ISO 20000 信息技术服务管理体系和ISO 27001信息安全管理体系解析

ISO 20000全称为信息技术服务管理体系认证，是第一部针对信息技术服务管理领域的国际标准，该标准代表了被广泛认可的评估IT服务管理流程的原则的基础。

ISO 20000主要针对信息技术服务管理(ITSM)领域，帮助企业建立起一套科学、高效的服务管理体系。它规定了IT服务管理的一组流程框架，旨在帮助企业有效管理和控制其IT服务。通过ISO20000认证，企业能够证明自己在IT服务管理方面的专业性和规范性，提升客户信任度，并在业界树立良好的形象。

ISO 20000的认证适合IT服务的提供者，可以是内部的IT部门，也可以是外部的服务提供商，包括(但不限于)以下类别：

1、IT服务外包提供商

2、IT系统集成商和软件开发商

这类企业采用ISO20000规范并对所提供的软/硬件产品提供标准化的服务，在产品整个生命周期内保证产品的高质量服务和持续支持。

3、企业内部IT服务提供商或IT运营支持部门

银行、电信、地产、政府等大型国有企业和上市公司。这些组织机构的IT系统规模通常都很庞大，业务对于IT的依赖程度高。随着组织内部IT系统复杂度的几何增长，他们亟需改善内部IT服务管理水平，为业务的稳定和发展提供有力支持。

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明；

2、申请方的IT服务管理体系已按ISO/IEC20000-1：2018标准的要求建立，并实施运行3个月以上；

3、至少完成一次内部审核，并进行了管理评审；

4、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

1、申请书

2、认证合同

3、组织的营业执照和资质文件(如生产许可证、强制性认证证书、GMP、安全生产许可证等)

4、管理手册(包括:手册颁布令、企业简介、方针、目标、管代任命书、企业组织机构图及职能分配表)

5、程序文件

6、生产/服务流程图

7、适用的法律法规和标准清单

8、内审的证明文件 (内审计划、内审报告)

9、管理评审的证明文件 (管评计划、管评报告)

10、涉及多场所企业，提供多场所清单

1、保持服务目标与企业业务目标一致，有效的支持业务战略。

2、建立规范的服务流程，提高信息技术服务和运营效率。

3、有效及高效地整合和利用信息、基础架构、应用及人员等IT资源。

4、建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度。

5、向国际标杆靠齐，增强市场竞争力，提高组织声誉，提升投资回报。

6、控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本。

信息安全管理体系是组织整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。

信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

1、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》等有效文件，境外企业需持有有关机构的登记注册证明；

2、申请单位的信息安全管理体系已按照ISO/IEC27001：2013标准的要求建立，并实施运行3个月以上；

3、至少完成一次内部审核，并进行了管理评审

4、信息安全管理体系运行期间及建立体系前的一年内未收到主管部门行政处罚。

1、中国企业持有工商行政管理部门颁发的营业执照；国外企业持有有关部门的登记注册证明；

2、企业合法经营、近一年内没有被相关部门处罚；

3、企业简介及现有员工数；

4、企业网络方面的资料

5、企业供销方面的资料；　　

6、企业人力资源方面的资料；

7、企业硬件方面的资料；

包含信息安全手册和程序文件在内的一、二、三、级文件；

8、企业计量及检测设备有检定报告；

9、特种设备的年检记录；

10、特殊殊工种的上岗证书；

11、管理评审、内部审核、客户满意度等资料

1、预防信息安全事故：预防信息安全事故，保证组织业务的连续性，使组织的重要信息资产受到与其价值相符的保护，包括防范重要的商业秘密信息的泄漏、丢失、篡改和不可用；

2、降低风险，增强信任：降低法律风险，建立客户、合作伙伴间的信任桥梁和纽带，提高公众形象和声誉，增加投资回报和商业机会；

3、降低企业运营成本：运用好ISMS不仅可以通过避免安全事故，还能使组织节省运营费用，帮助组织合理筹划信息安全费用支出，例如：依据信息资产的风险级别，安排安全控制措施的投资优先级；对于可接受的信息资产的风险，控制对其投资；

4、增强员工的意识、责任感和相关技能：证书的获得，可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。