信息系统运维服务管理3

1、信息系统运维效力管理3符长青博士.第3章 信息技术治理和信息技术效力规范 在信息技术开展的过程中，出现了许多信息系统管理的框架、模型和架构，有的成为了信息行业现实上的规范，有的成为了公认的国际规范。由于不能够存在一个全能的信息系统管理框架普遍适用于一切的情形，因此，如何了解这些公认的最正确实际框架就是一个人们非常感兴趣的课题。 主要内容 1企业信息化战略规划和信息技术治理。 2信息系统审计规范：COBIT。 3信息平安管理规范：BS7799、ISO/IEC 17799和ISO/IEC 27001。 4信息技术治理规范：ISO/IEC 38500。 5信息技术效力管理规范：ISO/IEC 200

2、00。.公司治理的概念 公司治理是经过有效制度约束、鼓励机制，协调企业内外部不同利益关系者之间的行为。 公司治理问题是由一切权和运营权的分别而引起的，合理配置权益和义务是公司治理的主要内容，其目的是添加公司信息披露的透明度，最大限制维护股东和投资人的权益。 .企业信息化战略规划的定义 企业信息化战略规划是指在企业开展战略目的的指点下，在了解企业开展战略目的与业务规划的根底上，诊断、分析、评价企业管理和信息技术现状，优化企业业务流程，结合所属行业信息化方面的实际阅历和对最新信息技术开展趋势的掌握，提出企业信息化建立的远景、目的和战略，制定企业信息化的系统架构、确定信息系统各部分的逻辑关系，以及详

3、细信息系统的架构设计、选型和实施战略，对信息化目的和内容进展整体规划，全面系统地指点企业信息化的进程，协调开展地进展企业信息技术的运用，及时地满足企业开展的需求，以及有效充分地利用企业的资源，以促进企业战略目的的实现，满足企业可继续开展的需求。 企业信息化战略规划在时间上的跨度普通是三到五年，每年要根据企业面临的新环境、企业的新开展和技术上的新趋势等要素对其做出调整和完善。信息化战略规划是信息化建立的根本纲领和总体指向，是信息系统设计和实施的前提与根据。.企业信息化战略规划的原那么 1与企业战略相一致原那么2与企业开展相配合原那么3整体规划原那么4系统集成一体化原那么.企业信息化战略规划的作用

4、 企业信息化不仅是一项技术，而更是一种管理理念，是建立现代化企业管理制度的根底与必要条件。企业信息化战略规划的作用主要有以下几方面： 1对企业战略的实现给予信息技术的有力支持和保证。 2提升管理程度，与国际化、现代化企业管理制度接轨。 3实现企业资源利用最大化，构成中心竞争力。 4弥补管理破绽，提高企业各层级执行效率。 5建立科学化预算、运营、分析体系，躲避财务风险。 6建立系统化营销体系和客户效力体系，提高企业的市场 获取和维系才干。 7建立规范化渠道管理方式，有效掌控、驾驭渠道资源。 8建立有效的市场预警体系。 9提高企业运营决策定位的准确性和全面性。 10提高企业效率，降低运营本钱。.企

5、业信息化战略规划的步骤 1明确企业信息化战略思想2借助第三方信息化咨询机构3企业动态环境分析4制定企业信息化战略目的5制定企业信息化战略方案6实施企业信息化战略7控制企业信息化战略实施过程.信息平安的定义 信息平安是指维护信息系统的硬件、软件及相关数据，使之不由于偶尔或者恶意进犯而蒙受破坏、更改及泄露，保证信息系统可以延续、可靠、正常地运转。 凡是涉及到严密性、完好性、可用性、可追溯性、真实性和可靠性维护等方面的技术和实际，都是信息平安所要研讨的范畴，也是信息平安所要实现的目的。 在商业和经济领域，信息平安主要强调的是消减并控制风险，坚持业务操作的延续性，并将风险呵斥的损失和影响降低到最低程度

