ISO27001信息安全管理体系

信息安全管理体系(ISMS)是组织整体管理体系的重要组成部分，它以风险评估为基础，通过建立、实施、运行、监控、评审、维护与持续改进等一系列管理活动，在组织整体或特定范围内构建信息安全方针与目标，并形成实现相关目标的方法体系。

办理双体系咨询15034409001同V

01、适用范围

电信、银行、证券、保险、民航、铁路等行业信息中心

政府及行政机构信息中心

IT 软硬件产品企业技术服务中心

医院、学校信息中心

跨地域企业集团负责 IT 规划、管理与服务的技术部门或分支机构

数据处理中心、IDC 机房、网络媒体技术中心

开展在线交易业务的企业信息中心

面向公众提供访问服务的政府机构信息中心

以及承接上述相关服务的专业外包机构

02、认证好处

预防信息安全事故

预防信息安全事件，保障组织业务持续运行，对重要信息资产实施与其价值匹配的保护措施，防范商业秘密泄露、丢失、篡改与不可用等风险。

降低风险，增强信任

降低合规与法律风险，提升客户及合作伙伴信任度，树立良好公众形象与品牌声誉，拓展商业机会并提升投资回报。

降低企业运营成本

通过 ISMS 有效规避安全事件损失，合理规划信息安全投入;依据信息资产风险等级确定安全控制投资优先级，对可接受风险控制投入，实现成本优化。

提升员工安全意识与能力

通过体系建设与认证，强化员工信息安全意识与责任，规范安全操作行为，降低人为因素导致的安全损失。

03、必备条件

具备合法主体资质：中国企业持有有效的《企业法人营业执照》及相关许可文件;境外企业提供所在机构登记注册证明。

体系建立与运行：已按 ISO/IEC27001:2013 标准建立信息安全管理体系，并正式运行满 3 个月以上。

完成审核评审：已开展至少一次完整内部审核与管理评审。

合规无不良记录：体系建立前 1 年内及运行期间，未受到主管部门行政处罚。

04、ISO27001信息安全管理体系资料清单

中国企业持有工商行政管理部门颁发的营业执照;国外企业持有有关部门的登记注册证明;

企业合法经营、近一年内没有被相关部门处罚;

企业简介及现有员工数;

企业网络方面的资料

企业供销方面的资料;

企业人力资源方面的资料;

企业硬件方面的资料;

包含信息安全手册和程序文件在内的一、二、三、级文件;

企业计量及检测设备有检定报告;

特种设备的年检记录;

特殊殊工种的上岗证书;

管理评审、内部审核、客户满意度等资料

ISO20000信息技术服务管理体系

ISO20000 是全球首部面向信息技术服务管理(ITSM)领域的国际标准，奠定了业内广泛认可的 IT服务管理流程评估基础，定义了一套完整且关联紧密的服务管理流程。ISO20000 认证即指组织建立的信息技术服务管理体系符合该标准要求并通过认证。

01、产品特点

ISO20000以流程化管理为基础，将IT工作拆解为不同流程，各部门、各岗位工作均对应流程中的具体环节，流程对工作输入输出的量化的要求，为员工工作量化提供了可行依据。

同时，该体系为IT服务设定量化指标，建立完善的量化质量控制体系、考核指标及报表机制，对客户满意度等关键指标可委托第三方调查，确保数据真实可信。

量化管理既是IT部门内部管理的需求，也是衡量IT部门价值与投资回报的基础，而流程化管理则为量化管理的落地提供了支撑。借助ISO20000，CIO可获得国际公认的IT服务评价标准，既能明确企业ITSM实施阶段，也能在标准化平台上与CEO等管理层沟通IT服务的标准化、规范化建设。

企业建立ISO20000体系的核心目标，是构建以客户为中心、可自我完善的管理体系。认证实施后，各流程、各岗位均形成“策划-执行-检查-改进”的闭环，培养员工的问题意识，引导其主动发现工作中的问题，并通过系统方法逐步解决，实现持续优化。

02、认证好处

获得业界公认的 ISO20000 国际认证;统一服务质量、服务承诺标准，搭建与业务及供应商的协同沟通平台，实现相关方满意的 IT 服务管理目标;提升 IT

服务的可用性、可靠性与安全性，为业务用户提供高品质服务;持续优化服务流程与服务水平，增强业务满意度;保障项目可交付性，确保按期落地;整体提升企业 IT

投资回报率，增强综合竞争力;构建 IT 部门完善的持续改进与内控管理机制;厘清 IT 管理成本与企业业务、IT 战略的结合点，优化 IT

服务架构与资源配置，确保 IT 资源运用贴合公司战略目标;通过规范化、透明化管理流程与权责划分，实施流程监控与绩效评估，降低 IT

运营成本与管理风险;便于与信息安全管理体系(ISMS)、质量管理体系(ISO9000)等其他管理体系融合对接;整合现有管理体系与业务流程，规范 IT

服务标准及工作流程，降低人员流动带来的运营风险;提升 IT 人员专业素养、服务能力与工作效率;强化 IT 部门整体运营效能及跨部门协同沟通能力。

03、必备条件

中国企业需持有工商行政管理部门颁发的《企业法人营业执照》《生产许可证》或等效文件;外国企业需持相关机构出具的登记注册证明。

申请方已依据 ISO/IEC20000-1:2018 标准建立 IT 服务管理体系，并有效运行不少于 3 个月。

已完成至少一次内部审核及管理评审。

体系运行期间及体系建立前一年内，未受到主管部门行政处罚。

04、ISO20000信息技术资料清单

1.组织法律证明文件，如营业执照及年检证明复印件;

2.组织机构代码证书复印件;

3.申请认证体系有效运行的证明文件(如体系文件发布控制表，有时间标记的记录等复印;

4.申请组织简介;

4.1组织简介

4.2申请组织的主要业务流程

4.3组织机构图或职能表述文件

5.申请组织的体系文件，需包含但不仅限于(可以合并)

5.1服务管理方针和计划

5.2服务级别协议

5.3能力管理流程

5.4服务连续性和可用性管理流程

5.5服务级别管理流程

5.6服务报告流程

5.7信息安全管理流程

5.8IT服务预算和核算流程

5.9业务关系管理流程

5.10供方管理流程

5.11事件管理流程

5.12问题管理流程

5.13配置管理流程

5.14变更管理流程

5.15发布管理流程

5.16整个体系文件的结构和清单

6.申请组织体系文件与ISO/IEC20000-1：2018(E)要求的文件对照说明;

7.申请组织内部审核和管理评审的证明资料;

8.申请组织记录保密性或敏感性声明。