iso27001与20000的区别:ISO 27001与ISO 20000的异同

了解iso.com/' target='_blank' title='ISO' >ISO/IEC 20000 IT服务管理

最近，我们很多人都听说了ISO认证。人们越来越想知道这到底是怎么回事。那么，让我们一探究竟吧。服务业需要建立一个全球公认的高质量标准。ISO 20000是国际公认的标准。用于业务管理。

ISO 20000认证标准可帮助IT部门确保其ITSM框架流程符合国际更佳实践和业务需求。该认证有助于组织衡量服务水平的基准，提供准确的服务，并在国际公认的范围内评估其绩效。

它由两部分组成

服务管理的实务守则

IT服务管理规范

ISO标准的组成部分

许多组织都渴望了解标准组件。组件如下-

识别客户需求

客户沟通

客户满意度

为什么需要ISO 20000认证?

许多组织寻求这种认证有几个原因

通过ISO 20000认证的人员知道如何帮助和建议组织创造收入和提高绩效

它还解释和建议范围和适用性的定义。

它教会他们评估差距分析。该认证还有助于人们制定实施改进的计划。

该认证帮助人们理解、创建、评估和应用适当的服务管理计划。该计划应包括服务管理目标和策略。

它帮助评估和建议组织关于持续支持过程的实施。

该认证解释了使用工具和技术来支持服务管理体系的实施和改进。该技术还指导人们实现ISO 20000认证。

ISO IT服务认证的优势

大多数组织都寻求ISO 20000认证。现在，让我们讨论一下这种认证对组织的一些好处。

通过服务管理体系提供综合支持——多个组织规划了服务管理体系的要求。其动机是采用标准化服务水平的实践。cookie由GDPR cookie同意插件设置，用于存储用户是否同意使用cookie。管理层为员工提供支持。ISO认证确保在分配合同时选择可靠的合作伙伴。

促进文化转变- ISO 20000促进一个不断改进的体系。在这个数字时代，商业永远不会停止

组织中获得ISO 20000认证的成员可以比其他成员更快地适应变化。因此，他们可以识别变更区域并快速引入改进。它们降低了内部和外部风险。它揭示了ISO认证的重要市场。

许多公共部门的组织已经强制要求其it服务提供商证明其符合ISO 20000。

ISO 20000组织有机会签订更多的合同和机会。组织内部的问题需要从战略上加以识别和改进。

为了获得ISO 20000认证，人们需要识别流程中的漏洞并努力纠正它们

提高质量-该认证通过提供优质服务和证明可靠性来证明其区别。

ISO 20000采用了一种正式的方法，需要完成特定的基准，以实现特定的目标。

这为质量设定了基准。通过优化资源和过程来帮助利用ITIL实践。该认证作为质量的基准

确保客户满意- ISO 20000认证提高服务水平。它使管理层能够满足越来越多的顾客

该认证在利益相关者中灌输了一种信任感。

此认证向客户保证他们的要求将得到满足。

任何计划影响市场的组织都需要根据客户反馈来改进流程

这是一个国际认可的认证- ISO 20000认证为组织提供了一个获得组织证书的机会

要获得该证书，组织需要通过内部审核。

如果组织通过审核，则颁发证书。它有一个基准，显示组织如何能够满足组织风险。他们发现制定商业规范更容易

提高信誉——通过ISO 20000认证的组织在市场上有更好的形象和信誉

ISO 20000是国际公认的IT服务管理标准。组织将此认证视为行业内的显著标志。

获得ISO 20000认证的组织比未获得认证的组织有更多的期望要实现。

许多ISO 20000认证组织甚至不与未认证的供应商打交道

完全集成的流程- iso 20000认证的组织将IT服务与业务战略相结合。因此，业务策略可以显示为专注于IT服务管理。它有助于服务客户和满足业务需求。

获得ISO 20000认证的步骤

任何组织的

管理层需要遵循特定的步骤来获得ISO 20000认证。的步骤

的资料如下:

