iso20000信息安全管理標準

ISO20000 是第一部針對信息技術服務管理（IT Service Management）領域的國際標準，ISO20000信息技術服務管理體系標準代表了被廣泛認可的評估IT服務管理流程的原則的基礎。該標準定義了一套全面的、緊密相關的服務管理流程。 ISO20000認證咨詢指組織建立的信息技術服務管理符合ISO20000標準，從而通過ISO20000認證咨詢。

ISO20000 是世界上第一部針對信息技術服務管理(IT Service Management)領域的國際標準，ISO20000信息技術服務管理體系標準代表了被廣泛認可的評估IT服務管理流程的原則的基礎。該標準定義了一套全面的、緊密相關的服務管理流程。 ISO20000認證咨詢指組織建立的信息技術服務管理符合ISO20000標準，從而通過ISO20000認證咨詢。

，ISO20000是面向IT服務管理的質量體系標準，而ISO27001是面向信息安全的質量標準規范，ISO20000強調以流程的方式達到質量管理標準，ISO27001強調以風險控制點的方式來達到信息安全管理的目的

ISO 20000-1:2005相對于傳統的IT管理，更加強調客戶的需求及其實現，并將IT服務的預算和核算引入IT服務管理，將認證老師管理和服務管理有機的結合起來，促進IT服務的改進和提高。 ISO20000是由BS15000的最初的文本部分進行少許的升級而成的。其中術語“BS15000”已被“ISO20000”所替代；術語“服務組織”由“服務提供商”所替代；術語“第三方”被“供應商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術語而被接受。從整體來說，ITIL關注的10個核心服務管理流程，而ISO20000不僅僅有對服務管理流程的要求，還增加了關于服務管理體系整體的要求，比如管理層承諾、服務目標和持續改進等。ISO20000定義了服務管理的一系列目標和控制點，但沒有告訴組織實現這些目標的方法和途徑，ITIL作為IT服務管理行業的最佳實踐，給出了實現這些目標的方法和途徑。 ISO20000和ITIL的核心都是服務管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業務關系管理（Business relationship Management）與供應商管理（Supplier Management）和服務報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。 ISO20000與ISO27001的區別于聯系 ISO20000在服務提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務的管理，然而，在專注點和適用范圍上有著很大的不同： ISO20000以流程為核心，定義了一系列比較抽象的流程目標，而ISO27001以控制點/控制措施為主，比較具體；兩套體系規范的側重點有所不同，ISO20000是面向IT服務管理的質量體系標準，而ISO27001是面向信息安全的質量標準規范，ISO20000強調以流程的方式達到質量管理標準，ISO27001強調以風險控制點的方式來達到信息安全管理的目的；兩套體系規范存在著許多的共性特征，如：事件管理、業務連續性管理、信息資產管理等方面，大多數的企業都會選擇將ISO20000與ISO27001認證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發揮，更全面適用范圍不一樣 - ISO20000適用于企業的IT服務部門，通常是IT部門 - ISO27001適用于整個企業，不僅僅是IT部門，還包括業務部門、認證老師、人事等部門。

ISO 20000-1:2005相對于傳統的IT管理，更加強調客戶的需求及其實現，并將IT服務的預算和核算引入IT服務管理，將認證老師管理和服務管理有機的結合起來，促進IT服務的改進和提高。ISO20000是由BS15000的最初的文本部分進行少許的升級而成的。其中術語“BS15000”已被“ISO20000”所替代；術語“服務組織”由“服務提供商”所替代；術語“第三方”被“供應商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術語而被接受。從整體來說，ITIL關注的10個核心服務管理流程，而ISO20000不僅僅有對服務管理流程的要求，還增加了關于服務管理體系整體的要求，比如管理層承諾、服務目標和持續改進等。ISO20000定義了服務管理的一系列目標和控制點，但沒有告訴組織實現這些目標的方法和途徑，ITIL作為IT服務管理行業的最佳實踐，給出了實現這些目標的方法和途徑。ISO20000和ITIL的核心都是服務管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業務關系管理（Business relationship Management）與供應商管理（Supplier Management）和服務報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。ISO20000與ISO27001的區別于聯系ISO20000在服務提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務的管理，然而，在專注點和適用范圍上有著很大的不同：ISO20000以流程為核心，定義了一系列比較抽象的流程目標，而ISO27001以控制點/控制措施為主，比較具體；兩套體系規范的側重點有所不同，ISO20000是面向IT服務管理的質量體系標準，而ISO27001是面向信息安全的質量標準規范，ISO20000強調以流程的方式達到質量管理標準，ISO27001強調以風險控制點的方式來達到信息安全管理的目的；兩套體系規范存在著許多的共性特征，如：事件管理、業務連續性管理、信息資產管理等方面，大多數的企業都會選擇將ISO20000與ISO27001認證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發揮，更全面適用范圍不一樣 - ISO20000適用于企業的IT服務部門，通常是IT部門 - ISO27001適用于整個企業，不僅僅是IT部門，還包括業務部門、認證老師、人事等部門。

