ISO信息技术最新标准目录

信息技术-安全技术 信息安全管理体系实施指南 (Information technology — Security techniqes — Information security management system implementation guidance)（ISO/IEC CD 27003）(2009-12-29 )目录1 范围 (6)2 引用的标准文件 (6)3 术语和定义 (6)4 本标准的结构 (6)4.1 总则 (6)4.2 图表 (7)4.2.1 图形符号 (7)4.2.2 部署与图表 (9)4.3 ISMS实施总图 (9)4.4 总说明 (10)4.4.1 实施考虑事项 (10)4.4.2 中小企业(SME)的考虑事项 (11)5 获得管理者对实施ISMS的正式批准 (12)5.1 管理者对实施ISMS正式批准的概要 (12)5.2 定义ISMS的目标、信息安全需要和业务要求 (14)5.3 定义最初的ISMS范围 (16)5.3.1 ISMS范围的概要 (16)5.3.2 角色和责任的定义 (16)5.4 创建业务框架与项目启动计划 (18)5.5 获得管理者对实施ISMS的正式批准和承诺 (19)6 定义ISMS范围和ISMS方针 (22)6.1定义ISMS范围和ISMS方针的概要 (22)6.2 定义组织的边界 (24)6.3 定义信息通信技术边界 (25)6.4 定义物理边界 (25)6.5 完成ISMS范围边界 (26)6.6 开发ISMS方针 (27)7进行业务分析 (29)7.1 业务分析的概要......................................错误！未定义书签。

7.2 定义支持ISMS的信息安全要求.........................错误！未定义书签。

7.3 创建信息资产清单....................................错误！未定义书签。

iso20001信息技术服务管理体系
ISO 20000-1是国际标准化组织（ISO）制定的信息技术服务管理体系的标准。

该标准旨在帮助组织建立和维护高质量的信息技术服务管理体系，以确保其有效地满足客户需求和提供持续改进。

ISO 20000-1标准涵盖以下关键领域：
1. 服务管理系统的建立：组织需要建立一个适用于其信息技术服务管理的服务管理体系，包括定义服务目标、策略和流程。

2. 服务执行和交付：组织需要确保其服务执行和交付过程符合客户需求和合同要求，包括服务协议、服务目录和服务水平协议的制定和实施。

3. 服务管理的支持过程：组织需要建立和维护一些关键的支持过程，包括配置管理、变更管理、问题管理和持续改进等。

4. 服务交付过程的管理：组织需要建立一些关键的管理过程，以确保服务交付的可持续性和效率，如服务需求管理、供应商管理和服务预算管理等。

通过实施ISO 20000-1信息技术服务管理体系，组织可以有效地提升其服务质量和客户满意度，减少服务故障和中断，提高运营效率，并为持续改进提供框架
和方法。

此外，ISO 20000-1认证也可以为组织提供国际认可，增强其竞争力和业务机会。

目录前言 (3)0 引言 (4)0.1 总则 (4)0.2 与其他管理系统标准的兼容性 (4)1. 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织景况 (5)4.1 了解组织及其景况 (5)4.2 了解相关利益方的需求和期望 (5)4.3 确立信息安全管理体系的范围 (6)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织的角色，职责和权限 (7)6. 计划 (7)6.1 应对风险和机遇的行为 (7)6.2 信息安全目标及达成目标的计划 (9)7 支持 (9)7.1 资源 (9)7.2 权限 (9)7.3 意识 (10)7.4 沟通 (10)7.5 记录信息 (10)8 操作 (11)8.1 操作的计划和控制措施 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 性能评价 (12)9.1监测、测量、分析和评价 (12)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A(规范)参考控制目标和控制措施 (15)参考文献 (28)前言0 引言0.1 总则本标准提供建立、实施、保持和持续改进信息安全管理体系的要求。

