小美女

粉紅色的豬豬啊

關(guān)于27001與20000的關(guān)系問題，我想主要要從三個方面進(jìn)行分析：一是兩者在組織管理中的地位關(guān)系；二是兩者如何互相融合、借鑒；三是企業(yè)如何考慮使用這兩套標(biāo)準(zhǔn)。

首先，來說說兩者在組織管理中的地位。

我先接觸的是20000體系，而且在學(xué)之前系統(tǒng)學(xué)過ITIL理論。關(guān)于完整的IT服務(wù)管理體系，我的認(rèn)識是它是關(guān)于企業(yè)中如何進(jìn)行IT系統(tǒng)的運(yùn)行服務(wù)管理的體系。這里有三個關(guān)鍵詞語需要注意，一是IT系統(tǒng)，如果一個組織的業(yè)務(wù)對IT系統(tǒng)的依賴不大，大可不必上此套管理體系；二是運(yùn)行，最終目的強(qiáng)調(diào)的是IT系統(tǒng)的可用性，這也是整個ISO20000管理體系的核心；三是服務(wù)管理，強(qiáng)調(diào)說明運(yùn)行維護(hù)是一項服務(wù)，服務(wù)級別管理及服務(wù)報告是服務(wù)管理的核心體現(xiàn)，也是ISO20000的精髓。在ISO20000的13個流程中有信息安全管理流程，標(biāo)準(zhǔn)中注明了信息安全管理要參考ISO17799。從這個層面理解，ISO20000應(yīng)該包含ISO27001的內(nèi)容。這也是我學(xué)完ISO20000后的初步認(rèn)識和后來進(jìn)一步學(xué)習(xí)27001的動機(jī)，目的都是為了做好IT服務(wù)的管理。

但是，當(dāng)我學(xué)完27001后，我才發(fā)現(xiàn)，這個認(rèn)識是錯誤的。正確的理解應(yīng)該是，從整個組織管理的角度看，ISO27001應(yīng)該包含ISO20000。為什么這么理解？這要從ISO27001在組織管理中所起的作用來分析。27001主要講的是信息安全管理體系的建設(shè)、運(yùn)行、維護(hù)和改進(jìn)。對于信息安全管理的目的，標(biāo)準(zhǔn)中反復(fù)強(qiáng)調(diào)的是保證信息的保密性、完整性和可用性，而我們最容易陷入的誤區(qū)是信息安全就是保密性，不牽涉到完整性和可用性，實際上三者的整合才是信息安全管理的目的。前面已經(jīng)提到，ISO20000的最終目的是要管理IT系統(tǒng)的可用性，實際上只是完成了ISO27001中的可用性管理。而且從IT系統(tǒng)的生命周期看，20000管的是系統(tǒng)建設(shè)完成后的可用性管理，27001管的是從需求到開發(fā)到運(yùn)行維護(hù)整個IT系統(tǒng)生命周期的可用性管理。從這個角度理解，僅僅對于可用性的管理，27001需要管理的范圍就更大，而且，27001還要管理信息的保密性和完整性。當(dāng)然，信息的完整性是個基本要求，信息不完整也意味者不可用，因此，無論是27001還是20000，對完整性的管理都是基本要求。

因此，我們基本可以得出結(jié)論，對于一個比較依賴IT系統(tǒng)的組織來說，27001的內(nèi)容包含20000的內(nèi)容。做好20000對于27001的建設(shè)是大有好處的，而且，對于一個有需求的組織來說我也建議先上20000，再上27001。

其次，來說說兩者之間如何融合、借鑒。

ISO20000的服務(wù)管理思想是ISO27001所沒有的，對于承擔(dān)運(yùn)維管理和安全管理的組織中的團(tuán)隊來說，服務(wù)管理的思想都是值得借鑒和采用的，因此服務(wù)級別協(xié)議和服務(wù)報告是首先應(yīng)該考慮融合、借鑒的。

ITIL流程管理的思路，我覺得不論是運(yùn)維管理還是信息安全管理都應(yīng)該采用，大家應(yīng)該好好學(xué)習(xí)和使用。尤其是對于27001的建設(shè)，133個控制措施，點太多，根本就沒有串起來。我的感覺是應(yīng)該用服務(wù)臺、事件、問題、變更、發(fā)布、配置管理將20000和27001的要求串起來。至于如何將27001的要求串起來，可以作為一個課題討論、研究。

ISO27001的風(fēng)險管理的思想是一個非常好的且非常實用的思路,一定要融合及借鑒。

綜合上述思路，可以歸納為“以服務(wù)管理的思想為指導(dǎo)，以風(fēng)險管理的思想為核心，以ITIL流程管理的思路為主線對ISO27001和ISO20000進(jìn)行融合”

最后，說說組織應(yīng)該如何如何考慮使用這兩套標(biāo)準(zhǔn)。

在這個話題上，組織應(yīng)該著重考慮兩個問題。其一，這兩套標(biāo)準(zhǔn)公司需要嗎？其二，何時具備上的條件？

我在這里主要強(qiáng)調(diào)的是第二個問題，當(dāng)組織決定采用其中一個標(biāo)準(zhǔn)或兩個標(biāo)準(zhǔn)都采用時，應(yīng)該具備的條件。要知道，一套體系的建設(shè)是高難度的工作。按照我理解的成熟度模型，體系的建設(shè)應(yīng)該是第三階段的工作。第一個階段為打基礎(chǔ)階段，主要解決日常工作和監(jiān)控的問題；第二個階段是流程建設(shè)階段，要具備流程管理的能力；第三個階段才是體系建設(shè)階段。因此，一個組織在沒有經(jīng)歷前兩個階段前，不要盲目進(jìn)入體系建設(shè)階段。