目前際已經(jīng)頒布管理體系COBIT(IT管理控制體系)、ISO 9000(質(zhì)量管理體系)、BS 7799ISO 27001(信息安全管理體系)、ISO 20000(IT服務(wù)管理體系)、PAS56BCM(業(yè)務(wù)持續(xù)管理)、CMSAS86(客戶投訴管理體系)、COSO/ERM(全面風(fēng)險(xiǎn)管理框架)、BS6079(戰(zhàn)略投資管理體系)、AS/NZS4360(風(fēng)險(xiǎn)管理標(biāo)準(zhǔn))等些基于佳實(shí)踐管理體系雖各自側(cè)重面同目標(biāo)都通流程化、透明化標(biāo)準(zhǔn)化管理風(fēng)險(xiǎn)控制接受水平推企業(yè)建百iso認(rèn)證公司…… ISO 20000與ISO 9000實(shí)用范疇側(cè)重點(diǎn)同更與IT服務(wù)流程相關(guān)套用于IT服務(wù)管理佳實(shí)踐IT服務(wù)提供商信息化程度較高企業(yè)應(yīng)用較般由

目前國際上已經(jīng)頒布的管理體系cobit（it管理控制體系）、iso 9000（質(zhì)量管理體系）、bs 7799和iso 27001（信息安全管理體系）、iso 20000（it服務(wù)管理體系）、pas56bcm（業(yè)務(wù)持續(xù)管理）、cmsas86（客戶投訴管理體系）、coso/erm（全面風(fēng)險(xiǎn)管理框架）、bs6079（戰(zhàn)略和投資管理體系）、as/nzs4360（風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)）等。這些基于最佳實(shí)踐的管理體系，雖然各自的側(cè)重面不同，但是目標(biāo)都只有一個(gè)，通過流程化、透明化和標(biāo)準(zhǔn)化的管理，將風(fēng)險(xiǎn)控制到可以接受的水平，推動(dòng)企業(yè)建成百年老iso認(rèn)證公司…… iso 20000與iso 9000的實(shí)用范疇和側(cè)重點(diǎn)不同，更多與it服務(wù)流程相關(guān)，是一套用于it服務(wù)管理的最佳實(shí)踐，在it服務(wù)提供商和信息化程度較高的企業(yè)中應(yīng)用較多。一般由it組織采用，其流程的iso認(rèn)證流程建議和控制采用的it經(jīng)理容易接受的術(shù)語，對it系統(tǒng)申報(bào)的風(fēng)險(xiǎn)進(jìn)行管理。 iso 20000的13個(gè)管理流程中包括信息安全管理。iso 20000的條文中明確指出，企業(yè)的信息安全只要符合bs 7799和iso 27001，就可以滿足iso 20000的信息安全要求，前提是企業(yè)導(dǎo)入bs 7799的范疇，必須大于或等于iso 20000的導(dǎo)入范疇，否則就算整個(gè)it部門符合iso 20000的標(biāo)準(zhǔn)，但是bs 7799的導(dǎo)入只局限于it部門的某些單位，也是無法符合iso 20000的標(biāo)準(zhǔn)。 -------------------------------------------------------------------------------- iso 9000體系： iso 9000一般被視作和業(yè)務(wù)有關(guān)，特別是和質(zhì)量框架相聯(lián)系，是一套用于管理與業(yè)務(wù)系統(tǒng)或制造系統(tǒng)相關(guān)的風(fēng)險(xiǎn)的最佳實(shí)踐。在制造企業(yè)應(yīng)用得最多。 iso組織將it業(yè)歸類為適合實(shí)施iso 9000的39大行業(yè)中的第33類"信息技術(shù)"類。