ISO 20000-1:2005相對于傳統的IT管理，更加強調客戶的需求及其實現，并將IT服務的預算和核算引入IT服務管理，將認證老師管理和服務管理有機的結合起來，促進IT服務的改進和提高。ISO20000是由BS15000的最初的文本部分進行少許的升級而成的。其中術語“BS15000”已被“ISO20000”所替代；術語“服務組織”由“服務提供商”所替代；術語“第三方”被“供應商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術語而被接受。從整體來說，ITIL關注的10個核心服務管理流程，而ISO20000不僅僅有對服務管理流程的要求，還增加了關于服務管理體系整體的要求，比如管理層承諾、服務目標和持續改進等。ISO20000定義了服務管理的一系列目標和控制點，但沒有告訴組織實現這些目標的方法和途徑，ITIL作為IT服務管理行業的最佳實踐，給出了實現這些目標的方法和途徑。ISO20000和ITIL的核心都是服務管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業務關系管理（Business relationship Management）與供應商管理（Supplier Management）和服務報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。ISO20000與ISO27001的區別于聯系ISO20000在服務提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務的管理，然而，在專注點和適用范圍上有著很大的不同：ISO20000以流程為核心，定義了一系列比較抽象的流程目標，而ISO27001以控制點/控制措施為主，比較具體；兩套體系規范的側重點有所不同，ISO20000是面向IT服務管理的質量體系標準，而ISO27001是面向信息安全的質量標準規范，ISO20000強調以流程的方式達到質量管理標準，ISO27001強調以風險控制點的方式來達到信息安全管理的目的；兩套體系規范存在著許多的共性特征，如：事件管理、業務連續性管理、信息資產管理等方面，大多數的企業都會選擇將ISO20000與ISO27001認證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發揮，更全面適用范圍不一樣 - ISO20000適用于企業的IT服務部門，通常是IT部門 - ISO27001適用于整個企業，不僅僅是IT部門，還包括業務部門、認證老師、人事等部門。

