深圳ISO27001與ISO20000認(rèn)證體系的整合
發(fā)布時(shí)間:2025-06-11 點(diǎn)擊:23
深圳ISO27001與ISO20000認(rèn)證體系的整合
ISO20000和ISO27001等關(guān)注不同的領(lǐng)域,但是不同標(biāo)準(zhǔn)在信息安全方面存在交叉,同時(shí),由于ISO20000和ISO27001兩者都屬于國(guó)際標(biāo)準(zhǔn),所以在宏觀上又存在相似之處,為了避免重
復(fù)性項(xiàng)目建設(shè),同時(shí)也為了將兩種體系盡量融合,給出整合建議。
ISO20000和ISO27001整合思路
將兩個(gè)體系作為一個(gè)整體的體系來(lái)建設(shè),這樣最終只有一套體系文件。主要思路是:
1. ISO20000、ISO27001、ISO9000具有相同的文檔體系結(jié)構(gòu):定義相同的體系文檔結(jié)構(gòu),包括管理層承諾、目標(biāo)、方針、組織架構(gòu)、管理體系要求和PDCA等方面的要求,這種文檔體
系以滿足標(biāo)準(zhǔn)的共同要求。
2. ISO20000和ISO27001在信息安全方面具有交叉內(nèi)容,而ISO27001在信息安全方面完全覆蓋ISO20000中信息安全的要求部分,同時(shí)一個(gè)企業(yè)只能存在一種安全標(biāo)準(zhǔn),因此,信息安
全主要以ISO27001構(gòu)建為主,同時(shí)考慮ISO20000的信息安全的要求,做好兩個(gè)標(biāo)準(zhǔn)的接口。
3. 需要實(shí)現(xiàn)文件編碼方面的整合,爭(zhēng)取兩個(gè)體系采用類似或者同樣的文件編碼結(jié)構(gòu),如ISO20000體系可采用ITSM-2-IM-01形式,其中第一段代表所屬體系簡(jiǎn)寫,第二段代表文件階
層,第三段代表控制域或者過(guò)程縮寫,第四段采用順序號(hào)來(lái)編號(hào)。
4. CMMI和ISO27001在信息系統(tǒng)的開發(fā)及維護(hù)上存在交叉內(nèi)容,ISO27001體系要求在信息系統(tǒng)開發(fā)過(guò)程中需符合ISO27001 A12(信息系統(tǒng)的開發(fā)及維護(hù))中的安全管控要求,以滿足
ISO27001的整體安全管控要求。因此要做好軟件開發(fā)中安全管理與信息安全的接口。
5. CMMI和ISO20000在軟件的變更、發(fā)布以及新服務(wù)或變更的服務(wù)交付上存在交叉內(nèi)容,因此在整合文檔時(shí)要考慮以上幾點(diǎn),并界定兩個(gè)體系的接口。
6. ISO9000的章節(jié)7.1和7.3(產(chǎn)品交付)與ISO20000的新服務(wù)和變更的服務(wù)(章節(jié)5)存在交叉,ISO9000的章節(jié)7.2與ISO20000客戶關(guān)系管理方面存在交叉,因此在整合文檔時(shí)會(huì)覆
蓋ISO9000的相關(guān)內(nèi)容。
ISO20000和ISO27001融合的體系文件結(jié)構(gòu)
多個(gè)體系可公用一套體系文件,整個(gè)體系分為四階:
1. 一階:主要是Statement和手冊(cè),定義了體系的目標(biāo)、組織架構(gòu)、管理層聲明、管理者代表和體系的總體要求的綱領(lǐng)性文件。
2. 二階:各個(gè)體系的流程層面的管理指引文件,在二階文件中來(lái)最大限度的整合ISO27001&ISO20000體系的管理流程,信息安全的流程盡力整成一個(gè)文件。所有的二階流程文件都是
各個(gè)體系的流程層面的指引,規(guī)定了各個(gè)流程的整體活動(dòng)、角色、執(zhí)行原則、KPI要求等方面。
3. 三階:各體系的執(zhí)行層面的規(guī)章制度,比如服務(wù)臺(tái)熱線操作手冊(cè)、系統(tǒng)使用說(shuō)明等。如果存在總公司-分公司管理、或者不同客戶的要求有很大的不同時(shí),可在相應(yīng)二階流程指引
的框架下,在三階文件中制定不同的執(zhí)行制度,比如可制定各個(gè)分運(yùn)維中心的事件管理流程或事件操作制度。
4. 四階:各體系的文件記錄和相關(guān)報(bào)表。
怎樣申報(bào)中國(guó)環(huán)保節(jié)能產(chǎn)品費(fèi)用大概是多少錢
售后服務(wù)跟不上,車企新能源變革前景堪憂
知識(shí)產(chǎn)權(quán)管理體系認(rèn)證貫標(biāo)流程和條件有哪些
gmp的認(rèn)證機(jī)構(gòu)及程序
申報(bào)ISO13485認(rèn)證所需材料
申請(qǐng)非洲發(fā)明專利的流程有哪些?
系統(tǒng)集成公司需要哪些資質(zhì)?