建立意识-需要将ISO 20000认证的好处传达给员工。还应该清楚地了解实现这一认证的方法。为此，每个人都需要对服务管理的更佳实践有一个基本的了解。

确定ISO 20000认证的范围——在这个阶段，决定哪种类型的认证将涵盖组织的部件和服务是至关重要的。

进行初始的ISO 20000评估——需要识别标准要求与现状之间的差距。自我评估是识别差距的更好方法。否则，也可以采取外部顾问的帮助。一套完整的符合ISO 20000的流程可以作为评估基准。需要准备详细的需求清单，其中应注明符合和不符合的要求。在不符合区域的情况下，该列表包括问题是什么以及如何解决问题的准确细节。

建立ISO 20000项目—为了建立ISO 20000项目，需要建立一个项目委员会。此外，还需要选择项目人员和项目经理。更好选择有经验的外部审计师。重要的是确定必要的资源，准备计划并相应地分配任务。在这里，选择一个合适的审计师变得很重要。

为ISO 20000认证审核做准备——现在是弥合在最初的ISO 20000评估中发现的差距的正确阶段

这是ISO 20000认证中最耗时的一步。在此阶段，可能需要引入或纠正几个服务管理流程。

多个组织的管理层抱怨说，定义满足ISO 20000要求的过程是一项极具挑战性的任务。在准备审核时维护一个检查清单是个好主意。

检查表对于跟踪已经实现的需求是必要的。它还可以帮助我们检查与它相关的记录

执行ISO 20000认证审核-由注册认证机构的外部审核员负责执行审核。

保留ISO 20000认证审核-组织获得认证后，需要每三年更新一次证书。为此，管理层必须强调持续的服务和流程改进。管理也需要坚持既定的标准。

实施ISO 20000

符合ISO 20000标准的服务管理体系

遵循计划-行动循环。让我们来了解一下细节

计划

组织需要计划操作和实施

的服务管理系统。

开发审计、改进和管理服务质量的方法

开发风险管理流程

定义角色和职责

建立服务管理的范围

确定必要的流程

建立服务管理的范围

确定资源和时间表

定义服务管理的目标

做

需要执行业务管理计划

处理和减轻风险

管理预算和资源

选拔、激励和培训员工。

为不同的过程创建文档并监控计划、过程和策略

检查

在此阶段，实现服务管理

对目标进行监视、测量和评审。

管理计划是

定期回顾

短信是否

审核符合ISO 20000的要求

审计程序是

创建。ISO 20000从业人员培训课程包含一个特别环节

关于内部审计。

ISO 20000部分

ISO 20000

认证有不同的部分。管理人员需要熟悉

不同的部门，以便他们的组织获得这个认证。的

章节如下-

业务管理系统的一般要求—本节包含多个小节。它们如下-

建立健全服务管理体系

资源管理

文档管理

定义范围

计划短信

短信的实施和运营

监控和审核SMS

维护和改进SMS

由其他方操作的治理和流程

管理responsibilit

新服务和变更服务的设计和生成—此参数下的子部分如下-n

规划新的或变更的服务

设计和开发新的或更改的服务

转换新的或更改的服务

属

服务交付过程-此参数下的子部分如下-n

服务的连续性

管理的可用性

管理和测试的可用性

服务水平报告

服务管理

IT管理服务的会计和预算

信息安全的变化和事件

服务连续性和可用性计划

关系过程-这一小节如下-n

供应商管理

业务关系管理

解决进程

控制过程-此过程下的子部分如下-n

发布和部署管理

配置管理

改变管理

解决方案管理-子部分如下

事件和服务请求管理

问题管理

ISO 20000审核清单

背后的目的

在ISO 20000期间进行的外部审核是为了验证组织是否

满足某些要求。在每次审计期间，都必须指定它

每项要求是否已被满足。需要有相关的证据

提供相应的行动。形成文件的信息被视为证据。