由于it業(yè)通常具有企業(yè)發(fā)展速度極其迅猛、企業(yè)管理人員外部事務(wù)或技術(shù)性事務(wù)相對較多、員工新舊更替相對比較頻繁、客戶對服務(wù)技術(shù)水平的要求較高、一線員工的行為直接影響服務(wù)質(zhì)量、內(nèi)部監(jiān)督機(jī)制相對缺乏等特點(diǎn)，所以，it業(yè)實(shí)施iso 9000又有其特殊的意義，這主要體現(xiàn)在： 1）管理法治化--通過實(shí)施iso 9000，全面規(guī)范地建立內(nèi)部管理制度，并達(dá)到良性有序的運(yùn)作，減少高層管理人員在處理內(nèi)部一般事務(wù)及突發(fā)事務(wù)方面的煩瑣工作，并減少因人員流動(dòng)而帶來的負(fù)面影響； 2）明確劃分各部門工作職責(zé)和質(zhì)量職責(zé)及員工的崗位責(zé)任； 3）增進(jìn)各部門工作的透明度及部門間、員工間的相互溝通,營造良好的企業(yè)文化； 4）導(dǎo)入內(nèi)部質(zhì)量審核作為常規(guī)的容易被組織各級(jí)人員接受的交叉式內(nèi)部監(jiān)督機(jī)制。對于規(guī)模不大的it企業(yè)來說，幾乎所有人員都將直接參與到該活動(dòng)中，有利于帶動(dòng)公司氛圍； 5）在全公司以及全體員工中營造強(qiáng)烈的"以客戶為中心"的意識(shí)； 6）作為提高服務(wù)品牌的強(qiáng)有力手段，為市場人員有效地開拓客戶帶來極大的方便。

目前國際上已經(jīng)頒布的管理體系COBIT（IT管理控制體系）、ISO 9000（質(zhì)量管理體系）、BS 7799和ISO 27001（信息安全管理體系）、ISO 20000（IT服務(wù)管理體系）、PAS56BCM（業(yè)務(wù)持續(xù)管理）、CMSAS86（客戶投訴管理體系）、COSO/ERM（全面風(fēng)險(xiǎn)管理框架）、BS6079（戰(zhàn)略和投資管理體系）、AS/NZS4360（風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)）等。這些基于最佳實(shí)踐的管理體系，雖然各自的側(cè)重面不同，但是目標(biāo)都只有一個(gè)，通過流程化、透明化和標(biāo)準(zhǔn)化的管理，將風(fēng)險(xiǎn)控制到可以接受的水平，推動(dòng)企業(yè)建成百年老iso認(rèn)證公司…… ISO 20000與ISO 9000的實(shí)用范疇和側(cè)重點(diǎn)不同，更多與IT服務(wù)流程相關(guān)，是一套用于IT服務(wù)管理的最佳實(shí)踐，在IT服務(wù)提供商和信息化程度較高的企業(yè)中應(yīng)用較多。一般由IT組織采用，其流程的iso認(rèn)證流程建議和控制采用的IT經(jīng)理容易接受的術(shù)語，對IT系統(tǒng)申報(bào)的風(fēng)險(xiǎn)進(jìn)行管理。 ISO 20000的13個(gè)管理流程中包括信息安全管理。ISO 20000的條文中明確指出，企業(yè)的信息安全只要符合BS 7799和ISO 27001，就可以滿足ISO 20000的信息安全要求，前提是企業(yè)導(dǎo)入BS 7799的范疇，必須大于或等于ISO 20000的導(dǎo)入范疇，否則就算整個(gè)IT部門符合ISO 20000的標(biāo)準(zhǔn)，但是BS 7799的導(dǎo)入只局限于IT部門的某些單位，也是無法符合ISO 20000的標(biāo)準(zhǔn)。 -------------------------------------------------------------------------------- ISO 9000體系： ISO 9000一般被視作和業(yè)務(wù)有關(guān)，特別是和質(zhì)量框架相聯(lián)系，是一套用于管理與業(yè)務(wù)系統(tǒng)或制造系統(tǒng)相關(guān)的風(fēng)險(xiǎn)的最佳實(shí)踐。