深圳ISO27001與ISO20000認(rèn)證體系的整合

ISO20000和ISO27001等關(guān)注不同的領(lǐng)域，但是不同標(biāo)準(zhǔn)在信息安全方面存在交叉，同時(shí)，由于ISO20000和ISO27001兩者都屬于國(guó)際標(biāo)準(zhǔn)，所以在宏觀上又存在相似之處，為了避免重

復(fù)性項(xiàng)目建設(shè)，同時(shí)也為了將兩種體系盡量融合，給出整合建議。

ISO20000和ISO27001整合思路

將兩個(gè)體系作為一個(gè)整體的體系來建設(shè)，這樣最終只有一套體系文件。主要思路是：

1. ISO20000、ISO27001、ISO9000具有相同的文檔體系結(jié)構(gòu)：定義相同的體系文檔結(jié)構(gòu)，包括管理層承諾、目標(biāo)、方針、組織架構(gòu)、管理體系要求和PDCA等方面的要求，這種文檔體

系以滿足標(biāo)準(zhǔn)的共同要求。

2. ISO20000和ISO27001在信息安全方面具有交叉內(nèi)容，而ISO27001在信息安全方面完全覆蓋ISO20000中信息安全的要求部分，同時(shí)一個(gè)企業(yè)只能存在一種安全標(biāo)準(zhǔn)，因此，信息安

全主要以ISO27001構(gòu)建為主，同時(shí)考慮ISO20000的信息安全的要求，做好兩個(gè)標(biāo)準(zhǔn)的接口。

3. 需要實(shí)現(xiàn)文件編碼方面的整合，爭(zhēng)取兩個(gè)體系采用類似或者同樣的文件編碼結(jié)構(gòu)，如ISO20000體系可采用ITSM-2-IM-01形式，其中第一段代表所屬體系簡(jiǎn)寫，第二段代表文件階

層，第三段代表控制域或者過程縮寫，第四段采用順序號(hào)來編號(hào)。

4. CMMI和ISO27001在信息系統(tǒng)的開發(fā)及維護(hù)上存在交叉內(nèi)容，ISO27001體系要求在信息系統(tǒng)開發(fā)過程中需符合ISO27001 A12（信息系統(tǒng)的開發(fā)及維護(hù)）中的安全管控要求，以滿足

ISO27001的整體安全管控要求。因此要做好軟件開發(fā)中安全管理與信息安全的接口。

5. CMMI和ISO20000在軟件的變更、發(fā)布以及新服務(wù)或變更的服務(wù)交付上存在交叉內(nèi)容，因此在整合文檔時(shí)要考慮以上幾點(diǎn)，并界定兩個(gè)體系的接口。

6. ISO9000的章節(jié)7.1和7.3（產(chǎn)品交付）與ISO20000的新服務(wù)和變更的服務(wù)（章節(jié)5）存在交叉，ISO9000的章節(jié)7.2與ISO20000客戶關(guān)系管理方面存在交叉，因此在整合文檔時(shí)會(huì)覆

蓋ISO9000的相關(guān)內(nèi)容。

ISO20000和ISO27001融合的體系文件結(jié)構(gòu)

多個(gè)體系可公用一套體系文件，整個(gè)體系分為四階：

1. 一階：主要是Statement和手冊(cè)，定義了體系的目標(biāo)、組織架構(gòu)、管理層聲明、管理者代表和體系的總體要求的綱領(lǐng)性文件。

2. 二階：各個(gè)體系的流程層面的管理指引文件，在二階文件中來最大限度的整合ISO27001&ISO20000體系的管理流程，信息安全的流程盡力整成一個(gè)文件。所有的二階流程文件都是

各個(gè)體系的流程層面的指引，規(guī)定了各個(gè)流程的整體活動(dòng)、角色、執(zhí)行原則、KPI要求等方面。

3. 三階：各體系的執(zhí)行層面的規(guī)章制度，比如服務(wù)臺(tái)熱線操作手冊(cè)、系統(tǒng)使用說明等。如果存在總公司-分公司管理、或者不同客戶的要求有很大的不同時(shí)，可在相應(yīng)二階流程指引

的框架下，在三階文件中制定不同的執(zhí)行制度，比如可制定各個(gè)分運(yùn)維中心的事件管理流程或事件操作制度。

4. 四階：各體系的文件記錄和相關(guān)報(bào)表。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://m.rumin8raps.com/zs/202105/ccaa_23400.html