前 言目前,有不少企业在通过ISO 27001认证后,也会另外取得ISO 20000以提升整体IT服务质量,但ISO 20000信息技术服务管理标准与ISO 27001信息安全管理标准中的联系在哪里,很多公司搞不清楚。 众所周知,新版ISO27001于2019年10月19日正式发布,对于ISO27001与ISO20000之间的联系,下面将为大家讲解。 ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。ISO/IEC27001是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。一、主体的侧重点有所不同ISO20000 以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001 以控制点/控制措施为主,比较具体。 二、体系规范的侧重点有所不同ISO20000 是面向IT 服务管理的质量体系标准,而ISO27001 是面向信息安全的质量标准规范,ISO20000 强调以流程的方式达到质量管理标准,ISO27001 强调以风险控制点的方式来达到信息安全管理的目的。三、体系规范存在的共性特征如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000 与ISO27001 认证项目一同实施,使两套体系间的互补特性得到充分发挥,更全面更规范的控制公司的服务运维体系与安全管理。 四、范围不一样1、ISO20000 适用于企业的IT 服务部门,通常是IT 部门;2、ISO27001 适用于整个企业,不仅是IT 部门,还包括业务部门、财务、人事等部门。
下面是ISO20000标准涉及到的一些术语和定义。 1、可用性 服务或组件在一定的时间点或时间段内提供所需功能的能力。 注:可用性通常用服务实际可用时间与约定服务时间的比率来表示。 2、基线 服务或单一配置项在某一时间点上的陈述。 3、变更记录 关于经过授权的变更可能影响哪些配置项以及如何影响的详细信息的记录。 4、配置项 处于或即将处于配置管理控制之下的基础设施组件或项目。 注:配置项在复杂性、规格和类型方面可能差异巨大,配置项可以是一个整系统(包括所有的硬件、软件和文档),也可以是一个简单的模块或很小的硬件组件。 5、配置管理数据库 包含每一个配置项以及配置项之间重要关系的详细情况的数据库。 6、文件 信息及其承载媒体。 注1:ISO20000标准认为文件不同于记录,因为记录的作用是作为活动的证据而非意图的证据。 注2:文件的类型可包括策略说明书、计划、程序、服务等级协议和合同。 7、事故 不包含在标准服务操作之内的事件,导致或可能导致服务中断或服务质量降低的事件。注:事故可能包括请求的问题,如“我如何来做?”。 8、问题 一个或多个事故的未知的根本原因。 9、记录 阐明所取得的结果或提供所完成活动的证据的文件。 注1:ISO20000标准认为文件不同于记录,因为记录的作用是作为活动的证据而非意图的证据。 注2:记录的类型可包括ISO20000认证审核报告、变更请求、事故报告、个人培训记录和传递给顾客的信息。 10、发布 经测试并引入真实环境中的新的和/或变更的配置项的集合。 11、变更请求 用于详细记录服务或基础设施内配置项的变更请求的表格。 12、服务台 直接面对支持小组的顾客,其构成了全部支持系统中的重要部分。 13、服务等级协议 服务提供商和顾客之间签订的书面协议,该协议中明...
