27001和20000的区别:ISO 27001与ISO 20000的异同

iso.com/' target='_blank' title='ISO' >ISO 27001与ISO 20000的异同

当我和我的客户交谈时，我们经常谈论各种ISO标准的实施，我经常听到ISO 20000和ISO 27001是紧密相关的，它们有很多共同点，如果你实施了其中一个，另一个就会容易得多。但是，当我们开始讨论细节时，情况就不同了。

这两个标准确实有很多共同之处，但更准确地说，它们是相辅相成的。另一方面，它们也有差异，所以你不能复制/粘贴一个完整的实现。让我们更详细地研究一下。

ISO 27001与ISO 20000的相似之处包括:

政策

目标的定义

角色和职责的定义

意识

沟通

文件和记录的控制

指标管理

内部审计

管理评审

纠正/预防措施和持续改进

首先是积极的方面——相似之处

让我们从基于ISO 27001的ISMS(信息安全管理系统)开始。虽然ISO 27001似乎只与信息有关，但“故事”更广泛。信息是一个广义的术语，包括原始数据、保存数据的地点和设备。它还包括用于处理、管理、人员和相关组织的设备和软件。此外，它还包括沟通渠道、供应商和采购、开发和立法。正如你所看到的，如果我们说ISO 27001与信息有关，我们实际上说得还远远不够。

ISO 20000也是一个非常相似的SMS(服务管理系统)。它定义、实现、管理和改进It服务，从设计到发布后的管理和改进。这远远超出了服务的功能，还包括如何构建服务、如何使用服务以及如何处理发生的问题。它还包括你如何建立你的组织，你如何处理第三方，报告和客户满意度/投诉/赞美等。许多这些元素都可以在ISO 27001中找到，但它们是从不同的角度来看的。

ISO 20000是基于过程的。尽管ISO 27001不是明确的基于过程的，如果你检查附件A(管理风险的控制列表)，你会发现有很多控制需要定义过程。ISO 20000流程处理与ISO 27001控制相同的主题。让我们看几个例子，您的ISMS实施可能需要在其风险评估范围内:

能力——ISO 27001要求提供支持所需系统性能的能力。ISO 20000在能力要求、计划和监控方面更详细。

配置——这两个标准都对支持IT服务(即信息处理)所需的资产有很强的要求。ISO 20000更深入，设定了更详细的要求。

事件—信息安全事件只是ISO 20000中的一类事件。如果您已经在ISO 20000中实施了事件管理，那么对于ISO 27001的实施也足够好。

变更——这两个标准都要求实施变更管理。ISO 20000将变更管理视为对许多活动的控制，从IT服务的规划和设计，一直到服务处于活动环境中的控制。

供应商-两个标准都将供应商视为管理体系的重要组成部分之一。ISO 20000要求对供应商及其分供应商的关系进行更多的细节控制。

所以，那些声称，如果你有了其中一个标准，你就已经有了另一个标准的重要部分，本质上是对的。

ISO 27001和ISO 20000有什么关系?

2021年12月6日，凯蒂菲尔德

ISO/IEC 27001和ISO/IEC 20000是全球企业使用的两个更流行的信息技术标准，但这两个标准之间是什么关系?

随着越来越多的企业投资于其信息安全流程，我们看到ISO/IEC 27001认证的数量有所增加。随着这一增长，我们也看到了对ISO/IEC 20000的更多好奇。这两个标准确实有很多共同之处，但更准确地说，它们是相辅相成的。另一方面，它们也有差异，这些差异值得探讨。

在本文中，我们将讨论:

什么是ISO/IEC 20000?

ISO/IEC 27001和ISO/IEC 20000有什么相似之处?

ISO/IEC 27001与ISO/IEC 20000有何不同?

我可以同时实施ISO/IEC 27001和ISO/IEC 20000吗?

什么是ISO 20000?

ISO/IEC 20000是服务管理体系(SMS)标准，规定了组织建立、实施、维护和持续改进服务管理体系(SMS)的要求。标准中规定的要求包括服务的规划、设计、转换、交付和改进，以满足服务需求并交付价值。它使It机构能够确保其It服务管理流程与业务和客户的需求保持一致，同时遵循国际更佳实践。

ISO 27001和ISO 20000有什么相似之处?

