歡迎莅臨輝騰企管

  •    服務熱線:13983893373

您當前位置: 首頁 > 輝騰簡報

企業做ISO20000與ISO27001認證有哪些好處?

來源:ISO百科    閱讀量:1689次    

案例】2019年,萬豪酒店(diàn)5億客戶數據洩漏。酒店(diàn)連鎖巨頭喜達屋母公司萬豪國際酒店(diàn)表示,經過取證和分(fēn)析團隊缜密調查後發現,因其大(dà)數據洩露事件影響到的客戶數量從5億減少到了3.83億,其中(zhōng)有超過500萬個未加密的護照号碼和大(dà)約860萬個加密信用卡号碼被盜 。盡管萬豪最新披露的這些數據較之前有所降低,但該事件仍是有史以來最大(dà)的個人數據洩露事件之一(yī)。

萬豪表示,喜達屋集團自2014年以來一(yī)直在受到黑客攻擊。萬豪已提出,如果受影響的客人能夠證明自己是數據洩露事件的受害者,他們将支付辦理新護照的費(fèi)用,這可能會讓萬豪公司損失5.77億美元。

信息安全的實質就是要保護信息系統或信息網絡中(zhōng)的信息資(zī)源免受各種類型的威脅、幹擾和破壞,即保證信息的安全性。

據統計,世界上每分(fēn)鍾就有2個企業因爲信息安全問題倒閉,而在所有的信息安全事故中(zhōng),隻有20%-30%是因爲黑客入侵或其他外(wài)部原因造成的,70%-80%是由于内部員(yuán)工(gōng)的疏忽或有意洩露造成的;同時78%的企業數據洩露是來自内部員(yuán)工(gōng)的不規範操作。因此企業信息安全建設需要内外(wài)兼修,構建企業信息安全整體(tǐ)解決方案。

 例如:某電(diàn)子硬件拓展軟件服務制造商(shāng),随着業務的發展,由硬件産品到軟件服務,公司的業務也越來越依賴于信息化,由此帶來的信息安全保障,尤其是商(shāng)業秘密保護的重要性日益凸顯,如何妥善地加強信息安全建設,在合理投入的範圍内,最大(dà)限度的減少或避免因信息洩密、丢失、破壞等問題所造成的經濟損失及對企業的影響。“

建議:該公司可以通過辦理ISO 27001和ISO 20000,整體(tǐ)提升公司管理水平和信息安全标準。

ISO 20000是面向機構的IT服務管理标準,目的是提供建立、實施、運作、監控、評審、維護和改進IT服務管理體(tǐ)系(ITSM)的模型。

ISO/IEC27001是一(yī)個組織的全面或部分(fēn)信息安全管理體(tǐ)系評估的基礎,它可以作爲對一(yī)個組織的全面或部分(fēn)信息安全管理體(tǐ)系進行評審認證的标準。

目前,有不少企業在通過ISO 27001認證後,也會另外(wài)取得ISO 20000以提升整體(tǐ)IT服務質量,但ISO 20000信息技術服務管理标準與ISO 27001信息安全管理标準中(zhōng)的聯系在哪裏,很多公司搞不清楚。

衆所周知(zhī),新版ISO27001于2019年10月19日正式發布,對于ISO27001與ISO20000之間的聯系:

01、主體(tǐ)的側重點不同

ISO20000 以流程爲核心,定義了一(yī)系列比較抽象的流程目标,而ISO27001 以控制點/控制措施爲主,比較具體(tǐ)。  

02、體(tǐ)系規範的側重點有所不同

ISO20000 是面向IT 服務管理的質量體(tǐ)系标準,而ISO27001 是面向信息安全的質量标準規範,ISO20000 強調以流程的方式達到質量管理标準,ISO27001 強調以風險控制點的方式來達到信息安全管理的目的。 

03、體(tǐ)系規範存在的共性特征

如:事件管理、業務連續性管理、信息資(zī)産管理等方面,大(dà)多數的企業都會選擇将ISO20000 與ISO27001 認證項目一(yī)同實施,使兩套體(tǐ)系間的互補特性得到充分(fēn)發揮,更全面更規範的控制公司的服務運維體(tǐ)系與安全管理。

04、 範圍不一(yī)樣

ISO20000 适用于企業的IT 服務部門,通常是IT 部門;ISO27001 适用于整個企業,不僅是IT 部門,還包括業務部門、财務、人事等部門。

ISO20000認證與ISO27001認證存在着本質區别,ISO20000是IT信息技術服務管理體(tǐ)系,ISO27001是信息安全管理體(tǐ)系。那做這兩個認證有什麽好處,有什麽不一(yī)樣呢?下(xià)面就一(yī)起來看一(yī)下(xià)吧。

ISO27001與ISO20000的區别.png

當然,在信息安全保護方面上,我(wǒ)們肯定不能一(yī)味的隻依靠于我(wǒ)們的管理體(tǐ)系,而是在我(wǒ)們管理體(tǐ)系給與我(wǒ)們一(yī)定的方向和基礎的前提下(xià),要做到落實标準,将信息安全意識印入我(wǒ)們的腦海,隻有時刻警惕信息安全,我(wǒ)們才能做到真正的信息安全保護。