性的安全风险和威胁,并采取行动减轻这些风险,确保企业数据资产的安全性。ISO27001验证并不是强制性,但它能增加拥有敏感信息的部门的认可和竞争优势。
ISO20000是一个IT服务智能管理系统(ISMS)框架,可帮助机构建立与维护可靠高效的IT服务管理模式。ISO20000规范确保了IT服务的交付、监管、测量改善,以提升服务质量、顾客满意度和竞争能力。ISO20000验证不仅对于企业来说是非常必要的,对外包企业或it服务提供商来说也更加普遍。
ISO27001和ISO20000之间的差异
ISO27001和ISO20000区别在于,前者偏重于保护数据资产,而后者偏重于优化IT服务管理方法。这俩规范都强调建立系统与维护步骤,但对各个领域所提供的有着不同的关注。
实际区别如下:
1)目标
ISO27001的目的是帮助施工部署、执行与维护一个智能管理系统,以保护下面的所有数据资产。ISO20000的目的是帮助施工部署、执行与维护IT服务智能管理系统,以改善IT服务的交付、监管、测量改善,进而提升IT服务质量以及顾客满意度。
2)应用范围
ISO27001适用于所有机构,不论是公共行政、民营企业或是非营利性组织。ISO20000一般适用IT服务提供商、内部IT部门和外包IT服务提供商。
3)重点领域
ISO27001强调网络信息安全,例如:
-安全政策和流程
-风险管控和检测
-物理安全管理
-网络信息安全控制
-人员安全
-处理报告等
ISO20000主要关注IT服务管理方法,如:
-服务管理系统
-交付、运营和支持步骤
-服务质量和绩效考核指标
-客户体验
-常规操作等
4)验证全过程
ISO27001验证全过程包括审核和验证,通常需要8-12周才能完成。评估由一个独立的认证机构进行,以评估系统的合规性,认证机构将决定是否颁发认证证书。
ISO20000的认证全过程包括审核和验证,实际在于您选择的认证机构。审查的重点在于证明机构已经执行了一系列IT服务管理制度和控制,并进行了测量监管。
结论
ISO27001和ISO20000是两个独立的规范,旨在优化机构网络信息安全和IT服务管理方法。虽然这俩规范都偏重于系统建立和全过程维护,但是它们的适用性各不相同。通过了解这俩规范之间的差异,您可以更好的确定您的机构都需要什么规范,以及如何应用它们来提升业务可靠性和IT服务质量。
在认证领域内,立标顾问拥有的审核团队,其中大多数审核员拥有多标准资质。这一庞大的多技能审核员队伍意味着立标能够同时在全国不同的地点处理多标准审核,加快合规保证过程,使您的项目无忧管理。
共有条评论 网友评论