ISO27001和ISO20000的区别

27001通常指的是 ISO27001，即信息安全管理体系标准；而20000通常指的是 ISO20000，是信息技术服务管理标准。它们的区别主要体现在以下方面：

管理重心：

• ISO27001侧重于信息安全管理，目的是确保组织的信息资产得到适当保护，防止信息泄露、损坏、丢失或未经授权的访问等，主要关注信息安全管理体系的建立、实施、运行、监控、审查、维护和改进。

• ISO20000侧重于信息技术服务管理，强调流程合规，以帮助组织提供高质量、可靠的 IT 服务，满足业务需求，主要关注 IT 服务管理的流程、人员、技术和资源，以确保 IT 服务的有效性和持续改进。

体系规范侧重点：

• ISO27001以控制点/控制措施为主，比较具体，强调以风险控制点的方式达到信息安全管理的目的，要求组织进行风险评估，识别潜在安全威胁和漏洞，并采取相应控制措施降低或消除风险。

• ISO20000以流程为核心，定义了一系列较抽象的流程目标，如服务交付、服务关系、解决方案管理、服务级别管理等，强调以流程的方式达到质量管理标准。

控制措施和实施方式：

• ISO27001规定了一系列具体的信息安全控制措施，包括访问控制、数据加密、备份与恢复、安全审计、物理安全、网络安全等，旨在确保信息资产在存储、传输和处理过程中得到适当保护。

• ISO20000侧重于服务管理流程的zuijia实践，如服务目录管理、服务级别协议（SLA）管理、服务请求和事件管理等，要求组织按照这些流程来管理 IT 服务，以确保服务的可靠性和有效性。

适用范围：

• ISO27001适用于各种类型、规模和特性的组织，包括商业企业、机构、非盈利组织等，不受地域、产业类别和公司规模限制。目前，涉及电信、保险、银行、数据处理中心、IC 制造和软件外包等行业的企业较多获得认证。

• ISO20000主要适用于企业的 IT 服务部门，特别是提供 IT 服务支持的组织。

认证和审核要求：

• ISO27001要求组织进行内部审核和管理评审，以确保信息安全管理体系的有效性和合规性。组织也可选择进行外部认证，证明其符合 ISO27001标准要求。

• ISO20000同样要求组织进行内部审核和管理评审，以确保 IT 服务管理体系的有效性和持续改进。不过，ISO20000的认证通常不是强制性的，但能帮助组织展示其 IT 服务管理的专业性和可靠性。

在实际应用中，有些企业会选择同时实施 ISO20000和 ISO27001，以充分发挥两者的互补性，更全面、更规范地控制公司的服务运维体系与安全管理。