ISO27001认证和ISO20000认证介绍

SO27001认证介绍：

   信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准，该标准由英国标准协会（BSI）于1995年2月提出，并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分： BS7799-1，信息安全管理实施规则 BS7799-2，信息安全管理体系规范。 第一部分对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用；第二部分说明了建立、实施和文件化信息安全管理体系（ISMS）的要求，规定了根据独立组织的需要应实施安全控制的要求。

ISO27001认证

   随着在世界范围内，信息化水平的不断发展，信息安全逐渐成为人们关注的焦点，世界范围内的各个机构、组织、个人都在探寻如何保障信息安全的问题。英国、美国、挪威、瑞典、芬兰、澳大利亚等国均制定了有关信息安全的本国标准，国际标准化组织(ISO)也发布了ISO17799、ISO13335、ISO15408等与信息安全相关的国际标准及技术报告。目前，在信息安全管理方面，英国标准ISO2700:2005已经成为世界上应用最广泛与典型的信息安全管理标准，它是在BSI/DISC的BDD/2信息安全管理委员会指导下制定完成。

ISO27001标准于1993年由英国贸易工业部立项，于1995年英国首次出版BS 7799-1：1995《信息安全管理实施细则》，它提供了一套综合的、由信息安全最佳惯例组成的实施规则，其目的是作为确定工商业信息系统在大多数情况所需控制范围的唯一参考基准，并且适用于大、中、小组织。1998年英国公布标准的第二部分《信息安全管理体系规范》，它规定信息安全管理体系要求与信息安全控制要求，它是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为一个正式认证方案的根据。ISO2700:2005-1与ISO2700:2005-2经过修订于1999年重新予以发布，1999版考虑了信息处理技术，尤其是在网络和通信领域应用的近期发展，同时还非常强调了商务涉及的信息安全及信息安全的责任。2000年12月，ISO2700:2005-1：1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可，正式成为国际标准-----ISO/IEC17799-1：2000《信息技术-信息安全管理实施细则》。2002年9月5日，ISO2700:2005-2:2002草案经过广泛的讨论之后，终于发布成为正式标准，同时ISO2700:2005-2:1999被废止。现在，ISO2700:2005标准已得到了很多国家的认可，是国际上具有代表性的信息安全管理体系标准。目前除英国之外，还有荷兰、丹麦、澳大利亚、巴西等国已同意使用该标准；日本、瑞士、卢森堡等国也表示对ISO2700:2005标准感兴趣，我国的台湾、香港也在推广该标准。许多国家的政府机构、银行、证券、保险公司、电信运营商、网络公司及许多跨国公司已采用了此标准对自己的信息安全进行系统的管理。截至2002年9月，全球共有142家各类组织通过了ISO2700:2005信息安全管理体系认证。

ISO27001认证流程

第一阶段：现状调研

从日常运维、管理机制、系统配置等方面对贵公司信息安全管理现状进行调研，通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括：

