itss-北京鑫泰洋信息技术有限公司 > 新闻中心 > 行业动态 > ISO27001和ISO20000相爱相拥

ISO27001和ISO20000相爱相拥

时间:2020-04-15 21:44
49

多数管理者认为,获得认证,有利于活得政府补助政策的眷顾,能将对手甩掉。但是就ISO27001与 ISO20000的关系问题多数人都不是很清楚。小优将从三个方面进行分析:一是两者在组织管理中的关系;二是两者如何互相整合、借鉴;三是企业如何计划建立这两套标准。
首先,来说说两者在组织管理中的地位。
关于整体的IT服务管理体系,它是针对企业中如何进行IT系统的运行服务管理的体系。这里有三个关键词语值得注意,一是IT系统,假如一个组织的业务对IT系统的依赖不大,那就不必上此套管理体系;二是运行,最终目的强调的是IT系统的可用性,这才是整个ISO20000管理体系的核心;三是服务管理,主要说明运行维护是一项服务,服务等级管理及服务报告是服务管理的核心体现,也是ISO20000的精髓。在ISO20000的13个流程中有信息安全管理流程,标准中注明了信息安全管理要参考ISO17799。从这个层面理解,ISO20000应该包含ISO27001的内容。

但是,从整个组织管理的方向看,ISO27001应当包含ISO20000。为什么这么理解?这可以从ISO27001在组织管理中所起的作用来分析。27001主要讲的是信息安全管理体系的建设、运行、维护和改进。在信息安全管理的目的,标准中反复强调的是保证信息的保密性、完整性和可用性,而我们极易陷入的误区是信息安全就是保密性,不涉及到完整性和可用性,实际上三者的整合才是信息安全管理的目的。前面已经提到,ISO20000的最终目的是要管理IT系统的可用性,实际上只是完成了ISO27001中的可用性管理。而且从IT系统的生命周期看,20000管的是系统建设完成后的可用性管理,27001管的是从需求到开发到运行维护整个IT系统生命周期的可用性管理。从这个角度理解,仅仅对于可用性的管理,27001需要管理的范围就更大,而且,27001还要管理信息的保密性和完整性。当然,信息的完整性是个基本要求,信息不完整也意味者不可用,因此,无论是27001还是20000,对完整性的管理都是基本要求

因此,对于一个较依赖IT系统的组织来说,27001的内容涵盖20000的内容。做好20000对于27001的建设是很有好处的。

其次,来探讨两者之间如何融合、借鉴。

ISO20000的服务管理思想是 ISO27001所不具备的,对于负责运维管理和安全管理的组织中的团队来说,服务管理的思想都是值得参考和采用的,所以服务级别协议和服务报告是首先应该考虑融合、借鉴的。

ITIL流程管理的思维方式,不论是运维管理还是信息安全管理都应该采纳。尤其是针于27001的建设,133个控制手段,点太多,无法衔接。相关专业人士建议是应该用服务台、事件、问题、变更、发布、配置管理将20000和27001的要点相连。就如何将27001的要求整合起来,可以专为一个课题研究。

ISO27001的风险管理的思想是一个非常好的且非常实用的思路,一定要融合及借鉴。

综合上述思路,可以归纳为“以服务管理的思想为指导,以风险管理的思想为核心,以ITIL流程管理的思路为主线对ISO27001和ISO20000进行融合”

上一篇:企业常用管理体系认证,速速收藏

下一篇:TS16949认证益处有哪些?