6、。.信息平安的风险和根本目的 1、信息平安面临的最普遍的三类风险： 1信息走漏、 2信息篡改 3信息破坏2、信息平安主要目的： 1严密性 2完好性 3可用性 4信息可追溯性 5抗抵赖性 6真实性 7可控性.信息平安整体规划的制定 企业在信息平安建立方面要制定较长期例如23年的整体规划，明确信息平安目的和原那么，开掘信息平安需求，落实信息平安组织和责任，做好阶段方案和成果诉求。内容包括： 1目的 2对象 3规范 4流程 .信息技术治理的定义 信息技术治理Information Technology Governance，ITG是指专注于信息技术体系及其绩效和风险管理的一组治理规那么，由指点关系、

7、组织构造和过程组成，以确保信息技术可以支撑组织的战略目的。它是使参与信息化过程的各方利益最大化的制度措施，也是一个由关系和过程所构成的体制，用于指点和控制企业，经过平衡信息技术与过程的风险、添加价值来确保实现企业的目的。 其主要义务是坚持企业信息化与业务目的一致，推进业务开展，促使收益最大化，合理利用信息资源，以及信息系统相关风险的适当管理。 .信息技术治理的目的 明确信息技术治理的目的将协助管理层树立以组织战略为导向，以外界环境为根据，以业务与IT整合为中心的观念，正确定位信息技术部门在整个组织中的作用。信息技术治理目的主要有： 1与业务目的一致 2有效利用信息资源 3风险管理 .信息技术治

8、理的流程 交付 价值 管理 资源 控制 风险 锁定 目的 衡量 绩效信息技术治理IT治理.信息技术治理的作用 信息技术治理可以处理企业以下几个方面的问题： 1发现信息系统本身的问题 2有助于提高企业的灵敏性和顺应性 3自我评价信息系统管理的效果.信息技术治理的设计框架 信息技术治理偏重于建立整个企业信息系统运作的规范和框架，以此监控企业信息化战略的制定和机构的建立，以便组织实施，保证企业信息系统的运营一直处在正确的轨道上。 企业战略 和组织 IT组织和 期望行为 信息技术治理安排 信息技术治理机制IT决策原那么架构根底设备运用投资 企业绩效 目的 IT目的 和责任.信息技术治理与管理的关系 管

9、理强调的是“做正确的事，即方案、组织、指点、监视。 治理更多强调的是经过组织架构、权益分配等制度安排，来实现不同利益相关者之间的相互制衡。 本质上这二者之间并没有严厉的边境，尤其是在大型上市公司中，治理与管理总是同时存在，相互促进，以实现股东利益的最大化。这好比是一个硬币的两面，谁也不能脱离谁而存在。 信息技术治理是信息系统管理的基石，某种意义上可以为信息技术治理比信息系统管理更重要。假设没有好的公司治理约束和鼓励机制，公司管理的好是偶尔的，管理不好是必然的；同样，对于企业信息系统而言，假设存在好的信息技术治理机，信息系统管理的好就是必然的、管理不好是偶尔的。.与信息技术治理和管理相关的主要规

10、范 序 号标准名称标准类型关注重点内容比较1COBIT 面向IT审计的IT管理标准IT控制、度量和审计注重控制和度量，缺乏安全管理的流程，重点是IT组织管理规范流程。2ITIL事实上的标准以流程为核心的管理架构由最佳实践形成的IT过程管理，主要适用于信息技术服务管理（ITSM）3BS7799信息安全管理标准信息安全关注信息安全管理，辅助企业创建有效的信息系统安全计划和方案4ISO20000信息技术服务管理的国际标准信息技术服务管理（ITSM）是在ITIL基础上形成的国际标准5ISO 8500IT治理的国际标准IT治理的测评有效的IT治理范围、技术与业务沟通，以及相关术语表.信息系统审计治理规范

11、COBIT 信息系统与相关技术控制目的Control Objectives for Information and related Technology，COBIT既是目前国际上通用的信息系统审计规范，也是一个在国际上公认的信息技术治理和管理框架，曾经为世界上一百多个国家的政府部门、企业所采用，被用于指点这些组织有效地利用信息资源，有效地管理与信息系统相关的风险。 COBIT v5.0 可以为企业使信息系统在整体上得以治理和管理，并承当整个端到端业务和信息系统功能区域的责任，同时兼顾内、外部利益相关者与IT 部门相关的利益。 COBIT具有很好的通用性，可以适用于各种规模的组织和机构，包括商务

