随着业务的发展,由硬件产品到软件服务,公司的业务也越来越依赖于信息化,由此带来的信息安全保障,尤其是商业秘密保护的重要性日益凸显,如何妥善地加强信息安全建设,在合理投入的范围内,最大限度的减少或避免因信息泄密、丢失、破坏等问题所造成的经济损失及对企业的影响。
主体的侧重点不同
ISO20000 以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001 以控制点/控制措施为主,比较具体。
体系规范的侧重点有所不同
ISO20000 是面向IT 服务管理的质量体系标准,而ISO27001 是面向信息安全的质量标准规范,ISO20000 强调以流程的方式达到质量管理标准,ISO27001 强调以风险控制点的方式来达到信息安全管理的目的。
体系规范存在的共性特征
如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000 与ISO27001 认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范的控制公司的服务运维体系与安全管理。
范围不一样
ISO20000 适用于企业的IT 服务部门,通常是IT 部门;ISO27001 适用于整个企业,不仅是IT 部门,还包括业务部门、财务、人事等部门。
以下是基于最新标准的办理全流程及核心条件指南:
一、 核心办理条件(硬门槛)
在申请认证前,企业必须满足以下基本要求,否则无法通过审核:
合法经营:持有有效的营业执照,且经营范围覆盖申请业务。
体系运行:体系文件已建立,并有效运行至少 3 个月。
内部审核: 已完成至少一次内部审核和管理评审,且有完整记录。
合规记录:申请前一年内未受到主管部门(如网信办、市监局)的行政处罚,无严重失信记录。
更多证书办理详情可直接与我们方圆盛世网站在线客服联系,或电话咨询官方热线:400-090-3278
二、 详细办理流程(6大步骤)
第一步:差距分析与准备
动作:对照 ISO 27001 和 ISO 20000 标准,评估企业现有流程(如人员管理、服务器安全、事件处理流程)与标准的差距。
产出:制定整改计划表,明确哪些文件需要补写,哪些流程需要优化。
第二步:体系文件编写
动作:编写体系所需的三级文件:
一级文件(手册):明确方针和总体架构。
二级文件(程序):规定具体怎么做(如《访问控制程序》、《变更管理流程》)。
三级文件(记录):各类表单、日志模板。
重点:软件/IT企业需特别关注源代码安全、漏洞管理、服务器访问控制等控制点。
第三步:体系运行与实施(至少3个月)
发布文件,全员培训,严格按照文件要求执行工作。
关键:留痕。所有的操作(如服务器维护、数据备份、员工培训)都要有据可查,形成记录。
第四步:内部审核与管理评审
动作:由公司内部人员(内审员)模拟外部审核,检查体系运行的有效性,并由管理层进行评审,确认体系是否适宜、充分。
第五步:认证机构审核(现场审核)
选择一家经CNAS认可的认证机构(可咨询深圳方圆盛世企业咨询管理有限公司)。
流程:
一阶段审核(文件审核):审核员检查你的文件是否符合标准。
二阶段审核(现场审核):审核员进驻公司,通过访谈、查记录、看现场,验证体系是否真实落地。
第六步:整改与发证
针对审核中发现的不符合项进行整改,通过后认证机构颁发证书。证书有效期为 3 年,但每年需要进行一次监督审核,3年后需进行换证复审。
三、 为什么建议“双体系”同时办理?
流程互补:ISO 27001 侧重于“风险控制”(防泄密、防攻击),ISO 20000 侧重于“流程规范”(服务交付、故障处理)。两者结合,既能保证服务不中断,又能保证数据安全。
节省成本:两套体系在“人力资源管理”、“文档控制”、“内部审核”等环节高度重合,同时审核可以合并进行,减少企业迎审压力。
投标利器:在政府及大型企业招标中,往往同时要求具备这两个资质,拥有“双证”能显著提升中标率。