采用信息安全管理体系是组织的一项战略性决策。

组织信息安全管理体系的建立和实施受组织的需要和目标、安全要求、所采用的过程、规模和结构的影响。

所有这些影响因素可能随时间发生变化。

信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性，并给相关方建立风险得到充分管理的信心。

重要的是，信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中，并且在过程、信息系统和控制措施的设计中要考虑到信息安全。

信息安全管理体系的实施要与组织的需要相符合。

本标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求。

目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款目 录1. 前言2. ISO IEC20000-2018与旧版的主要变化3. ISO IEC20000-2018标准条款ISO/IEC 20000是一个针对管理流程系统的标准，ISO/IEC 20000的认证适合IT服务的提供者，可以内部的IT部门，也可以是外部的服务提供商。

获取ISO/IEC 20000的认证，意味着提供服务的IT组织，对ISO/IEC 20000中定义的这些管理流程，具有足够好的管理控制力。

这里所谓对流程的管理控制力包括：·对流程输入的了解和控制·对流程输出的了解、使用和诠释·制定和执行对流程效能的衡量机制·有客观的证据表明，对流程的功能负责，使之符合ISO 20000标准要求·制定流程的改进提高计划，衡量和回顾改进结果IT服务组织要获得ISO/IEC 20000的认证，必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。

ISO/IEC 20000系列对流程的最佳实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程最佳实践要求并不会因为组织形式不同而被改变。

企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。

在实施认证ISO20000管理体系后，在各个流程中，各个工作岗位上都建立了一个自我完善的循环，工作的策划、执行、检查，以及持续的发现问题改善问题的体系建立起来，使每个员工都拥有问题意识，自觉的发现自己工作当中的问题，并通过系统的解决问题的方法，将问题一个一个的解决。

IT服务提供商通过实施IT服务管理体系，可以获取如下收益：·保持服务目标与企业业务目标一致，有效的支持业务战略·建立规范的服务流程，提高信息技术服务和运营效率·有效及高效地整合和利用信息、基础架构、应用及人员等IT资源·建立持续改进的服务管理机制，快速应对市场需求，提供客户满意度·向国际标杆靠齐，增强市场竞争力，提高组织声誉，提升投资回报·控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本·灵活应对来自客户、认证机构、内部机构等不同的审核要求，增加投资者信心ISO20000 与 ISO9000 的实用范畴不同： ISO20000 只针对 IT 服务管理，在 IT 服务提供商和政府及企业的IT部门应用较多；而 ISO9000 适用各行业的质量标准，在制造企业应用得最多。

国际标准 ISO/IEC 27001第二版 2013-10-01中文翻译版 第0.1版 2013-10-17参考号ISO/IEC 27001:2013（E ）©ISO /IEC 2013信息技术——安全技术——信息安全管理体系——要求受版权保护的文档©ISO/IEC 2013保留所有权利。

除非另有说明，未经事先书面许可，不得通过任何形式或手段进行复制或利用本出版物的任何部分内容，包括电子、机械、影印，或张贴在互联网或企业内部网上。

可通过下面所列的ISO组织地址或ISO成员机构获得许可。

ISO版权办公室Case postale 56 • CH-1211 Geneva 20电话：+ 41 22 749 01 11传真：+ 41 22 749 09 47电子信箱：copyright@网址：瑞士出版翻译说明继ISO/IEC 27000系列文件于2005年发布之后，历经8年的时间，ISO组织终于在日前发布了2013新版。