12、、非营利或公共机构等。 COBIT 可运用在一切的企业信息系统，包括了个人计算机、小型计算机、大型主机和分布式运算环境，它建立在一个信息技术资源必需被一套自然分类的程序所管理的想法上，而这种想法是为了要能提供组织要达成目的的适当且可靠的信息。 .COBIT的开展历程 1审计框架阶段：1996年COBIT v1.0作为一个审计框架被提出。2控制框架阶段：1998年COBIT v2.0在添加了控制目的和实施工具集后 出版，是一个控制框架。3管理框架阶段：2000年COBIT v3.0在添加了管理方针和其他详细控制 目的后出版，是一个管理框架。4治理框架阶段：2005年COBIT v4.0在第三版的

13、根底上进展了艰苦更 新，更加注重协助董事会和员工应对不断添加的职 责，是一个彻底的IT治理架构。5整合框架阶段：2021年4月10日，ITGI正式发布COBIT v5.0，这是它发 展16年来最艰苦的一次改良。该框架中提供了全球广 泛认可的原那么、最正确实际、分析工具和模型，可协助 组织获得对信息系统的信任并从中产生价值。 .COBIT的主要内容 COBIT覆盖了信息系统的整个生命周期，即从系统分析设计、开发实施到运营维护的整个过程，其视野是最为开阔的。 1在分析设计阶段COBIT主要是调查组织的需求，并根据这些需求设计合理的资源组合，设立合理的效力级别，以确保能提供满足客户需求的信息技术效力

14、。 2在信息技术效力管理的阶段COBIT主要处理的问题包括为满足客户的需求提供哪些资源，这些资源之间的本钱是多少，如何在信息技术效力本钱和效力的效益之间到达一个恰当的平衡点。 3COBIT指点企业管理层对信息系统运营进展外部控制和内部审计，以确保信息系统与业务虚现准确的同步协调，以及实现信息技术继续不断的运用和对信息系统继续不断的改良。 4作为信息技术治理的中心模型，COBIT是一个基于信息技术治理概念的、面向企业信息化建立过程的信息技术治理实现指南和审计规范。它有6 个主要组件，归集为四个控制域，并包含34个信息系统过程控制，每个过程都有一个高层控制目的。在34个高层目的下，共有302个低层

15、的详细控制目的。这些控制目的描画了一些经过详细的控制步骤可以到达的结果，为信息系统控制提供了明晰的政策。 .COBIT的主要组件 1管理指点方针2管理者摘要3架构4审计指点方针5控制目的6运用工具集 .COBIT的四大领域及其34个IT程序 1IT规划和组织Planning & Organization，PO：定义一个战略性的IT方案。定义信息的架构。决议采用技术的方向。定义IT组织及其关系。管理对IT的投资。管理目的和方向的沟通。管理人力资源。确保遵照外部的条件。资产风险。工程管理。质量管理。2系统获得和实施Acquisition and Implementation，AI：辨识处理方案。运

16、用软件的获得与维护。技术架构的获得与维护。IT程序的开展与维护。系统的安装与确认。变革管理。3交付与支持Delivery and Support，DS：定义效力的层次。第三者提供效力的管理。效果和才干的管理。继续效力确实保。系统平安确实保。本钱确实认和分摊。运用者的教育和训练。对IT客户的协助和建议。型态设定的管理。问题和不测事件的管理。数据的管理。相关设备的管理。运营管理。4信息系统运转性能监控Monitoring，M：流程监测。内部控制适当性的评价。自主性保证的获得。自主性审计的提供。 .国际信息系统审计师认证 国际信息系统审计师Certified Information Systems

17、Auditor，CISA认证是由信息系统审计与控制协会ISACA发起的，是信息系统审计、控制与平安等专业领域中获得公认成果的意味，拥有CISA 资历证书阐明持证人曾经具备了国际上认可的实际才干和专业程度。 随着对信息系统审计、控制与平安专业人士需求的增长，CISA 已成为全球范围内个人与公司机构不可或缺的认证，它还为持证人带来相当的职业成就和经济利益。例如，美国电子签章法案要求具有CISA资历的人员才干执行独立性审计，以确认其平安管理的有效性，由此足见CISA的市场前景。 CISA认证已有十多年的历史，它适用于企业信息系统管理人员、IT审计人员和其他对信息系统审计感兴趣的人员，以及信息化咨询顾

