YYQQ 发表于 2011-7-19 16:59:00

[参考文档] 信息安全管理体系ISO27001&IT服务管理体系ISO20000

信息安全管理体系ISO27001&IT服务管理体系ISO20000
现在很多IT外包企业在需要做这个,据说做好了国家会有补贴。发一下做个小介绍。

什么是信息安全管理体系(ISMS)?
信息安全管理体系是系统的对组织敏感信息进行管理,涉及到人,程序和信息科技(IT)系统。BSI发布了正被国际上使用的信息安全管理体系标准号ISO/IEC 17799 (BS7799-1)。
信息安全不是有一个终端防火墙,或找一个24小时提供信息安全服务的公司就可以达到的。它需要全面的综合管理。信息安全管理体系的引入,可以协调各个方面信息管理,管理更为有效。
ISO/IEC17799 (BS7799-1:2005)
BS7799 由两部分组成。BS7799-1是信息安全管理的最佳实践指南,BS7799-2是信息安全管理体系的要求,是获取认证的标准。BS7799-1已在2005年5月转为ISO标准-ISO/IEC17799 (BS7799-1:2005),BS7799-2已在2005年10月转为ISO标准-ISO27001(BS7799-2:2005),并且继续保持BS7799的编号。
BS7799可以帮助公司识别,管理和减少信息通常所面临的各种威胁。
ISO27001(BS7799-1:2005)的十一个章节概述如下:
. 安全方针-为信息安全提供管理指导和支持。
. 安全组织-在公司内管理信息安全。
. 资产分类与管理-对公司的信息资产采取适当的保护措施。
. 人员安全-减少人为错误、偷窃、欺诈或滥用信息及处理设施的风险。
. 实体和环境安全-防止对商业场所及信息未经授权的访问、损坏及干扰。
. 通讯与运作管理-确保信息处理设施正确和安全运行。
. 访问控制-管理对信息的访问。
. 系统的获得、开发和维护-确保将安全纳入信息系统的整个生命周期。
. 安全事件管理-确保安全事件发生后有正确的处理流程和报告方式
. 商业活动连续性管理-防止商业活动的中断,并保护关键的业务过程免受重大故障或灾难的影响。
. 符合法律-避免违反任何刑法和民法、法律法规或合同义务以及任何安全要求。
使用ISO27001:2005(BS7799-2:2005)作为信息安全管理标准,由BSI认证。可以向您的股东证实您符合信息安全要求。
什么是IT服务管理体系ITSMS?
IT服务管理体系(ITSMS)提供了一个管理IT服务的系统化的方法,无论这个IT服务的客户是内部的还是外部的,它包含了人员、过程和IT系统。
BSI出版的BS 15000标准包括IT服务管理的规范和实施要点两个部分,作为一个被业内广泛接受的标准,与英国商务部(OGC)制订的ITIL定义的过程方法相一致。BS 15000正被国际上广泛采用,它提供了IT服务管理的审核规范,和一个集成的方法来提供有效的IT服务以满足客户和业务需求。
什么是ISO/IEC 20000?
ISO/IEC 20000是一个关于IT服务管理体系的要求的标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。
这个标准基于ITIL的最佳实践基础,ISO/IEC 20000提出了服务文化,提供了满足业务需求的服务的方法论和管理方式的优先权。它还:
. 定义了一系列相互关联的服务管理过程
. 识别了过程之间的关系,和这些过程关系在组织内的应用
. 提供了方针目标和服务管理的控制措施
. ISO/IEC 20000规定了5个关键的服务管理过程
. 服务提供过程-包括服务级别管理、可用性管理和能力规划管理
. 关系过程-包括服务提供者与客户和供应商之间的接口
. 解决过程-关注需要解决和预防发生的事件和事故
. 控制过程-包括变更管理,资产管理和配置管理
. 发布过程-包括新的或更新的软件和硬件的发布
一个组织利用ISO/IEC 20000作为它的IT服务管理体系的基础,并通过BSI认证,可以表明它的IT服务管理体系满足了该标准的要求

東東 发表于 2020-11-25 10:58:11

超赞的资料,学习中
页: [1]
查看完整版本: [参考文档] 信息安全管理体系ISO27001&IT服务管理体系ISO20000