ISO/IEC 27001：2013，ISO/IEC 27001:2013/Cor 2:2015 信息安全管理体系（Information Security Management Systems, ISMS）是组织整体管理体系的一个部分，是以基于风险评估的方式建立、实施、运行、监视、评审、保持和持续改进信息安全等一系列的管理活动，是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用的方法的体系。

ISO/IEC 27001：2013信息技术 - 安全技术 - 信息安全管理体系 - 要求

ISO20000 是第一部针对信息技术服务管理（IT Service Management）领域的国际标准，它于2005年12月15日发布。作为认证组织的IT运营和服务管理流程的国际标准，ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务以满足客户和业务的需求。

IT服务管理国际标准ISO20000的最新版本 ISO/IEC20000-1:2011 于2011年4月15日正式发布。

GB/T 22080-2016 idt ISO/IEC 27001:2013 ISMS 信息安全管理体系的文件体系

ISO27001 标准要求的 ISMS 文件体系应该是一个层次化的体系,按照一般管理体系的惯例,通常是由以下层次构成的:

信息安全手册: 该手册是对信息安全管理体系框架的整体描述,以此表明确定范围内 ISMS 是按照ISO27001标准要求建立并运行的。

一级文件:组织范围内的信息安全方针,以及下属各个方面的策略方针等。这需要从组织整体考虑来制定,应该能够反映组织最高管理者对信息安全工作下达的旨意,应该能为所有下级文件的编写指引方向。一级文件至少包括但不限于: 

    ●  信息安全方针

    ●  风险评估报告

    ●  适用性声明(SoA)

二级文件: 各类程序文件。这些程序文件应该是针对信息安全某方面工作的,是对信息安全方针内容的进一步落实,应该是不同部门都能适用的,至少包括但不限于:

●  风险评估流程

●  风险管理流程

●  风险处理计划

●  管理评审程序

●  信息设备管理程序

●  信息安全组织建设规定

●  新设施管理程序

●  内部审核程序

●  第三方和外包管理规定

●  信息资产管理规定

●  工作环境安全管理规定

●  介质处理与安全规定

●  系统开发与维护程序

●  业务连续性管理程序

●  法律符合性管理规定

●  信息系统安全审计规定

●  文件及材料控制程序

●  安全事件处理流程

三级文件: 具体的作业指导书。描述了某项任务具体的操作步骤和方法,是对各个程序文件所规定的领域内工作的细化。

四级文件: 各种记录文件,包括实施各项流程的记录成果。这些文件通常表现为记录表格,应该成为 ISMS 得以持续运行的有力证据,由各个相关部门自行维护。

ISO/IEC20000 认证实施方案

1. 认证前期调研准备、项目启动、制定计划 

●   确定IT服务管理认证范围； 

●   确立愿景，决定服务管理改进的方面与改进的顺序；  

●   进行初步的评估、掌握现状； 

●   评估需要改进的方面；管理在认证过程中的风险；

●   文件收集；

●   现场访谈、差距分析；

●   制定整体的计划，获得相关方面的支持与承诺。

2. 体系建设、培训

●   建立、管理服务改进计划(PDCA环)； 

●   服务目录设计，管理体系设计、过程设计；

●   根据ISO20000-1：《IT服务管理规范》进行详细的评估； 

●   借鉴ISO20000-2：《IT服务实施准则》，制定具体的改进计划；

●   实施计划、定期检查；

●   编写《服务目录》、《IT服务质量管理手册》《程序文件》《事件管理流程手册》《问题管理流程手册》等。

3.体系发布、试运行

●   体系发布、流程运行改进；

●   内审机制建立，管理评审机制建立；

●   建立初步的持续改进机制；

4. 外部认证审核

●   对文档和流程的评估；

●   现场的对员工和流程的审核；