18、问、信息平安厂商、信息技术效力提供商等。.恳求国际信息系统审计师认证的条件 1顺利经过CISA 的考试。2遵守信息系统审计与控制协会ISACA的。3提供从事信息系统审计、控制与平安任务5 年以上阅历的证明。具有以下阅历者，可恳求替代部分年限，并出示适当的证明。4具备如下资历者，可以恳求替代1年的信息系统审计、控制与平安的任务阅历要求 满1年的非信息系统审计任务阅历，或 满1年的信息系统任务阅历，或 具有大专学历大学60个学分或同等学历。 拥有学士学位大学120个学分或同等学历者，可以替代2年信息系统审计、控制与平安任务阅历。 2年相关领域计算机科学、会计、信息系统审计等大学专职讲师阅历可以替代

19、1年信息系统审计、控制与平安任务阅历。无最高可替代年限限制6年大学讲师阅历可以替代3 年信息系统审计、控制与平安任务的阅历。 .COBIT在信息系统运维效力管理中的运用 1、COBIT运用于IT运维效力管理的步骤： 按照COBIT运维域规范，进展信息系统运维效力流程的梳理，并在运维义务、制度和各种操作流程等方面进展规范，定义关键业务系统的相应效力级别，实施效力台管理、配置管理、问题管理、变卦管理等，明确各流程之间的相互关系和人员配置，构成了一个完好、一致、相互协调的管理控制网络。 2、COBIT运用于IT运维效力管理的作用： 1变被动为自动的管理方式 2能提高用户称心度 3变“人治为“法治 4

20、建立起高效的信息系统运维机制 5能提高科学管理的决策才干.BS7799信息平安管理规范 BS7799 是英国规范协会BSI针对信息平安管理而制定的一个规范，最早始于1995年，后来被转化为国际规范。 1BS77991转化为ISO/IEC 17799规范，主要供担任信息平安系统开发的人员作为参考运用，其中分11个标题，定义了133 项平安控制最正确惯例。 2BS77992转化为ISO/IEC 2700规范，是建立信息平安管理体系ISMS的一套规范，详细阐明了建立、实施和维护信息平安管理体系的要求。.信息平安管理体系及ISO27001 信息平安管理体系ISMS是组织整体管理体系的一个部分，是组织在

21、整体或特定范围内建立信息平安方针和目的，以及完成这些目的所用方法的体系。 ISO27001 是建立和维护信息平安管理体系的规范，它要求应该经过这样的过程来建立ISMS 框架：确定体系范围，制定信息平安战略，明确管理职责，经过风险评价确定控制目的和控制方式。 .ISO27001认证 实施ISO27001认证有两种途径： 1本人做认证 在组织内部成立专人专项任务组，按照方案自我实施。 2聘请咨询机构做认证 选择有实力的咨询机构，协助组织完成ISO27001认证.ISO/IEC 17799规范的主要内容 ISO/IEC 17799:2005从11个方面定义了133项控制措施，可供信息平安管理体系实施

22、者参考运用。 1平安战略 控制措施2个，控制目的1个 2组织信息平安 控制措施1 1个，控制目的2个 3资产管理 控制措施5个，控制目的2个 4人力资源平安 控制措施9个，控制目的3个 5物理和环境平安 控制措施13个，控制目的2个 6通讯和操作管理 控制措施32个，控制目的10个 7访问控制 控制措施25个，控制目的7个 8信息系统获取、开发和维护 控制措施16个，控制目的6个 9信息平安事件管理 控制措施5个，控制目的2个 10业务延续性管理 控制措施5个，控制目的1个 11符合性 控制措施1 0个，控制目的3个.ISO/IEC 17799规范的10项最正确措施 1与法律相关的控制措施：知

