ISO20000和ISO27000二个体系的方针和目标。
ISO20000信息技术服务管理体系
方针: 加强运维服务管控、全员参与、持续改进、满足顾客需要
目标:
1) 客户满意度≥ 95%
2) 系统可用性≥99.5%
ISO27000信息安全管理体系
方针:加强信息风险管控、全员参与、持续改进、确保信息安全
目标:
1) 造成损失的信息安全事件为零;
2) 未造成损失的信息安全事件不超过3起;
3) 公司研发与集成系统可用性≥99.5%
ISO20000与ISO27001区别
ISO20000是第一部针对信息技术服务管理(IT Service Management)领域的国际标准,它于2005年12月15日发布。作为认证组织的IT运营和服务管理水平的国际标准,ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化搜索的管理过程以及过程建立的相关要求,帮助识别和管理IT服务的关键过程,保证提供有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务级别协议进行计划、管理和监控,并强调与客户的沟通。
如今,信息资产的重要性已经不言而喻,但是随着组织信息系统的数量、复杂性的增加,信息系统面对的危险也越来越大,包括非法入侵、黑客攻击、人为损坏、天灾人祸等,而这些信息资产的破坏不仅会给组织的IT基础设施带来严重的损失,更会影响到业务系统的正常运行。因此,英国标准协会(BSI)于1995年2月提出了BS7799标准,并于同年5月对该标准进行了重新修订,把标准分为两个部分。
第一部分BS7799-1信息安全管理实施规则,是组织实施信息安全管理体系的指导准则。将信息安全分为10个方面,分别为:安全策略、组织的安全、资产分类管理、人员安全、物力和环境安全、通信和操作管理、系统访问控制、系统开发和维护、业务持续性管理和符合性。
第二部分BS7799-2信息安全管理体系规范,说明建立、实施和维护信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应制定一套风险评估体系来鉴定实施安全控制的要求。
2000年12月1日,国际标准化组织(ISO)将BS7799-1修订再版为ISO/IEC17799标准。
2005年,ISO组织对BS7799-2进行修订采用为ISO27001:2005。
ISO27001:2005超越传统IT范围,着重于组织整体的信息安全管理。
ISO/IEC27001:2005的风险评估包括两个方面:一方丽在IT的CIA(信息的保密性、完整性、可用性)遭到破坏后对组织带来的伤害和影响进行评估;另一方面是对这种威胁和破坏以及实际的合理,控制而发生的实际可能性进行评估。
ISO/IEC27001:2005定义了完整的信息安全流程管理,有助于组织预测危险性事件发生造成的后果,井采取措施规避这些事件的发生。
ISO20000的13个流程中,信息、安全管理流程明确指出,只要组织符合BS7799标准的范畴大于ISO20000的标准范畴,就能满足ISO20000中信息安全管理流程的要求,若组织中只有某些部门符合BS7799标准,则该组织无法符合ISO20000的标准。
在ISO20000和ISO27001中都有对文档体系的要求,如果一个组织要同时执行这两套标准,在文档体系应尽量采取兼容的方式,避免出现完全独立的两套文档体系。一个可行的办法是以ISO20000的文档体系为主要文档体系,将信息安全的要求落实到具体的流程管理文档、技术文档中,或作为ISO20000中信息安全管理流程的管理文档。
除文档体系的融合外,另一个需要融合的领域是指标体系的融合。ISO27001的133个控制点覆盖面非常广,可以在ISO20000的流程指标中融入安全的要求,在必要的领域设置专门的安全类指标,整合为一个完整的指标体系,使两个体系可以完全融合。