• ISO20000:2018换版快速指南

2019-01-04

一、 标准更新背景及影响 2018年9月15日，ISO/IEC20000-1:2018标准正式发布，标志着自2011年ISO20000标准更新后的一次重大变化，转换期为标准发布后的3年。本次标准变换对已经通过ISO20000认证的企业将产生以下影响： 1.无论2011版证书的签发日期是何时，所有ISO/IEC 20000-1:2011证书将在2021年9月29日失效。 2.已获得2011版ISO20000证书必须在2021年9月30日之前转版为ISO/IEC 20000-1:2018。 3.转换期内针对ISO/IEC 20000-1:2011版颁发的新证书的有效期不迟于2021年9月29日。 二、 标准更新内容 本次ISO20000标准更新涉及以下内容： 标准结构调整 ISO/IEC 20000-1:2018标准的内容采用与ISO/IEC 22301:2012，ISO/IEC 27001:2013, ISO 9001:2015和ISO 14001:2015等其他流行管理系统标准相同的结构。 条款内容变化 三、 体系换版工作内容  1.新标准差距分析 已获得ISO20000：2011版证书的企业应当根据本次更新的新标准重新开展差距分析，为后续换版工作提供依据和支持。  2.风险评估 根据标准新增的风险管理要求，针对IT服务管理工作开展风险评估。  3.体系文件更新 针对新...

• 安言咨询-网络安全等级保护基本要求 第1部分：安全通用要求解读

2017-05-02

国家标准GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求在开展信息安全等级保护工作的过程中起到了非常重要的作用，被广泛应用于各个行业和领域开展信息安全等级保护的建设整改和等级测评等工作，但是随着信息技术的发展，GB/T 22239-2008在适用性、时效性、易用性、可操作性上需要进一步完善。 为了适应移动互联、云计算、大数据、物联网和工业控制等新技术、新应用情况下信息安全等级保护工作的开展，需对GB/T 22239-2008进行修订，修订的思路和方法是针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域提出扩展的安全要求。 对GB/T 22239-2008的修订完成后，基本要求标准成为由多个部分组成的系列标准，目前主要有六个部分：第1部分 安全通用要求；第2部分 云计算安全扩展要求；第3部分 移动互联安全扩展要求；第4部分 物联网安全扩展要求；第5部分 工业控制安全扩展要求；第6部分 大数据安全扩展要求。 安言咨询对以上网络安全等级保护基本要求中的第1部分： 安全通用要求，根据自己的专业见解进行了解读。 详情请点击下方PDF链接阅读...

• ISO27001:2013标准解析

2015-02-09

1. 信息安全管理体系ISO/IEC 270011.1. 管理体系及其产业链管理体系是组织用来保证其完成任务，事件目标的过程集的框架。在ISO 9000:2000中，将其定义为建立方针和目标并实现这些目标的体系。注:一个组织的管理体系可包括若干个不同的管理体系，如质量管理体系、财务管理体系或环境管理体系。一个典型的管理体系框架如下图所示:图1-1目前存在很多的管理体系，例如质量管理体、系环境管理体系、职业健康管理体系、信息安全管理体系等。质量管理体系是出现比较早发展比较成熟的管理体系，其他管理体系或多或少都借鉴了质量管理体系的经验。管理体系形成的完整的产业链，如图11所示.信息安全管理体系正如其名称所表述的含义，就是关于信息安全的管理体系。信息安全管理体系是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。ISMS的概念已经跳出了传统的“为了安全信息而信息安全”的理解，它强调的是基于业务风险方法来组织信息安全活动，其本身只是整个管理体系的一部分。这就要求我们站在全局的观点看待信息安全问题。图1231231.1. ISO/IEC 27000标准族1.1.1. ISO/IEC 27001发展历程ISO27000从诞生到现在只不过20年间的...

• ISO20000:2011标准解析

2015-02-09

ISO 20000:2011标准全面解析 第1章前言1.1 开发背景2005年12月，国际标准化组织正式发布ISO/IEC 20000-1:2005，至今已有五年多时间，这期间ISO 20000得到了国际社会的普遍认可和采纳。同时，随着IT 产业的快速发展，IT 服务管理也逐步走向成熟，期间各种管理方法论不断涌现：2007年，ITIL v3发布，2008年，新版ISO 9000发布，同年IT治理标准ISO/IEC 38500发布，这些方法论促进了IT服务的长足发展；08年的金融危机，使得监管部门对IT服务管理等内控工作提出了更高的要求，并将这些反映在SOX等法律法规中；而云计算、虚拟化等新技术的出现也深刻地影响着IT服务管理。另一方面，国际标准化组织内部也产生了一些积极的变化。这5年间，WG251得到了多个国家的认可，众多组织作为成员单位加入了这一工作组参与ISO 20000的研讨，成员单位对标准相继提出了一些修改意见；很多组织根据自己的实践经验，也向国际标准化组织对提出了一些关于ISO 20000的有价值的改进意见。国际标准化组织（ISO/IEC）根据各方意见对2005版进行修改，于2011年4月15日发布了IT服务管理最新国际标准——ISO/IEC 20000-1:2011。2011版在2005版的基础上，更好地融合ISO 9001、ITIL v3、ISO/IEC 27001等最佳...