- 產品
- 供應
- 公司
- 新聞
|
|
||||||||||||||||||||||||||||
ISO20000與ISO27001的區別與聯系
ISO20000在服務提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務的管理,然而,在專注點和適用范圍上有著很大的不同:
ISO20000以流程為核心,定義了一系列比較抽象的流程目標,而ISO27001以控制點/控制措施為主,比較具體;
兩套體系規范的側重點有所不同,ISO20000是面向IT服務管理的質量體系標準,而ISO27001是面向信息安全的質量標準規范,ISO20000強調以流程的方式達到質量管理標準,ISO27001強調以風險控制點的方式來達到信息安全管理的目的;
兩套體系規范存在著許多的共性特征,如:事件管理、業務連續性管理、信息資產管理等方面,大多數的企業都會選擇將ISO20000與ISO27001認證項目一同實施,使兩套體系間的互補特性得到充分的發揮,更全面適用范圍不一樣-
- ISO20000適用于企業的IT服務部門,通常是IT部門
- ISO27001適用于整個企業,不僅僅是IT部門,還包括業務部門、財務、人事等部門。
ISO20000與CMMI.
ISO20000是基于流程的服務管理標準,而CMMI是CMMI軟件開發質量保障體系,兩者有以下幾點區別:
- ISO20000適用于企業的IT服務部門,通常是IT部門
- CMMI主要適用于軟件企業。對于軟件行業而言,CMMI無疑是首選,也是最合適的。基于SEI在過程改進方面的主導地位,CMMI的廣泛應用已成為事實上的國際標準
面向的領域不同
- ISO20000負責對IT運維流程的管理,屬于面向服務的管理的范疇
- CMMI則主要負責軟件或系統開發,對其內部模塊進行詳細說明
實施的目的不同
- CMMI是世界范圍內用于衡量軟件過程能力的事實標準,同時也是軟件過程改進最權威的指南,因此CMMI專注于軟件開發的過程改進:
- 而ISO20000規定了組織向其顧客交付顧客可接受的質量的服務的要求,因此,ISO20000專注于服務提供與支持的標準
這幾個標準的分析都比較準確,如何融合使用還需要對業務形態進行分析,然后選用一種,輔之以其他的標準(框架)。
如果是軟件開發為主業,那么以CMMI為框架,輔之以27001與20000.:
如果是服務提供商,那么以20000為框架,輔之以27001。
如果業務的綜合性很強,還可以以9000為框架,輔之以其他的標準與框架。