在制造企業(yè)應(yīng)用得最多。 ISO組織將IT業(yè)歸類為適合實(shí)施ISO 9000的39大行業(yè)中的第33類"信息技術(shù)"類。由于IT業(yè)通常具有企業(yè)發(fā)展速度極其迅猛、企業(yè)管理人員外部事務(wù)或技術(shù)性事務(wù)相對較多、員工新舊更替相對比較頻繁、客戶對服務(wù)技術(shù)水平的要求較高、一線員工的行為直接影響服務(wù)質(zhì)量、內(nèi)部監(jiān)督機(jī)制相對缺乏等特點(diǎn)，所以，IT業(yè)實(shí)施ISO 9000又有其特殊的意義，這主要體現(xiàn)在： 1）管理法治化--通過實(shí)施ISO 9000，全面規(guī)范地建立內(nèi)部管理制度，并達(dá)到良性有序的運(yùn)作，減少高層管理人員在處理內(nèi)部一般事務(wù)及突發(fā)事務(wù)方面的煩瑣工作，并減少因人員流動(dòng)而帶來的負(fù)面影響； 2）明確劃分各部門工作職責(zé)和質(zhì)量職責(zé)及員工的崗位責(zé)任； 3）增進(jìn)各部門工作的透明度及部門間、員工間的相互溝通,營造良好的企業(yè)文化； 4）導(dǎo)入內(nèi)部質(zhì)量審核作為常規(guī)的容易被組織各級(jí)人員接受的交叉式內(nèi)部監(jiān)督機(jī)制。對于規(guī)模不大的IT企業(yè)來說，幾乎所有人員都將直接參與到該活動(dòng)中，有利于帶動(dòng)公司氛圍； 5）在全公司以及全體員工中營造強(qiáng)烈的"以客戶為中心"的意識(shí)； 6）作為提高服務(wù)品牌的強(qiáng)有力手段，為市場人員有效地開拓客戶帶來極大的方便。

ISO 27001 信息安全管理體系標(biāo)準(zhǔn)是一項(xiàng)國際標(biāo)準(zhǔn)，為有效管理保密和敏感信息提供了基礎(chǔ)，也為信息安全控制應(yīng)用奠定了基礎(chǔ)。 通過此標(biāo)準(zhǔn)，組織可以展現(xiàn)他們在信息安全管理方面的卓越程度及管理能力。此標(biāo)準(zhǔn)能夠讓組織遵守信息安全管理體系，該體系要求他們不斷改善對保密和敏感信息的控制。該標(biāo)準(zhǔn)于 2005 年發(fā)布，很快便成為信息安全管理領(lǐng)域最廣泛認(rèn)可的國際標(biāo)準(zhǔn)。建立信息安全管理體系是一項(xiàng)戰(zhàn)略決策，可以使組織定義、評(píng)估和控制信息安全風(fēng)險(xiǎn)，確保經(jīng)營的持續(xù)性。 信息安全對每個(gè)企業(yè)或組織來說都是需要的，所以信息安全管理體系認(rèn)證咨詢具有普遍的適用性，不受地域、產(chǎn)業(yè)類別和公司規(guī)模限制。 關(guān)于認(rèn)證咨詢收益和流程什么的可以去翼火蛇看看說明，有比較詳細(xì)的說明

根據(jù)企業(yè)信息安全與IT風(fēng)險(xiǎn)管理需求，谷安周下提供咨詢服務(wù)。通過咨詢服務(wù)可以幫助企業(yè)了解相關(guān)信息安全與IT風(fēng)險(xiǎn)現(xiàn)狀，面向業(yè)務(wù)識(shí)別出主要IT風(fēng)險(xiǎn)，結(jié)合企業(yè)情況分析并選擇有效的控制措施與方法，同時(shí)結(jié)合國際國內(nèi)標(biāo)準(zhǔn)與最佳實(shí)踐幫助企業(yè)建立系統(tǒng)、科學(xué)的管理規(guī)范，來規(guī)范自身的管理流程，降低風(fēng)險(xiǎn)，提高效率。 谷安周下主要提供： 信息安全管理（ISO 27001） 信息安全風(fēng)險(xiǎn)評(píng)估 等級(jí)保護(hù)體系咨詢 IT服務(wù)管理（ISO 20000） IT內(nèi)部控制體系咨詢 IT審計(jì) 信息安全服務(wù)：評(píng)估、安全加固、滲透...