海口ISO20000认证与ISO27001如何融合进行?
发布日期:[2023-12-27 20:45] 点击率:
1.策略:定义用于集成系统管理的内部规则。
2.目标的定义:定义通过集成系统实现要实现的目标。这还将涉及一些指标的定义,以衡量目标是否实现。
3.角色和职责的定义:定义集成系统管理的角色和职责。通常定义负责集成系统的人员,还成立了一个由高级管理层为主要参与者的综合委员会。
4.意识:受集成管理系统范围影响的所有人员必须接受有关信息安全和服务管理的适当教育。
5.通信:与集成管理系统有关的内部和外部通信必须通过建立准则(通常定义为通信协议)来进行。
6.文件和记录的控制:您必须定义管理集成系统的所有文件和记录的准则。
7.度量标准的管理:对于ISO 27001,必须建立度量标准以度量安全控制的有效性,而对于ISO 20000,则必须建立度量标准以度量过程的有效性。
8.内部审核:您必须执行内部审核,以检测集成系统中可能存在的不合格之处,并确定有关参考标准的实施级别。
9.管理评审:组织的最高管理者必须评审集成管理系统的一系列切入点,审查的结果是,他们必须得出一些结论或结果。
纠正/预防措施和持续改进:集成系统的管理人员可以制定纠正和预防措施,以处理发现的不合格(通常在审核,审查等中发现)。就ISO 27001而言,没有提及预防措施,在下一版本的ISO 20000中可能是相同的。(考虑到ISO / IEC 27001的变化,其余的ISO标准也会发生类似的情况。通用级别,以便在所有ISO标准之间实现更好的集成。)
ISO 27001和ISO 20000之间的区别
ISO 27001附件中有一些控件,例如在ISO 20000的过程中找不到的控件:
A.9访问控制
A.10密码学
A.11物理和环境安全
A.12运营安全
A.13通信安全
A.14系统购置,开发和维护
这些控件域特定于信息安全,并且可能比其余控件更具技术性,因此在ISO 20000服务管理中未直接涉及。但是,您需要使用ISO 27001作为参考为集成系统实现它们