isms信息安全管理体系如何办理信息技术服务体系管理认证

可以在整个组织范围内、也可以在个别部门或领域内实施。在本阶段的工作，应将组织划分成不同的信息安全控制领域，这样做易于组织对有不同需求的领域进行适当的信息安全管理。在定义适用范围时，应考虑组织的适用环境、适用人员、现有IT技术、现有信息资产等。ISO27001认证现状调查与风险评估依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行调研和评价，以及评估信息资产面临的威胁以及导致安全发生的可能性，并结合安全所涉及的信息资产价值来判断安全一旦发生对组织造成的影响。ISO27001认证建立信息安全管理框架建立信息安全管理体系要规划和建立一个合理的信息安全管理框架。

认证条件1、中国企业持有工商管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册。2、申请方的IT服务管理体系已按ISO/IEC 20000-1:2005标准的要求建立，并实施运行3个月以上。3、至少完成一次内部审核，并进行了管理评审。4、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后，在各个流程中，各个工作岗位上都建立了一个自我完善的循环，工作的策划、执行、检查，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。IT服务提供商通过实施IT服务管理体系，可以获取如下收益：·保持服务目标与企业业务目标一致，有效的支持业务战略·建立规范的服务流程，提高信息技术服务和运营效率·有效及地整合和利用信息、基础架构、应用及人员等IT·建立持续改进的服务管理机制，快速应对市场需求，提高客户满意度·向国际靠齐，增强市场竞争力，提高组织声誉，提升控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本·灵活应对来自客户、认证机构、内部机构等不同的合规审核要求，增加投资者信心对于众多IT服务提供商，ISO20000认证的意义并不仅于IT服务符合规程和提高服务质量。它在服务量化，员工绩效考核，衡量IT部门方面更具有积的意义。

现阶段，组织的IT服务管理体系都与工具软件有一定关联，而且这种依存度正在逐渐上升。组织在实施ISO20000认证时，可能需要对其现有的工具平台进行一定的调整，也可能需要采购一些新的产品。费用方面，1)认证咨询服务费(咨询合作方，具体费用根据组织规模而有所不同。对于希望通过该项认证的组织来说，在项目方案中应确认认证服务费用是否包含后续年度的复审、复评和证书管理费用等。除以上介绍的管理基础分析、效益分析、认证实施计划、资源与费用等主要内容外，认证可行性方案中还可以包括ISO20000认证介绍、风险因素及对策等内容，组织可根据自身情况丰富方案内容。