ISO20000和ISO27001认证的共同点

ISO20000和ISO27001虽然我们关注不同的领域，但不同的标准在信息安全方面存在交叉，甚至ISO20000和ISO27001两者都属于国际标准，宏观上有相似之处。两者有什么共同点？






如果把两个系统作为一个整体来构建，那么最终只有一套系统文件，两个系统融合的主要思路是：


1. ISO20000、ISO27001、ISO9000具有相同的文档体系结构：定义相同的文档体系结构，包括管理承诺、目标、政策、组织结构、管理体系要求和PDCA本文档系统满足标准的共同要求；


2. ISO20000和ISO27001在信息安全方面内容，ISO27001完全覆盖信息安全ISO20000在信息安全要求部分，企业只能有一个安全标准，因此，信息安全主要是ISO27001同时考虑建设ISO20000要求信息安全，做好两个标准接口；


3. 要实现文件编码的整合，争取两个系统采用类似或相同的文件编码结构，如ISO20000体系可采用IT -2-IM-01形式，其中第二段代表文件阶级，第三段代表控制域或过程缩写，第四段用序号编号；


4. CMMI和ISO27001信息系统的开发和维护存在交叉内容，ISO27001在信息系统开发过程中，系统需要满足要求ISO27001 A12(信息系统的开发和维护)满足安全控制要求ISO27001整体安全控制要求。因此，在软件开发中做好安全管理和信息安全接口；


5. CMMI和ISO20000软件变更、发布、新服务或变更服务交付存在交叉内容，因此在整合文档时应考虑上述几点，并定义两个系统的接口；


6. ISO9000的章节7.1和7.3(产品交付)和ISO20000新服务和变更服务(章节5)交叉，ISO9000的章节7.2与ISO20000客户关系管理存在交叉，整合文档时会覆盖ISO9000相关内容。

m.beianhz2.b2b168.com