家具廠如何申報(bào)中國(guó)315誠(chéng)信品牌
ISO20000和ISO27001等關(guān)注不同的領(lǐng)域,但是不同標(biāo)準(zhǔn)在信息安全方面存在交叉,同時(shí),由于ISO20000和ISO27001兩者都屬于國(guó)際標(biāo)準(zhǔn),所以在宏觀上又存在相似之處,為了避免重
復(fù)性項(xiàng)目建設(shè),同時(shí)也為了將兩種體系盡量融合,給出整合建議。
ISO20000和ISO27001整合思路
將兩個(gè)體系作為一個(gè)整體的體系來(lái)建設(shè),這樣最終只有一套體系文件。主要思路是:
1. ISO20000、ISO27001、ISO9000具有相同的文檔體系結(jié)構(gòu):定義相同的體系文檔結(jié)構(gòu),包括管理層承諾、目標(biāo)、方針、組織架構(gòu)、管理體系要求和PDCA等方面的要求,這種文檔體
系以滿足標(biāo)準(zhǔn)的共同要求。
2. ISO20000和ISO27001在信息安全方面具有交叉內(nèi)容,而ISO27001在信息安全方面完全覆蓋ISO20000中信息安全的要求部分,同時(shí)一個(gè)企業(yè)只能存在一種安全標(biāo)準(zhǔn),因此,信息安
全主要以ISO27001構(gòu)建為主,同時(shí)考慮ISO20000的信息安全的要求,做好兩個(gè)標(biāo)準(zhǔn)的接口。
3. 需要實(shí)現(xiàn)文件編碼方面的整合,爭(zhēng)取兩個(gè)體系采用類似或者同樣的文件編碼結(jié)構(gòu),如ISO20000體系可采用ITSM-2-IM-01形式,其中第一段代表所屬體系簡(jiǎn)寫,第二段代表文件階
層,第三段代表控制域或者過(guò)程縮寫,第四段采用順序號(hào)來(lái)編號(hào)。
4. CMMI和ISO27001在信息系統(tǒng)的開發(fā)及維護(hù)上存在交叉內(nèi)容,ISO27001體系要求在信息系統(tǒng)開發(fā)過(guò)程中需符合ISO27001 A12(信息系統(tǒng)的開發(fā)及維護(hù))中的安全管控要求,以滿足
ISO27001的整體安全管控要求。因此要做好軟件開發(fā)中安全管理與信息安全的接口。
5. CMMI和ISO20000在軟件的變更、發(fā)布以及新服務(wù)或變更的服務(wù)交付上存在交叉內(nèi)容,因此在整合文檔時(shí)要考慮以上幾點(diǎn),并界定兩個(gè)體系的接口。
6. ISO9000的章節(jié)7.1和7.3(產(chǎn)品交付)與ISO20000的新服務(wù)和變更的服務(wù)(章節(jié)5)存在交叉,ISO9000的章節(jié)7.2與ISO20000客戶關(guān)系管理方面存在交叉,因此在整合文檔時(shí)會(huì)覆
蓋ISO9000的相關(guān)內(nèi)容。
ISO20000和ISO27001融合的體系文件結(jié)構(gòu)
多個(gè)體系可公用一套體系文件,整個(gè)體系分為四階:
1. 一階:主要是Statement和手冊(cè),定義了體系的目標(biāo)、組織架構(gòu)、管理層聲明、管理者代表和體系的總體要求的綱領(lǐng)性文件。
2. 二階:各個(gè)體系的流程層面的管理指引文件,在二階文件中來(lái)最大限度的整合ISO27001&ISO20000體系的管理流程,信息安全的流程盡力整成一個(gè)文件。所有的二階流程文件都是
各個(gè)體系的流程層面的指引,規(guī)定了各個(gè)流程的整體活動(dòng)、角色、執(zhí)行原則、KPI要求等方面。
3. 三階:各體系的執(zhí)行層面的規(guī)章制度,比如服務(wù)臺(tái)熱線操作手冊(cè)、系統(tǒng)使用說(shuō)明等。如果存在總公司-分公司管理、或者不同客戶的要求有很大的不同時(shí),可在相應(yīng)二階流程指引
的框架下,在三階文件中制定不同的執(zhí)行制度,比如可制定各個(gè)分運(yùn)維中心的事件管理流程或事件操作制度。
4. 四階:各體系的文件記錄和相關(guān)報(bào)表。
怎樣申報(bào)中國(guó)環(huán)保節(jié)能產(chǎn)品費(fèi)用大概是多少錢
售后服務(wù)跟不上,車企新能源變革前景堪憂
知識(shí)產(chǎn)權(quán)管理體系認(rèn)證貫標(biāo)流程和條件有哪些
gmp的認(rèn)證機(jī)構(gòu)及程序
申報(bào)ISO13485認(rèn)證所需材料
申請(qǐng)非洲發(fā)明專利的流程有哪些?
系統(tǒng)集成公司需要哪些資質(zhì)?
家具廠如何申報(bào)中國(guó)315誠(chéng)信品牌