关注ISO/IEC 27000系列国际标准的读者可以学习并参阅该标准。

为了便于国内读者的阅读和使用，笔者团队利用业余时间自行翻译了本中文版本。

因团队水平有限，其中错误和遗漏之处在所难免。

欢迎各位安全界同仁批评指正。

声明：若因阅读、使用本文而给读者造成的任何形式的损失，本团队不承担任何责任。

本中文版文件的著作权归本团队所有。

本文仅供网上阅读学习之用，亦可通过电子文件复制的方式进行传播。

未经授权，不得用于任何商业目的。

翻译团队：齐芳邮箱：qifang@陆辉邮箱：luhui@刘凯邮箱：liukai@蔡昆邮箱：caikun@贡献者:付峥邮箱：fuzheng@徐特邮箱：xute@目录0介绍............................................................................... x xxv 1范围. (1)2规范性引用 (1)3术语与定义 (1)4组织的环境 (1)4.1理解组织及环境 (1)4.2理解相关方的需求和期望 (1)4.3明确信息安全管理体系的范围 (1)4.4信息安全管理体系 (2)5领导 (2)5.1领导与承诺 (2)5.2方针 (2)5.3组织角色、职责和权力 (2)6计划 (3)6.1处置风险和机遇的活动 (3)6.2信息安全目标和实施计划 (4)7支持 (5)7.1资源 (5)7.2能力 (5)7.3意识 (5)7.4沟通 (5)7.5文档信息 (5)8操作 (6)8.1操作规划和控制 (6)8.2信息安全风险评估 (7)8.3信息安全风险处置 (7)9绩效评价 (7)9.1监测、测量、分析和评价 (7)9.2内部审核 (7)9.3管理评审 (8)10改进 (8)10.1不符合情况和改正措施 (8)10.2持续改进 (9)附录A（引用）参考控制目标和控制措施 (10)参考书目 (20)前言国际标准化组织（ISO）是由各国标准化团体（ISO成员团体）组成的世界性的联合会。

ISO/IEC20000-1-2018信息技术服务管理第1部分-服务管理体系新版要求2018-09-15 发布2018-09-15 实施目录前言 (i)引言 (iii)信息技术服务管理第一部分服务管理体系要求 (1)1 范围 (1)1.1 总则 (1)1.2 应用 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1有关管理系统标准的术语 (2)3.1.1 审计审核 (2)3.1.2能力 competence (2)3.1.3符合（合格） conformity (2)3.1.4持续改进 continual improvement (2)3.1.5纠正措施 corrective action (2)3.1.6成文信息 documented information (2)3.1.7有效性effectiveness (2)3.1.8相关方interested party (3)3.1.9管理体系 management system (3)3.1.10测量measurement (3)3.1.11监视 monitoring (3)3.1.12不符合nonconformity (3)3.1.13目标 objective (3)3.1.14组织organization (3)3.1.15外包 outsource, verb (4)3.1.16绩效performance (4)3.1.17方针 policy (4)3.1.18过程 process (4)3.1.19要求requirement (4)3.1.20风险 risk (4)3.1.21最高管理者 top management (5)3.2有关服务管理的术语 (5)3.2.1资产 asset (5)3.2.2配置项configuration item (5)3.2.3客户 customer (5)3.2.4外部供应商 external supplier (5)3.2.5事件 incident (5)3.2.6信息安全 information security (5)3.2.7信息安全事件 information security incident (6)3.2.8内部供应商internal supplier (6)3.2.9已知错误 known error (6)3.2.10问题 problem (6)23.2.11程序 procedure (6)3.2.12记录 record, noun (6)3.2.13发布 release, noun (6)3.2.14变更请求 request for change (6)3.2.15服务 service (6)3.2.16服务可用性service availability (7)3.2.17服务目录 service catalogue (7)3.2.18服务组件 service component (7)3.2.19服务连续性service continuity (7)3.2.20服务级别协议 service level agreement SLA (7)3.2.21服务级别目标 service level target (7)3.2.22服务管理 service management (7)3.2.23服务管理体系 service management system SMS (7)3.2.24服务提供者service provider (7)3.2.25服务请求 service request (8)3.2.26服务要求 service requirement (8)3.2.27转换 transition (8)3.2.28用户 user (8)3.2.29价值 value (8)4 组织环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定服务管理体系范围 (8)4.4服务管理体系 (9)5 领导 (9)5.1领导和承诺 (9)5.2 方针 (9)5.1.1制定服务管理方针 (9)5.1.2沟通服务管理方针 (9)5.3 组织的角色，责任和权限 (9)6 策划 (10)6.1应对风险和机遇的措施 (10)6.2服务管理目标及其实现策划 (10)6.2.1 制定目标 (10)6.2.2策划实现目标 (10)6.3策划服务管理体系 (11)7 支持 (11)7.1 资源 (11)7.2 能力 (11)7.3 意识 (11)7.4 沟通 (12)7.5 成文信息 (12)7.5.1 总则 (12)7.5.2创建和更新 (12)。

