ISO20000认证体系系列标准与ITSS认证系列标准差异比较
ISO20000认证体系系列标准与ITSS认证系列标准差异比较
许多企业打电话询问通过了ISO20000认证是否还必须实施ITSS认证?通过了ITSS认证是否能替代ISO20000认证?要弄清这个问题必须先认识ISO20000认证标准和ITSS认证标准。
一.首先认识ISO20000认证标准系列。目前信息技术服务管理国际标准包含以下部分:
1)ISO/IEC 20000-1服务管理体系要求——详细描述服务提供商计划、建立、实施、运营、监控、检查、维护和改进服务管理系统的要求,是认证标准。
2)ISO/IEC 20000-2服务管理体系应用指南——以指引和建议的方式描述第一部分中各个服务管理流程的最佳实践方法。
3)ISO/IEC TR 20000-3是ISO/IEC20000-1范围定义和适用性指南「技术报告」——此技术报告为服务提供商就服务范围和可用性提供指南和解释,以确保服务提供商满ISO/IEC20000-1 的要求。其通常与ISO/IEC20000-1和ISO/IEC20000-2结合使用。
4)ISO/IEC TR 20000-4是流程参考模型「技术报告」——此技术报告提供了1个包含ISO/IEC 20000-1要求的流程参考模型,模型根据流程目的和成果物进行描述。
5)ISO/IEC TR 20000-5是ISO/IEC20000-1 实施规范范本「技术报告」——此技术报告为怎样实施服务管理系统(SMS)以满足ISO/IEC20000-1 要求提供了指导。它包含给服务提供商怎样规划及实施改进的建议。
二.ITSS认证标准系列有什么呢?ITSS运维服务系列标准有六个部分,详见如下:
1) GB/T28827.1通用要求,作为符合性认证标准,其目的与作用为
--规定运维服务供方在服务在服务能力管理上应满足的基本要求
--为运维服务供方建立、保持和改进运维服务能力体系,提升运维服务能力提供参考
2) GB/T 28827.2交付规范,其作用为
--对信息技术运维服务的需方和供方提供实用统一的规范性交付指导
--规范供需双方从服务级别协议签署到提供服务全过程的交付行为
3) GBT/T28827.3应急响应规范,其目的与作用为:
--规范运维服务当中的应急响应过程,提升应急响应能力,提前发现和解决问题,降低应急事件可能带来的不良影响
--对经济建设、社会管理、社会生活、生产经营等领域重要信息系统运行维护服务中习应急响应的实施和管理提供参考
4)数据中心服务规范,标准送审中,其目的和作用如下
--为数据中心的运维服务提供规范
--填补国际国内关于数据中心运维标准的缺失
5)桌面与外围设备服务规范仍在送审中,其目的与作用为
--为桌面及外围设备的运维服务提供规范
--填补国际国内关于桌面与外围设备运维服务标准的缺失
6)应用系统服务规范尚在制订中。
三.认识了ISO20000系列标准和ITSS系列标准,应能很好解答本文开头那些问题,也容易归纳总结ISO20000认证标准与ITSS认证标差异或别。
差异或区别1:标准性质不同
SO20000认证标准作为国际标准,主要考虑到国家或区域之间的差别较大,因此重点从具有共性要求较多的过程要素进行规范,并通过规范供方的服务管理过程来提升其IT服务管理能力(仅限于管理能力);
ITSS认证标准作为国家标准,主要考虑到国内运维服务行业发展现状,因此更关注对供方IT运维的综合服务能力要求,以规范IT运维服务市场,提升其IT运维服务能力(包含人员能力,管理能力和技术能力)。
差异或区别2:标准范围不同
ITSS运维系列标准只适用于运行维护类服务; ISO20000系列标准适用于所有IT服务。
差异或区别3:标准内容不同
ITSS认证标准内容覆盖对供方服务人员、服务过程、服务技术和服务资源共4个方面的要求;
ISO20000认证标准内容只覆盖对供方服务过程的要求。
差异或区别4:标准用途不同
ITSS认证标准用于对供方IT运维服务能力的提升与评估; ISO20000认证标准用于对供方IT服务管理能力的提升与评估。
ISO20000认证体系信息安全风险评估与管理
ISO20000认证体系信息安全风险评估与管理
ISO20000认证体系信息安全风险评估与管理是企业实施ISO20000认证体系的要点,本篇摘要介绍参考。
ISO20000认证体系风险评估Risk assessment
ISM流程应定期执行风险评估以识别对于现场环境的信息安全风险,并予以记录,其次通过具体的控制预防或减轻所识别风险的影响。除此之外,ISM流程应确保适当的风险评估作为新的或变更的服务的设计和转换的一部分。
信息安全策略应确保信息安全风险评估:
a) 定期执行,包含新的或变更的服务;
b) 被记录,并仅对授权的人员可见;
c) 业务需求、流程及配置转变时进行维护;
d) 协助理解什么能影响服务;
e) 详细说明信息安全审核的需求;.
f) 告知关于所运行控制措施类型的决定。
信息资产风险应依据风险的类型和对业务的潜在影响进行评估。
注:具备专业信息安全职责的人员会发现熟悉
ISO/IEC27005,Informationtechnology—Securitytechniques—Informationsecurityriskmanagement是很有协助的。
ISO20000认证体系-管理信息安全风险Managinginformation security risks
信息安全控制应确保服务提供者有能力实现服务管理目标及安全策略需求。信息安全控制也能促进服务提供者管理所有识别出来的信息安全风险。
信息安全控制举例如下:
a) 应建立并实施信息安全策略,同时与个人、供应商和顾客进行沟通;
b) 应明确并分派信息安全管理流程的权限和职责;
c) 应对信息安全策略的有效性进行监控、测量及评估;
d) 承担重要信息安全角色的个人应接受信息安全培训;
e) 协助实施风险评估和控制实施的专家可用;
f) 变更不会影响控制执行的有效性;
g) 信息安全事件应依据事件和服务请求管理流程进行汇报,并分派适当的优先级;
h) 信息安全事件应依据优先级和所需访问安全事件报告的授权级别将其升级到适当的人员并进行解决;
i) 信息安全事件的细节应只容许恰当的人员可见;
j) 定期执行风险评估以识别组织可容忍风险的转变度;
k) 应定期进行审核以确保符合已建立的信息安全策略和控制;
l) 应明确信息安全基线并有效应用;
m) 应分析信息安全审核发现,并达成优先行动计划;
n) 应建立信息安全培训计划和培训记录并予以更新。
服务提供者应借助供应商管理流程以确保识别、记录并管理能访问或使用服务提供者信息的外部组织的信息安全控制。
以上仅供企业ISO20000认证体系实施信息安全风险评估和管理参考。