ISO27001是ISO27000系列的主標(biāo)準(zhǔn)，類似于ISO9000系列中的ISO9001，各類組織可以按照ISO27001的要求建立自己的信息安全管理體系（ISMS），并通過認(rèn)證咨詢。

ISO/IEC27000（Informationsecuritymanagementsystemfundamentalsandvocabulary信息安全管理體系基礎(chǔ)和術(shù)語），屬于A類標(biāo)準(zhǔn)。ISO/IEC27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語及基本原則，是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。ISMS標(biāo)準(zhǔn)族中的每個標(biāo)準(zhǔn)都有“術(shù)語和定義”部分，但不同標(biāo)準(zhǔn)的術(shù)語間往往缺乏協(xié)調(diào)性，而ISO/IEC27000則主要用于實現(xiàn)這種協(xié)調(diào)。

ISO/IEC27000目前處于WD（工作組草案）階段，正在SC27內(nèi)研究并征求意見。

這兩者之間還是有區(qū)別的，他們都屬于ISO27000系列標(biāo)準(zhǔn),但內(nèi)容是不一樣，其中ISO27000是信息安全管理體系原理和術(shù)語，而ISO27001是信息安全管理體系要求。

ISO 20000-1:2005相對于傳統(tǒng)的IT管理，更加強(qiáng)調(diào)客戶的需求及其實現(xiàn)，并將IT服務(wù)的預(yù)算和核算引入IT服務(wù)管理，將認(rèn)證老師管理和服務(wù)管理有機(jī)的結(jié)合起來，促進(jìn)IT服務(wù)的改進(jìn)和提高。 ISO20000是由BS15000的最初的文本部分進(jìn)行少許的升級而成的。其中術(shù)語“BS15000”已被“ISO20000”所替代；術(shù)語“服務(wù)組織”由“服務(wù)提供商”所替代；術(shù)語“第三方”被“供應(yīng)商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術(shù)語而被接受。 從整體來說，ITIL關(guān)注的10個核心服務(wù)管理流程，而ISO20000不僅僅有對服務(wù)管理流程的要求，還增加了關(guān)于服務(wù)管理體系整體的要求，比如管理層承諾、服務(wù)目標(biāo)和持續(xù)改進(jìn)等。 ISO20000定義了服務(wù)管理的一系列目標(biāo)和控制點，但沒有告訴組織實現(xiàn)這些目標(biāo)的方法和途徑，ITIL作為IT服務(wù)管理行業(yè)的最佳實踐，給出了實現(xiàn)這些目標(biāo)的方法和途徑。 ISO20000和ITIL的核心都是服務(wù)管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業(yè)務(wù)關(guān)系管理（Business relationship Management）與供應(yīng)商管理（Supplier Management）和服務(wù)報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。 ISO20000與ISO27001的區(qū)別于聯(lián)系 ISO20000在服務(wù)提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務(wù)的管理，然而，在專注點和適用范圍上有著很大的不同： ISO20000以流程為核心，定義了一系列比較抽象的流程目標(biāo)，而ISO27001以控制點/控制措施為主，比較具體； 兩套體系規(guī)范的側(cè)重點有所不同，ISO20000是面向IT服務(wù)管理的質(zhì)量體系標(biāo)準(zhǔn)，而ISO27001是面向信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范，ISO20000強(qiáng)調(diào)以流程的方式達(dá)到質(zhì)量管理標(biāo)準(zhǔn)，ISO27001強(qiáng)調(diào)以風(fēng)險控制點的方式來達(dá)到信息安全管理的目的； 兩套體系規(guī)范存在著許多的共性特征，如：事件管理、業(yè)務(wù)連續(xù)性管理、信息資產(chǎn)管理等方面，大多數(shù)的企業(yè)都會選擇將ISO20000與ISO27001認(rèn)證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發(fā)揮，更全面適用范圍不一樣 - ISO20000適用于企業(yè)的IT服務(wù)部門，通常是IT部門 - ISO27001適用于整個企業(yè)，不僅僅是IT部門，還包括業(yè)務(wù)部門、認(rèn)證老師、人事等部門。