最新的ISO IEC20000-1-2018信息技术服务管理体系管理手册和程序文件文件编号：修订状态：A/0服务管理体系手册文件版本：A受控状态：受控发布实施日期：2020-03-26密级：内部公开XXXX有限公司0概述0.1手册管理0.2发布令0.3公司简介0.4管理者代表任命书1范围1.1总则1.2应用2规范性引用文件3术语和定义3.1有关管理系统标准的术语4组织环境4.1理解组织及其环境4.2理解相关方的需求和期望4.3确定服务管理体系范围4.4服务管理体系5领导作者：李柏伦翻版必5.1领导和承诺5.2方针5.1.1制定服务管理方针5.1.2沟通服务管理方针5.3组织的角色，责任和权限6策划6.1应对风险和机遇的措施6.2服务管理目标及其实现策划6.2.1制定目标6.2.2策划实现目标6.3策划服务管理体系7支持作者：李柏伦翻版盗7.1资源7.2能力7.3意识7.4沟通7.5成文信息7.5.1总则7.5.2创建和更新7.5.3成文信息的控制7.5.4服务管理系统成文信息7.6知识8运行8.1运行策划和控制8.2服务组合8.2.1服务交付8.2.2策划服务8.2.3控制服务生命周期的相关方8.2.4服务目录管理8.2.5资产管理8.2.6配置管理8.3关系与协议8.3.1总则8.3.2业务关系管理8.3.3服务级别管理8.3.4供应商管理8.4供应与需求8.4.1服务预算与核算8.4.2需求管理8.4.3能力管理8.5服务设计、构建与转换8.5.1变更管理8.5.2服务设计与转换8.5.3发布与部署管理8.6解决与完成8.6.1事件管理8.6.2服务请求管理8.6.3问题管理8.7服务保障8.7.1服务可用性管理8.7.2服务连续性管理8.7.3信息安全管理9绩效评价219.1监视、测量、分析和评价9.2内部审核9.3管理评审9.4服务报告10改进10.1不符合及纠正措施10.2持续改进附件1：程序文件清单附件2：职责分配表附件3：组织架构图程序文件清单1《组织经营环境分析及相关方管理控制程序》2《风险和机遇的应对控制程序》3《服务管理体系策划控制程序》4《人力资源控制程序》5《信息沟通控制程序》6《成文信息控制程序》7《组织知识控制程序》8《运行策划及过程控制程序》9《服务交付控制程序》10《策划服务控制程序》11《业务连续性制程序》12《相关方控制程序》13《服务目录管理控制程序》14《配置管理控制程序》15《供应商管理控制程序》16《业务关系管理控制程序》17《服务级别管理控制程序》18《供应与需求管理控制程序》19《服务设计、构建与转换控制程序》20《变更控制程序》21《服务事件解决与完成控制程序》22《服务保障及信息安全控制程序》23《监视、测量、分析及评价控制程序》24《顾客满意度控制程序》25《内部审核控制程序》26《管理评审控制程序》27《服务报告控制程序》28《不符合及纠正措施控制程序》29《持续改进控制程序》30《记录控制程序》0.概述0.1手册管理a）本手册由管理者代表审核、总裁批准发布实施；b）本手册适用于XXXX所有与IT服务业务有关的部门和员工；c）本手册分为“受控”和“不受控”两类；d）“受控”版本是现行有效版本，随XX内外环境的变化而修订。

