ISO27001信息安全管理体系及ISO20000IT服务管理体系 .pdfVIP

ISO27001信息安全管理体系及ISO20000IT服

务管理体系

ISO27001介绍

ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799，

经过十年的不断改版，终于在2005年被国际标准化组织（ISO）转化为

正式的国际标准，于2005年10月15日发布为ISO/IEC27001:2005。

该标准可用于组织的信息安全管理体系的建立和实施，保障组织的信息

安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统

地持续改进组织的安全管理。对现代企业来说，将以往被认为是成本中

心的IT部门转变成积极的增值服务提供者，是一种挑战，也是机遇，

而推动这一机遇成为现实的.

ISO20000介绍

ISO20000是面向机构的IT服务管理标准，目的是提供建立、实施、运

作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT

服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技

产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一

个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式

表现出来。

有效融合ISO27001、ISO20000等IT控制和最佳实践，进行必要的体系

整合，从而全面提升客户整体IT治理的水平。

获取认证应具备的条件

应具备相应的资质，（如营业执照、组织机构代码、相关的国家行政审

批资质或行业资质），具备相关设施和资源，能正常开展经营活动。能

提供三个月以上的经营活动记录。

取得认证的程序

通常把取得认证的程序分为两个阶段，

认证咨询阶段：合同签订后，我公司会派出咨询老师到企业进行调研，

确定企业的认证意图，帮助企业确定组织机构和职责权限划分，体系的

覆盖范围，编制和完善认证所需要的体系文件，对企业人员相关进行的

培训，并指导企业按体系文件的要求运行，并帮企业进行认证的申请。

认证审核阶段：由认证机构派出的审核员，到企业按照认证标准及企业

体系文件规定对企业申请认证范围的活动的进行检查，重点是核实企业

的情况及编制认证文件和记录，检查结束上报认证机构颁发证书。

取得认证的效益

ISO27001

1、通过定义、评估和控制风险，确保经营的持续性和能力

2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责

任

3、通过遵守国际标准提高企业竞争能力，提升企业形象

4、明确定义所有组织的内部和外部的信息接口目标：谨防数据的

误用和丢失