近年来企业对内部治理需求越来越实际而具体。随着信息技术普遍渗透到企业组织中的各个方面,企业越来越依赖IT系统来处理和储存各种信息,以保证业务正常运营,由此IT系统在企业治理中的作用越来越明晰,IT治理也逐渐被大多数企业认可。IT治理的基础部分是信息安全保护——包括确保信息的可用性、机密性和完整性——这是其他IT治理环节实施的前提。
与此同时,和信息安全相关的国际标准已经出台,成为标准IT治理框架中的一大基石。其中有涉及信息安全管理ISO27001和信息技术服务管理体系ISO20000
ISO27001 信息安全管理体系规范,一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;另一部分说明了建立、实施和文件化信息安全管理体系的要求,根据独立组织的需要应实施安全控制的要求。
ISO20000信息技术服务管理体系目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。
ISO27001与ISO20000二者的区别是:
1、 ISO27001是以控制点/控制措施为主,比较具体;ISO20000是以流程为核心,比较抽象;
2、 ISO27001是面向信息安全的质量标准规范;ISO20000是面向IT服务管理的质量体系标准;
3、 ISO27001强调以风险控制点的方式来达到信息安全管理的目的;ISO20000强调以流程的方式达到质量管理标准;
4、 ISO27001适用于整个企业,不仅仅是IT部门,还包括业务部门、财务、人事等部门;ISO20000适用于企业的IT服务部门,通常是IT部门。
提高IT服务的可用性、可靠性和安全性,为企业提供高质量的服务,建立全面的信息安全管理体系,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
服务保障
专家全程陪审,专业强优保障
权威保障
每张证书信息,均有认监委备案
时间保障
所有认证项目,承诺当天申报
费用保障
格略承诺,无隐形收费
