ISO 20000注重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，依据服务水准协议进行计划、推行和监控，并强调与客户的沟通。同时关注体系的能力，体系变更时所要求的管理水平、财务预算、软件控制和分配。

ISO 20000标准是为向内部或外部顾客提供IT服务的企业提供一个共同的参考标准。基于服务管理中沟通的重要性，在标准中为服务提供商及其供应商和他们的顾客中建立一套共同术语。ISO 20000是一个针对管理流程系统的标准，ISO 20000的认证适用于IT服务的提供者，可以是外部的服务提供商，也可以是内部的IT部门。

ISO20000信息技术服务管理体系适用范围有哪些？如何认证？

IT服务提供商通过实施IT服务管理体系，可以获取如下收益：

1、保持服务目标与企业业务目标一致，有效的支持业务战略；

2、建立规范的服务流程，提高信息技术服务和运营效率；

3、有效及高效地整合和利用信息、基础架构、应用及人员等IT资源；

4、建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度；

5、向国际标杆靠齐，增强市场竞争力，提高组织声誉，提升投资回报；

6、控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本；

7、灵活应对来自客户、认证机构、内部机构等不同的合规审核要求，增加投资者信心 ；

8、对于众多IT服务提供商，ISO20000认证的意义并不仅仅限于IT服务符合规程和提高服务质量。它在服务量化，员工绩效考核，衡量IT部门投资回报方面更具有积极的意义。

ISO/IEC 27001标准基于保密性、完整性和实用性三大原则，内容覆盖以下方面：

• 信息安全方针

• 信息安全组织

• 人力资源安全

• 资产管理

• 访问控制

• 加密

• 物理和环境安全

• 操作安全

• 通信安全

• 系统的获取、开发和维护

• 供应关系

• 信息安全事件管理

• 信息安全方面的业务持续管理

• 符合性