质量标杆丨信息安全管理体系和信息技术服务管理体系建立对企业的影响

随着以计算机和网络通信为代表的信息技术的迅猛发展，信息的保护及防范信息的损坏和泄露成为当前组织迫切需要解决的问题。许多信息系统本身并不是按照安全系统的要求来设计的，仅依靠技术手段来实现信息安全有其局限性。我们需要一个系统的、整体规划的信息安全管理体系，从预防控制的角度出发，保障组织的信息系统与业务的安全与正常运作。

认证标准：GB/T22080-2016/ISO/IEC27001:2013《信息技术安全技术信息安全管理体系要求》

（二）信息技术服务管理体系

信息技术服务管理体系（ITSMS）规定了IT组织在向其内外部客户提供IT服务和支持过程中所需完成的工作，展示了一套完整的IT服务管理流程，旨在帮助IT组织识别并管理IT服务的关键流程，保证向业务和客户有效地提供高质量的IT服务。

随着企业和政府组织的业务运作越来越依赖于IT，通过提高服务质量、降低服务成本、降低因IT服务中断所导致的业务风险以提升IT的整体服务水平是一个需要高度重视的问题，而ITSMS就是解决该问题的一个很好的指南。

认证标准：ISO/IEC20000-1:2011《信息技术服务管理第一部分：服务管理体系要求》

二、适用范围

（一）信息安全管理体系的适用范围

信息安全管理体系适用于所有类型的组织。包括但不限于：

1、银行、证券、保险等金融机构；

2、交通、能源等大型国有企业；

3、互联网数据中心(IDC)服务提供商；

4、软件和信息技术服务企业；

5、公共管理、社会保障和社会组织等。

（二）信息技术服务管理体系的适用范围

信息技术服务管理体系适用于IT服务的提供者。既可以是内部的IT部门，也可以是外部的服务提供商，包括但不限于：

1、银行、证券、保险等金融机构或是其数据中心（IT部门）；

2、交通、能源等大型国有企业或是其数据中心（IT部门）；

5、以及对外提供信息技术服务的企业等。

图丨信息技术服务管理体系管理结构

三、认证价值

（一）信息安全管理体系的认证价值

通过信息安全管理体系的认证能够强有力保障组织的信息资产的保密性、完整性和可用性。

1、引入信息安全管理体系可以协调各个方面信息管理提供管理效率；

2、加强公司信息资产的安全性、保障业务持续性与紧急恢复；

3、增进组织间电子商务往来的信用度，能够建立起网站和贸易伙伴之间的互相信任，随着组织间的电子交流的增加通过信息安全管理的记录可以看到信息安全管理明显的利益，并为广大用户和服务提供商提供一个基础的设备管理；

4、保证和证明组织所有的部门对信息安全的承诺，强化员工的信息安全意识，规范组织信息安全行为；

5、减少可能潜在的风险隐患，减少信息系统故障、人员流失带来的经济损失；

6、获得国际认可的机构的认证证书，得到国际上的承认，拓展业务；

8、维护企业的声誉、品牌和客户信任，维持竞争优势；

图丨信息安全管理体系管理结构

（二）信息技术服务管理体系的认证价值

1、保持服务目标与企业业务目标一致，有效的支持业务战略；

2、建立规范的服务流程，提高信息技术服务和运营效率，确保及时和高质量的交付；

3、通过建立优化、透明的管理流程和权责的定义，监控管理流程、进行绩效评价；降低IT运营的管理成本和风险；

4、有效及高效地整合、利用和完善信息、基础架构、应用及人员等IT资源；

5、建立持续改进的服务管理机制，快速应对市场需求，提高客户满意度；

6、向国际标杆靠齐，增强市场竞争力，提高组织声誉，提升投资回报；

7、易于整合服务管理流程和其它管理系统，如：信息安全管理体系、质量管理体系等；

四、信息技术服务和信息安全管理体系的整合

以方针、责权、风险和机遇分析为前提，开展信息安全及信息技术服务的整合管理体系建立的策划，明确体系管理的边界和过程、认证点的信息安全需求及包含的服务级别协议，并落到信息安全风险管理、信息技术服务管理并制定目标方案上，分别从信息安全风险管理、信息技术服务管理两方面进行制度和细则的编制。

其中，信息技术服务管理体系和信息安全管理体系的管理结构分别如下：

体系整合实施阶段主要包括：访谈调研及系统现状分析；管理体系策划；信息安全风险评估；信息技术服务管理策划；体系文件编写；体系运行；监测与改进。

（一）访谈调研及系统现状分析：

调研ISO27001/ISO20000的管理边界、企业管理过程和流程、信息安全需求及管理现状、服务级别协议及信息技术服务管理现状。

（二）确定范围和方针：

ISO27001/ISO20000管理体系可以覆盖组织的全部或者部分。

（三）信息安全风险评估：

1、定义风险评估的系统性方法

2、识别风险

3、评估风险

4、识别并评价风险处理的方法

5、为风险的处理选择控制目标与控制方式

针对信息安全管理体系标准附录A中A5-A18涉及的控制措施，明确其适用性并确定需采用的控制措施。

（五）信息技术服务管理策划：

包括对服务的交付过程、控制过程、解决过程及关系过程进行策划。

（六）体系文件编写。

（七）实施与运行：

进行管理运作，执行所选择的控制以及管理策划阶段所识别的信息安全风险和信息技术服务的管理。

（八）监测与改进：

通过多种方式检查管理体系是否运行良好，并对运行绩效进行监视；组织内部审核和管理评审；识别管理体系的改进，采取适当的纠正和预防措施。