ISO27001信息安全管理體系認證與ISO20000的區別

有不少企業在通過ISO 27001認證后，也會另外取得ISO 20000以提升整體IT服務質量，但ISO 20000 信息技術服務管理標準與ISO 27001 信息安全管理標準中的聯系在哪里，很多公司搞不清楚。

ISO270001信息安全管理體系與ISO20000信息技術服務管理體系，兩者雖然名稱比較相似，但是關注的焦點是不一樣的，一個偏重“信息安全”風險管理，一個偏重“IT服務”的水平和能力。

ISO27001與ISO20000的區別

1. ISO27001以控制點/控制措施為主，比較具體。ISO20000以流程為核心，比較抽象。

2. ISO27001是面向信息安全的質量標準規范。ISO20000是面向IT服務管理的質量體系標準。

3. ISO27001強調以風險控制點的方式，來達到信息安全管理的目的。而ISO20000則是強調以流程的方式，達到質量管理標準。

4. 最后一點是ISO27001適用于整個企業，不僅僅是IT部門，還包括業務部門、財務、人事等部門。ISO20000則是適用于企業的IT服務部門，通常是IT部門。

       但是兩套體系規范也存在著許多的共性特征，如：時間管理、業務連續性管理、信息資產管理等方面，大多數的企業都會選擇將ISO27001與ISO20000認證項目一同實施，使兩套體系間的互補特性得到充分的發揮。