什么是信息双体系？

ISO 27001 和 ISO 20000 常被并称为“信息双体系”，分别针对信息安全和IT服务管理，是企业构建规范化信息治理框架的核心guojibiaozhun，信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

ISO27001：信息安全管理体系，是guojibiaozhun化组织制定的一项针对企业信息安全管理能力进行判断与提升的标准，是具有参考与实用价值的guojibiaozhun之一。

核心目标：保障信息的机密性、完整性、可用性（CIA三要素）。  

适用范围：适用于所有组织（无论行业），重点关注信息安全风险管控。  

关键内容：  

 建立信息安全风险评估机制。  

 制定安全策略（如访问控制、加密、物理安全等）。  

 要求持续改进（PDCA循环）。  

认证价值：证明企业具备国际认可的信息安全防护能力，常用于合规（如GDPR、网络安全法）。

ISO20000：信息技术服务管理体系，是guojibiaozhun化组织制定的第一部针对信息技术服务领域的广泛通用标准。帮助企业显著提升运维水平，优化服务流程。

核心目标：规范IT服务管理流程，确保服务高效、稳定、用户导向。  

适用范围：IT服务提供商或企业IT部门，聚焦服务交付质量。  

关键内容：  

 基于ITILzuijia实践，涵盖服务设计、交付、运维（如事件管理、变更管理）。  

 强调SLA（服务级别协议）和客户满意度。  

认证价值：提升IT服务标准化水平，降低运维风险。

为何并称“信息双体系”

1.互补性： 

ISO 27001 解决“信息是否安全”，ISO 20000解决“服务是否可靠”。  

例如：ISO 20000确保系统可用性（如故障快速修复），ISO 27001确保修复过程中数据不被泄露。  

2.协同应用： 

企业常同时认证两者，构建“安全+服务”双重保障（如云计算、金融行业）。  

3.实际应用场景

案例：某银行同时实施双体系：  

 ISO 27001：保护客户数据防泄露（如转账加密）。  

  ISO 20000：确保网银系统高可用（如故障30分钟内响应）。  

ISO27001信息安全管理体系

01

认证好处

1.预防信息安全事故：预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护。

2.降低风险、增强信任：降低法律风险，建立客户、合作伙伴间的信任桥梁和纽带，提高公众形象和声誉。

3.增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为。

02

认证条件

申请ISO27001认证的基本条件：

(1) 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

(2) 申请方的信息安全管理体系已按ISO/IEC 27001:2013标准的要求建立，并实施运行3个月以上。

(3) 至少完成一次信息安全风险评估、内部审核，并进行了管理评审。

(4) 信息安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

(5)申请企业没有严重失信的情况

申请ISO27001认证应提交的文件及材料：

(1) 组织法律证明文件，如营业执照及年检证明复印件(盖公章);

(2) 组织机构代码证书复印件、税务登记证复印件(盖公章);

(3) 申请认证组织的信息安全管理体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印件);

(4) 申请组织的简介：

组织简介;

申请组织的主要业务流程;

组织机构图或职能表述文件;

(5) 申请组织的体系文件，需包含但不jinxian于(可以合并)：

信息安全管理体系ISMS方针文件;

风险评估程序;

适用性声明;

风险处理程序;

文件控制程序;

记录控制程序;

内部审核程序;

管理评审程序;

纠正措施与预防措施程序;

控制措施有效性的测量程序;

职能角色分配表;

整个体系文件结构与清单。

申请ISO27001认证应提交的文件及材料：

(6) 申请组织体系文件与GB/T22080-2016/ISO/IEC 27001:2013要求的文件对照说明;

(7) 申请组织信息安全风险评估证明资料、内部审核和管理评审的证明资料;

(8) 申请组织记录保密性或敏感性声明;

(9) 认证机构要求申请组织提交的其他补充资料(信息安全风险清单)

03

适用行业

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是：

以信息为生命线的行业：

1、金融行业：银行、保险、证券、基金、期货等

2、通信行业：电信、网通、移动、联通等

3、皮包公司：外贸、进出口、HR、猎头、会计师事务所等

对信息技术依赖度高的行业：

1、钢铁、半导体、物流

2、电力、能源

3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

工艺技术要求高、竞争对手渴望得到的：

1、医药、精细化工

2、研究机构

ISO20000信息技术服务管理体系

01

认证好处

一旦拥有了ISO20000认证，就象征着企业具有Zui可靠的IT服务后盾。那么当一个企业通过了ISO20000的认证，坚持实施zuijia实践后，高效的lT服务管理究竟可以给企业带来哪些好处呢?