ISO 20000-1:2005相對于傳統(tǒng)的IT管理，更加強(qiáng)調(diào)客戶的需求及其實現(xiàn)，并將IT服務(wù)的預(yù)算和核算引入IT服務(wù)管理，將認(rèn)證老師管理和服務(wù)管理有機(jī)的結(jié)合起來，促進(jìn)IT服務(wù)的改進(jìn)和提高。 ISO20000是由BS15000的最初的文本部分進(jìn)行少許的升級而成的。其中術(shù)語“BS15000”已被“ISO20000”所替代；術(shù)語“服務(wù)組織”由“服務(wù)提供商”所替代；術(shù)語“第三方”被“供應(yīng)商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術(shù)語而被接受。 從整體來說，ITIL關(guān)注的10個核心服務(wù)管理流程，而ISO20000不僅僅有對服務(wù)管理流程的要求，還增加了關(guān)于服務(wù)管理體系整體的要求，比如管理層承諾、服務(wù)目標(biāo)和持續(xù)改進(jìn)等。 ISO20000定義了服務(wù)管理的一系列目標(biāo)和控制點，但沒有告訴組織實現(xiàn)這些目標(biāo)的方法和途徑，ITIL作為IT服務(wù)管理行業(yè)的最佳實踐，給出了實現(xiàn)這些目標(biāo)的方法和途徑。 ISO20000和ITIL的核心都是服務(wù)管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業(yè)務(wù)關(guān)系管理（Business relationship Management）與供應(yīng)商管理（Supplier Management）和服務(wù)報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。 ISO20000與ISO27001的區(qū)別于聯(lián)系 ISO20000在服務(wù)提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務(wù)的管理，然而，在專注點和適用范圍上有著很大的不同： ISO20000以流程為核心，定義了一系列比較抽象的流程目標(biāo)，而ISO27001以控制點/控制措施為主，比較具體； 兩套體系規(guī)范的側(cè)重點有所不同，ISO20000是面向IT服務(wù)管理的質(zhì)量體系標(biāo)準(zhǔn)，而ISO27001是面向信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范，ISO20000強(qiáng)調(diào)以流程的方式達(dá)到質(zhì)量管理標(biāo)準(zhǔn)，ISO27001強(qiáng)調(diào)以風(fēng)險控制點的方式來達(dá)到信息安全管理的目的； 兩套體系規(guī)范存在著許多的共性特征，如：事件管理、業(yè)務(wù)連續(xù)性管理、信息資產(chǎn)管理等方面，大多數(shù)的企業(yè)都會選擇將ISO20000與ISO27001認(rèn)證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發(fā)揮，更全面適用范圍不一樣 - ISO20000適用于企業(yè)的IT服務(wù)部門，通常是IT部門 - ISO27001適用于整個企業(yè)，不僅僅是IT部門，還包括業(yè)務(wù)部門、認(rèn)證老師、人事等部門。

ISO 20000-1:2005相對于傳統(tǒng)的IT管理，更加強(qiáng)調(diào)客戶的需求及其實現(xiàn)，并將IT服務(wù)的預(yù)算和核算引入IT服務(wù)管理，將認(rèn)證老師管理和服務(wù)管理有機(jī)的結(jié)合起來，促進(jìn)IT服務(wù)的改進(jìn)和提高。 ISO20000是由BS15000的最初的文本部分進(jìn)行少許的升級而成的。其中術(shù)語“BS15000”已被“ISO20000”所替代；術(shù)語“服務(wù)組織”由“服務(wù)提供商”所替代；術(shù)語“第三方”被“供應(yīng)商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術(shù)語而被接受。 從整體來說，ITIL關(guān)注的10個核心服務(wù)管理流程，而ISO20000不僅僅有對服務(wù)管理流程的要求，還增加了關(guān)于服務(wù)管理體系整體的要求，比如管理層承諾、服務(wù)目標(biāo)和持續(xù)改進(jìn)等。 ISO20000定義了服務(wù)管理的一系列目標(biāo)和控制點，但沒有告訴組織實現(xiàn)這些目標(biāo)的方法和途徑，ITIL作為IT服務(wù)管理行業(yè)的最佳實踐，給出了實現(xiàn)這些目標(biāo)的方法和途徑。 ISO20000和ITIL的核心都是服務(wù)管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業(yè)務(wù)關(guān)系管理（Business relationship Management）與供應(yīng)商管理（Supplier Management）和服務(wù)報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。 ISO20000與ISO27001的區(qū)別于聯(lián)系 ISO20000在服務(wù)提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務(wù)的管理，然而，在專注點和適用范圍上有著很大的不同： ISO20000以流程為核心，定義了一系列比較抽象的流程目標(biāo)，而ISO27001以控制點/控制措施為主，比較具體； 兩套體系規(guī)范的側(cè)重點有所不同，ISO20000是面向IT服務(wù)管理的質(zhì)量體系標(biāo)準(zhǔn)，而ISO27001是面向信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范，ISO20000強(qiáng)調(diào)以流程的方式達(dá)到質(zhì)量管理標(biāo)準(zhǔn)，ISO27001強(qiáng)調(diào)以風(fēng)險控制點的方式來達(dá)到信息安全管理的目的； 兩套體系規(guī)范存在著許多的共性特征，如：事件管理、業(yè)務(wù)連續(xù)性管理、信息資產(chǎn)管理等方面，大多數(shù)的企業(yè)都會選擇將ISO20000與ISO27001認(rèn)證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發(fā)揮，更全面適用范圍不一樣 - ISO20000適用于企業(yè)的IT服務(wù)部門，通常是IT部門 - ISO27001適用于整個企業(yè)，不僅僅是IT部門，還包括業(yè)務(wù)部門、認(rèn)證老師、人事等部門。

