一、iso27001和iso20000相辅相成,但又有所区别:1.主体的侧重点不同iso20000 以流程为核心,定义了一系列比较抽象的流程目标,而iso27001以控制点/控制措施为主,比较具体。
2.体系规范的侧重点有所不同iso20000是面向it服务管理的质量体系标准,而iso27001是面向信息安全的质量标准规范,iso20000强调以流程的方式达到质量管理标准,iso27001强调以风险控制点的方式来达到信息安全管理的目的。
3.体系规范存在的共性特征如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将iso20000与iso27001认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范地控制公司的服务运维体系与安全管理。
4.范围不一样iso20000适用于企业的it服务部门,通常是it部门;iso27001 适用于整个企业,不仅是it部门,还包括业务部门、财务、人事等部门。综合来看,iso27001较iso20000适用的领域面更广阔,但iso20000就it行业的管理标准更具专业性和针对性。
二、iso27001和iso20000相互包含,彼此互补,综合认证,优势明显在iso20000的13个流程中有信息安全管理流程,标准中注明了信息安全管理要参考iso17799。从这个层面理解,iso20000应该包含iso27001的内容。iso20000的终目的是要管理it系统的可用性,实际上只是完成了iso27001中的可用性管理。而且从it系统的生命周期看,20000管的是系统建设完成后的可用性管理,27001管的是从需求到开发到运行维护整个it系统生命周期的可用性管理,从这个方面来说,27001需要管理的范围就更大,而且,27001还要管理信息的保密性和完整性。因此,对于一个较依赖it系统的组织来说,27001的内容涵盖20000的内容。做好20000对于27001的建设是很有好处的。
iso20000的服务管理思想是iso27001所不具备的,对于负责运维管理和安全管理的组织中的团队来说,服务管理的思想都是值得参考和采用的,所以服务级别协议和服务报告是首先应该考虑融合、借鉴的。综上所述,iso20000与iso27001有着许多的相似点与不同点,大多数企业都会选择一同认证iso20000与iso27001,更全面的使两个体系在企业自身发挥互补且增加管理的作用。