ISO20000/ISO27001信息安全

ISO/IEC 20000信息技术服务管理体系

ISO/IEC 20000是由国际标准化组织(ISO)和国际电工委员会(IEC)共同发布的标准，通常也写成ISO/IEC 20000形式，是世界上第一部针对信息技术服务管理（IT Service Management）领域的国际标准，该标准代表了被广泛认可的评估IT服务管理流程的原则的基础。
适用于IT服务的提供者，可以是外部的服务提供商，也可以是内部的IT部门。

实施ISO/IEC 20000的益处：

1)提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；
2)提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率，提高项目的可提供性并确保如期交付；
3)通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险，降低由人员变动导致的风险；
4)提升IT部门整体运作及部门间沟通的能力；
5)从总体上提高企业IT投资的报酬率，提升企业的综合竞争力；

ISO27001信息安全管理体系简介
ISO27001是有关信息安全管理的国际标准，可用于组织的信息安全管理体系的建立和实施，保障组织的信息安全，采用PDCA过程方法，基于风险评估的风险管理理念，全面系统地持续改进组织的安全管理。
实施ISO27001认证需准备的材料:
1)公司资质
2)组织简介
3)申请认证产品的生产、加工或服务工艺流程图
4)临时场所、多场所需提供清单
5)管理手册、程序文件及组织机构图
6)服务器数量以及终端数量
7)服务器数量以及终端数量
8)适用性声明、资产列表
9)保密协议、信息安全敏感区域的声明
10)支持ISO27000信息安全管理体系的规程和控制措施、风险评估方法的描述、风险处置计划、组织为确保其信息安全过程的有效规范/运行和控制以及描述如何测量控制措施的有效性所需的形成文件的规程