在这个信息化的年代, 信息技术的发展直接推动了企业信息化的发展,很多企业为了实现其“以客户为中心,以市场为导向”的业务目标,需要对IT投资成本进行评估,实施相应的信息 化战略来满足客户的需求和业务的发展,希望能够在国际化的竞争中获得优势,很多企业开始认识到IT基础架构不再是孤立的硬件设施,而是为企业的业务运行提 供整体性支持的IT 服务。于是,很多企业开始研究和保讨如何能够使IT服务得到最有效的管理。当你问一家企业CIO如何管理企业IT系统,如何让IT服务支撑企业的业务流程时,他可以向你介绍企业的IT部门职责、IT事件如何进行汇总和及时解决率等所有关于IT服务的内容,或者也可以用一句古简意骸的话回答你:我们已经获得了ISO20000的认证。在美国、英国、加拿大、澳大利亚等国家共超过10000家公司和很多部门政府成功实施了IT服务管理,全球拱有超过15万人通过了IT服务管理认证考试,可是我国由于引入IT服务管理理念的时间比较短,也没有专业的机构进行宣传和推广,有关IT服务管理及其领域咨询、培训的公司也较少,所以,虽然iso20000标准已经得到国内很多企业的认可,但是目前国内通过iso20000认证的企业还比较少,不过越来越多的企业开始接受iso20000的标准认证,在IT行业,iso20000认证已经成为IT服务管理的代名词,一个企业通过了iso20000的认证标志着它秉持IT服务管理的最佳实践,有高效的IT服务管理支撑,在同行业中有着更强的竞争力。全球的IT服务业日趋庞大,在印度、韩国等其他国家,也兴起了认证风潮,因为这些企业明白, 一旦拥有了iso20000认证,就象征着企业具有最可靠的IT服务后盾。那么当一个企业通过了iso20000的认证,坚持实施最佳实践后,高效的lT服务管理究竟可以给企业带来哪些效益呢?1、建立紧密的跨部门协件关系和完善的员工考核制度iso200...
多年来,配置管理数据库概念不断演变,从最原始的纸质信息统计到传统意义上电子式的资产管理,再发展到如今的能够实现实时、自动、共享的信息交互,葚至和流程相结合,配置管理数据库的每一次演变都朝着ITIL的目标迈进。随着客户对组织提供的服务要求越来越高,配置管理数据库在组织中承担的职责也越来越重,组织对配置管理数据库的要求已经不再是一个简单的存储tT基础架构信息的数据库,更需要配置管理数据库能够和组织的其他IT系统相结合,保证整个IT基础架构信息的唯一性和准确性,传统的集中式的数据储存集合虽然能够集中体现配置项的信息,但是在功能上很难满足所有IT部门的个性化需求,不再适应整个IT服务的发展需求。 在这种情况下,组织可以选择建立分布式配置管理数据库。每个部门能够根据自己的要求对分布式的配置管理数据库进行拓展,和中央配置管理数据库交互公共的配置项信息。保留每个部门自己私有的信息,很大程度上减轻了中央配置管理数据库的压力,也方便了日后的数据源扩充,同时保证了整个IT基础架构信息的完整性和准确性。但是在建立分布式配置管理数据库之前需要对数据库进行详细的整体规划,确保日后的数据交互能够顺利进行,另一方面因为中央数据库需要和分布式数据库进行数据交互,所以必须保证两者之间的接口规范化,在选择工具平台时需要事先明确接口标准。可以说,分布式配置管理数据库模式是新的IT管理时代的起点,虽然还未在我国普及,但是相信不久的将来,分布式配置管理数据库模式一定能引领组织更好地实施IT服务管理。作为IT管理的核心,配置管理流程的成功运行为组织的业务服务和其他IT服务管理提供了强有力的支持。配置管理数据库也成为组织管理项目实施的重点,我可以看到很多组织因为忽视了配置管理数据库的建设,使IT服务受到了极大的挑战。配置管理流程不再是一个简单IT基础架构信息统计,而是一个遵循PDCA方法循序渐进、持续发展的流...
在信息技术迅猛发展的年代,信息化主导着人们的工作与生活,突然当信息系统出现故障,业务人员工作被迫暂停,战机在延误中....业务人员们心急如焚,咆哮了。而IT员工面对日益复杂、高速更新的信息系统,忙得焦头烂额,乱无头绪,疲于奔命而没人理解。IT经理不得不思考了,怎么样合理运营自己的团队,让自己的部下工作效率更高,更快,怎么样改进IT部的服务质量,让IT使用者工作更愉悦。因此催生了IT服务管理的国际标准ISO/IEC 20000:2011(简称 ISO20000),让“急救中心”美丽转身成“以客户为中心”的IT服务提供者,它通过整合IT服务与组织业务,提高组织IT服务提供和服务支持的能力及其水平。