23、识产权：遵守知识产权维护和软件产品维护的法律。维护组织的记录：维护重要的记录不丧失、破坏和伪造。数据维护和个人信息隐私：遵守所在国的数据维护法律。2与最正确实际相关的控制措施：信息平安战略文件：高管同意发布信息平安战略文件。信息平安责任的分配：明晰地定义一切的信息平安责任。信息平安认识、教育和培训：全体员工应该接受恰当的认识培训。正确处置运用程序：防止运用程序中信息出错、损坏或篡改及误用。破绽管理：防止利用已发布的破绽信息来实施破坏。管理信息平安事件和改良：确保采取有效方法来管理信息平安事件。业务延续性管理：减少业务活动中断，维护关键业务过程不受艰苦事件或灾难影响。.ISO/IEC 27001

24、:2005规范的主要内容 利用PDCA循环方法建立开发、实施、维护并继续改良一个文档化的ISMS。 1建立ISMSPlan 2实施和操作ISMSDo 3监视和复查ISMSCheck 4维护并改良ISMSAct 5信息平安管理体系 6管理层责任 7ISMS管理评审 8ISMS继续改良.ISO/IEC 27001:2005规范的主要重点 1ISO 27001:2005规范指出ISMS应该包含的主要内容有：用于组织信息资产风险管理、确保组织信息平安的及包括为制定、实施、评审和维护信息平安战略所需的组织机构、目的、职责、程序、过程和资源。 2ISO 27001:2005规范要求建立ISMS框架的过程包

25、括制定信息平安战略，确定体系范围，明确管理职责，经过风险评价确定控制目的和控制方式。 3ISO 27001:2005非常强调信息平安管理过程中文件化的任务，ISMS 的文件体系应该包括平安战略、适用性声明文件、实施平安控制所需的程序文件、ISMS管理和操作程序，以及组织围绕ISMS开展的一切活动的证明资料。 . ISO/IEC 27001:2021新版本的改良 1旧版本以资产与技术为主体，新版本以组织业务为主体2新版本将旧版本的4.1节扩展为第4章，对ISMS建立的根底进展了调整和明确；新版本添加了许多指引供企业参考，组织可以经过不同的方面以及风险进展深度的强化。3旧版本原有11个领域、133

26、项控制措施，新版本目前调整为14个领域、113个控制措施。新增的领域或是将原分散在各领域中的部分控制目的级别提升，组成新领域，如加密与供应链管理因其重要性而被独立出来成为新领域；或是将原有领域分拆，如将通讯与作业管理分开成两个独立的领域，以反映目前信息平安的开展趋势。而控制措施减少那么是经过合并反复的工程来进展，像变卦管理在不同的领域中有反复就予以合并。也有新增的控制工程，比如对智能型安装的管理，以及系统开发工程管理的信息平安要求等。.SO/IEC 38500的来历及其主要内容 ISO/IEC 38500:2021规范是第一部信息技术治理国际规范，于2021年4月正式发布。它为人们提供了广泛指

27、点方针和在组织中进展信息技术监视的实施框架，其目的是使信息技术治理成为公司治理的重要组成部分。 ISO/IEC 38500基于澳大利亚的规范AS 8015，由规范化组织ISO发行。它提供了一个IT治理的框架，包括系统的模型、原那么和词汇，用来协助公司IT治理的实施。 该规范一共包括3个部分的内容，其中第一部分是“范围、运用和目的；第二部分是“良好的IT治理框架，引见了IT治理的原那么和模型；第三部分是“组织IT治理实施指南，引见了IT治理实施的6个方面的原那么。. 1ISO/IEC 38500规范发布的目的 1确保利益相关者对于组织IT治理的自信心。 2指点管理者治理组织的IT运用。 3为IT

28、治理的目的评价提供了根底。 2ISO/IEC 38500目的读者 1高级管理者。 2组织中的资源监控团队成员。 3外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体。 4硬件、软件、通讯及其他IT产品的厂商 5内部或外部的效力提供者包括咨询顾问。 6信息系统审计师。ISO/IEC 38500规范发布的目的 .ISO/IEC 38500信息技术治理的原那么 1职责分工2IT支持组织开展3可获得性4可用性5符合性6尊重人的要素.ISO/IEC 38500的模型 IT治理业务要求业务推进评价指点监控 业务过程 IT工程IT工程IT运转.ISO/IEC 38500规范的特点 1这是第一个IT

