一文读懂 ISO27001 与 ISO20000：信息双体系为何是企业刚需？

ISO27001信息安全管理体系

信息安全管理体系(Information Security Management Systems，简称：ISMS)是组织整体管理体系的一个部分，是基于风险评估建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。

1、适用范围

信息安全对每个企业或组织来说都是需要的，信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看，较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。

2、认证好处

3、必备条件

• 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》等有效文件，境外企业需持有有关机构的登记注册证明；

• 申请单位的信息安全管理体系已按照ISO/IEC27001：2013标准的要求建立，并实施运行3个月以上

• 至少完成一次内部审核，并进行了管理评审4.信息安全管理体系运行期间及建立体系前的一年内未收到主管部门行政处罚。

4、资料清单

·中国企业持有工商行政管理部门颁发的营业执照；国外企业持有有关部门的登记注册证明；

·企业合法经营、近一年内没有被相关部门处罚；

·企业简介及现有员工数；

·企业网络方面的资料

·企业供销方面的资料；　　

·企业人力资源方面的资料；

·企业硬件方面的资料；

·包含信息安全手册和程序文件在内的一、二、三、级文件；

·企业计量及检测设备有检定报告；

·特种设备的年检记录；

·特殊殊工种的上岗证书；

·管理评审、内部审核、客户满意度等资料。

ISO20000信息技术服务管理体系

ISO20000是世界上第一部针对信息技术服务管理（IT Service Management）领域的国际标zhun，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。该标准定义了一套全面的、紧密相关的服务管理流程。ISO20000认证指组织建立的信息技术服务管理符合ISO20000标准，从而通过ISO20000认证。

1、产品特点

• ISO20000是以流程化管理方式为基础，IT工作被分解成了不同的流程，每个小部门、每个人的工作都是若干流程中不同工作的组合，流程对工作量化的输入输出为员工的工作量化提供了可能。

• IT对服务也有了量化指标，建立了量化的质量控制体系，设定了完整准确的考核指标，提供完善的报表。对客户满意度等还选用第三方进行调查，保证数据的可信性。

• 量化管理不仅是IT部门自身管理的需要，也是衡量IT部门价值与投资回报的基础，流程化管理方式为量化管理的实现提供了可能。借用ISO20000，CIO也找到了一个衡量IT服务好坏的国际公认的标准。用此标准来证明公司的ITSM实施达到了怎样一个阶段，在一个标准的平台上跟CEO、CIO沟通IT服务管理的标准化、规范化。

• 企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证IS020000管理体系后，在各个流程中，各个工作岗位上都建立了一个自我完善的循环，工作的策划、执行、检查，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。

2、认证好处

• 获得业界普遍认同的国际认证ISO20000证书；

• 服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台；达到相关利益方均满意的IT服务管理目标；

• 提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；

• 持续优化服务流程，提升服务水平，提高业务满意度；

• 提高项目的可提供性并确保如期交付；

• 从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；

• 建立IT部门一整套行之有效的持续改善机制和内控机制；

• 明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务

• 战略和IT战略目标；

• 通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；

• 易于整合服务管理流程和其它管理系统，如：信息安全管理体系ISMS、质量管理体系ISO9000等；

• 将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；

• 提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率；

• 提升IT部门整体运作及部门间沟通的能力。

3、必备条件

• 中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明；

• 申请方的IT服务管理体系已按ISO/IEC20000-1：2018标准的要求建立，并实施运行3个月以上；

• 至少完成一次内部审核，并进行了管理评审；

• 信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚

4、资料清单

1.组织法律证明文件，如营业执照及年检证明复印件；

三、哪些企业需要推进双体系认证？

信息双体系并非特定行业的 “专属品”，而是所有依赖信息技术开展业务的组织的 “通用解”：

1、科技型企业（软件开发、云计算服务商等）：需通过认证证明服务可靠性与数据安全性；

2、传统行业数字化转型企业（制造业、零售业等）：在业务线上化过程中，需防范安全风险并保障系统稳定运行；

3、涉及敏感数据的企业（金融、医疗、教育等）：ISO27001 可满足合规要求（如符合《数据安全法》《个人信息保护法》），ISO20000 则提升服务公信力；

4、跨国企业或有出海计划的企业：双体系作为国际标zhun，能帮助企业突破地域壁垒，适应不同国家的监管要求。

双体系并行：1+1＞2 的协同价值

ISO27001 和 ISO20000 的侧重点不同，但两者并非孤立存在。信息安全是服务质量的基础 —— 若系统频繁遭遇安全威胁，服务连续性便无从谈起；而规范的服务管理又能反过来强化安全控制，例如通过严格的变更管理流程，避免因随意操作引发的安全漏洞。

实践证明，推进双体系认证的企业，能实现 “安全与服务” 的协同增效：

1、对内：优化管理流程，减少部门间的推诿扯皮，降低运营成本；

2、对外：在招投标中获得加分优势，尤其在政府、央企等大型项目中双体系认证往往是重要的评审指标；

3、长期：为企业数字化转型奠定坚实基础，适应云计算、大数据、人工智能等新技术带来的管理挑战。