ISO27001+ISO20000的认证步骤及ISO27001和等级保护标准的区别有哪些?
发布日期:2020-9-11
ISO27001+ISO20000需要通过现状调查、训和研讨、体系定义等六步来完成,ISO27001和等级保护标准的区别就在于要求性质不同、管理对象不同、管理思路不同,下面小编就来带大家具体了解一下。
一、ISO27001+ISO20000认证方案
ISO27001+ISO20000认证采用六步法:
1、现状调查,调查组织IT服务和信息安全管理现状,参考ISO27001和ISO20000标准对组织进行管理成熟度的评估,找出与ISO27001和ISO20000标准的差距、发掘组织的改善需求,共同明确实施的目标和范围。
2、训和研讨,导入ISO27001和ISO20000的管理思想和最佳实践。
3、体系定义,根据ISO27001和ISO20000标准设计IT服务管理框架并与信息安全控制措施相融合。
4、推广实施,通过ISO27001和ISO20000体系运行,发现体系设计、运行的问题,并及时改进。
5、内部审核,开展内部审核和管理评审,检查体系的有效性、适宜性和充分性,持续改进ISO27001和ISO20000体系。
6、审核获证,由审核员进行认证审核,并颁发ISO27001和ISO20000认证证书。
二、ISO27001+ISO20000认证方案价值
ISO27001+ISO20000认证方案实现了ISO27001认证和ISO20000认证的交叉并行,既充分考虑到2个体系相互独立、互为补充的特点,又根据组织实际业务灵活地调度企业资源,加速企业ISO27001认证和ISO20000认证过程。
一体实施,避免重复实施,提高效率,有助于减少项目实施费用和实施周期。
全面整合,实现企业IT服务“提高质量,降低风险”的管理要求。帮助企业实现科学的IT服务管理和安全控制,还可以实现同企业原有质量和业务体系(如ITIL、ISO9001、CMMI体系)的有效整合。
有效运行,形成了面向企业运营而不是面向认证审核的一整套融合的管理体系,避免了企业内多套管理体系并存的情况。减少管理体系执行过程中的混乱、冲突和重复,确保管理体系的有效运行。
我们不单纯关注ISO27001+ISO20000认证,而是更多地从组织运营层面来考虑如何帮助客户建立高效和顺畅的IT服务管理流程和有效的信息安全控制措施,强化企业全员的服务管理意识和信息安全意识,提高IT服务管理和信息安全管理的能力和水平。
三、ISO27001和等级保护标准的区别
1、要求性质不同
等级保护相关要求主要是由《中华人民共和国计算机信息系统安全保护条例》(1994年国务院147号令)及《计算机信息系统安全保护等级划分准则》(GB17859-1999)及其他一系列政策、标准组成的。从性质上说,等级保护的要求属于国家法律、法规,是具有强制性必须要遵守的。
ISO 27001是ISO 27000信息安全管理体系标准族中对信息安全管理体系要求的标准,从性质上来说,ISO 27001是国际标准不具有强制性,企业可以根据自身需求来选择是否要要满足相关要求。
2、管理对象不同
等级保护的管理对象是信息系统,等级保护所有的要求都是针对不同等级的信息系统所提出的要求,理论上来讲所采取的保护等级越高,相应的信息系统的安全防护水平越高,信息系统的安全性也越高。
ISO 27001的管理对象是组织,ISO 27001所有的要求都是对组织的管理过程的要求,理论上来讲采纳了ISO 27001标准,企业的信息安全管理过程越规范,组织的信息安全管理能力水平越来越高。
3、管理思路不同
等级保护的控制要求都属于非常明确的要求,按照等级保护的要求直接实施即可,而27001中的要求都是要建立相关管理控制,具体采用什么手段进行控制没有具体说明,采取什么类型的控制随着组织的风险水平、管理方式、企业文化不同而不同。
以上就是小编对“ISO27001+ISO20000的认证步骤及ISO27001和等级保护标准的区别有哪些?”的总结介绍,希望能够帮助到您。