【案例】2019年，萬豪酒店(diàn)5億客戶數據洩漏。酒店(diàn)連鎖巨頭喜達屋母公司萬豪國際酒店(diàn)表示，經過取證和分(fēn)析團隊缜密調查後發現，因其大(dà)數據洩露事件影響到的客戶數量從5億減少到了3.83億，其中(zhōng)有超過500萬個未加密的護照号碼和大(dà)約860萬個加密信用卡号碼被盜 。盡管萬豪最新披露的這些數據較之前有所降低，但該事件仍是有史以來最大(dà)的個人數據洩露事件之一(yī)。

萬豪表示，喜達屋集團自2014年以來一(yī)直在受到黑客攻擊。萬豪已提出，如果受影響的客人能夠證明自己是數據洩露事件的受害者，他們将支付辦理新護照的費(fèi)用，這可能會讓萬豪公司損失5.77億美元。

信息安全的實質就是要保護信息系統或信息網絡中(zhōng)的信息資(zī)源免受各種類型的威脅、幹擾和破壞，即保證信息的安全性。

據統計，世界上每分(fēn)鍾就有2個企業因爲信息安全問題倒閉，而在所有的信息安全事故中(zhōng)，隻有20%-30%是因爲黑客入侵或其他外(wài)部原因造成的，70%-80%是由于内部員(yuán)工(gōng)的疏忽或有意洩露造成的；同時78%的企業數據洩露是來自内部員(yuán)工(gōng)的不規範操作。因此企業信息安全建設需要内外(wài)兼修，構建企業信息安全整體(tǐ)解決方案。

 例如：某電(diàn)子硬件拓展軟件服務制造商(shāng)，随着業務的發展，由硬件産品到軟件服務，公司的業務也越來越依賴于信息化，由此帶來的信息安全保障，尤其是商(shāng)業秘密保護的重要性日益凸顯，如何妥善地加強信息安全建設，在合理投入的範圍内，最大(dà)限度的減少或避免因信息洩密、丢失、破壞等問題所造成的經濟損失及對企業的影響。“

建議：該公司可以通過辦理ISO 27001和ISO 20000，整體(tǐ)提升公司管理水平和信息安全标準。

ISO 20000是面向機構的IT服務管理标準，目的是提供建立、實施、運作、監控、評審、維護和改進IT服務管理體(tǐ)系(ITSM)的模型。

ISO/IEC27001是一(yī)個組織的全面或部分(fēn)信息安全管理體(tǐ)系評估的基礎，它可以作爲對一(yī)個組織的全面或部分(fēn)信息安全管理體(tǐ)系進行評審認證的标準。

目前，有不少企業在通過ISO 27001認證後，也會另外(wài)取得ISO 20000以提升整體(tǐ)IT服務質量，但ISO 20000信息技術服務管理标準與ISO 27001信息安全管理标準中(zhōng)的聯系在哪裏，很多公司搞不清楚。

衆所周知(zhī)，新版ISO27001于2019年10月19日正式發布，對于ISO27001與ISO20000之間的聯系：

01、主體(tǐ)的側重點不同

ISO20000 以流程爲核心，定義了一(yī)系列比較抽象的流程目标，而ISO27001 以控制點/控制措施爲主，比較具體(tǐ)。  

02、體(tǐ)系規範的側重點有所不同

ISO20000 是面向IT 服務管理的質量體(tǐ)系标準，而ISO27001 是面向信息安全的質量标準規範，ISO20000 強調以流程的方式達到質量管理标準，ISO27001 強調以風險控制點的方式來達到信息安全管理的目的。 

03、體(tǐ)系規範存在的共性特征

如：事件管理、業務連續性管理、信息資(zī)産管理等方面，大(dà)多數的企業都會選擇将ISO20000 與ISO27001 認證項目一(yī)同實施，使兩套體(tǐ)系間的互補特性得到充分(fēn)發揮，更全面更規範的控制公司的服務運維體(tǐ)系與安全管理。

04、 範圍不一(yī)樣

ISO20000 适用于企業的IT 服務部門，通常是IT 部門；ISO27001 适用于整個企業，不僅是IT 部門，還包括業務部門、财務、人事等部門。

ISO20000認證與ISO27001認證存在着本質區别，ISO20000是IT信息技術服務管理體(tǐ)系，ISO27001是信息安全管理體(tǐ)系。那做這兩個認證有什麽好處，有什麽不一(yī)樣呢？下(xià)面就一(yī)起來看一(yī)下(xià)吧。

當然，在信息安全保護方面上，我(wǒ)們肯定不能一(yī)味的隻依靠于我(wǒ)們的管理體(tǐ)系，而是在我(wǒ)們管理體(tǐ)系給與我(wǒ)們一(yī)定的方向和基礎的前提下(xià)，要做到落實标準，将信息安全意識印入我(wǒ)們的腦海，隻有時刻警惕信息安全，我(wǒ)們才能做到真正的信息安全保護。