基于ISO 27001的ISMS(信息安全管理系统)可能看起来只与信息相关，但是信息是一个广义的术语，可以包括原始数据、位置和保存数据的设备。它还包括设备、软件、处理操作、管理、人员和组织本身。此外，它还包括沟通渠道、供应商和采购、开发和立法。ISO 27001所涉及的不仅仅是我们通常期望的信息或数据。

ISO 20000也是一个非常相似的SMS(服务管理系统)。它定义、实现、管理和改进It服务，从它的设计到它发布到活动环境后的管理和改进。它超越了服务的功能，还包括如何构建服务、如何使用服务以及如何处理发生的问题。它包括你如何建立你的组织，你如何处理第三方，你如何报告客户满意度，投诉和赞美等细节。在ISO 27001标准中可以找到许多相同或相似的元素，但这些都是从不同的角度来看的。

ISO 20000是以过程为基础的，尽管ISO 27001不是明确地以过程为基础的，但当您查看附件A中详细的控制列表时，会发现有许多地方您需要定义一个过程来处理特定要求。从ISO 20000的角度来看，该标准要求实施信息安全管理、IT服务连续性和可用性流程。这两个过程的要求与ISO 27001定义的ISMS要求非常一致。

ISO 27001和ISO 20000有什么不同?

虽然两个标准都提供了具体的方法，但ISO 20000是基于服务的，而ISO 27001是基于风险管理的;它的核心是风险管理。ISO 20000将风险视为IT服务管理的构建要素之一，并深入到组织的日常运作中，这意味着它与ISO 27001的某些部分(如信息分类，访问控制等)一致，但着眼于更广泛的背景。

除了信息安全之外，ISO 20000还提供了服务的整体视图，包括IT服务的财务方面、设计、发布和部署。ISO/IEC 20000规定了服务管理的标准，而ISO/IEC 27001侧重于风险评估。

与符合ISO 27001要求的ISMS相比，ISO 20000中的一些常见流程(如事件、变更或容量管理)对IT服务的管理更加详细。

我可以同时实施ISO 27001和ISO 20000吗?

是的，有了一个经验丰富的顾问，这就相对简单了。管理系统为任何企业提供利益，无论其规模或行业如何。无论你是想降低成本，简化操作，在全球范围内接触客户，还是以其他方式扩大业务，你都将从某种形式的管理系统中受益。什么样的管理体系适合你取决于你的具体目标;资讯安全的ISO/IEC 27001和资讯科技服务管理的ISO/IEC 20000都可以设定的目标，帮助贵公司精简流程。

提高业务效率:ISO/IEC 20000-1认证确保IT服务团队在工作环境中完全具备控制流程、操作程序、故障排除、透明度和问责制。在您的组织中建立ISO 20000-1服务管理认证是提高员工生产力的更佳实践。

ISO 20000-1要求

ISO 20000-1标准要求组织实施一系列实践和程序，从而形成有效和高效的服务管理体系(SMS)。ISO 20000-1的高层结构确保SMS与其他管理系统的顺利集成。其中，前三个本质上是介绍性的，而后七个包含服务管理系统(EMS)实现的规范。

第四部分:组织背景

本节包括建立、维持和持续改进业务管理体系的必要要求。本部分高度强调了在组织中定义服务管理体系(SMS)的范围和目标。

第五部分:领导力

本部分包括高层管理人员建立和考虑服务管理策略所需的规范。本节强调更高管理者在组织中实施SMS的作用。它要求高层管理人员有效地与全体员工沟通角色和职责，以便正确实施SMS。

第六节:规划

策划是组织实施服务管理体系的重要环节。这部分包括有助于管理风险或威胁的有效规划。这也有助于找出减轻来自组织的这些威胁或风险的措施。

第7节:支持

本节重点介绍SMS (Service Management System)的有效性。它包括资源可用性、员工能力、意识、内部/外部通信、文档化数据和管理知识等重要领域，以支持适当的服务管理系统。

