企業(yè)做ISO20000與ISO27001認(rèn)證有什么不一樣呢?(iso20000和iso27001)

隨著網(wǎng)絡(luò)的飛速發(fā)展,我們的生活越來(lái)越信息化,信息技術(shù)離我們的生活越來(lái)越近。當(dāng)然,任何事物的發(fā)展都有兩面性。信息化改變生活的同時(shí),雖然有其便捷的一面,但也有相當(dāng)大的隱患。

2019年,萬(wàn)豪酒店5億客戶數(shù)據(jù)泄露。連鎖酒店巨頭喜達(dá)屋(Starwood)的母公司萬(wàn)豪國(guó)際酒店(Marriott International Hotel)表示,經(jīng)過(guò)取證和分析團(tuán)隊(duì)的仔細(xì)調(diào)查,發(fā)現(xiàn)受其大數(shù)據(jù)泄露影響的客戶數(shù)量從5億減少到3.83億,其中超過(guò)500萬(wàn)個(gè)未加密的護(hù)照號(hào)碼和大約860萬(wàn)個(gè)加密的信用卡號(hào)碼被盜。盡管萬(wàn)豪最新披露的數(shù)據(jù)比之前有所降低,但此次事件仍是史上最大的個(gè)人數(shù)據(jù)泄露事件之一。

萬(wàn)豪表示,喜達(dá)屋集團(tuán)自2014年以來(lái)一直受到黑客攻擊。萬(wàn)豪已經(jīng)提出,如果受影響的客人能夠證明他們是數(shù)據(jù)泄露的受害者,他們將支付新護(hù)照的費(fèi)用,這可能需要萬(wàn)豪支付5.77億美元。

信息安全的本質(zhì)是保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種威脅、干擾和破壞,即確保信息安全。

據(jù)統(tǒng)計(jì),全球每分鐘就有兩家企業(yè)因?yàn)樾畔踩珕?wèn)題倒閉,而在所有的信息安全事故中,只有20%-30%是黑客攻擊或其他外部原因造成的,70%-80%是內(nèi)部員工的疏忽或故意泄露造成的;同時(shí),78%的企業(yè)數(shù)據(jù)泄露來(lái)自內(nèi)部員工的不規(guī)范操作。因此,企業(yè)信息安全建設(shè)需要內(nèi)外兼修,從而構(gòu)建企業(yè)信息安全整體解決方案。

隨著業(yè)務(wù)的發(fā)展,從硬件產(chǎn)品到軟件服務(wù),一個(gè)電子硬件擴(kuò)展軟件服務(wù)廠商的業(yè)務(wù)越來(lái)越依賴于信息化,隨之而來(lái)的信息安全,尤其是商業(yè)秘密的保護(hù)也越來(lái)越重要。如何在合理的投資范圍內(nèi),適當(dāng)加強(qiáng)信息安全建設(shè),最大限度地減少或避免信息泄露、丟失、破壞等問(wèn)題造成的經(jīng)濟(jì)損失和對(duì)企業(yè)的影響。

建議,通過(guò)處理ISO 27001和ISO 20000事件,公司可以整體提升管理水平和信息安全水平。

ITSM是一個(gè)面向機(jī)構(gòu)的IT服務(wù)管理標(biāo)準(zhǔn),旨在為建立、實(shí)施、運(yùn)行、監(jiān)控、審查、維護(hù)和改進(jìn)IT服務(wù)管理系統(tǒng)提供一個(gè)模型。

ISO/IEC27001是組織整體或部分信息安全管理體系評(píng)估的基礎(chǔ),可以作為組織整體或部分信息安全管理體系評(píng)估和認(rèn)證的標(biāo)準(zhǔn)。

目前,通過(guò)ISO 27001認(rèn)證后,許多企業(yè)將獲得ISO 20000,以提高整體IT服務(wù)質(zhì)量。但是很多公司不知道ISO 20000信息技術(shù)服務(wù)管理標(biāo)準(zhǔn)和ISO 27001信息安全管理標(biāo)準(zhǔn)的關(guān)系在哪里。

眾所周知,新版《ISO27001》于2019年10月19日正式發(fā)布。ISO27001和ISO20000之間的聯(lián)系如下

邊肖為每個(gè)人解釋它。

01,主要側(cè)重點(diǎn)不同。

ISO20000以過(guò)程為核心,定義了一系列抽象的過(guò)程目標(biāo),而ISO27001側(cè)重于控制點(diǎn)/控制措施,更加具體。

02.系統(tǒng)規(guī)范的側(cè)重點(diǎn)不同。

ISO20000是IT服務(wù)管理的質(zhì)量體系標(biāo)準(zhǔn),而ISO27001是信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范。ISO20000強(qiáng)調(diào)質(zhì)量管理標(biāo)準(zhǔn)應(yīng)該通過(guò)過(guò)程來(lái)實(shí)現(xiàn),ISO27001強(qiáng)調(diào)信息安全管理應(yīng)該通過(guò)風(fēng)險(xiǎn)控制點(diǎn)來(lái)實(shí)現(xiàn)。

03.系統(tǒng)規(guī)格的共同特征

例如,事件管理、業(yè)務(wù)連續(xù)性管理、信息資產(chǎn)管理等。,大多數(shù)企業(yè)會(huì)選擇同時(shí)實(shí)施ISO20000和ISO27001認(rèn)證項(xiàng)目,以充分發(fā)揮兩個(gè)體系的互補(bǔ)特性,更加全面、規(guī)范地控制公司的服務(wù)運(yùn)維體系和安全管理。

04.范圍不一樣。

ISO20000適用于企業(yè)的IT服務(wù)部門,通常是IT部門;ISO27001適用于整個(gè)企業(yè),不僅是IT部門,還包括業(yè)務(wù)部門、財(cái)務(wù)、人事等部門。

ISO20000認(rèn)證和ISO27001認(rèn)證有著本質(zhì)的區(qū)別。ISO20000是IT信息技術(shù)服務(wù)管理系統(tǒng),ISO27001是信息安全管理系統(tǒng)。那么這兩個(gè)認(rèn)證各有什么優(yōu)勢(shì)和區(qū)別呢?讓我們一起來(lái)看看吧。

當(dāng)然,在信息安全保護(hù)方面,我們當(dāng)然不能僅僅依靠我們的管理制度,但是在我們的管理制度給我們一定的方向和基礎(chǔ)的前提下,我們必須執(zhí)行標(biāo)準(zhǔn),將信息安全意識(shí)印入我們的頭腦。只有時(shí)刻警惕信息安全,才能做到真正的信息安全保護(hù)。