ISO27001/ISO20000——信息不容忽視 隨著網絡的告訴發(fā)展，我們的生活越來越信息化，信息技術越來越接近于我們的生活。信息對于我們來說就是一種資源，它具有普遍性、共享性、增值性、可處理性和多效性，這對于人類具有特別重要的意義。 當然，任何事情的發(fā)展都是帶有兩面性的，在信息化改變生活的同時，雖然由著它便利的一面，但也存在著相當大的隱患。信息的實質就是要保護信息系統(tǒng)或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的性。 根據國際標準化組織的定義，信息性的含義主要是指信息的完整性、可用性、保密性和可靠性。而我們ISO27001、ISO20000就是特別針對于信息而推出的一系列管理體系。 ISO/27001是用于為建立、實施、運行、監(jiān)視、評審、保持和改進信息管理體系(InformationSecurityManagementSystem,簡稱ISMS)提供模型。是基于并取代獲得國際認可的英國標準BS7799，并與其他國際標準一起組成一個標準族，包括OECD的信息實施指南的ISO/IEC17799信息的實踐指南。 ISO/27001定義了信息管理體系（ISMS）的要求。標準被編寫用于保證您選擇適當的和適度的控制措施來保護信息資產，并保證包括您的客戶在內的利益相關方的信心。 ISO/20000是一個關于IT服務管理體系的要求的國際標準，它幫助識別和管理IT服務的關鍵過程，保證提供有效的IT服務滿足客戶和業(yè)務的需求。 ISO/20000標準著重于通過“IT服務標準化”來管理IT問題，即將IT問題規(guī)類，識別問題的內在聯系，然后依據服務水準協(xié)議進行計劃、推行和監(jiān)控，并強調與客戶的溝通。該標準同時關注體系的能力，體系變更時所要求的管理水平、財務預算、軟件控制和分配。其前身是BS/15000，和政府商業(yè)辦公室（OGC）的IT基礎設施庫（ITIL）界定的過程論密切一致。ISO/20000包含兩個部分：審核規(guī)范和實踐要點。 當然，在信息保護方面上，我們肯定不能一味的只依靠于我們的管理體系，而是在我們管理體系給與我們一定的方向和基礎的前提下，要做到落實標準，將信息意識印入我們的腦海，只有時刻警惕信息，我們才能做到真正的信息保護。 從事企管咨詢多年，為超過300家的電子信息、企事業(yè)單位、物業(yè)、保安、清潔、金融、能源、教育裝備、制造業(yè)、交通物流、餐飲服務等行業(yè)企業(yè)完成資質體系建立與認證，在相關領域積累了深厚的經驗、人脈。 由于軟件外包的重要程度，產品與服務質量的好壞將直接影響到或企業(yè)的外在形象及收益，如何提供更好的過程持續(xù)改進質量，成為企業(yè)及政府重點關注的問題。

基本介紹 為了更好地滿足顧客及法律法規(guī)的要求,增強顧客滿意,國際標準化組織(ISO)于1987年發(fā)布了ISO9000-ISO9004五項ISO9000系列質量管理標準。后又針對ISO9000族標準應用中的問題，進行了四次修訂，發(fā)布了1994版、2000版、2008版和2015版ISO9000族標準。標準是在總結國際上質量管理實踐經驗和理論基礎上制訂的，組織按質量管理體系標準要求建立、實施、保持和持續(xù)改進質量管理體系，必將提高產品和服務質量，增強顧客滿意，提高市場競爭力。標準特點 1.以七項質量管理原則作為標準的理論基礎，廣泛應用于質量管理各領域。 2.具有廣泛的通用性，適用于各類組織。 3.適度簡化，經過四次修訂，使標準在內容和數量上得到簡化，對指令性文件要求大量減少，標準的靈活性與操作指導性更好。 4.采用基于風險的思維、過程方法、PDCA循環(huán)模式建立、實施和持續(xù)改進質量管理體系。 5.提高了與環(huán)境、職業(yè)管理體系的相容性,可為組織帶來更大效益。實施意義 1.ISO9000族標準的應用，為組織增強顧客滿意和改進組織業(yè)績提供了要求和指南。 2.防止非關稅貿易技術壁壘，在質量方面與國際接軌，成為進入國際市場的“通行證”。 3.建立質量管理體系，可以有效提高組織的管理水平和整體業(yè)績，組織應對與組織環(huán)境和目標相關的風險和機遇的能力。 4.有助于調動全體員工的積極性，提高全員質量意識、守法意識。

ISO27001是ISO27000系列的主標準，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息管理體系（ISMS），并通過認證。 規(guī)劃的ISO27000系列包含下列標準 ISO27000原理與術語Principlesandvocabulary ISO27001信息管理體系要求ISMSRequirements(以BS7799-2為基礎) ISO27002信息技術技術信息管理實踐規(guī)范(ISO/IEC17799:2005) ISO27003信息管理體系實施指南ISMSImplementationguidelines ISO27004信息管理體系指標與測量ISMSMetricsandmeasurement ISO27005信息管理體系風險管理ISMSRiskmanagement ISO27006信息管理體系認證機構的認可要求ISMSRequirementsfortheaccreditationofbodiesprovidingcertification ISO27007信息技術-技術-信息管理體系審核員指南 Informationtechnology_Securitytechniques_ISMSauditorguidelines 其中ISO27001：2005的終標準草案（FDIS）已經在2005年7月發(fā)布，預計在2005年底或2006年初作為正式國際標準發(fā)布。 對ISO27001信息體系認證的常見幾個問題進行了解答： 一：ISO27001的目的是什么？ISO27001旨在為信息保護提供統(tǒng)一和集中控制的管理體系。此外，通過有效監(jiān)控IT風險，可降低各類業(yè)務流程所面臨的威脅。 二：獲得ISO27001認證對公司有什么益處？防止企業(yè)遭受網絡攻擊； 防止數據丟失，從而杜絕財務和聲譽損失。 確保符合法律，減少黑客攻擊，程度降低黑客訪問敏感信息的能力。 三：ISO27001認證的其他優(yōu)勢包括： 信息的保密性競爭優(yōu)勢程度降低IT風險和潛在損害發(fā)現和薄弱環(huán)節(jié)IT風險控制確保滿足合規(guī)要求降低成本 四：ISMS指什么？ 信息管理系統(tǒng)（ISMS）是綜合了技術和人為因素的一套系統(tǒng)方法。根據企業(yè)所規(guī)定的保護需求，幫助企業(yè)建立持續(xù)優(yōu)化方案和監(jiān)管流程。ISO27001詳細說明了信息管理系統(tǒng)的實施要求和文件要求。 五：ISO27001認證需要評估哪些內容？ 信息指南人力資源資產管理物理和環(huán)境訪問控制密碼運行通信物理和環(huán)境系統(tǒng)獲取、開發(fā)和維護供應商關系信息事件管理業(yè)務連續(xù)性管理的信息符合性 六：ISO27001的有效期多長？ 的有效期為三年。通過年度監(jiān)督審核和在三年期滿前重新認證，可確保貴公司持續(xù)改進流程。 七：企業(yè)如何做到信息？ 企業(yè)需要根據標準采取網絡措施。此外，還需滿足有關技術和組織規(guī)定，確保數據的可用性、完整性、真實性和保密性。如遇黑客攻擊，必須立即報告。