ISO27001/ISO20000——信息不容忽視 隨著網(wǎng)絡(luò)的告訴發(fā)展，我們的生活越來越信息化，信息技術(shù)越來越接近于我們的生活。信息對(duì)于我們來說就是一種資源，它具有普遍性、共享性、增值性、可處理性和多效性，這對(duì)于人類具有特別重要的意義。 當(dāng)然，任何事情的發(fā)展都是帶有兩面性的，在信息化改變生活的同時(shí)，雖然由著它便利的一面，但也存在著相當(dāng)大的隱患。信息的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的性。 根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的定義，信息性的含義主要是指信息的完整性、可用性、保密性和可靠性。而我們ISO27001、ISO20000就是特別針對(duì)于信息而推出的一系列管理體系。 ISO/27001是用于為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息管理體系(InformationSecurityManagementSystem,簡(jiǎn)稱ISMS)提供模型。是基于并取代獲得國(guó)際認(rèn)可的英國(guó)標(biāo)準(zhǔn)BS7799，并與其他國(guó)際標(biāo)準(zhǔn)一起組成一個(gè)標(biāo)準(zhǔn)族，包括OECD的信息實(shí)施指南的ISO/IEC17799信息的實(shí)踐指南。 ISO/27001定義了信息管理體系（ISMS）的要求。標(biāo)準(zhǔn)被編寫用于保證您選擇適當(dāng)?shù)暮瓦m度的控制措施來保護(hù)信息資產(chǎn)，并保證包括您的客戶在內(nèi)的利益相關(guān)方的信心。 ISO/20000是一個(gè)關(guān)于IT服務(wù)管理體系的要求的國(guó)際標(biāo)準(zhǔn)，它幫助識(shí)別和管理IT服務(wù)的關(guān)鍵過程，保證提供有效的IT服務(wù)滿足客戶和業(yè)務(wù)的需求。 ISO/20000標(biāo)準(zhǔn)著重于通過“IT服務(wù)標(biāo)準(zhǔn)化”來管理IT問題，即將IT問題規(guī)類，識(shí)別問題的內(nèi)在聯(lián)系，然后依據(jù)服務(wù)水準(zhǔn)協(xié)議進(jìn)行計(jì)劃、推行和監(jiān)控，并強(qiáng)調(diào)與客戶的溝通。該標(biāo)準(zhǔn)同時(shí)關(guān)注體系的能力，體系變更時(shí)所要求的管理水平、財(cái)務(wù)預(yù)算、軟件控制和分配。其前身是BS/15000，和政府商業(yè)辦公室（OGC）的IT基礎(chǔ)設(shè)施庫(kù)（ITIL）界定的過程論密切一致。ISO/20000包含兩個(gè)部分：審核規(guī)范和實(shí)踐要點(diǎn)。 當(dāng)然，在信息保護(hù)方面上，我們肯定不能一味的只依靠于我們的管理體系，而是在我們管理體系給與我們一定的方向和基礎(chǔ)的前提下，要做到落實(shí)標(biāo)準(zhǔn)，將信息意識(shí)印入我們的腦海，只有時(shí)刻警惕信息，我們才能做到真正的信息保護(hù)。 從事企管咨詢多年，為超過300家的電子信息、企事業(yè)單位、物業(yè)、保安、清潔、金融、能源、教育裝備、制造業(yè)、交通物流、餐飲服務(wù)等行業(yè)企業(yè)完成資質(zhì)體系建立與認(rèn)證，在相關(guān)領(lǐng)域積累了深厚的經(jīng)驗(yàn)、人脈。 由于軟件外包的重要程度，產(chǎn)品與服務(wù)質(zhì)量的好壞將直接影響到或企業(yè)的外在形象及收益，如何提供更好的過程持續(xù)改進(jìn)質(zhì)量，成為企業(yè)及政府重點(diǎn)關(guān)注的問題。

基本介紹 為了更好地滿足顧客及法律法規(guī)的要求,增強(qiáng)顧客滿意,國(guó)際標(biāo)準(zhǔn)化組織(ISO)于1987年發(fā)布了ISO9000-ISO9004五項(xiàng)ISO9000系列質(zhì)量管理標(biāo)準(zhǔn)。后又針對(duì)ISO9000族標(biāo)準(zhǔn)應(yīng)用中的問題，進(jìn)行了四次修訂，發(fā)布了1994版、2000版、2008版和2015版ISO9000族標(biāo)準(zhǔn)。標(biāo)準(zhǔn)是在總結(jié)國(guó)際上質(zhì)量管理實(shí)踐經(jīng)驗(yàn)和理論基礎(chǔ)上制訂的，組織按質(zhì)量管理體系標(biāo)準(zhǔn)要求建立、實(shí)施、保持和持續(xù)改進(jìn)質(zhì)量管理體系，必將提高產(chǎn)品和服務(wù)質(zhì)量，增強(qiáng)顧客滿意，提高市場(chǎng)競(jìng)爭(zhēng)力。標(biāo)準(zhǔn)特點(diǎn) 1.以七項(xiàng)質(zhì)量管理原則作為標(biāo)準(zhǔn)的理論基礎(chǔ)，廣泛應(yīng)用于質(zhì)量管理各領(lǐng)域。 2.具有廣泛的通用性，適用于各類組織。 3.