關(guān)于信息安全的那些事
ISO20000與ISO27001的必要性
隨著網(wǎng)絡(luò)的高速發(fā)展�,我們的生活的信息化程度也不斷增強(qiáng),信息技術(shù)越來(lái)越接近于我們的生活����。當(dāng)然�����,任何事情的發(fā)展都是帶有兩面性的����,信息雖然提升了我們生活的便利性,但也存在著相當(dāng)大的隱患���。
據(jù)統(tǒng)計(jì)����,世界上每分鐘就有2個(gè)企業(yè)因?yàn)樾畔踩珕?wèn)題倒閉,而在所有的信息安全事故中�,只有20%-30%是因?yàn)楹诳腿肭只蚱渌獠吭蛟斐傻模?/SPAN>70%-80%是由于內(nèi)部員工的疏忽或有意泄露造成的;同時(shí)78%的企業(yè)數(shù)據(jù)泄露是來(lái)自?xún)?nèi)部員工的不規(guī)范操作�����。因此企業(yè)信息安全建設(shè)需要內(nèi)外兼修����,構(gòu)建企業(yè)信息安全整體解決方案。
某電子硬件拓展軟件服務(wù)制造商�,隨著業(yè)務(wù)的發(fā)展,由硬件產(chǎn)品到軟件服務(wù)�,公司的業(yè)務(wù)也越來(lái)越依賴(lài)于信息化,由此帶來(lái)的信息安全保障�,尤其是商業(yè)秘密保護(hù)的重要性日益凸顯,如何妥善地加強(qiáng)信息安全建設(shè)���,在合理投入的范圍內(nèi)�,最大限度的減少或避免因信息泄密�、丟失、破壞等問(wèn)題所造成的經(jīng)濟(jì)損失及對(duì)企業(yè)的影響�����。
因此,公司可以通過(guò)辦理ISO 27001和ISO 20000�����,整體提升公司管理水平和信息安全標(biāo)準(zhǔn)�。
ISO 20000是面向機(jī)構(gòu)的IT服務(wù)管理標(biāo)準(zhǔn),目的是提供建立�、實(shí)施、運(yùn)作����、監(jiān)控、評(píng)審��、維護(hù)和改進(jìn)IT服務(wù)管理體系(ITSM)的模型�。
ISO/IEC27001是一個(gè)組織的全面或部分信息安全管理體系評(píng)估的基礎(chǔ)����,它可以作為對(duì)一個(gè)組織的全面或部分信息安全管理體系進(jìn)行評(píng)審認(rèn)證的標(biāo)準(zhǔn)。
目前�,有不少企業(yè)在通過(guò)ISO 27001認(rèn)證后,也會(huì)另外取得ISO 20000以提升整體IT服務(wù)質(zhì)量��,但I(xiàn)SO 20000信息技術(shù)服務(wù)管理標(biāo)準(zhǔn)與ISO 27001信息安全管理標(biāo)準(zhǔn)中的聯(lián)系在哪里,很多公司搞不清楚�。
眾所周知,新版ISO27001于2019年10月19日正式發(fā)布�����,對(duì)于ISO27001與ISO20000之間的聯(lián)系�,下面為大家講解。
|
1 |
主體的側(cè)重點(diǎn)不同
關(guān)鍵詞:抽象�、具體
ISO20000 以流程為核心,定義了一系列比較抽象的流程目標(biāo)�����;
而ISO27001 以控制點(diǎn)/控制措施為主���,比較具體����。 |
|
2 |
體系規(guī)范的側(cè)重點(diǎn)有所不同
關(guān)鍵詞:IT 服務(wù)�����、信息安全、流程��、風(fēng)險(xiǎn)控制點(diǎn)
ISO20000 是面向IT 服務(wù)管理的質(zhì)量體系標(biāo)準(zhǔn)�����,而ISO27001 是面向信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范�;
ISO20000 強(qiáng)調(diào)以流程的方式達(dá)到質(zhì)量管理標(biāo)準(zhǔn),ISO27001 強(qiáng)調(diào)以風(fēng)險(xiǎn)控制點(diǎn)的方式來(lái)達(dá)到信息安全管理的目的�����。 |
|
3 |
體系規(guī)范存在的共性特征
關(guān)鍵詞:全面、規(guī)范
如:事件管理、業(yè)務(wù)連續(xù)性管理��、信息資產(chǎn)管理等方面,大多數(shù)的企業(yè)都會(huì)選擇將ISO20000 與ISO27001 認(rèn)證項(xiàng)目一同實(shí)施����,使兩套體系間的互補(bǔ)特性得到充分發(fā)揮,更全面更規(guī)范的控制公司的服務(wù)運(yùn)維體系與安全管理����。 |
|
4 |
范圍不一樣
關(guān)鍵詞:服務(wù)部門(mén)���、企業(yè)整體
ISO20000 適用于企業(yè)的IT 服務(wù)部門(mén)��,通常是IT 部門(mén)��;
ISO27001 適用于整個(gè)企業(yè)��,不僅是IT 部門(mén)�����,還包括業(yè)務(wù)部門(mén)���、財(cái)務(wù)�����、人事等部門(mén)�。 |
ISO20000認(rèn)證與ISO27001認(rèn)證存在著本質(zhì)區(qū)別���,ISO20000是IT信息技術(shù)服務(wù)管理體系�,ISO27001是信息安全管理體系�����。
在信息安全保護(hù)方面上,我們肯定不能一味的只依靠于我們的管理體系���,而是在我們管理體系給與我們一定的方向和基礎(chǔ)的前提下��,要做到落實(shí)標(biāo)準(zhǔn)�,將信息安全意識(shí)印入我們的腦海��,只有時(shí)刻警惕信息安全����,我們才能做到真正的信息安全保護(hù)。
來(lái)源 | 網(wǎng)絡(luò)
聲明 | 我們對(duì)文中觀點(diǎn)保持立���,僅供學(xué)習(xí)參考��、交流之目的�。
如有侵犯版權(quán)請(qǐng)告知�����,我們將及時(shí)刪除���!
山東世通國(guó)際認(rèn)證有限公司
信息安全業(yè)務(wù)簡(jiǎn)介
山東世通國(guó)際認(rèn)證有限公司成立于2003年,是經(jīng)國(guó)家認(rèn)監(jiān)委(CNCA)批準(zhǔn)、認(rèn)可委(CNAS)認(rèn)可����、具有獨(dú)立法人資格的可直接頒發(fā)證書(shū)的認(rèn)證機(jī)構(gòu)。19年�����、累計(jì)為3.6萬(wàn)家企業(yè)頒發(fā)超過(guò)10萬(wàn)+各類(lèi)認(rèn)證證書(shū)��,在山東省證書(shū)保有量第一�����。
好文要分享:
