隨著(zhu)網絡(luo)的(de)(de)高(gao)速發展,我(wo)們的(de)(de)生(sheng)活(huo)越(yue)來(lai)越(yue)信息化,信息技術越(yue)來(lai)越(yue)接近于我(wo)們的(de)(de)生(sheng)活(huo)�����。當然,任何(he)事情(qing)的(de)(de)發展都(dou)是(shi)帶有兩(liang)面(mian)性的(de)(de),在信息化改變生(sheng)活(huo)的(de)(de)同時,雖(sui)然有著(zhu)它便(bian)利的(de)(de)一面(mian),但也存在著(zhu)相當大的(de)(de)隱患。
據統(tong)計(ji),世界(jie)上(����shang)每(mei)分鐘(zhong)就有(you)(you)2個企(qi)業(ye)(ye)(ye)因(yin)(yin)為信(xin)(xin)(xin)(xin)息(xi)安全(quan)問題(ti)倒閉,而在所(suo)有(you)(you)的(de)(de)信(xin)(xin)(xin)(xin)息(xi)安全(quan)事故中,只有(you)(you)20%-30%是因(yin)(yin)為黑客入侵或其(qi)他(ta)外部(bu)原(yuan)因(yin)(yin)造(zao)成的(de)(de),70%-80%是由(you)于(yu)內(nei)部(bu)員(yuan)工的(de)(de)疏忽或有(you)(you)意泄露(lu)造(zao)成的(de)(de);同時78%的(de)(de)企(qi)業(ye)(ye)(ye)數據泄露(lu)是來(lai)自內(nei)部(bu)員(yuan)工的(de)(de)不規(gui)范操作。因(yin)(yin)此(ci)企(qi)業(ye)(ye)(ye)信(xin)(xin)(xin)(xin)息(xi)安全(quan)建(jian)設需要(yao)內(nei)外兼修,構建(jian)企(qi)業(ye)(ye)(ye)信(xin)(xin)(xin)(xin)息(xi)安全(quan)整體解決方案(an)。某(mou)電子(zi)硬件(jian)拓展軟(ruan)(ruan)件(jian)服務制(zhi)造(zao)商,隨著業(ye)(ye)(ye)務的(de)(de)發展,由(you)硬件(jian)產(chan)品(pin)到(dao)軟(ruan)(ruan)件(jian)服務,公(gong)司的(de)(de)業(ye)(ye)(ye)務也越(yue)來(lai)越(yue)依(yi)賴(lai)于(yu)信(xin)(xin)(xin)(xin)息(xi)化,由(you)此(ci)帶來(lai)的(de)(de)信(xin)(xin)(xin)(xin)息(xi)安全(quan)保障(zhang),尤(you)其(qi)是商業(ye)(ye)(ye)秘(mi)密保護的(de)(de)重要(yao)性日益凸顯,如何妥善地(di)加(jia)強信(xin)(xin)(xin)(xin)息(xi)安全(quan)建(jian)設,在合理投入的(de)(de)范圍內(nei),最大限度的(de)(de)減(jian)少或避免因(yin)(yin)信(xin)(xin)(xin)(xin)息(xi)泄密、丟失、破(po)壞等問題(ti)所(suo)造(zao)成的(de)(de)經濟損失及對(dui)企(qi)業(ye)(ye)(ye)的(de)(de)影響(xiang)。
ISO 20000是面向機�������構的IT服務(wu)管理(li)標準������,目的是提供建立(li)、實施、運作、監控、評(ping)審(shen)、維護和改進IT服務(wu)管理(li)體系(xi)(ITSM)的模型。
ISO/IEC27001是一(yi)個(ge)組織的(de)全(quan)面或(huo)部(bu)分(fen)信息安全(quan)管理(li)體系評(ping)估的(de)基礎,它可以作為對一(yi)個(ge)組織的(de)全(quan)面或(huo)部(bu)分(fen)信息安全(quan)管理(li)體系進行評(p�����ing)審認證的(de)標(biao)準。
目前,有不(bu)少企業(ye)在(zai)通(tong)過ISO 27001認證后,也會另外取得ISO 20000以提升整(zheng)體IT服務(wu)質(zhi)量,但I������SO 20000信息(xi)技術服務(wu)管(guan)理標準與ISO 27001信息(xi)安(an)全管(guan)理標準中的(de)聯系在(zai)哪(na)里,很多公司搞不(bu)清楚。
眾所周知,新版ISO27001于2019年10月19日正式發布,對于ISO27001與ISO20000之間的聯系,下面為大家講解。
一、主體的側重點不同
ISO20000 以(yi)流(liu)程���為(wei)核心(xin),定義了一系列比(bi)較抽(chou)象的流(liu)程目標,而ISO270��������01 以(yi)控制(zhi)點/控制(zhi)措施為(wei)主,比(bi)較具體。
二、體系規范的側重點有所不同
ISO20000 是面(mian)向(xiang)IT 服務管理的(de)(de)質(zhi)量(liang)體系標(biao)(biao)準,而ISO27001 是面(mian)向(xiang)信(xin)息(xi)安全的(de)(de)質(zhi)量(liang)標(biao)(biao)準規范(fan),ISO20000 強調(diao)以流(liu)程(cheng)的(de)(de)方式達(da)(da)到質(zhi)量(liang)管理標(biao)(biao)準,ISO27001 強調(dia���o)以風險控制點的(de)(de)方式來達(da)(da)到信(xin)息(xi)安全管理的(de)(de)目的(de)(de)。
三、體系規范存在的共性特征
如:事件管(guan)理、業務(wu)連續性(xing)(xin������g)管(guan)理、信息(xi)資產(chan)管(guan)理等(deng)方面(mian),大多數的企業都會選(xuan)擇將ISO20000 與(yu)ISO27001 認證項目一同(tong)實施,使兩套體系間的互補特性(xing)(xing)得到充分發(fa)揮(hui),更(geng)全面(mian)更(geng)規范的控制公(gong)司的服務(wu)運維體系與(yu)安全管(guan)理。
四、范圍不一樣
ISO20000 適用(yong)于企(qi)業(ye)的IT 服務部門,通常是(shi)������IT 部門;ISO27001 適用(yong)于整個企(qi)業(ye),不(bu)僅是(shi)IT 部門,還包括(kuo)業(ye)務部門、財務、人事等部門。
ISO20000認證與ISO27001認證存在著本質區別,ISO20000是IT信息技術服務管理體系,ISO27001是信息安全管理體系。
