iso20000和iso27001有什么区别

iso20000和iso27001有什么区别

iso20000是信息技术服务管理体系，iso27001是信息安全管理体系

　　iso/iec27001:2005/gb/t22080-2008(由bs7799发展而来)的信息安全管理体系（isms）。是目前国际上先进的信息安全整体解决方案。它以组织风险评估为基石，运用pdca过程方法和133项信息安全控制措施来帮助组织解决信息安全问题，实现信息安全目标。

　　基于风险的信息安全管理体系就是在综合考虑成本与效益的前提下，通过恰当、足够、综合的安全措施来控制风险，使残余风险降低到可接受的程度。

　　信息安全适用性声明记录了组织内相关的风险控制目标和针对它采用的各种控制措施；向组织内外表明对信息安全风险的态度和作为，以表明组织已经全面、系统地审视了组织的信息安全系统，并将所有有必要管理的风险控制在能够接受的范围内。

　　本标准适用于所有类型的组织（例如，商业企业、政府机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的isms规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

iso20000 是世界上部针对信息技术服务管理(it servicemanagement)领域的，iso20000信息技术服务管理体系标准代表了被广泛认可的评估it服务管理流程的原则的基础。该标准定义了一套全面的、紧密相关的服务管理流程。

iso20000认证指组织建立的信息技术服务管理符合iso20000标准，从而通过iso20000认证。