【案例】2019年，萬豪酒店5億客戶數據洩漏。酒店連鎖巨頭喜達屋母公司萬豪國(country)際酒店表示，經過取證和(and)分析團隊缜密調查後發現，因其大(big)數據洩露事件影響到(arrive)的(of)客戶數量從5億減少到(arrive)了(Got it)3.83億，其中有超過500萬個(indivual)未加密的(of)護照号碼和(and)大(big)約860萬個(indivual)加密信用(use)卡号碼被盜 。盡管萬豪最新披露的(of)這(this)些數據較之前有所降低，但該事件仍是(yes)有史以(by)來(Come)最大(big)的(of)個(indivual)人(people)數據洩露事件之一(one)。

萬豪表示，喜達屋集團自2014年以(by)來(Come)一(one)直在(exist)受到(arrive)黑客攻擊。萬豪已提出(out)，如果受影響的(of)客人(people)能夠證明自己是(yes)數據洩露事件的(of)受害者，他(he)們(them)将支付辦理新護照的(of)費用(use)，這(this)可能會讓萬豪公司損失5.77億美元。

信息安全的(of)實質就是(yes)要(want)保護信息系統或信息網絡中的(of)信息資源免受各種類型的(of)威脅、幹擾和(and)破壞，即保證信息的(of)安全性。

據統計，世界上(superior)每分鍾就有2個(indivual)企業因爲(for)信息安全問題倒閉，而在(exist)所有的(of)信息安全事故中，隻有20%-30%是(yes)因爲(for)黑客入侵或其他(he)外部原因造成的(of)，70%-80%是(yes)由于(At)内部員工的(of)疏忽或有意洩露造成的(of)；同時(hour)78%的(of)企業數據洩露是(yes)來(Come)自内部員工的(of)不(No)規範操作(do)。因此企業信息安全建設需要(want)内外兼修，構建企業信息安全整體解決方案。

 例如：某電子硬件拓展軟件服務制造商，随着業務的(of)發展，由硬件産品到(arrive)軟件服務，公司的(of)業務也越來(Come)越依賴于(At)信息化，由此帶來(Come)的(of)信息安全保障，尤其是(yes)商業秘密保護的(of)重要(want)性日益凸顯，如何妥善地(land)加強信息安全建設，在(exist)合理投入的(of)範圍内，最大(big)限度的(of)減少或避免因信息洩密、丢失、破壞等問題所造成的(of)經濟損失及對企業的(of)影響。“

建議：該公司可以(by)通過辦理ISO 27001和(and)ISO 20000，整體提升公司管理水平和(and)信息安全标準。

ISO 20000是(yes)面向機構的(of)IT服務管理标準，目的(of)是(yes)提供建立、實施、運作(do)、監控、評審、維護和(and)改進IT服務管理體系(ITSM)的(of)模型。

ISO/IEC27001是(yes)一(one)個(indivual)組織的(of)全面或部分信息安全管理體系評估的(of)基礎，它可以(by)作(do)爲(for)對一(one)個(indivual)組織的(of)全面或部分信息安全管理體系進行評審認證的(of)标準。

目前，有不(No)少企業在(exist)通過ISO 27001認證後，也會另外取得ISO 20000以(by)提升整體IT服務質量，但ISO 20000信息技術服務管理标準與ISO 27001信息安全管理标準中的(of)聯系在(exist)哪裏，很多公司搞不(No)清楚。

衆所周知，新版ISO27001于(At)2019年10月19日正式發布，對于(At)ISO27001與ISO20000之間的(of)聯系：

01、主體的(of)側重點不(No)同

ISO20000 以(by)流程爲(for)核心，定義了(Got it)一(one)系列比較抽象的(of)流程目标，而ISO27001 以(by)控制點/控制措施爲(for)主，比較具體。  

02、體系規範的(of)側重點有所不(No)同

ISO20000 是(yes)面向IT 服務管理的(of)質量體系标準，而ISO27001 是(yes)面向信息安全的(of)質量标準規範，ISO20000 強調以(by)流程的(of)方式達到(arrive)質量管理标準，ISO27001 強調以(by)風險控制點的(of)方式來(Come)達到(arrive)信息安全管理的(of)目的(of)。 

03、體系規範存在(exist)的(of)共性特征

如：事件管理、業務連續性管理、信息資産管理等方面，大(big)多數的(of)企業都會選擇将ISO20000 與ISO27001 認證項目一(one)同實施，使兩套體系間的(of)互補特性得到(arrive)充分發揮，更全面更規範的(of)控制公司的(of)服務運維體系與安全管理。

04、 範圍不(No)一(one)樣

ISO20000 适用(use)于(At)企業的(of)IT 服務部門，通常是(yes)IT 部門；ISO27001 适用(use)于(At)整個(indivual)企業，不(No)僅是(yes)IT 部門，還包括業務部門、财務、人(people)事等部門。

ISO20000認證與ISO27001認證存在(exist)着本質區别，ISO20000是(yes)IT信息技術服務管理體系，ISO27001是(yes)信息安全管理體系。那做這(this)兩個(indivual)認證有什麽好處，有什麽不(No)一(one)樣呢？下面就一(one)起來(Come)看一(one)下吧。

當然，在(exist)信息安全保護方面上(superior)，我(I)們(them)肯定不(No)能一(one)味的(of)隻依靠于(At)我(I)們(them)的(of)管理體系，而是(yes)在(exist)我(I)們(them)管理體系給與我(I)們(them)一(one)定的(of)方向和(and)基礎的(of)前提下，要(want)做到(arrive)落實标準，将信息安全意識印入我(I)們(them)的(of)腦海，隻有時(hour)刻警惕信息安全，我(I)們(them)才能做到(arrive)真正的(of)信息安全保護。