ISO27000信息安全管理体系是适用于各种类型、规模和特性的组织，如：商业企业、机构、非盈利组织等。ISO27001体系为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。信息安全对每个企业或组织来说都是需要的，所以信息安全管理体系认证具有普遍的适用性，不受地域、产业类别和公司规模限制。目前是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业的企业获得认证的较多。

　　而ISO/IEC20000 IT服务管理质量标准提供基于ITSM 的度量，其标准着重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务水准协议进行计划、推行和监控，并强调与客户的沟通。该标准同时关注体系的能力，体系变更时所要求的管理水平、财务预算、软件控制和分配。原理和方法。

　　ISO27000信息安全管理体系标准有效的保护信息资源,保护信息化进程健康、有序、可持续发展。ISO27001是信息安全领域的管理体系标准，类似于质量管理体系认证的ISO9000标准。ISO/IEC20000是有效解决IT行业中的如何控制这个IT服务的整体风险(无论是内部还是外部)，提高IT的整体服务水平的问题。因此ISO27000较ISO20000适用的领域面更广阔，但ISO20000是就IT行业的管理标准更具专业性和针对性。

iso27001认证

首先，必须注意，ISO 27001的全名是“ ISO / IEC 27001 –信息技术–安全技术–信息安全管理系统–要求”。

它是国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的关注信息安全的**国际标准，两者都是开发国际标准的**国际组织；ISO-27001是为处理信息安全而开发的一组标准的一部分：ISO / IEC 27000系列。

ISO 20000认证

ISO 20000也是非常相似的SMS（服务管理系统），它定义，实施，管理和改进IT服务，从设计到发布并在实时环境中进行改进和管理；这远远超出了服务的功能，涵盖了如何构建服务，如何使用服务以及如何处理发生的问题；它还包括您如何设置组织，对第三方的处理，报告和客户满意度/投诉/赞誉等。

iso20000和iso27001的区别

ISO 20000是基于过程的，尽管ISO 27001并非明确基于流程，但是如果您查看附件A（用于管理风险的控件列表），则需要定义许多控件，ISO 20000流程处理与ISO 27001控件相同的主题；让我们看看您的ISMS实施在其风险评估范围内可能需要的几个示例：

容量 – ISO 27001要求提供支持所需系统性能的容量，ISO 20000在容量要求，计划和监视方面更加详细。

配置 –两种标准对支持IT服务所需的资产（即信息处理）都有严格的要求，ISO 20000更深入，并提出了更详细的要求。

事件 –信息安全事件只是ISO 20000中的一类事件，如果您在ISO 20000中实施了事件管理，那么对于ISO 27001的实施也足够了。

变更 –这两个标准都要求实施变更管理，ISO 20000将变更管理视为对许多活动的控制，从规划和设计IT服务到服务在实时环境中进行控制。

供应商 –两种标准都将供应商视为管理系统的重要要素之一，ISO20000认证要求对与供应商及其子供应商的关系进行更多控制。

因此，那些声称，如果您拥有一项标准，那么您已经拥有另一项标准的很大一部分，那基本上是正确的。

从ISO 20000的角度来看，该标准要求实施信息安全管理，IT服务连续性和可用性过程；这两个过程的要求与ISO 27001定义的ISMS要求非常吻合，因此，如果已采用ISO 27001，则对ISO 20000实施将有很大帮助。