ISO27001和ISO20000的区别

iso27001和iso20000是两个独立的国  际 标  准，分别关注信息安全管理和it服务管理。虽然两个标准都与企业的安全和可靠性有关，但它们具有不同的焦点和目标，并且适用于不同类型的组织。
简介
iso27001是一个系统性的框架，旨在帮助企业设计、实施和维护一个信息安全管理体系(isms)。isms是一个全面的安全管理系统，扫描所有潜在的安全风险和威胁，并采取行动措施以减轻这些风险，使企业信息资产安全。iso27001认证并不是义务性的，但是对于有敏感信息的组织来说会增加信任度和竞争优势。
iso20000是一个it服务管理体系(isms)的框架，它可以帮助组织建立和维护一个可靠、高效的it服务管理系统。iso20000标准确保it服务的交付、监测、度量和改进，以提高服务质量、增加客户满意度和提高竞争力。iso20000认证不仅仅是企业必须的，它还比较常见的是外包企业或者it服务提供商。
iso27001和iso20000的区别
iso27001和iso20000的区别在于，前者侧重于保护信息资产，后者侧重于优化it服务管理。两个标准都强调了建立体系和维护流程，但是对于各个领域提供的服务有不同的关注点。
具体的差别如下：
1） 目标
iso27001的目标是帮助组织设计、实施和维护安全管理体系，从而保护下面的所有信息资产。iso20000的目标是帮助组织设计、实施和维护it服务管理体系，以提高it服务的交付、监测、度量和改进，从而提高it服务质量和客户满意度。
2） 适用范围
iso27001适用于所有组织，无论是公共部门、私营企业还是非营利组织。iso20000通常适用于it服务提供商、内部it部门和外包it服务提供商。
3） 关注领域
iso27001强调信息安全，例如：
- 安全策略和流程
- 风险管理和监测
- 物理安全控制
- 网络安全控制
- 人员安全
- 处理报告等等
iso20000主要关注it服务管理，例如：
- 服务管理体系
- 交付、运营和支持流程
- 服务质量和性能度量
- 客户体验
- 常规运营等等
4） 认证过程
iso27001认证过程包括评审和认证，通常需要8-12周以完成。评审由一家独立的认证机构评估体系的符合性，认证机构会决定是否颁发认证证书。
iso20000的认证过程包括评审和认证，具体取决于您选择的认证机构。评审关注的重点是证明组织已经实施了一系列it服务管理的流程和控制，并对其进行了度量和监测。
结论
iso27001和iso20000是两个独立的标准，旨在优化组织信息安全和it服务管理。虽然两个标准都关注体系的建立和流程的维护，但是适用领域有所不同。通过了解两个标准之间的区别，您可以更好地决定组织需要哪个标准，并确定如何应用标准以提高业务安全和it服务质量。