项目启动：前期沟通，实施计划，项目小组，资源支持，启动会议。

前期培训：信息安全管理基础，风险评估办法。

现状评估：初步了解信息安全现状，分析与ISO9001标准要求的差距。

业务分析：访谈调查，核心与支持业务，业务对资源的要求，业务影响分析。

第二阶段：风险评估

对贵公司信息资产进行资产价值、威胁因素、脆弱性分析，从而评估贵公司信息安全风险，选择适当的措施、方法实现管理风险的目的。

资产识别：识别贵公司的各种信息资产。

风险评估：重要资产、威胁、弱点、风险识别与评估。

第三阶段：管理策划

根据贵公司对信息安全风险的策略，制定相应的信息安全整体规划、管理规划、技术规划等，形成完整的信息安全管理系统。

文件编写：编写ISMS各级管理文件，进行Review及修订，管理层讨论确认。

发布实施：ISMS实施计划，体系文件发布，控制措施实施。

中期培训：全员安全意识培训，ISMS实施推广培训，必要的考核。

第四阶段：体系实施

ISMS建立起来(体系文件正式发布实施)之后，要通过一定时间的运行来检验其有效性和稳定性。

认证申请：与认证机构磋商，准备材料申请认证，制定认证计划预审核。

后期培训：审核员等角色的专业技能培训。

内部审核：审核计划Checklist，内部审核，不符合项整改。

管理陪审：信息安全管理委员会组织ISMS整体评审，纠正预防。

第五阶段：认证审核

经过一定时间运行，ISMS达到一个稳定地状态，各项文档和记录已经建立完备，此时，可以提请进行认证。

认证准备：准备送审文件，安排部署审核事项。

协助认证：内部审核小组陪同协助，应对审核问题。

ISO27001认证服务周期：

体系运行3个月的运行周期

为什么选择我们：

CEEU的专业技术和审核经验为你降低企业风险提供切实可行的思路。

我们为您提供如下内容:   

  我们关注改进内部交流，注重数据统计和运行安全！

  我们提供业务集中式的审核：我们的步骤是确保满足客户内部的业务目标、客户要求、以及是否符合标准

  我们强调认证服务连续性：在长期合作的基础上，CSU会指派专业的认证技术服务人员为客户提供长期服务！

  我们保证审核的一致性：我们对审核员的严格培训和持续评估确保了对贵公司的审核结果的一致性！

  我们坚持以客户为中心：屡获殊荣的客户服务团队在整个注册过程中为客户提供计划、进度和帮助！

  审核将最终确保你的高级管理层、客户和股东有效地管理你的信息安全管理体系的风险！

ISO20000认证介绍

  ISO20000认证标准介绍：ISO20000 是世界上第一部针对信息技术服务管理（IT Service Management）领域的国际标准，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。该标准定义了一套全面的、紧密相关的服务管理流程。ISO 20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。

ISO20000认证流程：

1. 填写认证申请书

2. 提出认证申请，签订认证合同

3. 审核计划安排

4. 文件审核

5. 审核文件结果不满意，进行文件修订，重复4

6. 审核结果满意再进行现场审核

7. 对不符合项进行纠错

8. 推荐发证并进行效果验证（对不符合进行纠正）

9. 证书注册，发放

ISO20000认证范围：

认监委《关于开展ISO20000信息技术服务管理体系认证工作的公告》中把第一批开展ISO20000认证业务类别表规定如下：

信息技术服务管理体系认证的业务类别

信息系统咨询规划

信息系统软件设计开发

信息技术咨询

信息系统测试

软件产品测试

信息系统工程监理

软件工程监理

基础设施运行维护

硬件运行维护

软件运行维护

电子商务支持

软件运营

数据处理

呼叫中心/服务台

ISO20000认证实施效益：

• 得以获得业界普遍认同的国际证书ISO20000认证；

• 就服务质量和服务承诺与业务及供货商达成一致，建立和业务及供货商统一的沟通平台；达到相关利益方均满意的IT服务管理目标；

• 提高IT服务的可用性、可靠性和安全性，为业务用户提供高质量的服务；

• 持续优化服务流程，提升服务水平，提高业务满意度；

• 提高项目的可提供性并确保如期交付；

• 从总体上提高组织/企业IT投资的报酬率，提升组织/企业的综合竞争力；

• 建立IT部门一整套行之有效的持续改善机制和内控机制；

• 明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点，完善现有IT服务结构和资源配置，使各项IT资源的运用符合公司业务

战略和IT战略目标；

• 通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；

• 易于整合服务管理流程和其它管理系统，如：信息安全管理体系ISMS 、质量管理体系ISO9000等；

• 将现有管理体系和业务流程整合，规范IT部门服务水平，规范工作流程，降低由人员变动导致的风险；

• 提高IT部门相关员工的专业素质，提高员工的服务能力和工作效率；

• 提升IT部门整体运作及部门间沟通的能力。

ISO20000认证的原理和方法如下：

第一，集成的过程方法

过程：将输入转化为输出的相互关联或相互作用的一组活动。

集成的过程是系统的识别、定义和管理组织内所使用的各个过程，特别是过程间的接口和交互作用，形成可协调运行的过程集合。举例：一个服务事件会触发事件管理过程，从而可能进一步引发问题管理过程、变更管理过程等。

第二，质量管理的PDCA方法

服务周期 ：体系有效运行3-4个月