当前位置: 首页 > 新闻中心 > 5分钟解读iso20000信息技术服务管理体系

5分钟解读iso20000信息技术服务管理体系

发布时间:2024-02-12 13:22:49

  1. iso20000是什么管理体系
  2. 知识普及ISO27000信息安全管理认证标准族有多少
  3. ISO20000认证需要什么条件?

一、iso20000是什么管理体系

iso20000是信息技术服务管理体系标准。

iso20000介绍如下:

iso20000是面向机构的it服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进it服务管理体系(itsm)的模型。建立it服务管理体系(itsm)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。iso20000让it管理者有一个参考框架用来管理it服务,完善的it管理水平也能通过认证的方式表现出来。

信息技术服务:

信息技术服务是指为客户提供信息技术服务的企业。服务内容包括:软件测试服务和硬件测试服务两种。该技术主要使用在it行业。其中,信息技术服务是指通过促进信息技术系统效能的发挥,来帮助用户实现自身目标的服务。

信息技术服务是指利用计算机、通信网络等技术对信息进行生产、收集、处理、加工、存储、运输、检索和利用,并提供信息服务的业务活动。包括软件服务、电路设计及测试服务、信息系统服务、业务流程管理服务和信息系统增值服务。

iso20000是什么:

iso20000是信息技术管理体系,是第一部针对信息技术服务管理领域的国际标准,也是一套有关如何采用流程方法有效地提供服务以满足客户业务需求的方法。主要内容是提供建立、实现、维护和持续改进服务管理体系的要求。服务管理体系支持服务生命周期的管理,包括规划、设计、转换、交付和改进服务,以满足协定的要求和为客户、用户、提供服务组织交付价值。

iso20000的认证条件:

工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。运行时间即运行体系三个月以上;正常合法经营三个月以上的企业,信用良好,没有违规记录;内审管评:至少完成一次内部审核,并进行了管理评审.

二、知识普及ISO27000信息安全管理认证标准族有多少

iso27000标准族

与质量管理体系的iso9000系列和环境管理体系的iso14000系列标准类似,信息安全管理体系(information security management system,isms)是iso发展的-个信息安全管理标准族,预留了iso/iec 27000系列编号。

iso 27001在其中具有核心作用,iso 270000信息安全标准族其中最主要的几个标准图示如下:

更多标准罗列如下,从行业、技术、应用等角度涵盖了信息安全的方方面面:

iso27000

信息技术—安全技术—信息安全管理体系—概况与术语

该标准对构成isms标准族的信息安全管理标准进行了概述,并规定了与isms系列标准相关的术语。

iso27001

信息技术—安全技术—信息安全管理体系—要求

该标准源于bs7799-2,主要提出isms的基本要求,已于2005年10月正式发布。

iso27001用于为建立、实施、运行、监视、评审、保持和改进信息安全管理体系(information security management system,简称isms)提供模型。采用isms应当是一个组织的一项战略性决策。一个组织的isms的设计和实施受业务需求和目标、安全需求、所采用的过程以及组织的规模和结构的影响。上述因素及其支持过程会不断发生变化。期望信息安全管理体系可以根据组织的需求而测量,例如简单的情形可采用简单的isms解决方案。iso27001标准可以作为评估组织满足顾客、组织本身及法律法规的信息安全要求的能力的依据,无论是组织自我评估还是评估供方能力,都可以采用,也可以用作独立第三方认证的依据。上海信息化培训中心提供irca认可iso 27001la信息安全管理体系主任审核师培训。

iso27002

信息技术—安全技术—信息安全管理实用规则该标准取代了iso /iec 17799:2005,直接由iso/iec 17799:2005更改标准编号为iso/iec 27002,已于2007年4月实施。

本标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。本标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。