適度簡(jiǎn)化，經(jīng)過四次修訂，使標(biāo)準(zhǔn)在內(nèi)容和數(shù)量上得到簡(jiǎn)化，對(duì)指令性文件要求大量減少，標(biāo)準(zhǔn)的靈活性與操作指導(dǎo)性更好。 4.采用基于風(fēng)險(xiǎn)的思維、過程方法、PDCA循環(huán)模式建立、實(shí)施和持續(xù)改進(jìn)質(zhì)量管理體系。 5.提高了與環(huán)境、職業(yè)管理體系的相容性,可為組織帶來更大效益。實(shí)施意義 1.ISO9000族標(biāo)準(zhǔn)的應(yīng)用，為組織增強(qiáng)顧客滿意和改進(jìn)組織業(yè)績(jī)提供了要求和指南。 2.防止非關(guān)稅貿(mào)易技術(shù)壁壘，在質(zhì)量方面與國(guó)際接軌，成為進(jìn)入國(guó)際市場(chǎng)的“通行證”。 3.建立質(zhì)量管理體系，可以有效提高組織的管理水平和整體業(yè)績(jī)，組織應(yīng)對(duì)與組織環(huán)境和目標(biāo)相關(guān)的風(fēng)險(xiǎn)和機(jī)遇的能力。 4.有助于調(diào)動(dòng)全體員工的積極性，提高全員質(zhì)量意識(shí)、守法意識(shí)。

ISO27001是ISO27000系列的主標(biāo)準(zhǔn)，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息管理體系（ISMS），并通過認(rèn)證。 規(guī)劃的ISO27000系列包含下列標(biāo)準(zhǔn) ISO27000原理與術(shù)語(yǔ)Principlesandvocabulary ISO27001信息管理體系要求ISMSRequirements(以BS7799-2為基礎(chǔ)) ISO27002信息技術(shù)技術(shù)信息管理實(shí)踐規(guī)范(ISO/IEC17799:2005) ISO27003信息管理體系實(shí)施指南ISMSImplementationguidelines ISO27004信息管理體系指標(biāo)與測(cè)量ISMSMetricsandmeasurement ISO27005信息管理體系風(fēng)險(xiǎn)管理ISMSRiskmanagement ISO27006信息管理體系認(rèn)證機(jī)構(gòu)的認(rèn)可要求ISMSRequirementsfortheaccreditationofbodiesprovidingcertification ISO27007信息技術(shù)-技術(shù)-信息管理體系審核員指南 Informationtechnology_Securitytechniques_ISMSauditorguidelines 其中ISO27001：2005的終標(biāo)準(zhǔn)草案（FDIS）已經(jīng)在2005年7月發(fā)布，預(yù)計(jì)在2005年底或2006年初作為正式國(guó)際標(biāo)準(zhǔn)發(fā)布。 對(duì)ISO27001信息體系認(rèn)證的常見幾個(gè)問題進(jìn)行了解答： 一：ISO27001的目的是什么？ISO27001旨在為信息保護(hù)提供統(tǒng)一和集中控制的管理體系。此外，通過有效監(jiān)控IT風(fēng)險(xiǎn)，可降低各類業(yè)務(wù)流程所面臨的威脅。 二：獲得ISO27001認(rèn)證對(duì)公司有什么益處？防止企業(yè)遭受網(wǎng)絡(luò)攻擊； 防止數(shù)據(jù)丟失，從而杜絕財(cái)務(wù)和聲譽(yù)損失。 確保符合法律，減少黑客攻擊，程度降低黑客訪問敏感信息的能力。 三：ISO27001認(rèn)證的其他優(yōu)勢(shì)包括： 信息的保密性競(jìng)爭(zhēng)優(yōu)勢(shì)程度降低IT風(fēng)險(xiǎn)和潛在損害發(fā)現(xiàn)和薄弱環(huán)節(jié)IT風(fēng)險(xiǎn)控制確保滿足合規(guī)要求降低成本 四：ISMS指什么？ 信息管理系統(tǒng)（ISMS）是綜合了技術(shù)和人為因素的一套系統(tǒng)方法。根據(jù)企業(yè)所規(guī)定的保護(hù)需求，幫助企業(yè)建立持續(xù)優(yōu)化方案和監(jiān)管流程。ISO27001詳細(xì)說明了信息管理系統(tǒng)的實(shí)施要求和文件要求。 五：ISO27001認(rèn)證需要評(píng)估哪些內(nèi)容？ 信息指南人力資源資產(chǎn)管理物理和環(huán)境訪問控制密碼運(yùn)行通信物理和環(huán)境系統(tǒng)獲取、開發(fā)和維護(hù)供應(yīng)商關(guān)系信息事件管理業(yè)務(wù)連續(xù)性管理的信息符合性 六：ISO27001的有效期多長(zhǎng)？ 的有效期為三年。通過年度監(jiān)督審核和在三年期滿前重新認(rèn)證，可確保貴公司持續(xù)改進(jìn)流程。 七：企業(yè)如何做到信息？ 企業(yè)需要根據(jù)標(biāo)準(zhǔn)采取網(wǎng)絡(luò)措施。此外，還需滿足有關(guān)技術(shù)和組織規(guī)定，確保數(shù)據(jù)的可用性、完整性、真實(shí)性和保密性。如遇黑客攻擊，必須立即報(bào)告。