1 目的

通過知識管理，對公司研發(fā)，iso認(rèn)證，工藝，制造，質(zhì)量控制等過程獲得最佳做法進(jìn)行識別，形成iso三體系認(rèn)證，定期評審確認(rèn)，并進(jìn)行有效應(yīng)用和保護(hù)，從而改進(jìn)和提升公司研發(fā)，iso認(rèn)證，工藝，制造，質(zhì)量控制等諸方面的水平，達(dá)到最佳的過程效率，iso三體系認(rèn)證質(zhì)量，成本和交期的績效。

2 范圍

本辦法使用于公司知識管理過程

3術(shù)語和定義

本辦法采用GB/T 19000-2008/ISO 9001:2008 標(biāo)準(zhǔn)中的術(shù)語，定義和國際鐵路行業(yè)標(biāo)準(zhǔn)（IRIS）中鐵路行業(yè)術(shù)語和定義（附錄5）縮略語(附錄6)以及下述術(shù)語和定義。

本文從網(wǎng)絡(luò)收集而來，上傳到平臺為了幫到更多的人，如果您需要使用本文檔，請點擊下載，另外祝您生活愉快，工作順利，萬事如意！

ISO標(biāo)準(zhǔn)基本框架高層次結(jié)構(gòu)

引言

起草指南 對應(yīng)具體的領(lǐng)域。

1．范圍

起草指南 對應(yīng)具體的領(lǐng)域。

2．規(guī)范性引用iso三體系認(rèn)證

起草指南應(yīng)使用本條款標(biāo)題。對應(yīng)具體的領(lǐng)域。

3．術(shù)語和定義

起草指南1應(yīng)使用本條款標(biāo)題。術(shù)語和定義可能在同一個標(biāo)準(zhǔn)中也有可能在單獨iso三體系認(rèn)證中。參考通用術(shù)語和核心定義＋特定管理體系標(biāo)準(zhǔn)領(lǐng)域的術(shù)語和定義。術(shù)語和定義的安排應(yīng)與每個管理體系標(biāo)準(zhǔn)相適應(yīng)。

支持指南2如下術(shù)語和定義是管理體系標(biāo)準(zhǔn)“通用版本”的必不可少的一部分。需要時，可以增加術(shù)語和定義。注解的增加和修改為標(biāo)準(zhǔn)的目的服務(wù)。

支持指南3定義中的斜體字部分指的是參考該條款的另一個術(shù)語。術(shù)語的參考號在括號中列出。

支持指南4在iso三體系認(rèn)證中xxx貫穿于整個條款，按照術(shù)語和定義發(fā)熱應(yīng)用環(huán)境，插入適宜的內(nèi)容。如：“xxx目標(biāo)”可以用“信息安全目標(biāo)”來啊代替。

3.01組織：

具有自身的職責(zé)、權(quán)限和相互關(guān)系等功能，能實現(xiàn)其目標(biāo)（
3.08）的個人和群體。

注1：組織的概念包括但不限于獨資經(jīng)營者、公司、集團(tuán)公司、商行、企事業(yè)單位、單位機(jī)構(gòu)、合營公司、慈善機(jī)構(gòu)、社會事業(yè)機(jī)構(gòu)，或上述組織的部分或結(jié)合體，無論是否具有法人資格，公營或私營。注3：管理體系的范圍可能包括整體組織、組織特定的和確定的職能的部門、或一群組織的一個