本标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求。本标准可以作为一个实践指南服务于开发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。本标准包含的实施规则可以认为是开发组织具体指南的起点。本实施规则中的控制和指导并不全都是适用的。而且,可能需要本标准中未包括的附加控制和指南。当开发包括附加控制和指南的文件时,包括对本标准适用的条款进行交叉引用可能是有用的,该交叉引用便于审核员和商业伙伴进行符合性核查。

iso27003

信息技术—安全技术—信息安全管理体系实施指南

该标准已于2010年2月正式发布。 该标准为按照iso/iec 27001建立信息安全管理体系(isms)实施计划提供应用指南。通常将isms作为一个项目实施。

iso27004

信息技术—安全技术—信息安全管理—测量

该标准已于2009年12月正式发布。该标准旨在帮助组织测量、报告和系统性的改进其信息安全管理体系的有效性。该标准为制订测量项和实施测量提供指南,以评估信息安全管理体系和iso/iec 27001规定的控制措施的实施效果。

iso27005

信息技术—安全技术—信息安全风险管理

该标准以bs7799-3和iso13335为基础,已于2008年6月正式发布。本标准描述了信息安全风险管理的要求,可以用于风险评估,识别安全要求,支撑信息安全管理体系的建立和维持。

iso27006

信息技术—安全技术—信息安全管理体系审核认证机构要求

该标准已于2007年2月正式发布。 该标准对提供isms认证的机构提出要求,所有提供isms认证服务的机构需要按照该标准的要求证明其能力和可靠性。

iso27007

信息技术—安全技术—信息安全管理体系审核指南

该标准为按照iso/iec 27001对信息安全管理体系进行审核的认证机构、内部审核员、外部/第三方审核员以及其它审核活动提供指南。

iso27008

信息技术—安全技术—isms控制措施的审核员指南

该标准为所有的信息安全管理体系审核员提供关于“基于风险方法选择isms控制措施”指南。该标准通过阐明isms与所选择的控制之间的关系,为信息安全风险管理过程,以及内外部的isms审核提供支持。并为如何验证“isms控制措施”的实施程度提供指南。

iso/iec 27009:信息安全治理框架

iso27010

信息技术—安全技术—组织间的信息安全管理

该标准将包含多个部分,为跨行业、跨领域、跨国家间分享有关信息安全风险、控制措施、争议以及安全事件的信息提供指南。

iso27011

信息技术—安全技术—电信机构基于iso/iec 27002的信息安全管理指南

该标准已于2008年12月正式发布。 该标准用于电信行业,由itu-t 和 iso/iec jtc1/sc27共同制订,并联合发布itu-t x.1051 和iso/iec 27011。

对电信机构而言,信息及其支撑流程、通信设施、网络和线路是重要的经营资产,信息安全对于电信机构恰当的管理其经营资产,正确并成功地保持其经营活动的连续性至关重要。本标准为电信机构的信息安全管理提供了要求,规定了电信企业在整体经营风险框架下建立、实施、运行、监视、评审、维持和改进其文件化的信息安全管理体系(isms)的要求。

iso/iec 27012:电子政府服务

iso27013

it技术—安全技术—iso/iec 20000-1 和 iso/iec 27001整合实施指南

该标准为整合实施iso/iec 27001(信息安全管理体系)和iso/iec 20000-1(it服务管理规范)提供指南。

iso27014

信息技术—安全技术—信息安全治理架构

该标准旨在帮助组织治理信息安全。信息安全治理将考虑:组织的经营战略、方针和目标;符合适用的、与治理相关的法律法规;符合组织对第三方的合同义务或其它法律义务,反之亦然;为向第三方提供保证所需的审核,以及证书需求。

iso27015

信息技术—安全技术—金融保险行业信息安全管理体系指南

该标准旨在帮助金融服务行业的组织(如:银行、保险公司、信用卡公司等)使用iso27000系列标准实施isms。虽然该行业已经有了一些风险和安全管理标准,如:iso tr 13569—银行业信息安全指南,但由sc27开发的isms实施指南将会更直接的体现iso/iec 27001和iso/iec 27002。