2005年12 月，英國標準協會已有的 IT服務管理標準BS15000，已正式發布成為ISO國際標準：ISO20000。ITIL從1980年代IT服務管理最佳實踐萌芽，到2000年成為英國標準協會的IT服務管理標準BS15000，再到2005年5月17日通過快速通道成為ISO國際標準家族中的一員，ITIL最終修成“正果”，成為國際標準，被國際廣泛接受。在成為國際標準以前，該標準就已經被許多單位采用。如澳大利亞的AS8018和南非一些單位。目前，在我國越來越多的企業正在應用IT服務管理的最佳實踐，并且國內某大型企業已經在2005年通過BS15000認證咨詢。ITIL與ISO20000有什么不同？IT服務管理最佳實踐得到歸納總結出現ITIL方法論之后，第一次突破性的發展，是英國標準協會（BSI）在IT服務管理論壇（itSMF）上，正式發布以ITIL為核心的單位標準BS15000，值得注意的是，ITIL從單位標準到國際標準，是一個非?？斓倪^程，國際標準組織是2005年5月以快速表決方式通過（fast track）的，所以才能在2005年12月就正式發布?；旧?，ISO20000就是從BS15000延伸而來，兩者之間的整體框架沒有什么不同，但是ITIL與ISO20000之間的框架，卻有些差距。整體來說，ITIL是10個管理流程（不含服務臺），ISO20000／BS15000則是13個管理流程，其中新增的業務關系管理（Business Management）與供貨商管理（Supplier Management），對于ITIL來說，這些已經同時包含在服務等級管理（Service Level Management）之中；另外，ISO20000新增的服務報告（Service Reporting），事實上也涵蓋在ITIL的每個管理流程當中。引入ISO20000刻不容緩包括中國、印度等單位，正在興起爭取參與 ITIL 或 BS15000 認證咨詢的風潮，因為這些單位多數企業或 IT 人員知道，一旦擁有 ITIL 認證咨詢，就象征了千錘百煉的實力，客戶會更放心地將訂單交到他們的手中。目前國內知道ITIL和ISO20000的企業和個人的數量與我們快速發展的信息化相比還不多，國內企業必須加強ITIL、ISO20000的培訓，思考以 ITIL 流程提升競爭力，降低日后吃敗仗的機率.2月1日，英國標準協會（BSI）向中國移動浙江公司頒發了ISO20000認證咨詢證書，中國移動浙江公司成為中國通信行業首家通過ISO20000認證咨詢審核的IT服務機構。信息技術服務管理長久以來，組織/企業的IT部門一直被歸納為「Resource Provider」或「Technology Provider」，四處救火，卻經常徒勞無功白忙一場 , 甚至于動輒得咎：至于公司的高階領導亦面臨著IT人員愈發精簡，任務愈發繁重，以及服務質量愈難滿足用戶及單位期望…等艱困挑戰。若IT部門欲改善現況由此困境走出，便需徹底進行體制改造，促使轉型至服務導向，繼而將服務觸角提升至業務視角層面：在此基于 ITIL(Information Technical Infrastructure Library)方法論及最佳實踐(Best Practice)的IT服務管理(ITSM)方案則被各界視為IT部門轉型最佳選擇。IT服務管理體系國際標準ISO20000標準介紹ISO/IEC20000是一個關于IT服務管理體系的要求的國際標準，它幫助識別和管理IT服務的關鍵過程，保證提供有效的IT服務滿足客戶和業務的需求。ISO20000， 共分為兩部分 :ISO/IEC 20000-1 Information technology-Service management Part-1:Specification(信息技術服務管理標準規范， 認證咨詢要求)ISO/IEC 20000-1 Information technology-Service management Part-2:Code of practice(信息技術服務管理最佳實踐)在ISO20000中的信息安全管理部份，以ISO27002/ISO27001為參考規范。在企業組織ISO20000的實施范圍不大于ISO27001/ISO27002 實施的范圍的情況下，若該組織/企業已通過ISO27001認證咨詢，則該企業組織的ISO20000中信息安全管理部份也將符合標準。ISO20000標準包括了5大過程及13個管理面， 如下：服務交付過程? 服務等級管理? 服務報告? 能力管理? 服務持續性與可用性管理? 信息安全管理? IT 服務預算編制與iso認證老師核算控制過程? 配置管理? 申報管理發布過程? 發布管理解決過程? 事故管理? 問題管理業務過程? 業務關系管理? 供應商管理實施ISO20000效益? 得以獲得業界普遍認同的國際證書ISO20000認證咨詢；? 就服務質量和服務承諾與業務及供貨商達成一致，建立和業務及供貨商統一的溝通平臺；達到相關利益方均滿意的IT服務管理目標；? 提高IT服務的可用性、可靠性和安全性，為業務用戶提供高質量的服務；? 持續優化服務流程，提升服務水平，提高業務滿意度；? 提高項目的可提供性并確保如期交付；? 從總體上提高組織/企業IT投資的報酬率，提升組織/企業的綜合競爭力；? 建立IT部門一整套行之有效的持續改善機制和內控機制；? 明晰IT管理成本和組織/企業業務戰略和IT戰略目標的結合點，完善現有IT服務結構和資源配置，使各項IT資源的運用符合公司業務戰略和IT戰略目標；? 通過建立優化、透明的管理流程和權責的定義，監控管理流程、進行績效評價；降低IT運營的管理成本和風險；? 易于整合服務管理流程和其它管理系統，如：信息安全管理體系 ISMS 、質量管理體系ISO9000等；? 將現有管理體系和業務流程整合，規范IT部門服務水平，規范工作流程，降低由人員變動導致的風險；? 提高IT部門相關員工的專業素質，提高員工的服務能力和工作效率；? 提升IT部門整體運作及部門間溝通的能力。