ISO2024 2024新版全套程序文件ISO2024新版全套程序文件在日益竞争激烈的市场环境中，企业需要不断提高产品质量和流程效率，以保持竞争优势。

为了满足这一需求，ISO2024标准在2024年进行了全面的修订和更新。

本文将详细介绍ISO2024新版全套程序文件，包括其背景、特点、实施步骤以及优势。

ISO2024是一个全球化标准，旨在协调和规范组织的管理体系。

这个标准由国际标准化组织（ISO）发布，并被广泛应用于各行各业。

在2024年，ISO2024进行了全面的修订，以反映现代管理的需求和最佳实践。

新版ISO2024全套程序文件包括以下主要内容：1、质量管理程序：该程序文件明确了组织在实施ISO2024过程中应遵循的质量管理原则和方法。

它强调了持续改进和顾客满意度的关键性，并提供了一个框架，用于策划、实施、监测、评审和改进组织的业务流程。

2、风险管理程序：该程序文件描述了组织如何识别、评估、控制和报告风险。

它提供了一个通用的风险管理框架，帮助组织识别潜在的风险，并采取适当的措施进行防范和管理。

3、绩效评估程序：该程序文件定义了组织应如何评估其业务流程的绩效。

它强调了组织需要建立可衡量的绩效指标，并定期进行监测和评审，以确保业务流程的有效性和效率。

4、人力资源管理程序：该程序文件关注组织的人力资源管理，包括员工培训、职业发展、薪酬福利等方面。

它强调了组织在人力资源方面的投入对于提高员工满意度和提升组织绩效的重要性。

5、沟通和协商程序：该程序文件描述了组织应如何进行有效的内部和外部沟通。

它强调了沟通在促进员工参与、顾客满意度和业务合作关系方面的作用，并提供了一个通用的沟通框架。

实施ISO2024新版全套程序文件可以帮助组织实现以下优势：1、提高业务流程的效率和有效性：通过实施ISO2024新版全套程序文件，组织可以优化业务流程，减少浪费和不必要的环节，从而提高运营效率和经济效益。

2、提高顾客满意度：ISO2024强调顾客满意度的重要性，通过实施新版全套程序文件，组织可以更好地满足顾客需求，提高顾客忠诚度和市场份额。

ISO/IEC 20000-1:2018新旧版变化ISO/IEC 20000-1:2018《信息技术服务管理第1部分：服务管理体系要求》已于2018年9月15日发布，距2011版正式发布已有7年。

修订后的标准更注重从战略角度出发，为组织及其客户提供优化的服务。

帮助组织响应不断增长的服务需求和适应不断变化的服务交付环境。

同时，根据我国认证认可规则，新版本标准发布后3年为转换期，即2021年9月之后，ISO/IEC 20000-1:2011证书将不再有效，已获证企业需要在此之前完成转版审核。

新版本ISO/IEC 20000-1:2018的变化方向是：采用高阶结构（High level stracture,HLS），与其他新版ISO管理体系标准（如ISO 9001:2015和ISO/IEC 27001:2013）采用的通用核心文本及定义相一致。

总体变化如下：1.思路变化与ISO/IEC20000-1：2011相比，本次修订的主要技术变化如下：（1）考虑到了关键服务管理趋势；（2）更加注重服务的策划以促进绩效提升；（3）更加注重领导力和战略，以确保为用户和客户提供更优的服务表现；（4）标准采用了高阶结构，与所有其他新的管理体系标准保持一致。

当然，新版本的变化还包括对服务策划和服务交付的要求，同时增加了知识管理、资产管理、需求管理。

因为采用高阶结构，所以也增加了通用要求，包括组织情境、管理风险和机会的措施。

新版标准更加注重管理活动和质量保证，大幅减少对过程和规程的设计和实施的要求。

包括多服务供应商服务环境下提供的生态系统，更加强调高质量服务管理，而非试图统一所有参与方的过程。

删除专注于提供服务的细节，并允许组织自由地满足要求。

2.架构变化ISO/IEC 20000-1:2018标准基于所有ISO管理体系标准的高阶结构（来自ISO/IEC Directives Part1的综合补充附件AnnexSL）进行了结构重组。