iso27031

信息技术—安全技术—业务连续性的ict准备能力指南

iso/iec 27031将说明ict(信息和通信技术)在确保业务连续性方面所起作用的概念和原则。该标准将:为所有类型的组织(私人、政府、非政府)提供框架(方法和流程);为改进作为组织isms一部分的ict准备能力、保证业务连续性,识别和规定全部有关的内容,包括:绩效准则、实施细节等;使一个组织能够测量其持续性、安全性,从而具备以一种一致的、验证过的方法从灾难中恢复的准备能力。

iso27032

信息技术—安全技术—网络空间安全指南

iso/iec 27032将阐述“网络空间”所面临的独特的安全问题。“网络空间”在标准中定义为:不以任何物理方式存在的,通过技术设施和网络互相联接的因特网中人员、软件、服务相互作用所导致的复杂环境。网络空间存在着目前信息安全、互联网安全、网络安全和ict安全所不能涵盖的安全问题,原因是这些安全领域之间存在差距。网络空间安全将解决在网络空间中,由于不同的安全领域差距导致的安全问题。同时,网络空间安全为网络空间中不同的安全利益相关者提供合作框架基础。

iso27033

信息技术—安全技术—网络安全

(其中的第一部分 iso/iec 27033-1已于2009年12月正式发布)。

iso/iec 27033将是一个包含多个部分的标准,来自于已经存在的网络安全标准iso/iec 18028的五个部分。现有的标准将不仅是改换名称,而是被大幅修改。

iso/iec 27033为实施iso/iec 27002所介绍的网络安全控制提供详细指南,包含以下部分:

iso/iec 27033-1:2009 information technology -- security techniques -- network security -- part 1: overview and concepts

iso/iec 27033-2: guidelines for the design and implementation of network security

iso/iec 27033-3: reference networking scenarios -- threats, design techniques and control issues

iso/iec 27033-4: securing communications between networks using security gateways -- threats, design techniques and control issues

iso/iec 27033-5: securing virtual private networks -- threats, design techniques and control issues

iso/iec 27033-6: ip convergence

iso/iec 27033-7: guidelines for securing wireless networking -- risks, design techniques and control issues

iso/iec 27033-8: guidelines for securing [insert other network security aspects] -- risks, design techniques and control issues

iso27034

信息技术—安全技术—应用安全

iso/iec 27034将是一个包含多个部分的标准。该标准通过一组与组织的系统开发生命周期相整合的过程,为规化、设计、选择和实施信息安全控制措施提供指南。该标准包含如下部分:

iso/iec 27034-1 - information technology — security techniques — application security overview and concepts

iso/iec 27034-2 - organization normative framework

iso/iec 27034-3 - application security management process

iso/iec 27034-4 - application security validation

iso/iec 27034-5 - protocols and application security control data structure

iso/iec 27034-6 - security guidance for specific applications

iso27035

信息技术—安全技术—安全事件管理

iso/iec 27035将由iso tr 18044升级而成。

iso27036

it安全—安全技术—外包安全管理指南

iso/iec 27036将指导组织评价和消除包含在采购、使用外包服务中的安全风险,支持对外包实施iso/iec 27002的安全控制措施。

iso27037

it安全—安全技术—数字证据的识别、收集、获取和保存指南

该标准将为电子证据的识别、收集、获取、标识、储存、搬运和保护提供详细的指南。

目前,该标准的名称和范围仍未确定。

iso27799

医疗信息学—使用iso/iec 27002的医疗信息安全管理

该标准是由iso负责医疗信息学的技术委员会tc215发布的,而不是由负责iso27k的iso iec联合技术委员会jtc1/sc27发布。因此,iso 27799是否是iso/iec 27000系列标准中的一个还存在争议。iso 27799:2008为在医疗信息领域理解和实施iso/iec 27002提供支持,是iso/iec 27002的伴随标准。

三、ISO20000认证需要什么条件?

首先,iso20000是对企业的认证,所以只要是企业提交申请,认证机构就可以安排审核。

其次,需要对照iso20000标准,建立起符合标准要求和自身工作流程特点的服务管理体系。

最后,认证审核是有费用的,这个需要与认证机构洽谈。