??? 有不少企業(yè)在通過ISO 27001認(rèn)證后，也會(huì)另外取得ISO 20000以提升整體IT服務(wù)質(zhì)量，但I(xiàn)SO 20000 信息技術(shù)服務(wù)管理標(biāo)準(zhǔn)與ISO 27001 信息安全管理標(biāo)準(zhǔn)中的聯(lián)系在哪里，很多公司搞不清楚。

??? ISO270001信息安全管理體系與ISO20000信息技術(shù)服務(wù)管理體系，兩者雖然名稱比較相似，但是關(guān)注的焦點(diǎn)是不一樣的，一個(gè)偏重“信息安全”風(fēng)險(xiǎn)管理，一個(gè)偏重“IT服務(wù)”的水平和能力。

ISO27001與ISO20000的區(qū)別

1. ISO27001以控制點(diǎn)/控制措施為主，比較具體。ISO20000以流程為核心，比較抽象。

2. ISO27001是面向信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范。ISO20000是面向IT服務(wù)管理的質(zhì)量體系標(biāo)準(zhǔn)。

3. ISO27001強(qiáng)調(diào)以風(fēng)險(xiǎn)控制點(diǎn)的方式，來達(dá)到信息安全管理的目的。而ISO20000則是強(qiáng)調(diào)以流程的方式，達(dá)到質(zhì)量管理標(biāo)準(zhǔn)。

4. 最后一點(diǎn)是ISO27001適用于整個(gè)企業(yè)，不僅僅是IT部門，還包括業(yè)務(wù)部門、財(cái)務(wù)、人事等部門。ISO20000則是適用于企業(yè)的IT服務(wù)部門，通常是IT部門。

??? 但是兩套體系規(guī)范也存在著許多的共性特征，如：時(shí)間管理、業(yè)務(wù)連續(xù)性管理、信息資產(chǎn)管理等方面，大多數(shù)的企業(yè)都會(huì)選擇將ISO27001與ISO20000認(rèn)證項(xiàng)目一同實(shí)施，使兩套體系間的互補(bǔ)特性得到充分的發(fā)揮。