ISO20000认证和ISO27001认证整合思路

很多企业都是同时需求 ISO27001认证和ISO2000认证的，那么就需要同时实施两体系，如何将两个体系作为一个整体的体系来建设呢？下面介绍一下主要的整合思路。

1. ISO20000、ISO27001、ISO9000具有相同的文档体系结构：定义相同的体系文档结构，包括管理层承诺、目标、方针、组织架构、管理体系要求和PDCA等方面的要求，这种文档体系以满足标准的共同要求。

2. ISO20000和ISO27001在信息安全方面具有交叉内容，而ISO27001在信息安全方面完全覆盖ISO20000中信息安全的要求部分，同时一个企业只能存在一种安全标准，因此，信息安全主要以ISO27001构建为主，同时考虑ISO20000的信息安全的要求，做好两个标准的接口。

3. 需要实现文件编码方面的整合，争取两个体系采用类似或者同样的文件编码结构，如ISO20000体系可采用ITSM-2-IM-01形式，其中第一段代表所属体系简写，第二段代表文件阶层，第三段代表控制域或者过程缩写，第四段采用顺序号来编号。

4. CMMI和ISO27001在信息系统的开发及维护上存在交叉内容，ISO27001体系要求在信息系统开发过程中需符合ISO27001 A12（信息系统的开发及维护）中的安全管控要求，以满足ISO27001的整体安全管控要求。因此要做好软件开发中安全管理与信息安全的接口。

5. CMMI和ISO20000在软件的变更、发布以及新服务或变更的服务交付上存在交叉内容，因此在整合文档时要考虑以上几点，并界定两个体系的接口。

6. ISO9000的章节7.1和7.3（产品交付）与ISO20000的新服务和变更的服务（章节5）存在交叉，ISO9000的章节7.2与ISO20000客户关系管理方面存在交叉，因此在整合文档时会覆盖ISO9000的相关内容。