带你了解什么是双信息体系，适配哪些企业？

ISO27001信息安全管理体系

信息安全管理体系（ISMS）是组织整体管理体系的重要组成部分，它以风险评估为基础，通过建立、实施、运行、监控、评审、维护与持续改进等一系列管理活动，在组织整体或特定范围内构建信息安全方针与目标，并形成实现相关目标的方法体系。

01

适用范围

02

认证好处

预防信息安全事故

预防信息安全事件，保障组织业务持续运行，对重要信息资产实施与其价值匹配的保护措施，防范商业秘密泄露、丢失、篡改与不可用等风险。

降低风险，增强信任

降低合规与法律风险，提升客户及合作伙伴信任度，树立良好公众形象与品牌声誉，拓展商业机会并提升投资回报。

降低企业运营成本

通过 ISMS有效规避安全事件损失，合理规划信息安全投入；依据信息资产风险等级确定安全控制投资优先级，对可接受风险控制投入，实现成本优化。

提升员工安全意识与能力

通过体系建设与认证，强化员工信息安全意识与责任，规范安全操作行为，降低人为因素导致的安全损失。

03

必备条件

04

ISO27001信息安全管理体系资料清单

ISO20000信息技术服务管理体系

ISO20000 是全球首部面向信息技术服务管理（ITSM）领域的，奠定了业内广泛认可的 IT服务管理流程评估基础，定义了一套完整且关联紧密的服务管理流程。ISO20000认证即指组织建立的信息技术服务管理体系符合该标准要求并通过认证。

01

产品特点

ISO20000以流程化管理为基础，将IT工作拆解为不同流程，各部门、各岗位工作均对应流程中的具体环节，流程对工作输入输出的量化的要求，为员工工作量化提供了可行依据。

同时，该体系为IT服务设定量化指标，建立完善的量化质量控制体系、考核指标及报表机制，对客户满意度等关键指标可委托第三方调查，确保数据真实可信。

量化管理既是IT部门内部管理的需求，也是衡量IT部门价值与投资回报的基础，而流程化管理则为量化管理的落地提供了支撑。借助ISO20000，CIO可获得国际公认的IT服务评价标准，既能明确企业ITSM实施阶段，也能在标准化平台上与CEO等管理层沟通IT服务的标准化、规范化建设。

企业建立ISO20000体系的核心目标，是构建以客户为中心、可自我完善的管理体系。认证实施后，各流程、各岗位均形成“策划-执行-检查-改进”的闭环，培养员工的问题意识，引导其主动发现工作中的问题，并通过系统方法逐步解决，实现持续优化。

02

认证好处

获得业界公认的 ISO20000 国际认证；统一服务质量、服务承诺标准，搭建与业务及供应商的协同沟通平台，实现相关方满意的 IT服务管理目标；提升 IT服务的可用性、可靠性与安全性，为业务用户提供高品质服务；持续优化服务流程与服务水平，增强业务满意度；保障项目可交付性，确保按期落地；整体提升企业IT 投资回报率，增强综合竞争力；构建 IT 部门完善的持续改进与内控管理机制；厘清 IT 管理成本与企业业务、IT战略的结合点，优化 IT 服务架构与资源配置，确保 IT资源运用贴合公司战略目标；通过规范化、透明化管理流程与权责划分，实施流程监控与绩效评估，降低 IT运营成本与管理风险；便于与信息安全管理体系（ISMS）、质量管理体系（ISO9000）等其他管理体系融合对接；整合现有管理体系与业务流程，规范IT 服务标准及工作流程，降低人员流动带来的运营风险；提升 IT 人员专业素养、服务能力与工作效率；强化 IT部门整体运营效能及跨部门协同沟通能力。

03

必备条件

04

ISO20000信息技术资料清单

1.组织法律证明文件，如营业执照及年检证明复印件；

2.组织机构代码证书复印件；

3.申请认证体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印；

4.申请组织简介；

4.1组织简介

4.2申请组织的主要业务流程

4.3组织机构图或职能表述文件

5.申请组织的体系文件，需包含但不于（可以合并)

5.1服务管理方针和计划

5.2服务级别协议

5.3能力管理流程

5.4服务连续性和可用性管理流程

5.5服务级别管理流程

5.6服务报告流程

5.7信息安全管理流程

5.8IT服务预算和核算流程

5.9业务关系管理流程

5.10供方管理流程

5.11事件管理流程

5.12问题管理流程

5.13配置管理流程

5.14变更管理流程

5.15发布管理流程

5.16整个体系文件的结构和清单

6.申请组织体系文件与ISO/IEC20000-1：2018（E）要求的文件对照说明；

7.申请组织内部审核和管理评审的证明资料；

8.申请组织记录保密性或敏感性声明。