ISO22301适用于所有行业中的大、中、小型公有及私有组织,并且特别适用于处于高风险和高度监管环境下的行业,例如金融业、IT通信业、制造业等。各行各业的企业面对国际及中国地区不断频发地自然灾害及人为事故,其业务运作的不确定性和风险都被大幅度增加,而加强企业业务连续性管理则成为了打造最佳企业应急预案的必备选择
遇到突发事件和危机时,制定业务连续性计划的;业所具有的优势。对于在 制定了计划的企业,82% 表示 BCM 有效帮助企业快速恢复了正常运营,同时 81% 表示 BCM 有助 
通常来说,业务持续计划和灾难恢复计划两个术语可互换使用,但两者实际上有本质上的不同.业务持续计划的作用在于确保一个组织的主要业务流程,营运服务,以及IT服务能够得到连续性处理.IT灾难恢复尽管只是业务持续计划的一个重要组成部份,但是组织必须对可能出现的灾难事件进行预先的评估和准备.
在一个突发事件中,公司的主要业务,服务流程,设备,人员等因素都有着各自的持续性要求.公司的IT部门和其他职能部门必须相互配合工作,不仅仅体现在业务持续的计划中,更需要在具体的实施过程中得到实现.
ISO20000 与 ISO9000 的 实用范畴 不同: ISO20000 只针对 IT 服务管理 ,在 IT 服务提供商和信息化程度较高的单位中应用较多;而 ISO9000 适用 各行业的质量标准 ,在制造单位应用得最多。
ISO20000 与 ISO9000 的 侧重点 不同: ISO20000 与 IT 服务流程相关,其流程的名称和控制采用的 IT 经理容易接受的术语,对 IT 系统变更的风险进行管理;而 ISO9000 与质量框架相联系。
ISO 20000家族由两部分组成:第一
ISO 20000是由英国标准BS 15000演变而来的,是全球认可的信息技术服务管理标准,符合英国商务部(OGC)在ITIL(IT基础设施库)中定义的流程方法。ISO 20000的设计旨在使任何单位的内部或外包的IT基础设施保持一致,以使员工和客户受益。该标准基于13个关键流程,这些流程涉及服务报告、IT服务预算和会计、信息安全、供应商、事件和变更管理等方面,用以保证有效实现IT服务整体管理的最终目标。
ISO/IEC20000 体系介绍
ISO/IEC 200
【什么是ISO20000认证】
ISO20000 是第一部针对信息技术服务管理(IT Service Management) 领域的国际标准,也是一套有关如何采用流程方法有效地提供服务以满足客户业务需求的方法。
作为认证组织的IT运营和服务管理水平的国际标准,ISO20000具体规定 了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程 以及过程建立的相关要求,帮助识别和管理IT 服务的关键过程,保证提供 有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理
目前国家认监委针对ISO20000的认证机构没有明确的资质要求,主要由于ISO20000的国内标准才颁布不久,相应的制度还未完全完善。
n 考虑到证书的长期有效积政策后瞻,鉴于国家认监委对ISO27001的认证机构要求来选择ISO20000的认证机构是比较合理的选择,可最大程度避免法律风险。
ISO20000的认证机构可以主要从以下几家认证机构来选择:DNV、ISCCC、BVQI等。
下面主要介绍这三家认证机构的情况作为参考。
1:DNV-挪威船级社
机构简介:
DNV
第一阶段.准备
1) 明确认证的意义;
2) 确定IT服务管理认证范围;
3) 确立愿景,决定服务管理改进的方面与改进的顺序;
4) 明确认证活动的参与方面,确定各方所期望的收益;
5) 全面地理解认证的内容,明确认证活动对个人和对组织的影响;
6) 获取信息:与相似规模、职能的组织交流经验,相关论坛和用户组织咨询
7) 获得高层管理者的支持;
8) 获得ITIL、ISO 20000的知识和文档;
9) 选定一家认证机构,确认审核的范围。
第一阶段:现状调研
从日常运维、管理机制、系统配置等方面对公司信息安全管理安全现状进行调研,通过培训使贵公司相关人员全面了解信息安全管理的基本知识。包括:
· 项目启动:前期沟通,实施计划,项目小组,资源支持,启动会议。
· 前期培训:信息安全管理基础,风险评估方法。
· 现状评估:初步了解信息安全现状,分析与ISO27001标准要求的差距。
· 业务分析:访谈调查,核心与支持业务,业务对资源的需求,业务影响分析。
第二阶段:风险评估
截止到2012年8月,国内经过认监委备案的ISO27001信息安全管理体系认证机构有14家,名单及备案号如下:
序号
1. 中国质量认证中心
CNCA-R-2002-001
2上海质量体系审核中心
CNCA-R-2002-003
3中国船级社质量认证公司
CNCA-R-2002-005
4中国新时代认证中心
CNCA-R-2002-008
5北京赛西认证有限责任公司
CNCA-R-2002-011
6广州赛宝认证中心服务有限
适用于各种类型、规模和特性的组织(例如:商业企业、政府机构、非盈利组织等),规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。以下示例说明了风险的不同类别。
一、适用于所有组织的特定风险类别:
l 1)工资、养老金、健康与安全、组织档案、内部和部门间的信息等;
l 2)任何其他与个人有关的可识别信息;
l 3)任何其他商业敏感/关键信息,例如,研发信息、设计信息、客户组织详细信息、财务结果
4)与预测、商业计划、知识产权、制造
现版的信息安全管理体系ISO27001:2005标准已经使用了8年,日前ISO组织(国际标准化组织)终于将新版ISO27001:2013DIS版(国际标准草案Draft International Standard)草稿向公众开放并征求意见,预计在今年6-7月会发布DIS最终版。ISO组织公布的正式版本的颁布时间为 2013年10月19日
改版影响
在新版公布后的18至24个月内是认证转换缓冲期,即原有已取得ISO27001证书的企业最迟需要在2015年10月19日前转换到新版标准。
1
信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分: BS7799-1,信息安全管理实施规则 BS7799-2,信息安全管理体系规范。 第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求
信 
1、ISO14064-l:2006《温室气体-第一部分:在组织层面温室气体排放和移除的量化和报告指南性规范》
第一部分详细规定了设计,开发,管理和报告的组织或公司GHG清单的原则和要求。它包括确定温室气体排放限值,量化组织的温室气体排放,清除并确定公司改进温室气体管理具体措施或活动等要求。同时,标准还具体规定了有关部门温室气体清单的质量管理、报告、内审及机构验证责任等方面的要求和指南
2、ISO14064-2:2006《温室气体-第二部分:项目的温室气体排放和削减的量化、监测和报告规 