1、建立紧密的跨部门协作关系和完善的员工考核制度；

2、遵循PDCA(计划——执行——检查——改进)的方法论，持续改进IT服务管理体系；

3、提高市场竞争力。

02

认证条件

申请ISO20000认证的基本条件：

1. 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。

2. 申请方的信息技术安全管理体系已按ISO/IEC 20000标准的要求建立，并实施运行3个月以上。

3. 至少完成一次信息技术安全风险评估、内部审核，并进行了管理评审。

4. 信息技术安全管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

5. 企业受到行政处罚，已经处理掉了，没有暂停营业

6. 申请范围不超出资质许可范围、不超出认证机构的业务范围;

7. 无违规转机构、无违法、无失信;

8. 申报人数与实际人数相差不超出20%;

9.提供企业业务相关的必备资质：

(1)如系统集成资质、安防资质等，并且保证资质的有效性和合法性。

(2)法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等)

(3)组织机构代码证复印件加盖公章。存在时，应提交分支机构的营业执照和组织机构代码证

(4)复印件加盖公章;

临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点);

(5)至少应提供以下文件信息：方针、目标、范围、组织为过程运行及沟通而保持的信息，

(6)必须提供：组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件，如：风险、控制情况、对IT的应用等;

(7)关于认证活动的限制条件(如出于安全和/或保密等原因，存在时);

(8)SLA目录;

(9)服务管理目标和计划;

(10)适用的法律法规的标准的清单;

03

适用行业

ISO 20000的认证适合IT服务的提供者，可以是内部的IT部门，也可以是外部的服务提供商，包括(但不限于)以下类别：

1. IT服务外包提供商

2. IT系统集成商和软件开发商

3. 企业内部IT服务提供商或IT运营支持部门

以信息为生命线的行业：

1、金融行业：银行、保险、证券、基金、期货等

2、通信行业：电信、网通、移动、联通等

3、皮包公司：外贸、进出口、HR、猎头、会计师事务所等

对信息技术依赖度高的行业：

1、钢铁、半导体、物流

2、电力、能源

3、外包(ITO或BPO)：IT、软件、电信IDC、呼叫中心、数据录入，数据处理加工等

ISO 27001和ISO 20000有什么不同

ISO/IEC27001是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。

ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。

目前，有不少企业在通过ISO 27001认证后，也会另外取得ISO 20000以提升整体IT服务质量，但ISO 20000信息技术服务管理标准与ISO 27001信息安全管理标准中的联系在哪里，很多公司搞不清楚。

众所周知，新版ISO27001于2019年10月19日正式发布，对于ISO27001与ISO20000之间的联系，下面为大家详细说一下：

01

主体的侧重点不同

ISO20000 以流程为核心，定义了一系列比较抽象的流程目标，而ISO27001 以控制点/控制措施为主，比较具体。

02

体系规范的侧重点有所不同

ISO20000 是面向IT 服务管理的质量体系标准，而ISO27001 是面向信息安全的质量标准规范，ISO20000 强调以流程的方式达到质量管理标准，ISO27001 强调以风险控制点的方式来达到信息安全管理的目的。

03

体系规范存在的共性特征

如：事件管理、业务连续性管理、信息资产管理等方面，大多数的企业都会选择将ISO20000 与ISO27001 认证项目一同实施，使两套体系间的互补特性得到充分发挥，更全面更规范的控制公司的服务运维体系与安全管理。

04

范围不一样

ISO20000 适用于企业的IT 服务部门，通常是IT 部门；

ISO27001 适用于整个企业，不仅是IT 部门，还包括业务部门、财务、人事等部门。