本书部分已经介绍过ISO20000中信息安全管理的目标为“在所有服务活动中有效地管理信息安全”。信息安全也可定义为“言息系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断”。

 

当信息安全的威胁已经从令人烦恼的简单的病毒变为能对整个企业造成重大破坏的混合威胁。据统计，目安全事故给各个公司造成的损失达到几十亿美元。

 

对于大多数高企业主管而言，安全问题不再遥不可及了，而是已经在自己身旁发生。安全漏洞会大大降低公司的市场价值，荏至威胁企业的生存。即使小的漏洞也能将公司的名誉、客户的隐私信息和知识产权置于危险之中。从某种程度上说，安全的信息系统是现代企业赖以生存的基础，是企业的业务驱动，而不仅仅是信息技术的发展。

 

信息安全管理是对已定义安全别的信息和服务的管理过程。信息安全管理的职责就是通过适当的措施减少发生不可接受程度的服务失败的概率，信息安全是相对的，只要在可接受的范围内，就认为是安全的。

 

 

 

ISO20000与ISO27001的区别于联系

ISO20000在服务提供过程的“信息安全管理”部分中包括有对信息安全的要求。尽管两者都注于IT服务的管理，然而，在注点和适用范围上有着很大的不同： 

ISO20000以流程为核心，定义了一系列比较抽象的流程目标，而ISO27001以控制点/控制措施为主，比较具体；

两套体系规范的侧重点有所不同，ISO20000是面向IT服务管理的质量体系标准，而ISO27001是面向信息安全的质量标准规范，ISO20000强调以流程的方式达到质量管理标准，ISO27001强调以风险控制点的方式来达到信息安全管理的目的； 

两套体系规范存在着许多的共性特征，如：事件管理、业务连续性管理、信息资产管理等方面，大多数的企业都会选择将ISO20000与ISO27001认证项目一同实施，使两套体系间的互补特性得到充分的发挥，更全面适用范围不一样-

      -  ISO20000适用于企业的IT服务部门，通常是IT部门

      -  ISO27001适用于整个企业，不仅仅是IT部门，还包括业务部门、财务、人事等部门。