ISO20000和ISO27001雖然我們關(guān)注不同的領(lǐng)域�����,但不同的標準在信息安全方面存在交叉�����,甚至ISO20000和ISO27001兩者都屬于國際標準�����,宏觀(guān)上有相似之處�����。兩者有什么共同點(diǎn)��?
如果把兩個(gè)系統作為一個(gè)整體來(lái)構建���,那么*終只有一套系統文件�,兩個(gè)系統融合的主要思路是:
1. ISO20000��、ISO27001�、ISO9000具有相同的文檔體系結構:定義相同的文檔體系結構�,包括管理承諾���、目標�����、政策���、組織結構���、管理體系要求和PDCA本文檔系統滿(mǎn)足標準的共同要求�;
2. ISO20000和ISO27001在信息安全方面內容���,ISO27001完全覆蓋信息安全ISO20000在信息安全要求部分�����,企業(yè)只能有一個(gè)安全標準����,因此��,信息安全主要是ISO27001同時(shí)考慮建設ISO20000要求信息安全�,做好兩個(gè)標準接口�����;
3. 要實(shí)現文件編碼的整合�,爭取兩個(gè)系統采用類(lèi)似或相同的文件編碼結構����,如ISO20000體系可采用IT -2-IM-01形式���,其中第二段代表文件階級����,第三段代表控制域或過(guò)程縮寫(xiě)���,第四段用序號編號����;
4. CMMI和ISO27001信息系統的開(kāi)發(fā)和維護存在交叉內容�����,ISO27001在信息系統開(kāi)發(fā)過(guò)程中�,系統需要滿(mǎn)足要求ISO27001 A12(信息系統的開(kāi)發(fā)和維護)滿(mǎn)足安全控制要求ISO27001整體安全控制要求�。因此�,在軟件開(kāi)發(fā)中做好安全管理和信息安全接口�����;
5. CMMI和ISO20000軟件變更�����、發(fā)布�、新服務(wù)或變更服務(wù)交付存在交叉內容�����,因此在整合文檔時(shí)應考慮上述幾點(diǎn)��,并定義兩個(gè)系統的接口����;
6. ISO9000的章節7.1和7.3(產(chǎn)品交付)和ISO20000新服務(wù)和變更服務(wù)(章節5)交叉����,ISO9000的章節7.2與ISO20000客戶(hù)關(guān)系管理存在交叉�����,整合文檔時(shí)會(huì )覆蓋ISO9000相關(guān)內容����。
http://www.qwe1.top
