關于信(xin)息安全的那(nei)些事(shi)
ISO20000與ISO27001的必要性
隨著網絡的高速發展(zhan)(zhan),我(wo)們的生活的信息化程(cheng)度也不斷增(zeng)強,信息技(ji)術越�����來越接(jie)近于我(wo)們的生活。當然,任何(he)事情的發展(zhan)(zhan)都(dou)是帶有兩面(mian)性的,信息雖然(ran)提(ti)升了(le)我們(m����en)生活的便利(li)性(xing),但也存在著相當(d������ang)大(da)的隱患(huan)。
據統(tong)計,世界(jie)上每(mei)分鐘就(jiu)有2個企業因為信息安全問題���(ti)倒閉(������bi),而在所有的信息安全(quan)事故中,只有20%-30%是因為黑客入(ru)侵或其(qi)他外部原因造(zao)成的,70%-80%是由于內(nei)部員工(gong)的疏忽或有意(yi)泄露造成的;同時(shi)78%的企業數(shu)據泄露是(shi)來自內部員工的不規范(fan)操作。因此企業信息安全建(jian)設需要內外兼修,構建(jian)企業信息安全整體解(�����jie)決方案。
某(mou)電(di�������an)子硬(ying)件拓展軟件服(fu)務(wu)制造商,隨著業(ye)(ye)務(wu)的發展,由(you)硬(ying)件產品到軟件服(fu)務(wu),公司的業(ye)(ye)務(wu)也越來越依賴于(yu)信息化,由(you)此帶來的信息安全保(bao)障(zhang),尤其(qi)是商業(ye)(ye)秘密保(bao)護的重要性日益凸顯,如何妥善地加(jia)強信息安全(quan)建(jian)設,在合理投入的范圍內,最(z�������ui)大限度的減少(shao)或避免因信息泄密、丟失(shi)、破壞等(deng)問題所造成的經濟(ji)損(sun)失(shi)及(ji)對企(qi)業的影響。
因此,公司可以通過辦理(li)ISO 27001和(he)ISO 2000����0,整體提(ti)升(sheng)公司管理(li)水(shui)平和(he)信息(xi)安全標準。
ISO 20000是面向機構的(de)IT服(fu)務(wu)管(guan)理標準(zhun),目的(de)是提供建立、實(shi)施、運作、監(jian)控、評審、維護和(he)改(gai)進IT服(f�����u)務(wu)管(guan)理體系(xi)(ITSM)的(de)模型。
ISO/IEC27001是一(yi)個(ge)組織的全(quan)面或(huo)部分(fen)信(xin)息安(an)(an)全(quan)管理(li)體(ti)系(xi)評估(gu)的基(j����i)礎(chu),它可以作為對一(yi)個(ge)組織的全(quan)面或(huo)部分(fen)信(xin)息安(an)(an)全(quan)管理(li)體(ti)系(xi)進行評審認證的標(biao)準。
目前,有(you)不少企業在(zai)(zai)通過ISO 27001認證后,也會另外取(qu)得ISO ������20000以提升整體IT服務質量,但(dan)ISO 20000信息技術服務管理標(biao)準與ISO 27001信息安全(quan)管理標(biao)準中的聯(lian)系在(zai)(zai)哪(na)里,很多(duo)公(gong)司搞不清(qing)楚。
眾所(suo)周知,新版ISO27001于2019年(nian)10月19日正式發布,對于ISO27001與(yu)ISO20000之間的聯系,下面為大(da)家講(jiang)解。
|
1
|
主體的側重點不同
關鍵詞:抽象、具體
ISO������20000 以流程(cheng)為核心,定義了一系列(lie)比(bi)較抽(chou)象的(de)流程(cheng)目標;
而(er)ISO27001 以(yi)控制(zhi)點/控制(zhi)措��(cuo)施為主,比較具(ju)體�����。
|
|
2
|
體系規范的側重點有所不同
關(guan)鍵詞:IT 服(fu)務、信息(xi)安全(quan)、流程、風(feng)險控制點
ISO20000 是面向IT 服務管理的(de)質量(liang)體系標準,而ISO27001 是面向信息安全的質量標(biao)準(zhun)規范;
ISO20000 強調以流(liu)程的方式達到(dao)質量(liang)管理標準,ISO27001 強調以(yi)風險(xian)控制點的(de)方式來達到信(xin)息安全(quan)管理的(de)目的(de)。
|
|
3
|
體系規范存在的共性特征
關鍵詞:全面、規范
如:事件管理、業務連續性管理、信(xin)息資(zi)產管理等方面,大多數的(de)企業(ye)都會(hui)選擇將I����SO20000 與ISO27001 認證(zheng)項目一(yi)同實施,使兩套體系間的(de)互補特性得到充分發揮,更全面更規范的控制公(gong)司的服務運(yun)維體系(xi)與安全管理。
|
|
4
|
范圍不一樣
關鍵詞:服務部門、企業整體
ISO20000 適用于企業的�������(de)IT 服務(wu)部(bu)(bu)門,通常是(shi)IT 部(bu)(�����bu)門;
ISO27001 適用于(yu)整個企業,不僅是IT 部門,還包括(kuo�����)業務部門、財(cai)務、人事(shi)等(deng)部門。
|
ISO20000認(ren)證(zh�������eng)與ISO27001認(ren)證(zheng)存在��������著本質區別(bie),ISO20000是IT信息技(ji)術(shu)服(fu)務�����(wu)管理體系(xi),ISO27001是信��������息安(an)全管理體系(xi)。
在信息(xi)安全保護方面上,我(w������o)們(men)肯定不能一(yi)(yi)味(wei)的只依靠于我(wo)們(men)的管理體系(xi),而是(shi)在我(wo)們(men)管理體系(xi)給與我(wo)們(men)一(yi)(yi)定的方向和(he)基礎(chu)的前提下,要做到落實標準,將信息安(a���n)全�����(quan)意(yi)識(shi)印(yin)入我們的腦(nao)海,只有(you)時刻警惕信息安全,我們才能(neng)做到真正的(de)信息安全保護。
來源 | 網(wang)絡
聲明 | 我(wo)們對文(wen)中觀點保持立(li),僅供(gong)學習參考、交流之目(mu)的。
如有(you)侵犯(fan)版權請告知,我(wo)們將及時刪除!
山東世通(tong)國(guo)際認(ren)證(�������zheng)有(you)限(xian)公(g������ong)司
信息安全(quan)業務(wu)簡介
山東世通國際(ji)認(ren)(ren)證(zheng)有限(xian)公司成立(li)于2003年,是經國家認(ren)(ren)監委(CNCA)批準、認(ren)(ren)可委(CNAS)認(ren)(ren)可、具有獨立(li)法人資(zi)格的可直接頒(ban)發(fa)證(zheng)書(shu)的認(ren)(ren)證(zheng)機構。19年、累計(ji)為3.6萬家企業(ye)頒(ban)發(fa)超過(guo)10萬+各類認(ren)(ren)證(zheng)������證(zheng)書(shu),在山東省證(zheng)書(shu)保有量第一。
搜索
客戶案例
