ISO 27001 和 ISO 20000 之間有什麼關係？

ISO/IEC 27001 和 ISO/IEC 20000 是全球企業使用的兩個最流行的信息技術標準，但是這兩個標準之間的關係是什麼？

. 隨著越來越多的企業對其信息安全流程進行投資，我們看到 ISO/IEC 27001 認證的數量有所增加。 除了這種增長，我們還看到了對 ISO/IEC 20000 的更多好奇。這兩個標準確實有很多共同點，但更準確地說，它們是相輔相成的。 另一方面，它們也存在差異，這些差異值得探討。

在本文中，我們將討論：

• 什麼是 ISO/IEC 20000？
• ISO/IEC 27001 和 ISO/IEC 20000 有何相似之處?
• ISO/IEC 27001 和 ISO/IEC 20000 有什麼區別？
• ? 我可以同時實施 ISO/IEC 27001 和 ISO/IEC 20000 嗎？

什麼是 ISO 20000？

ISO/IEC 20000 是一項服務管理系統 (SMS) 標準，它規定了企業建立、實施、維護和持續改進服務管理系統 (SMS) 的要求。 標準中規定的要求包括服務的規劃、設計、過渡、交付和改進，以滿足服務要求和交付價值。 它使 IT 機構能夠確保其 IT 服務管理流程與業務和客戶的需求保持一致，同時遵循國際最佳實踐。

ISO 27001 和 ISO 20000 有何相似之處?

基於 ISO 27001 的 ISMS（信息安全管理系統）可能看起來只與信息相關，但信息是一個廣義術語，可以包括原始數據、位置和保存數據的設備。 它還包括設備、軟件、處理操作、管理、人員和組織本身。 此外，它還包括溝通渠道、供應商和採購、開發和立法。 ISO 27001 不僅僅涉及我們通常期望的信息或數據。

ISO 20000 也是一個非常相似的 SMS（服務管理系統）。 它定義、實施、管理和改進從設計到發佈到實際環境後的管理和改進的 IT 服務。 它超越了服務的功能，包括服務的構建方式、使用方式以及處理髮生的問題的方式。 它包括有關如何建立組織、如何處理第三方、如何報告客戶滿意度、投訴和表揚等的詳細信息。許多相同或相似的元素可以在 ISO 27001 標準中找到，但這些都是可見的 從不同的角度來看。

ISO 20000 是基於過程的，雖然 ISO 27001 沒有明確地基於過程，但是當您查看附件 A 中詳述的控制列表時，您需要在許多地方定義一個過程來處理特定要求。 從 ISO 20000 的角度來看，該標準要求實施信息安全管理、IT 服務連續性和可用性流程。 這兩個過程的要求非常符合 ISO 27001 定義的 ISMS 要求。

ISO 27001 和 ISO 20000 有什麼區別？

儘管這兩個標準都提供了特定的方法，但 ISO 20000 是基於服務的，而 ISO 27001 是基於風險管理的； 它的核心是風險管理。 ISO 20000 將風險視為 IT 服務管理的構建要素之一，並深入到組織的日常運營中，這意味著它與 ISO 27001 的某些部分（如信息分類、訪問控制等）相吻合，但看起來 在更廣泛的背景下。

除了信息安全之外，ISO 20000 還提供了服務的整體視圖，包括 IT 服務的財務方面、設計、發布和部署。 ISO/IEC 20000 規定了服務管理標準，而 ISO/IEC 27001 則側重於風險評估。

在 ISO 20000 中，一些常見流程（例如事件、變更或容量管理）比符合 ISO27001 要求的 ISMS 中的流程更詳細地管理 IT 服務。

我可以同時實施 ISO 27001 和 ISO 20000 嗎？

是的，並且有經驗豐富的顧問，這相對簡單。 無論規模或行業如何，管理系統都能為任何企業帶來好處。 無論您是希望降低成本、簡化運營、在全球範圍內接觸客戶，還是以其他方式擴展您的業務，您都將從擁有某種形式的管理系統中受益。 什麼樣的管理體系適合你，取決於你的具體目標； 用於信息安全的 ISO/IEC 27001 和用於 IT 服務管理的 ISO/IEC 20000 都可以設定有助於簡化公司的精確目標。

立即與 ISO 顧問交談，以更好地了解哪種 ISO 最適合您的業務，或者您是否會從多個系統中受益。