第八节:操作

本节确保短信系统运作所需的程序有效及有效率地进行。它涵盖了SMS的所有阶段，如计划、控制、设计和在各个领域运行的服务保证。

第9节:绩效评估

本节包括完成审核程序和定期进行内部审核的具体要求，必须注意的是，外部和内部审核都是通过在组织中实施服务管理体系来适当完成的。

第十部分:改善

本部分包括贵组织关于不符合、纠正措施和持续改进的要求。它支持在您的组织中建立有效的服务管理体系。

ISO 20000-1要求清单

ISO 20000-1是ISO 20000标准的一部分，涉及组织内部的IT服务管理系统。ISO 20000-1概述了更低要求，而ISO 20000-2提供了额外的指导，以帮助申请人无缝实施。该标准为帮助组织适应不断发展的技术、与业务目标保持一致以及提供性能效率提供了框架。在本博客中，我们将讨论申请人必须满足的ISO 20000- 1条款要求，以确保该标准的有效实施。

条款要求:

条款1 -标准范围

本条款解释了定义标准范围的要求。

第2条-定义

标准的定义和关键术语要求申请人提供。

第3条-服务管理制度

更高管理者应确保适当的文件、管理和资源收集，以使本标准有效地实施于组织。在本条款中，策划、建立、实施、评审和保持服务管理体系的责任基本上由更高管理者承担。

第4条-设计和过渡新的或改变的服务

该条款主要处理识别和评估新服务的需求。此外，还需要设计和转运到经批准的服务。

第5条-服务交付过程

对于ISO要求，应制定服务交付系统协议，以确保客户和内部团队的服务要求是明确的，并以更佳方式得到满足。此外，应建立服务报告系统，以便根据标准审查服务表现。最后，本条款还规定了确定向患者提供持续服务的需要。

第6条-提供培训和意识

向员工提供有关ISO 20000-1认证过程及其实施的相关信息和培训。向团队清楚地解释SMS的关键术语、定义、流程和整个系统。

第7条-控制过程

制定开发和维护完整管理数据库的制度。必须制定和保持适当的记录和文件，以帮助控制资讯科技服务管理系统。必须对过程进行持续评审，并确定改进的机会。

结论:

如果您计划在印度获得ISO 20000认证，请务必浏览一下提到的条款，并确保遵守这些条款。

介绍ISO 20000-1

有没有看过那些庸俗的浪漫喜剧，主角意识到合适的人一直都在他们眼前?也许他们以前只是朋友，也许他们在不同的圈子里，或者他们被其他人分散了注意力。但后来情况一致，他们意识到以前甚至不可能的事情恰恰是正确的道路。

在谢尔曼，我们与其说是媒人，不如说是网络安全评估的提供者，但考虑到这一点:根据最近的一项ISO调查，从2020年到2021年，ISO/IEC 20000-1:2018 (ISO 20000-1)的全球证书增长了50%。

当你想到ISO时，你可能会想到非常流行的ISO 27001标准，而不是ISO 20000-1。但为什么后者似乎突然变得更加突出呢?

也许您的组织和ISO/IEC 20000-1彼此适合，也许不适合，但在本文中，我们将帮助您了解其中的一种方式。在阐述ISO 20000-1如何帮助您之前，我们将深入研究ISO 20000-1是什么及其要求。

不要错过可能与您的组织完美匹配的标准—请继续阅读以了解ISO 20000-1是否符合。

什么是ISO 20000-1?

作为ISO众多标准之一，ISO 20000-1是一项国际标准，它定义了IT服务管理系统(SMS)的开发、实施、监控、维护和持续改进的要求。

采用SMS意味着做出受您的目标、管理机构、服务生命周期中涉及的其他各方以及对有效和有弹性的服务的需求影响的战略决策。一旦实施，运行SMS将提供持续的可见性、更好和集中的服务控制以及持续改进，从而提高效率和有效性。

虽然ISO 20000-1标准最初于2005年发布，但2018年的更新使条款结构与管理体系标准的通用高层结构(HLS)保持一致，这一举措使您更容易对齐或整合多个管理体系标准。例如，短信可以集成如下内容:

基于ISO/IEC 27001:2022 (ISO 27001)的信息安全管理系统;