一般情况下，审核员会询问以下文件，并检查是否

他们适合这个目的

文件化信息如下

ISO 20000要求

服务管理策略

记录流程

审计员还与许多工作人员面谈以核实

是否每个人都熟悉流程

正在遵循文件化的过程

获得ISO认证审核时应避免的常见错误

ISO 20000项目认证需要规避一定的风险。少数关键风险可能导致服务质量下降。这些风险如下-

缺乏来自管理层的支持——管理层必须就组织试图获得ISO 20000认证的原因进行沟通。然后，当员工面临任何挑战时，他们需要支持该倡议并支持他们。

项目资源不足——管理层需要确保ISO 20000认证项目有足够的资源可用。为此，管理层需要确保员工从日常职责中解脱出来。

缺乏外部支持——如果一个组织正在寻求次获得认证，经验丰富的外部审核员的帮助无疑是重要的。许多需求都有不同类型的解释。在这种情况下，经验丰富的顾问可能会指出对审计师来说什么是重要的。重要的是要有一位经验丰富的顾问，他能在正确的方向上指导ISO 20000认证的规划。

ISO流程简介

在阶段，审核员检查文件是否符合ISO 20000标准。在第二阶段，认证审核员检查实际活动是否符合标准。在管理评审期间，管理层考虑所有相关的行动，并作出适当的决定。内部审计和管理完成后，需要解决已发现的问题。此外，解决的步骤需要适当地记录下来。

许多像Vinsys这样的认证培训中心为个人和企业提供ISO 20000认证培训。一旦文档和实现完成，组织需要执行某些步骤来成功完成项目。

进行内部审核以检查ITSM流程，因此ITIL认证培训非常重要。它的目的是识别那些本来会隐藏起来的缺陷。

ISO/IEC 20000资讯科技服务管理系统-培训课程

想象一下，您的组织有一个支持服务生命周期的每个步骤的工具，从构思到计划，从交付到改进。这种工具以服务管理体系的形式存在，基于国际公认的标准:ISO/IEC 20000-1。

什么是ISO/IEC 20000-1?

ISO/IEC 20000-1最初于2005年发布，随后于2011年和2018年更新，是a类管理体系标准，规定了组织建立、实施、维护和持续改进服务管理体系(SMS)的更低要求。

SMS由政策、过程、资源、目标和文档化信息组成，这些信息被放在一起并进行协调，以实现组织的目标。有效的SMS使组织能够指导和控制其服务管理活动，识别和减轻与其活动相关的风险，并识别和实现改进服务提供的机会。

ISO/IEC 20000-1的要求是通用的，适用于各种规模、行业和复杂程度的组织。根据2020年ISO调查，全球有7500多个组织获得了证书。与通常认为该标准仅适用于IT基础设施的误解相反，ISO/IEC 20000-1可用于各种其他服务，包括金融、云、业务流程外包等。

与大多数ISO管理体系标准一样，ISO/IEC 20000-1是基于结构(HLS)创建的，并共享通用术语和核心定义。这种结构上的一致性使得基于ISO 9001、ISO/IEC 27001和ISO 22301等标准的其他管理系统更容易集成。除了确保一致性和降低成本之外，整合几个管理系统可以增加组织提供一致和高质量服务的能力，并有助于维护和改进可持续的业务模式。

ISO/IEC 20000-1对服务提供商的好处

基于ISO/IEC 20000-1要求的有效SMS有潜力塑造和改进组织的工作方式，并加强服务管理实践。

组织通过实施基于ISO/IEC 20000-1的SMS将获得的一些好处包括:

改善服务表现，增加为相关方提供的价值

有机会获得认可的合格评定机构的正式认证

减少了成本、工作量和服务中断

改进的服务生命周期，包括计划、设计、转换和交付

使SMS组件与业务目标保持一致

满足服务需求

增加了企业和客户的信心

通过使用风险管理方法降低风险

提高了对角色和职责的理解

改善与供应商和其他相关方的关系

您为什么要参加我们的ISO/IEC 20000培训课程?