符合IT服務管理國際標準ISO20000，以及國內ITSS標準要求；符合信息安全管理國際標準ISO27001以及單位信息安全服務資質要求；符合計算機信息系統集成資質（二級）；

ISO20000是第一部針對信息技術服務管理（IT Service Management）領域的國際標準，它于2005年12月15日發布。作為認證咨詢組織的IT運營和服務管理水平的國際標準，ISO20000具體規定了IT服務管理行業向企業及其客戶有效地提供服務的、一體化的管理過程以及過程建立的相關要求，幫助識別和管理IT服務的關鍵過程，保證提供有效的IT服務以滿足客戶和業務的需求。它著重于通過“IT服務標準化”來管理IT問題，即將IT問題歸類，識別問題的內在聯系，然后依據服務級別協議進行計劃、管理和監控，并強調與客戶的溝通。信息安全管理實用規則ISO/IEC27001的前身為英國的BS7799標準，該標準由英國標準協會（BSI）于1995年2月提出，并于1995年5月修訂而成的。1999年BSI重新修改了該標準。BS7799分為兩個部分：BS7799-1，信息安全管理實施規則 BS7799-2，信息安全管理體系規范。第一部分對信息安全管理給出建議，供負責在其組織啟動、實施或維護安全的人員使用；第二部分說明了建立、實施和iso三體系認證化信息安全管理體系（ISMS）的要求，規定了根據獨立組織的需要應實施安全控制的要求。ISO/IEC27001:2005標準在2005年10月公布，同時取締了多國采納的英國標準BS7799-2:2002，ISO/IEC27001:2005 標準以Edward Deming博士提出的“計劃-實施-核查-采取行動”循環周期作為制定藍圖，以實現持續改善的目標。ISO/IEC 27001:2005 標準為所有行業的機構都提供了一套業務工具，協助其避免信息保安的失誤，從而降低了相應的風險。

ISO 20000-1:2005相對于傳統的IT管理，更加強調客戶的需求及其實現，并將IT服務的預算和核算引入IT服務管理，將認證老師管理和服務管理有機的結合起來，促進IT服務的改進和提高。

ISO20000是由BS15000的最初的文本部分進行少許的升級而成的。其中術語“BS15000”已被“ISO20000”所替代；術語“服務組織”由“服務提供商”所替代；術語“第三方”被“供應商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術語而被接受。

從整體來說，ITIL關注的10個核心服務管理流程，而ISO20000不僅僅有對服務管理流程的要求，還增加了關于服務管理體系整體的要求，比如管理層承諾、服務目標和持續改進等。

ISO20000定義了服務管理的一系列目標和控制點，但沒有告訴組織實現這些目標的方法和途徑，ITIL作為IT服務管理行業的最佳實踐，給出了實現這些目標的方法和途徑。

ISO20000和ITIL的核心都是服務管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業務關系管理（Business relationship Management）與供應商管理（Supplier Management）和服務報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。

ISO20000與ISO27001的區別于聯系

ISO20000在服務提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務的管理，然而，在專注點和適用范圍上有著很大的不同：

ISO20000以流程為核心，定義了一系列比較抽象的流程目標，而ISO27001以控制點/控制措施為主，比較具體；

兩套體系規范的側重點有所不同，ISO20000是面向IT服務管理的質量體系標準，而ISO27001是面向信息安全的質量標準規范，ISO20000強調以流程的方式達到質量管理標準，ISO27001強調以風險控制點的方式來達到信息安全管理的目的；

兩套體系規范存在著許多的共性特征，如：事件管理、業務連續性管理、信息資產管理等方面，大多數的企業都會選擇將ISO20000與ISO27001認證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發揮，更全面適用范圍不一樣 - ISO20000適用于企業的IT服務部門，通常是IT部門 - ISO27001適用于整個企業，不僅僅是IT部門，還包括業務部門、認證老師、人事等部門。