ISO/IEC 27001:2013(CN)国际标准ISO/IEC 27001第二版2013－10－19信息技术-安全技术 -信息安全管理体系 -要求Information technology- Security techniques -Information securitymanagement systems-Requirements目录1 范围 (5)2 规范性引用文件 (5)3 术语和定义 (5)4 组织环境 (5)4.1 理解组织及其环境 (5)4.2 理解相关方的需求和期望 (5)4.3 确定信息安全管理体系的范围 (5)4.4 信息安全管理体系 (6)5 领导 (6)5.1 领导和承诺 (6)5.2 方针 (6)5.3 组织角色、职责和权限 (7)6 规划 (7)6.1 应对风险和机会的措施 (7)6.1.1总则 (7)6.1.2信息安全风险评估 (7)6.1.3信息安全风险处置 (8)6.2 信息安全目标和规划实现 (8)7 支持 (9)7.1 资源 (9)7.2 能力 (9)7.3 意识 (9)7.4 沟通 (10)7.5 文件记录信息 (10)7.5.1总则 (10)7.5.2创建和更新 (10)7.5.3文件记录信息的控制 (10)8 运行 (11)8.1 运行的规划和控制 (11)8.2 信息安全风险评估 (11)8.3 信息安全风险处置 (11)9 绩效评价 (11)9.1 监视、测量、分析和评价 (11)9.2 内部审核 (12)9.3 管理评审 (12)10 改进 (13)10.1 不符合和纠正措施 (13)10.2 持续改进 (14)附录A（规范性附录）参考控制目标和控制措施 (15)参考文献 (23)ISO（国际标准化组织）和 IEC（国际电工委员会）是为国际标准化制定专门体制的国际组织。

国家机构是 ISO或IEC的成员，他们通过各自的组织建立技术委员会参与国际标准的制定，来处理特定领域的技术活动。

目录前言引言0.1 总则0.2 在管理原则0.3 与其他管理体系标准的关系1 范围2 规范性引用文件3 术语和定义4 组织环境4.1 理解组织及其环境4.2 理解相关方的需求和期望4.3 确定质量管理体系的范围4.4 质量管理体系及其过程5 领导作用5.1 领导作用和承诺5.1.1 宗旨5.1.2 以顾客为关注焦点5.2 方针5.2.1 制定质量方针5.2.2 沟通质量方针5.3 组织的岗位、责任和权限6 策划6.1 应对风险和机遇的措施6.2 质量目标及其实现的策划6.3 变更的策划7 支持7.1 资源7.1.1 总则7.1.2 人员7.1.3 基础设施7.1.4 过程运行环境7.1.5 监视和测量资源7.1.6 组织的知识7.2 能力7.3 意识7.4 沟通7.5 文件化信息7.5.1 总则7.5.2 创建和更新7.5.3 形成文件的信息的控制8 运行8.1 运行策划和控制8.2 产品和服务的要求8.2.1 顾客沟通8.2.2 与产品有关要求的确定8.2.3 与产品和服务有关的要求的评审8.3 产品和服务的设计与开发8.3.1 总则8.3.2 设计和开发的策划8.3.3 设计和开发输入8.3.4 设计和开发控制8.3.5 设计和开发输出8.3.6 设计和开发更改8.4 外部提供过程、产品和服务的控制8.4.1 总则8.4.2 控制类型和程度8.4.3 外部供方的信息8.5 生产和服务的提供8.5.1 生产和服务提供的控制8.5.2 标识和可追溯性8.5.3 顾客或外部供方的财产8.5.4 防护8.5.5 交付后的活动8.6 产品和服务的放行8.7 不合格输出的控制9 绩效评价9.1 监视，测量，分析和评价9.1.1 总则9.1.2 顾客满意9.1.3 分析与评价9.2 内审9.3 管理评审9.3.1 总则9.3.2 管理评审输入9.3.3 管理评审输出10 持续改进10.1 总则10.2 不合格和纠正措施10.3 持续改进。