在当今相互关联的世界中，持续改进流程和实现效率已成为维持业务的规范，许多组织转向服务提供商寻求解决方案。另一方面，服务提供者需要确保他们能够满足既定的需求并交付价值。在这种情况下，服务提供者寻求并重视有能力的个人，他们有必要的知识和技能来管理、控制和持续改进服务和提供服务的过程。

PECB ISO/IEC 20000培训课程是根据国际认可的服务管理体系标准ISO/IEC 20000-1、其他有价值的ISO指导标准(ISO/IEC 20000-2、ISO 31000、ISO 19011)和其他领域的良好做法而开发的。通过参加我们的ISO/IEC 20000培训课程，您将有机会发展自己的能力，帮助服务提供商并促进您的职业发展。

ISO/IEC 20000入门培训课程适合希望对SMS的ISO/IEC 20000-1要求有一个简要和全面了解的专业人士。

ISO/IEC 20000过渡培训课程适用于已经熟悉ISO/IEC 20000-1:2011要求并希望更新知识以帮助其组织过渡到ISO/IEC 20000-1:2018的专业人员。

ISO/IEC 20000基础培训课程适合初级专业人员，因为它使他们熟悉ISO/IEC 20000-1的要求和SMS的指南。

ISO/IEC 20000 Lead Implementer是一个为期五天的培训课程，可让您获得必要的能力，以指导和支持组织根据ISO/IEC 20000-1的要求和几个国际标准和良好实践的指导，建立、实施、运行、维护和持续改进SMS。

ISO/IEC 20000首席审核员也是一个为期五天的培训课程，使您能够根据ISO 19011中提供的审核管理体系指南和ISO/IEC 17021-1中描述的认证过程，获得基于ISO/IEC 20000-1审核SMS的必要能力。

为什么选择PECB?

作为培训、考试和认证服务的全球提供商，PECB通过为专业人士提供有价值的教育、评估和符合国际公认标准的认证，帮助他们展示自己的承诺和能力。

PECB的ISO/IEC 20000认证代表了同行对您专业能力的认可，并证明您能够为组织的服务和SMS做出贡献，无论是作为审核员、实施者还是其他职能。

ISO 27001与ISO 20000的异同

当我和我的客户交谈时，我们经常谈论各种ISO标准的实施，我经常听到ISO 20000和ISO 27001是紧密相关的，它们有很多共同点，如果你实施了其中一个，另一个就会容易得多。但是，当我们开始讨论细节时，情况就不同了。

这两个标准确实有很多共同之处，但更准确地说，它们是相辅相成的。另一方面，它们也有差异，所以你不能复制/粘贴一个完整的实现。让我们更详细地研究一下。

ISO 27001与ISO 20000的相似之处包括:

政策

目标的定义

角色和职责的定义

意识

沟通

文件和记录的控制

指标管理

内部审计

管理评审

纠正/预防措施和持续改进

首先是积极的方面——相似之处

让我们从基于ISO 27001的ISMS(信息安全管理系统)开始。虽然ISO 27001似乎只与信息有关，但“故事”更广泛。信息是一个广义的术语，包括原始数据、保存数据的地点和设备。它还包括用于处理、管理、人员和相关组织的设备和软件。此外，它还包括沟通渠道、供应商和采购、开发和立法。正如你所看到的，如果我们说ISO 27001与信息有关，我们实际上说得还远远不够。

ISO 20000也是一个非常相似的SMS(服务管理系统)。它定义、实现、管理和改进It服务，从设计到发布后的管理和改进。这远远超出了服务的功能，还包括如何构建服务、如何使用服务以及如何处理发生的问题。它还包括你如何建立你的组织，你如何处理第三方，报告和客户满意度/投诉/赞美等。许多这些元素都可以在ISO 27001中找到，但它们是从不同的角度来看的。

ISO 20000是基于过程的。尽管ISO 27001不是明确的基于过程的，如果你检查附件A(管理风险的控制列表)，你会发现有很多控制需要定义过程。ISO 20000流程处理与ISO 27001控制相同的主题。让我们看几个例子，您的ISMS实施可能需要在其风险评估范围内:

能力——ISO 27001要求提供支持所需系统性能的能力。ISO 20000在能力要求、计划和监控方面更详细。

配置——这两个标准都对支持IT服务(即信息处理)所需的资产有很强的要求。ISO 20000更深入，设定了更详细的要求。

事件—信息安全事件只是ISO 20000中的一类事件。如果您已经在ISO 20000中实施了事件管理，那么对于ISO 27001的实施也足够好。

变更——这两个标准都要求实施变更管理。ISO 20000将变更管理视为对许多活动的控制，从IT服务的规划和设计，一直到服务处于活动环境中的控制。

供应商-两个标准都将供应商视为管理体系的重要组成部分之一。ISO 20000要求对供应商及其分供应商的关系进行更多的细节控制。

所以，那些声称，如果你有了其中一个标准，你就已经有了另一个标准的重要部分，本质上是对的。

ISO 27001和ISO 20000有什么关系?

