ISO27001更侧重于具体的控制措施和实践,提供了一个详细的控制措施指南,包括技术和管理方面的控制措施。它关注的是信息安全管理体系的评估认证,确保组织充分了解并应对各种信息安全风险。相比之下,ISO20000更侧重于IT服务管理流程,提供了一个IT服务管理流程的详细指南,包括事件管理、问题管理、配置管理等。
尽管两者有一些区别,但它们在信息安全管理和IT服务管理领域都有紧密的联系。例如,ISO27001的控制措施中包括了与IT服务管理相关的控制措施,如服务台、事件管理、问题管理等。同样地,ISO27001也强调了风险评估和管理的重要性,这与ISO20000中的IT服务管理流程密切相关。
如何才能通过认证?
基础条件
企业需要有一个明确的信息安全方针,这个方针应该能够概括企业的信息安全目标,并且符合企业的整体战略。
组织架构
企业需要建立一个专门的信息安全管理部门或者指定一个部门来负责信息安全工作。同时,企业的高层管理人员需要支持信息安全工作,并承担相应的责任。
人员能力
企业需要有一支具备信息安全知识和技能的团队。此外,企业还需要定期对员工进行信息安全培训,提高他们的信息安全意识和能力。
物理和环境安全
企业需要确保信息系统的物理安全和环境安全,比如服务器放置在安全的机房里,网络设备避免暴露在外等。
运行和维护
企业需要建立一套信息安全管理制度,明确各项工作的流程和要求。同时,企业还需要定期对信息安全管理体系进行审查和评估,确保其有效性和合规性。
证书认证流程
申请阶段
企业需要向认证机构提交认证申请,并提供相关的资料和信息。
↓
审核阶段
认证机构会派审核员对企业进行现场审核,检查企业是否满足认证条件。
↓
等待阶段
如果企业通过了审核,等待认证证书的颁发。
↓
颁发证书阶段
审核通过后,认证机构会向企业颁发ISO 27001信息安全管理体系认证证书/ISO20000信息技术服务管理体系认证证书。