蕪湖澤林質量認證咨詢有限公司

ISO27001介紹
ISO27001是有關信息安全管理的國際標準。最初源于英國標準BS7799，經(jīng)過十年的不斷改版，終于在2005年被國際標準化組織（ISO）轉化為正式的國際標準，于2005年10月15日發(fā)布為ISO/IEC 27001:2005。該標準可用于組織的信息安全管理體系的建立和實施，保障組織的信息安全，采用PDCA過程方法，基于風險評估的風險管理理念，全面系統(tǒng)地持續(xù)改進組織的安全管理。對現(xiàn)代企業(yè)來說，將以往被認為是成本中心的IT部門轉變成積極的增值服務提供者，是一種挑戰(zhàn)，也是機遇，而推動這一機遇成為現(xiàn)實的.
ISO20000介紹
ISO 20000是面向機構的IT服務管理標準，目的是提供建立、實施、運作、監(jiān)控、評審、維護和改進IT服務管理體系(ITSM)的模型。建立IT服務管理體系(ITSM)已成為各種組織，特別是金融機構、電信、高科技產(chǎn)業(yè)等管理運營風險不可缺少的重要機制。ISO 20000讓IT管理者有一個參考框架用來管理IT服務，完善的IT管理水平也能通過認證的方式表現(xiàn)出來。
有效融合ISO27001、ISO20000等IT控制和最佳實踐，進行必要的體系整合，從而全面提升客戶整體IT治理的水平。
獲取認證應具備的條件
應具備相應的資質，（如營業(yè)執(zhí)照、組織機構代碼、相關的國家行政審批資質或行業(yè)資質），具備相關設施和資源，能正常開展經(jīng)營活動。能提供三個月以上的經(jīng)營活動記錄。
取得認證的程序
通常把取得認證的程序分為兩個階段，
認證咨詢階段：合同簽訂后，我公司會派出咨詢老師到企業(yè)進行調研，確定企業(yè)的認證意圖，幫助企業(yè)確定組織機構和職責權限劃分，體系的覆蓋范圍，編制和完善認證所需要的體系文件，對企業(yè)人員相關進行的培訓，并指導企業(yè)按體系文件的要求運行，并幫企業(yè)進行認證的申請。
認證審核階段：由認證機構派出的審核員，到企業(yè)按照認證標準及企業(yè)體系文件規(guī)定對企業(yè)申請認證范圍的活動的進行檢查，重點是核實企業(yè)的情況及編制認證文件和記錄，檢查結束上報認證機構頒發(fā)證書。
取得認證的效益
ISO27001
  1、通過定義、評估和控制風險，確保經(jīng)營的持續(xù)性和能力 
  2、減少由于合同違規(guī)行為以及直接觸犯法律法規(guī)要求所造成的責任 
  3、通過遵守國際標準提高企業(yè)競爭能力，提升企業(yè)形象 
  4、明確定義所有組織的內部和外部的信息接口目標：謹防數(shù)據(jù)的誤用和丟失 
  5、建立安全工具使用方針 
  6、謹防技術訣竅的丟失 
  7、在組織內部增強安全意識 
    8、可作為公共會計審計的證據(jù)  
ISO20000
服務質量和服務承諾與業(yè)務及供貨商達成一致，建立和業(yè)務及供貨商統(tǒng)一的溝通平臺；達到相關利益方均滿意的IT服務管理目標； 
  ? 提高IT服務的可用性、可靠性和安全性，為業(yè)務用戶提供高質量的服務； 
  ? 持續(xù)優(yōu)化服務流程，提升服務水平，提高業(yè)務滿意度； 
  ? 提高項目的可提供性并確保如期交付； 
  ? 從總體上提高組織/企業(yè)IT投資的報酬率，提升組織/企業(yè)的綜合競爭力； 
  ? 建立IT部門一整套行之有效的持續(xù)改善機制和內控機制； 
  ? 明晰IT管理成本和組織/企業(yè)業(yè)務戰(zhàn)略和IT戰(zhàn)略目標的結合點，完善現(xiàn)有IT服務結構和資源配   置，使各項IT資源的運用符合公司業(yè)務戰(zhàn)略和IT戰(zhàn)略目標； 
  ? 通過建立優(yōu)化、透明的管理流程和權責的定義，監(jiān)控管理流程、進行績效評價；降低IT運營的管理成本和風險； 
  ? 易于整合服務管理流程和其它管理系統(tǒng)，如：信息安全管理體系 ISMS 、質量管理體系ISO9000等； 
  ? 將現(xiàn)有管理體系和業(yè)務流程整合，規(guī)范IT部門服務水平，規(guī)范工作流程，降低由人員變動導致的風險； 
  ? 提高IT部門相關員工的專業(yè)素質，提高員工的服務能力和工作效率； 
  ? 提升IT部門整體運作及部門間溝通的能力