2021年12月6日，凯蒂菲尔德

ISO/IEC 27001和ISO/IEC 20000是全球企业使用的两个更流行的信息技术标准，但这两个标准之间是什么关系?

随着越来越多的企业投资于其信息安全流程，我们看到ISO/IEC 27001认证的数量有所增加。随着这一增长，我们也看到了对ISO/IEC 20000的更多好奇。这两个标准确实有很多共同之处，但更准确地说，它们是相辅相成的。另一方面，它们也有差异，这些差异值得探讨。

在本文中，我们将讨论:

什么是ISO/IEC 20000?

ISO/IEC 27001和ISO/IEC 20000有什么相似之处?

ISO/IEC 27001与ISO/IEC 20000有何不同?

我可以同时实施ISO/IEC 27001和ISO/IEC 20000吗?

什么是ISO 20000?

ISO/IEC 20000是服务管理体系(SMS)标准，规定了组织建立、实施、维护和持续改进服务管理体系(SMS)的要求。标准中规定的要求包括服务的规划、设计、转换、交付和改进，以满足服务需求并交付价值。它使It机构能够确保其It服务管理流程与业务和客户的需求保持一致，同时遵循国际更佳实践。

ISO 27001和ISO 20000有什么相似之处?

基于ISO 27001的ISMS(信息安全管理系统)可能看起来只与信息相关，但是信息是一个广义的术语，可以包括原始数据、位置和保存数据的设备。它还包括设备、软件、处理操作、管理、人员和组织本身。此外，它还包括沟通渠道、供应商和采购、开发和立法。ISO 27001所涉及的不仅仅是我们通常期望的信息或数据。

ISO 20000也是一个非常相似的SMS(服务管理系统)。它定义、实现、管理和改进It服务，从它的设计到它发布到活动环境后的管理和改进。它超越了服务的功能，还包括如何构建服务、如何使用服务以及如何处理发生的问题。它包括你如何建立你的组织，你如何处理第三方，你如何报告客户满意度，投诉和赞美等细节。在ISO 27001标准中可以找到许多相同或相似的元素，但这些都是从不同的角度来看的。

ISO 20000是以过程为基础的，尽管ISO 27001不是明确地以过程为基础的，但当您查看附件A中详细的控制列表时，会发现有许多地方您需要定义一个过程来处理特定要求。从ISO 20000的角度来看，该标准要求实施信息安全管理、IT服务连续性和可用性流程。这两个过程的要求与ISO 27001定义的ISMS要求非常一致。

ISO 27001和ISO 20000有什么不同?

虽然两个标准都提供了具体的方法，但ISO 20000是基于服务的，而ISO 27001是基于风险管理的;它的核心是风险管理。ISO 20000将风险视为IT服务管理的构建要素之一，并深入到组织的日常运作中，这意味着它与ISO 27001的某些部分(如信息分类，访问控制等)一致，但着眼于更广泛的背景。

除了信息安全之外，ISO 20000还提供了服务的整体视图，包括IT服务的财务方面、设计、发布和部署。ISO/IEC 20000规定了服务管理的标准，而ISO/IEC 27001侧重于风险评估。

与符合ISO 27001要求的ISMS相比，ISO 20000中的一些常见流程(如事件、变更或容量管理)对IT服务的管理更加详细。

我可以同时实施ISO 27001和ISO 20000吗?

是的，有了一个经验丰富的顾问，这就相对简单了。管理系统为任何企业提供利益，无论其规模或行业如何。无论你是想降低成本，简化操作，在全球范围内接触客户，还是以其他方式扩大业务，你都将从某种形式的管理系统中受益。什么样的管理体系适合你取决于你的具体目标;资讯安全的ISO/IEC 27001和资讯科技服务管理的ISO/IEC 20000都可以设定的目标，帮助贵公司精简流程。