ISO27001介紹
ISO27001是有關(guān)信息安全管理的國際標(biāo)準(zhǔn)。最初源于英國標(biāo)準(zhǔn)BS7799，經(jīng)過十年的不斷改版，終于在2005年被國際標(biāo)準(zhǔn)化組織（ISO）轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn)，于2005年10月15日發(fā)布為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施，保障組織的信息安全，采用PDCA過程方法，基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念，全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。對(duì)現(xiàn)代企業(yè)來說，將以往被認(rèn)為是成本中心的IT部門轉(zhuǎn)變成積極的增值服務(wù)提供者，是一種挑戰(zhàn)，也是機(jī)遇，而推動(dòng)這一機(jī)遇成為現(xiàn)實(shí)的.
ISO20000介紹
ISO 20000是面向機(jī)構(gòu)的IT服務(wù)管理標(biāo)準(zhǔn)，目的是提供建立、實(shí)施、運(yùn)作、監(jiān)控、評(píng)審、維護(hù)和改進(jìn)IT服務(wù)管理體系(ITSM)的模型。建立IT服務(wù)管理體系(ITSM)已成為各種組織，特別是金融機(jī)構(gòu)、電信、高科技產(chǎn)業(yè)等管理運(yùn)營風(fēng)險(xiǎn)不可缺少的重要機(jī)制。ISO 20000讓IT管理者有一個(gè)參考框架用來管理IT服務(wù)，完善的IT管理水平也能通過認(rèn)證的方式表現(xiàn)出來。
有效融合ISO27001、ISO20000等IT控制和最佳實(shí)踐，進(jìn)行必要的體系整合，從而全面提升客戶整體IT治理的水平。
獲取認(rèn)證應(yīng)具備的條件
應(yīng)具備相應(yīng)的資質(zhì)，（如營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼、相關(guān)的國家行政審批資質(zhì)或行業(yè)資質(zhì)），具備相關(guān)設(shè)施和資源，能正常開展經(jīng)營活動(dòng)。能提供三個(gè)月以上的經(jīng)營活動(dòng)記錄。
取得認(rèn)證的程序
通常把取得認(rèn)證的程序分為兩個(gè)階段，
認(rèn)證咨詢階段：合同簽訂后，我公司會(huì)派出咨詢老師到企業(yè)進(jìn)行調(diào)研，確定企業(yè)的認(rèn)證意圖，幫助企業(yè)確定組織機(jī)構(gòu)和職責(zé)權(quán)限劃分，體系的覆蓋范圍，編制和完善認(rèn)證所需要的體系文件，對(duì)企業(yè)人員相關(guān)進(jìn)行的培訓(xùn)，并指導(dǎo)企業(yè)按體系文件的要求運(yùn)行，并幫企業(yè)進(jìn)行認(rèn)證的申請(qǐng)。
認(rèn)證審核階段：由認(rèn)證機(jī)構(gòu)派出的審核員，到企業(yè)按照認(rèn)證標(biāo)準(zhǔn)及企業(yè)體系文件規(guī)定對(duì)企業(yè)申請(qǐng)認(rèn)證范圍的活動(dòng)的進(jìn)行檢查，重點(diǎn)是核實(shí)企業(yè)的情況及編制認(rèn)證文件和記錄，檢查結(jié)束上報(bào)認(rèn)證機(jī)構(gòu)頒發(fā)證書。
取得認(rèn)證的效益
ISO27001
  1、通過定義、評(píng)估和控制風(fēng)險(xiǎn)，確保經(jīng)營的持續(xù)性和能力 
  2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責(zé)任 
  3、通過遵守國際標(biāo)準(zhǔn)提高企業(yè)競爭能力，提升企業(yè)形象 
  4、明確定義所有組織的內(nèi)部和外部的信息接口目標(biāo)：謹(jǐn)防數(shù)據(jù)的誤用和丟失 
  5、建立安全工具使用方針 
  6、謹(jǐn)防技術(shù)訣竅的丟失 
  7、在組織內(nèi)部增強(qiáng)安全意識(shí) 
    8、可作為公共會(huì)計(jì)審計(jì)的證據(jù)  
ISO20000
服務(wù)質(zhì)量和服務(wù)承諾與業(yè)務(wù)及供貨商達(dá)成一致，建立和業(yè)務(wù)及供貨商統(tǒng)一的溝通平臺(tái)；達(dá)到相關(guān)利益方均滿意的IT服務(wù)管理目標(biāo)； 
  ? 提高IT服務(wù)的可用性、可靠性和安全性，為業(yè)務(wù)用戶提供高質(zhì)量的服務(wù)； 
  ? 持續(xù)優(yōu)化服務(wù)流程，提升服務(wù)水平，提高業(yè)務(wù)滿意度； 
  ? 提高項(xiàng)目的可提供性并確保如期交付； 
  ? 從總體上提高組織/企業(yè)IT投資的報(bào)酬率，提升組織/企業(yè)的綜合競爭力； 
  ? 建立IT部門一整套行之有效的持續(xù)改善機(jī)制和內(nèi)控機(jī)制； 
  ? 明晰IT管理成本和組織/企業(yè)業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)的結(jié)合點(diǎn)，完善現(xiàn)有IT服務(wù)結(jié)構(gòu)和資源配   置，使各項(xiàng)IT資源的運(yùn)用符合公司業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)； 
  ? 通過建立優(yōu)化、透明的管理流程和權(quán)責(zé)的定義，監(jiān)控管理流程、進(jìn)行績效評(píng)價(jià)；降低IT運(yùn)營的管理成本和風(fēng)險(xiǎn)； 
  ? 易于整合服務(wù)管理流程和其它管理系統(tǒng)，如：信息安全管理體系 ISMS 、質(zhì)量管理體系ISO9000等； 
  ? 將現(xiàn)有管理體系和業(yè)務(wù)流程整合，規(guī)范IT部門服務(wù)水平，規(guī)范工作流程，降低由人員變動(dòng)導(dǎo)致的風(fēng)險(xiǎn)； 
  ? 提高IT部門相關(guān)員工的專業(yè)素質(zhì)，提高員工的服務(wù)能力和工作效率； 
  ? 提升IT部門整體運(yùn)作及部門間溝通的能力