基于ISO 9001:2015的质量管理体系(QMS);或

基于ISO 22301:2019 (ISO 22301)的业务连续性管理体系。

(如果你熟悉ISO 9001和质量管理体系，你可能会想知道ISO 20000-1和SMS是否真的有那么大的不同，但是的，它们是ISO 20000-1和SMS包括与你的实际服务具体相关的额外要求。)

基于IT基础设施库(ITIL)——一个更佳实践框架——该标准不仅适用于或有助于IT基础设施。ISO 20000-1要求是通用的，适用于各种规模和行业的组织，以及不同的其他服务，包括云服务和业务流程外包。

以下是ISO 20000-1与ITIL和信息及相关技术控制目标(COBIT)框架的关系:

ISO 20000-1的要求是什么?

当涉及到实际实施SMS时，ISO 20000-1标准中的条款是结构化的，以便您可以选择如何将需求组合到您的过程中，这为每个组织提供了一些关于其客户、用户和其他相关方的灵活性。

让我们来看看列出要求的第4-10条，包括第8条中具体的操作要求:

您将注意到，这些并不表示结构层次结构、序列或不同的权限级别。没有要求您如何将这些应用到SMS中，也没有要求将您的条款替换为标准的指定条款-这完全取决于您，选择适合您的操作。

然而，SMS不能排除ISO 20000-1标准中规定的任何要求。这种灵活性在于您在服务管理方面结合和协调以下方面:

目标

政策

流程

资源

文档

实施ISO 20000-1

与所有ISO管理体系一样，ISO 20000-1遵循计划执行检查法案(PDCA)方法和结构，以有效实施。我们可以将这些条款与PDCA循环相匹配:

PDCA应该贯穿你的短信的生命周期，尽管它是设计好的，你可以专注于做/检查/行动步骤。但是，当您引入变更时，例如范围扩展、领导层或流程的变更以及风险环境的变更，此时您需要重新评估和修改计划(第4,5,6和7条)，然后遵循对这些变更的Do / Check / Act。

为了帮助实施，ISO/IEC 20000-2为服务管理体系的应用提供了指导，包括如何满足ISO 20000-1规定的要求的示例。

ISO 20000-1的好处

但是，一旦到位，如果您的SMS是有效的，它应该使您能够更容易地指导和控制相关活动，包括识别和减轻相关风险，以便您可以更清楚地意识到任何改进的机会。

以下是通过ISO 20000-1认证可以获得的其他一些优势:

竞争优势:实现SMS将帮助您提供更高效和有效的服务—可靠性，包括确认此类服务的独立认证，将使您与竞争对手相比具有显著的区别。

新的大门打开了:为了与美国联邦政府做生意，承包商必须首先获得ISO 20000的认证才能竞争。

提高内部生产力和控制:因为你已经标准化了所有的事情——包括为相关的政策和程序创建文档——你的员工应该在他们的角色中经历更少的困惑和更高的效率。

潜在地降低合规性成本:实施此标准可以降低与其他法规(如Sarbanes-Oxley和PCI dss)的合规性成本，这两种标准与经过认证的SMS相比都更容易且成本更低。

改进文化:获得ISO 20000-1认证后，您将有义务持续考虑客户的关注和需求，并相应地改进您的流程。但是，您将对服务管理建立更深入的理解，这也将使您能够在其他领域找到改进的机会。

增加客户信心:当然，iso 20000-1最重要的好处和它对优质服务的关注将意味着你在客户群中获得更多的分数。

ISO 20000-1认证的下一步

SMS支持服务的生命周期，包括计划、设计、转换、交付和改进，以及满足商定的需求，同时还为您和服务的用户提供价值。

在为您的服务管理流程设定高标准时，ISO 20000-1证书表明您已经实施了正确的管理程序来提供高效可靠的服务。不仅如此，您的客户还会理解并欣赏您致力于定期监控、审查和改进这些服务。

既然我们已经阐明了这个可能的选择，也许你已经意识到它实际上非常适合你的需求。或者您想继续研究其他有用的ISO标准，在这种情况下，我们也为您提供了覆盖-阅读我们关于不同认证的其他内容，以便您在前进的道路上感到更加安全