ISO20000 是世界上第一部针对信息技术服务管理(IT Service Management)领域的国际标准，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。该标准定义了一套全面的、紧密相关的服务管理流程。

信息技术—服务管理体系（ITSMS）的目标是以合适的成本提供满足客户质量要求的IT服务，从流程、人员和技术三方面提升IT的效率和效用，强调将企业的运营目标、业务需求与IT服务提供相协调一致。

GB/T 24405.1（等同ISO/IEC 20000-1）是建立和维护信息技术服务管理体系的依据标准，该标准规定了IT组织在向其内外部客户提供IT服务和支持过程中所需完成的工作及要求；通过满足标准规定，所建立的信息技术服务管理体系展示了一套完整的IT服务管理流程，旨在帮助IT组织识别并管理IT服务的关键流程，从而保证向业务客户有效地提供高质量的IT服务。

随着数字化的快速发展，IT行业企业也成为日常生活中不可或缺的存在。现在市场上有很多软件开发公司。为了自身未来的发展趋势，绝大多数公司也向恒标了解了ISO2万企业资质证书。申请ISO2万能给公司带来什么价值？今天我们来谈谈ISO20000信息技术服务管理体系认证。

本标准描述了一组管理流程，旨在帮助您提供更有效的IT服务（包括内部服务和客户服务）。ISO20000为您提供了方法和框架，帮助您管理ITSM，并证明您的公司遵循最佳实践。根据标准的要求，您将获得最佳实践，以帮助改善IT服务的交付。ISO20000适用于任何公司规模和行业。

ISO20000描述信息技术服务管理(ITSM）系统要求的全球标准。本标准旨在反映IT基础设施库(ITIL)框架中描述的最佳实践。

ISO20000为IT服务提供商规定了计划、建立、实施、运营、监控、审查、维护和改进IT服务的要求。这些要求包括服务设计、过渡、交付和改进，以满足约定的服务要求。

ISO/IEC20000，通常简称ISO20000，是国际IT服务管理标准，使IT组织(无论是内部、外包还是外部)能够保持IT服务管理流程和业务需求，具有最佳的国际实践。

ISO/IEC20000帮助组织基准测试如何交付托管服务，衡量服务水平，评估其性能。它在很大程度上与ITILR保持一致，并充分利用它。 

一、业务背景

随着信息化建设工作不断推进，计算机网络规模和应用范围逐步扩大，信息科技的作用已经从业务支持逐步走向与业务的融合。同时，信息化在给企事业单位带来发展和效益的同时，其所形成的风险与传统操作风险的内涵发生了根本性变化。许多信息安全的问题纷纷出现：商业秘密的泄露、客户资料的流失、系统瘫痪、黑客入侵、病毒感染、网络钓鱼、网页改写等。各行业重要信息安全事件也屡屡发生并呈快速上长趋势，特别是一些企业发生的严重信息安全事件，更是给事发企业造成了难以估量的经济或声誉损失，影响了企业业务的稳健运行。

二、业务介绍

1、信息安全风险评估

信息安全风险评估是信息安全工程的重要组成部分，是建立信息安全管理体系的基础和前提。信息安全风险评估分析用户信息安全管理体系范围内业务信息系统IT资产的弱点、面临的威胁以及威胁利用弱点可能造成的影响，了解其风险现状；明确各类风险的特性与等级化处理机制，从而使用户能够选择合适的风险控制措施，更有效地管理信息安全风险。通过识别用户信息安全风险，并进行评估分析，使管理层充分了解信息安全风险现状，明确定义当前系统存在的风险，针对性的制定风险处置计划。同时，根据评估结果确定用户不同业务信息系统的保护等级及相应级别下的安全管理策略

2、信息安全渗透测试

渗透测试是经过客户授权的，采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。渗透测试是能过模拟黑客的攻击方法来评估计算机网络系统安全的一种评估方法，是一种选择不影响业务系统正常运行的攻击方法进行的测试，是一个渐进的并且逐步深入的过程，包括对系统的任何弱点、技术缺陷或漏洞的主动分析。

3、ISO/IEC 27001认证

根据企业的申请，为企业提供ISO/IEC 27001符合性认证。满足现行标准要求的，为企业颁发相关证书。

4、业务持续性管理

面对可能导致业务中断的意外事件或重大灾难时，保持业务的持续运营是对任何组织的基本要求。业务持续性管理服务能帮助识别企业的业务运营能力面临的风险，制定涵盖各个关键业务领域的业务持续性计划，减轻灾难事件对企业造成的不利影响，保证企业日常业务运行的平稳有序。

5、信息安全培训

三、实施该业务的价值

1、符合法律法规要求： 信息安全管理体系的实施，要求组织遵守所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识 产权、商业秘密等。 

2、维护企业的声誉、品牌和客户信任： 信息安全管理体系的实施向合作伙伴、股东和客户表明组织为保护信息而付出的努力，令其对组织的信心将得到加强。有助于确定组织在同行业内的竞争优势，提升其市场地位。

3、履行信息安全管理责任： 信息安全管理体系的实施能证明组织在各个层面的安全保护上都付出了卓有成效的努力，表明管理层履行了相关责任。 

4、增强员工的意识、责任感和相关技能： 信息安全管理体系可以强化员工的信息安全意识，规范组织信息安全行为，减少人为原因造成的不必要的损失。 

5、保持业务持续发展和竞争优势： 信息安全管理体系的建立，意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护，并且建立有效的业务持续性计划框架，提升了组织的核心竞争力。

6、实现业务风险管理：信息安全管理体系的实施有助于更好地了解信息系统，并找到存在的问题以及保护的办法，保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护，确保信息环境有序而稳定地运作。 

7、减少损失，降低成本： 信息安全管理体系的实施，能降低因为潜在安全事件发生而给组织带来的损失，在信息系统受到侵袭时，能确保业务持续开展并将损失降到最低程度

四、业务流程

申请认证的组织组织应建立符合ISO/IEC 27001:2013标准要求的文件化信息安全管理体系，在申请认证之前应完成内部审核和管理评审，并保证体系有效、充分运行三个月以上；   

组织应向赛西认证提供信息安全管理体系运行的充分信息，对于多现场应说明各现场的认证范围、地址及人员分布等情况，赛西认证将以抽样的方式对多现场进行审核；

认证分两个阶段进行：第一阶段审核，主要进行文件审核并确认第二阶段审核准备的充分性；第二阶段审核，主要对体系的符合性和有效性进行评价，作出现场审核的推荐结论；

证书有效期3年，获得认证后每年进行一次监督；

2006年，赛西认证信息安全管理体系认证领域获得国家认监委批准，并依据标准GB/T 22080-ISO27001:2005颁发国内首张ISO27001标准认证证书。历时近10年时间，我公司一直在密切关注行业动态以及标准发展，参与制修定GB/T 22080-ISO27001:2013版标准。 2017年1月6日，赛西认证作为**被认可委授权的认证机构，可颁发加带IAF标识的认证证书。