NOVOTS KMS 词汇表 Glossary    联系我们 Contact Us
查询 Search  
   
按类别浏览 Browse by Category
NOVOTS KMS .: 其他 .: ISO20000与其它企业认证的区别

ISO20000与其它企业认证的区别

    除了ISO20000外,还有众多的企业认证体系,BS15000、ISO9000、BS7799和ISO27001等,对于它们之间的联系和区别,很多人并不是很清楚。这里对其他几种企业认证作一下简单介绍。
    1.BS15000
    2001年,英国标准协会(BSI)在国际IT服务管理论坛(itSMF)年会上正式发布了以ITIL为基础的IT服务管理英国国家标准BS15000。    ISO15000是世界上第一个针对IT服务管理的国家标准。它提出了一系列相对独立又彼此相互关联的服务管理所需要的管理流程。
    BS15000是一个国家标准,但也在几个国家标准体系里被拷贝和采用,如澳大利亚和南非等。
    2002年BS15000被提交给国际标准化组织(ISO),申请成为IT服务管理国际标准。
    2005年5月17日,ISO国际标准化组织在之前的快速通道投票表决通过基础上,正式接受BS15000,成为新的ISO标准
    2005年12月15日,BS15000正式发布成为IT服务管理的国际标准ISO20000。
    2.ISO9000体系
    ISO9000一般被视作和业务有关,特别是和质量框架相联系,是一套用于管理与业务系统或制造系统相关的风险的最佳实践。在制造企业应用得最多。
    ISO组织将IT业归类为适合实施ISO9000的39大行业中的第33类“信息技术”类。由于IT业通常具有企业发展速度极其迅猛、企业管理人员外部事务或技术性事务相对较多、员工新旧更替相对比较频繁、客户对服务技术水平的要求较高、一线员工的行为直接影响服务质量、内部监督机制相对缺乏等特点,所以,IT业实施ISO9000又有其特殊的意义,这主要体现在:
    1)管理法治化——通过实施ISO9000,全面规范地建立内部管理制度,并达到良性有序的运作,减少高层管理人员在处理内部一般事务及突发事务方面的烦琐工作,并减少因人员流动而带来的负面影响;
    2)明确划分各部门工作职责和质量职责及员工的岗位责任;
    3)增进各部门工作的透明度及部门间、员工间的相互沟通,营造良好的企业文化;
    4)导入内部质量审核作为常规的容易被组织各级人员接受的交叉式内部监督机制。对于规模不大的IT企业来说,几乎所有人员都将直接参与到该活动中,有利于带动公司氛围;
    5)在全公司以及全体员工中营造强烈的“以客户为中心”的意识;
    6)作为提高服务品牌的强有力手段,为市场人员有效地开拓客户带来极大的方便。
    ISO20000与ISO9000的实用范畴和侧重点不同,更多与IT服务流程相关,是一套用于IT服务管理的最佳实践,在IT服务提供商和信息化程度较高的企业中应用较多。一般由IT组织采用,其流程的名称和控制采用的IT经理容易接受的术语,对IT系统变更的风险进行管理。
    3.BS7799和ISO27001
    BS7799 - 国际信息安全稽核规范,全名是 BS7799 Code of Practice for Information Security,由英国标准协会 British Standards Institution 在 1995 年提出、修订,为目前国际上最知名的安全规范,而且已被 ISO(International Organization for Standardization) 接纳成为国际标准。BS7799主要用于企业信息安全和风险防范领域的认证。
    BS7799 内容大致上分成两个部分:
    the code of practice for information security systems:设立了管理信息安全准则的最佳实践
    Specification for Information Security Management Systems– ISMS:详述 IT 安全应用与审计所应遵循的架构,包含11个控制域、 39个控制措施,133 个控制点来保证目标的达成。
    BS7799 包含了所有企业安全政策,从安全政策的拟定、安全责任的归属、风险的评估、到定义与强化安全参数及存取控制、防毒策略。根据    BS7799 标准的风险评估包括了两项系统化的考虑:
    IT 安全的破坏造成可能的信息保密性、完整性与可用性失效之后果,将会导致对企业的伤害。
    对各种威胁的防范与合理的控制都会影响这些破坏发生的实际可能性。
    BS7799 是一套相当复杂的信息安全应用与审计的标准,但不外乎就是控制(Control)的观念。定义一套完整的政策、流程、实施与组织化的架构,用来提供合理的保障使企业目标得以达成,并避免、侦测或修正无法预期事件所造成的后果。
    ISO27001:2005
    2005年10月15日BS7799-2:2002 正式改版为 ISO/IEC27001:2005 国际标准。新标准的正式标题为“ BS7799-2:2005 (ISO27001:2005) 信息科技---安全技术---信息安全管理系统---要求” (BS7799-2:2005(ISO27001:2005)Information Technology---Security Techniques---Information Security Management Systems--- Requirements) 。这此标准不只是 IT 标准,而是远超过 IT 范围。标题当中“信息科技 --- 安全技术”的部分,为 ISO 组织 (JTC 1/SC27) 负责公告的名称。此标题主要的重点还是着重于整体组织的信息安全管理。在实际中,尽管大部分的控制还是在某个 IT部门或者 IT 组织内,但总体来看实施应持续着重在商业信息风险上。
    ISO20000的13个管理流程中包括信息安全管理。ISO20000的条文中明确指出,企业的信息安全只要符合BS7799,就可以满足ISO20000的信息安全要求,前提是企业导入BS7799的范畴,必須大于或等于ISO20000的导入范畴,否则就算整个IT部门符合ISO20000的标准,但是BS7799的导入只局限于IT部门的某些单位,也是无法符合ISO20000的标准。

这篇文章对你多有用?

用户评语

添加评语
当前还没有评语.


.: .: .: .: .:
[ 登陆 ]
北京护航科技有限公司 2006

Novots Technologies Limited