杭州贝安企业管理咨询公司

杭州贝安企业管理咨询公司

Hangzhou Beian Mangement Co.,Ltd
联系方式:
13396513322

如何将ISO27001国际认证和ISO20000相结合?

2022-06-05 来源:

对于ISO20000和ISO27001就信息安全管理体系而言,虽然两者关注不同的领域,但不同的标准在信息安全方面存在交叉;同时,由于ISO20000和ISO27001两者都属于国际标准,所以宏观上有相似之处。为了避免重复项目建设,尽可能整合两个体系


ISO20000和ISO27001整合思路


建立两个系统作为一个整体系统,较终只有一套系统文件。


主要思路是:

ISO20000、ISO27001、ISO9000具有相同的文档体系结构:定义相同的文档体系结构,包括管理承诺、目标、政策、组织结构、管理体系要求和PDCA本文档系统满足标准的共同要求。

ISO20000和ISO27001在信息安全方面具有交叉内容,而ISO27001完全覆盖信息安全ISO20000在信息安全要求部分,企业只能有一个安全标准,因此,信息安全主要是ISO27001同时考虑建设ISO20000要求信息安全,做好两个标准接口。

要实现文件编码的整合,争取两个系统采用类似或相同的文件编码结构,如ISO20000体系可采用IT -2-IM-01形式,第一段代表系统简写,第二段代表文件阶层,第三段代表控制域或过程缩写,第四段用序列号编号。

CMMI和ISO27001信息系统的开发和维护存在交叉内容,ISO27001在信息系统开发过程中,系统需要满足要求ISO27001 A12(信息系统的开发及维护)中的安全管控要求,以满足ISO27001整体安全控制要求。因此,在软件开发中做好安全管理和信息安全界面。

CMMI和ISO20000软件变更、发布、新服务或变更服务交付存在交叉内容,因此在整合文档时应考虑上述几点,并定义两个系统的接口。

ISO9000的章节7.1和7.3(产品交付)和ISO20000新服务与变更服务(章节5)交叉,ISO9000的章节7.2与ISO20000客户关系管理存在交叉,整合文档时会覆盖ISO9000相关内容。


ISO20000和ISO27001集成系统文件结构


一套系统文件可用于多个系统,整个系统分为四个阶段:


一阶:主要是Statement本手册定义了系统目标、组织结构、管理声明、管理者代表和系统的总体要求。

二阶:各系统流程层面的管理指导文件,较大限度地整合二阶文件ISO27001&ISO20000系统管理流程和信息安全流程应尽可能整合成文件。所有二级流程文件都是各系统流程水平的指导,规定了各流程的整体活动、角色和执行原则KPI要求等。

三阶:各系统执行层面的规章制度,如服务台热线操作手册、系统使用说明等。如果有总部-管理或不同客户的要求非常不同时,可以在相应的二级流程指导框架下,在三级文件中制定不同的执行系统,运维中心的事件管理流程或事件操作系统。

四阶:各系统的文件记录及相关报表。




返回列表