2011年8月22日月曜日

ISO27001、ISO20000の違い

ISO27001はISMS(情報セキュリティマネジメントシステム)の規格であり、対象は情報資産であり、適用範囲は全社、部門、場所など任意、本文の要求事項と付属書Aの133の管理策で構成される。
ISO20000-1はITSMS(ITサービスマネジメントシステム)の規格であり、対象はITサービスであり、適用範囲はITサービスを提供する組織または提供部門である。次の13のプロセスを規定している

ーサービス提供プロセスー
・サービスレベル管理プロセス
・サービスの報告プロセス
・サービス継続及び可用性の管理プロセス
・サービスの予算業務及び会計業務プロセス
・容量/能力管理プロセス
・情報セキュリティ管理プロセス
-関係プロセス-
・顧客関係管理プロセス
・供給者管理プロセス
ー解決プロセスー
・インシデント管理プロセス
・問題管理プロセス
-統合的制御プロセス-
・構成管理プロセス
・変更管理プロセス
-リリースプロセス-
・リリース管理プロセス

また必要に応じてITIL等のベストプラクティスを導入する。文書化については方針・計画、SLA、この規格が要求するプロセスおよび手順、この規格が要求する記録となっており、ITサービスに関した内容となっている。詳しくは規格書およびJIPDECの資料にあたると良い。