通过ISO27001认证后,不少企业为了进一步提升整体IT服务质量,也会另外取得ISO 20000证书。那这两者之间究竟有着怎样的联系?又有什么差异?今天跟着标领一起了解一下。
ISO20000是IT信息技术服务管理体系,ISO27001是信息安全管理体系,它们在信息安全管理和IT服务管理领域都有重要作用,但侧重点、范围和具体性有所不同。
一、主体的侧重点有所不同
ISO20000以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001以控制点/控制措施为主,比较具体。
二、体系规范的侧重点有所不同
ISO20000是面向IT服务管理的质量体系标准,而ISO27001是面向信息安全的质量标准规范,ISO20000强调以流程的方式达到质量管理标准,ISO27001强调以风险控制点的方式来达到信息安全管理的目的。
三、体系规范存在的共性特征
事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000与ISO27001认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范的控制公司的服务运维体系与安全管理。
四、范围不同
1、ISO20000适用于企业的IT服务部门,通常是IT 部门;
2、ISO27001适用于整个企业,不仅是IT部门,还包括业务部门、财务、人事等部门。
尽管两者有一些区别,
但它们在信息安全管理和IT服务管理领域都有紧密的联系。例如,ISO27001的控制措施中包括了与IT服务管理相关的控制措施,如服务台、事件管理、问题管理等。同样的,ISO27001也强调了风险评估和管理的重要性,这与ISO20000中的IT服务管理流程密切相关。
因此,企业可以根据自身需求选择同时实施这两项标准,以充分利用它们的互补特性,更全面、更规范地控制公司的服务运维体系和安全管理。以上就是标领整理的ISO20000和ISO27001的异同,如果您想了解更多详细信息,欢迎联系在线客服。