27001通常指的是ISO27001,即信息安全管理体系标准;而20000通常指的是ISO20000,是信息技术服务管理标准。它们的区别主要体现在以下方面:
管理重心:
•ISO27001侧重于信息安全管理,目的是确保组织的信息资产得到适当保护,防止信息泄露、损坏、丢失或未经授权的访问等,主要关注信息安全管理体系的建立、实施、运行、监控、审查、维护和改进。
•ISO20000侧重于信息技术服务管理,强调流程合规,以帮助组织提供高质量、可靠的 IT 服务,满足业务需求,主要关注 IT服务管理的流程、人员、技术和资源,以确保 IT 服务的有效性和持续改进。
体系规范侧重点:
•ISO27001以控制点/控制措施为主,比较具体,强调以风险控制点的方式达到信息安全管理的目的,要求组织进行风险评估,识别潜在安全威胁和漏洞,并采取相应控制措施降低或消除风险。
•ISO20000以流程为核心,定义了一系列较抽象的流程目标,如服务交付、服务关系、解决方案管理、服务级别管理等,强调以流程的方式达到质量管理标准。
控制措施和实施方式:
•ISO27001规定了一系列具体的信息安全控制措施,包括访问控制、数据加密、备份与恢复、安全审计、物理安全、网络安全等,旨在确保信息资产在存储、传输和处理过程中得到适当保护。
•ISO20000侧重于服务管理流程的zuijia实践,如服务目录管理、服务级别协议(SLA)管理、服务请求和事件管理等,要求组织按照这些流程来管理IT 服务,以确保服务的可靠性和有效性。
适用范围:
•ISO27001适用于各种类型、规模和特性的组织,包括商业企业、机构、非盈利组织等,不受地域、产业类别和公司规模限制。目前,涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业的企业较多获得认证。
• ISO20000主要适用于企业的 IT服务部门,特别是提供 IT 服务支持的组织。
认证和审核要求:
•ISO27001要求组织进行内部审核和管理评审,以确保信息安全管理体系的有效性和合规性。组织也可选择进行外部认证,证明其符合ISO27001标准要求。
• ISO20000同样要求组织进行内部审核和管理评审,以确保IT 服务管理体系的有效性和持续改进。ISO20000的认证通常不是强制性的,但能帮助组织展示其 IT服务管理的专业性和可靠性。
在实际应用中,有些企业会选择实施 ISO20000和ISO27001,以充分发挥两者的互补性,更全面、更规范地控制公司的服务运维体系与安全管理。