ISO27001是旨在規(guī)范、引導信息安全管理體系的發(fā)展過程和實施情況，它為組織提供信息安全指引，且為外部第三方審計和認證等提供依據。它規(guī)定信息安全管理體系要求與信息安全控制要求，是一個企業(yè)的全面或部分信息安全管理體系評估的基礎，它可以作為對一個組織的全面或部分信息安全管理體系進行評審認證的標準。

ISO 20000是面向機構的IT服務管理標準，目的是提供建立、實施、運作、監(jiān)控、評審、維護和改進IT服務管理體系(ITSM)的模型。建立IT服務管理體系(ITSM)已成為各種組織，特別是金融機構、電信、高科技產業(yè)等管理運營風險不可缺少的重要機制。ISO 20000讓IT管理者有一個參考框架用來管理IT服務，完善的IT管理水平也能通過認證的方式表現(xiàn)出來。

ISO20000是服務管理系統(tǒng)（SMS）標準。它規(guī)定了服務提供商計劃，建立，實施，操作，監(jiān)視，審查，維護和改進SMS的要求。這些要求包括服務的設計，過渡，交付和改進，以達到商定的服務要求。


ISO20000-可以用于：

★尋求服務提供商提供服務并要求保證將滿足其服務要求的組織；

★要求所有服務提供商（包括供應鏈中的服務提供商）采取一致方法的組織；

★旨在證明其設計，過渡，交付和改善滿足服務要求的服務的能力的服務提供商；

★服務提供商監(jiān)視，衡量和審查其服務管理流程和服務；

★服務提供商通過有效實施和運營SMS來改善服務的設計，過渡，交付和改進；

★評估員或審核員，作為對服務提供商的SMS進行ISO20000要求合格性評估的標準。

比如：

1、電信、銀行、證券、保險、民航、鐵路信息中心；

2、政府、行政機構信息中心；

3、IT相關軟硬件產品企業(yè)的技術服務中心；

4、醫(yī)院、學校信息中心；

5、跨地域企業(yè)集團中，負責IT規(guī)劃、管理和服務的技術分管部門（或分公司）；

6、數(shù)據處理中心、IDC機房、網絡媒體技術中心；

7、提供在線交易的企業(yè)信息中心；

8、提供公眾訪問服務的政府機構信息中心；

9、以及提供上述服務的專業(yè)服務外包機構等。

ISO20000標準的制定者是來自各個行業(yè)的IT服務專家。同樣，標準本身的服務對象也是各個行業(yè)的IT服務提供商。因此，凡是存在IT服務職能的機構、組織，不論它是為企業(yè)內部提供IT服務支持，還是為企業(yè)外部客戶提供IT服務，都是ISO20000認證標準的需求者。

他們包括（但不限于）以下類別：

一、IT服務外包提供商

IT服務外包商是IT服務行業(yè)的領軍者，ISO20000信息技術服務管理體系是保證向客戶交付高質量服務的根本保證，也是彰顯**IT服務能力的重要標志。

其中特別指出的是為跨國公司提供軟硬件支持服務的外包公司，他們業(yè)務涉及全球的跨國公司，客戶對國際標準要求高。因此，這類組織機構需要整合自身資源，通過ISO20000國際標準，緊跟國際標準步伐，為業(yè)務的國際化發(fā)展奠定基礎。

二、IT系統(tǒng)集成商和軟件開發(fā)商

這類企業(yè)采用ISO20000規(guī)范并對所提供的軟/硬件產品提供標準化的服務。在產品整個生命周期內保證產品的高質量服務和持續(xù)支持。

三、企業(yè)內部IT服務提供商或IT運營支持部門

銀行、電信、地產、政府等大型國有企業(yè)和上市公司。這些組織機構的IT系統(tǒng)規(guī)模通常都很龐大，業(yè)務對于IT的依賴程度高。隨著組織內部IT系統(tǒng)復雜度的幾何增長，他們亟需改善內部IT服務管理水平，為業(yè)務的穩(wěn)定和發(fā)展提高有力支持。他們通常通過與業(yè)務部門簽訂SLA來實現(xiàn)IT服務的交付明晰化、服務可計量化，以及保證可持續(xù)的內部IT服務改進能力。