1、這兩個章節(jié)所列出的iso三體系認(rèn)證分別表示什么意思？1）標(biāo)準(zhǔn)引用iso三體系認(rèn)證表示的是引用iso三體系認(rèn)證GB/T27000-2006](即 idt ISO/IEC 17000:2004)《合格評定、詞匯和通用原則》中規(guī)定的標(biāo)準(zhǔn)。2）定義和術(shù)語包括兩個方面，首先是其它GB/T27000系列單位標(biāo)準(zhǔn)所定義的適用于合格評定的特定領(lǐng)域的術(shù)語（或定義），其次是國際通用計量學(xué)基本術(shù)語(VIM)或GB/T19000-2000所定義的可通用于合格評定領(lǐng)域的術(shù)語。==========
2、GB/T27001-27005標(biāo)準(zhǔn)所引用的iso三體系認(rèn)證為什么一會兒是 國標(biāo)GB/T27000，一會兒是ISO/IEC 17000； 因為ISO/IEC 17000:2004《合格評定.詞匯和一般原則》 等同采用的國標(biāo)為：GB/T27000-2006 合格評定 詞匯和通用原則。 等同采用的意思是指：技術(shù)內(nèi)容完全一樣，不作或稍作編輯性修改，不改變標(biāo)準(zhǔn)內(nèi)容既俗稱“換封面”，一般用“三”或"idt"表示。==========
3、在定義和術(shù)語中已經(jīng)明確說明了GB/T27000給出的術(shù)語和定義適用于本標(biāo)準(zhǔn)。還需要在引用iso三體系認(rèn)證中列出嗎？ 建議在所編寫的iso質(zhì)量體系證書前面作一個總的說明：本iso質(zhì)量體系證書中所用的術(shù)語和定義適用于GB/T27000-2006](即 idt ISO/IEC 17000:2004)《合格評定、詞匯和通用原則》中的術(shù)語和定義。

ISO 20000-1:2005相對于傳統(tǒng)的IT管理，更加強(qiáng)調(diào)客戶的需求及其實現(xiàn)，并將IT服務(wù)的預(yù)算和核算引入IT服務(wù)管理，將認(rèn)證老師管理和服務(wù)管理有機(jī)的結(jié)合起來，促進(jìn)IT服務(wù)的改進(jìn)和提高。

ISO20000是由BS15000的最初的文本部分進(jìn)行少許的升級而成的。其中術(shù)語“BS15000”已被“ISO20000”所替代；術(shù)語“服務(wù)組織”由“服務(wù)提供商”所替代；術(shù)語“第三方”被“供應(yīng)商”或“外部”所替代；對“文檔”與“記錄”的定義由于影響ISO術(shù)語而被接受。

從整體來說，ITIL關(guān)注的10個核心服務(wù)管理流程，而ISO20000不僅僅有對服務(wù)管理流程的要求，還增加了關(guān)于服務(wù)管理體系整體的要求，比如管理層承諾、服務(wù)目標(biāo)和持續(xù)改進(jìn)等。

ISO20000定義了服務(wù)管理的一系列目標(biāo)和控制點，但沒有告訴組織實現(xiàn)這些目標(biāo)的方法和途徑，ITIL作為IT服務(wù)管理行業(yè)的最佳實踐，給出了實現(xiàn)這些目標(biāo)的方法和途徑。

ISO20000和ITIL的核心都是服務(wù)管理流程，但兩者的流程不盡相同。ISO20000主要基于ITIL v2的10個核心流程，并添加業(yè)務(wù)關(guān)系管理（Business relationship Management）與供應(yīng)商管理（Supplier Management）和服務(wù)報告（Service Reporting）三個新流程。而這三個流程在ITIL v3中也作為獨立的流程有專門的論述。

ISO20000與ISO27001的區(qū)別于聯(lián)系

ISO20000在服務(wù)提供過程的“信息安全管理”部分中包括有對信息安全的要求。盡管兩者都專注于IT服務(wù)的管理，然而，在專注點和適用范圍上有著很大的不同：

ISO20000以流程為核心，定義了一系列比較抽象的流程目標(biāo)，而ISO27001以控制點/控制措施為主，比較具體；

兩套體系規(guī)范的側(cè)重點有所不同，ISO20000是面向IT服務(wù)管理的質(zhì)量體系標(biāo)準(zhǔn)，而ISO27001是面向信息安全的質(zhì)量標(biāo)準(zhǔn)規(guī)范，ISO20000強(qiáng)調(diào)以流程的方式達(dá)到質(zhì)量管理標(biāo)準(zhǔn)，ISO27001強(qiáng)調(diào)以風(fēng)險控制點的方式來達(dá)到信息安全管理的目的；

兩套體系規(guī)范存在著許多的共性特征，如：事件管理、業(yè)務(wù)連續(xù)性管理、信息資產(chǎn)管理等方面，大多數(shù)的企業(yè)都會選擇將ISO20000與ISO27001認(rèn)證咨詢項目一同實施，使兩套體系間的互補特性得到充分的發(fā)揮，更全面適用范圍不一樣 - ISO20000適用于企業(yè)的IT服務(wù)部門，通常是IT部門 - ISO27001適用于整個企業(yè)，不僅僅是IT部門，還包括業(yè)務(wù)部門、認(rèn)證老師、人事等部門。

第四條 本要求除采用GB/T 19000《質(zhì)量管理體系 基礎(chǔ)和術(shù)語》的術(shù)語和定義以外，還采用以下術(shù)語和定義：