ISO20000與ISO27001的區別與聯系
ISO20000在服務提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務的管理,然而����,在專注點和適用范圍上有著很大的不同:
ISO20000以流程為核心�,定義了一系列比較抽象的流程目標�,而ISO27001以控制點/控制措施為主,比較具體�;
兩套體系規范的側重點有所不同�����,ISO20000是面向IT服務管理的質量體系標準,而ISO27001是面向信息安全的質量標準規范����,ISO20000強調以流程的方式達到質量管理標準���,ISO27001強調以風險控制點的方式來達到信息安全管理的目的����;
兩套體系規范存在著許多的共性特征�,如:事件管理、業務連續性管理、信息資產管理等方面���,大多數的企業都會選擇將ISO20000與ISO27001認證項目一同實施,使兩套體系間的互補特性得到充分的發揮,更全面適用范圍不一樣-
- ISO20000適用于企業的IT服務部門,通常是IT部門
- ISO27001適用于整個企業�,不僅僅是IT部門��,還包括業務部門、財務、人事等部門��。
ISO20000與CMMI.
ISO20000是基于流程的服務管理標準����,而CMMI是CMMI軟件開發質量保障體系��,兩者有以下幾點區別:
- ISO20000適用于企業的IT服務部門,通常是IT部門
- CMMI主要適用于軟件企業。對于軟件行業而言�����,CMMI無疑是首選�,也是最合適的���?;赟EI在過程改進方面的主導地位,CMMI的廣泛應用已成為事實上的國際標準
面向的領域不同
- ISO20000負責對IT運維流程的管理�����,屬于面向服務的管理的范疇
- CMMI則主要負責軟件或系統開發�,對其內部模塊進行詳細說明
實施的目的不同
- CMMI是世界范圍內用于衡量軟件過程能力的事實標準,同時也是軟件過程改進最權威的指南,因此CMMI專注于軟件開發的過程改進:
- 而ISO20000規定了組織向其顧客交付顧客可接受的質量的服務的要求���,因此,ISO20000專注于服務提供與支持的標準
這幾個標準的分析都比較準確,如何融合使用還需要對業務形態進行分析�����,然后選用一種���,輔之以其他的標準(框架)���。
如果是軟件開發為主業���,那么以CMMI為框架����,輔之以27001與20000.:
如果是服務提供商,那么以20000為框架���,輔之以27001。
如果業務的綜合性很強��,還可以以9000為框架�����,輔之以其他的標準與框架。