29、治理国际规范。2这个规范简短的、易读，但相关概念非常复杂。3为信息技术治理提供了一个有效、易实施、高效的框架， 更好的将组织决策与IT联络起来。4该规范中的建议与指南适用于任何方式规模的组织。5该规范中的建议与指南不仅供管理者运用，而且组织中各 个层面的人都能读懂。6该规范为一切关键员工提供了适宜的IT治理根本指南。7该规范引见了好的治理所需求的一些特征及治理流程，但 是离真正的实施还有间隔，需求其他规范的补充。 .ISO/IEC 38500规范与COBIT对比 ISO/IEC 38500COBITIT分类国际标准非国际标准，是一套行为指南发布者国际标准化组织信息系统审计与控制协会最新版本IS

30、O/IEC38500:2008COBIT v5.0发布时间2008年6月2012年4月特点指导、评价与监控基于控制、面向业务、流程导向、度量驱动认证没有认证国际信息系统审计师（CISA）认证侧重点有效的IT治理范围、技术与业务沟通的相关术语表信息化全生命周期管理主要用途信息技术治理的评测风险管理与内控.ISO/IEC 20000规范的由来 ISO/IEC 20000 国际规范源自于英国规范协会British Standards Institute，BSI针对信息技术效力管理ITSM而制定的BS15000规范。 ISO/IEC 20000规范第一个版本是由国际规范化组织ISO于2005年发布的，

31、该国际规范的发布预示着信息技术效力管理ITSM进入到一个全新时代，建立以ISO/IEC 20000规范为根底的信息技术效力ITS管理体系，成为企业提高信息技术效力程度与管理才干的主要方向。.ISO/IEC 20000规范的开展 1第一部分，ISO/IEC 20000-1：2005“效力管理系统需求，规范了信息技术效力过程包含的13个流程，是认证的根据。2021年4月12日ISO发布了最新版本ISO/IEC 20000-1：2021，在2005版本的根底上，交融了ISO/IEC 9001、ISO/IEC 27001和ITIL v3。 2第二部分，ISO/IEC 20000-2：2005“效力管理

32、系统运用指南，涉及ITSM过程的最正确实际指南。2021年2月14日ISO发布ISO/IEC 20000-2：2021版本，有助于更加准确地了解和有效运用ISO/IEC 20000-1。随着ISO/IEC 20000-2：2021新版的发布，ISO/IEC 20000产品家族更新晋级的步伐将进一步加快。ISO/IEC 20000新版规范的认证任务也将可以采用新的ISO/IEC 20000产品家族作为支撑。.ISO/IEC 20000规范系列 1ISO/IEC 20000-1 效力管理体系需求。2ISO/IEC 20000-2 效力管理体系运用指南。3ISO/IEC 20000-3 ISO/IE

33、C20000-1范围定义和适用性指南。4ISO/IEC 20000-4 流程参考模型。5ISO/IEC 20000-5 实施方案模板。6ISO/IEC 20000-6 效力管理体系审核与认证机构要求。7ISO/IEC 20000-7 ISO/IEC 20000-1运用于云的指南。8ISO/IEC 20000-8 ISO/IEC 20000-1运用于小组织的指南。9ISO/IEC 20000-10 概念与术语。10ISO/IEC 20000-11 ISO/IEC 20000-1：2021与ITIL关系指南。.ISO/IEC 20000规范的管理体系 1管理体系要求 组织高层管理在信息技术效力方面

34、的职能。 信息技术效力管理体系文件化方面的要求。 在人员才干、认识和培训方面的要求。2谋划和实施效力管理 对效力管理进展谋划：制定效力管理方案。 实施效力管理并交付效力：根据效力方案提供所承诺的效力。 监视、丈量和评价：对效力管理过程进展监视和丈量。 继续改良：要求效力提供商继续改良效力过程。3谋划和实施新的或变卦的效力 .ISO/IEC 20000规范的关键过程 ISO/IEC 20000规定了5个关键的效力管理过程及13个管理面 效力交付过程 才干管理 效力级别管理 信息平安管理 效力延续性和可用性管理 效力报告 信息技术效力的预算和核算控制过程 配置管理 变卦管理 发布过程 发布管理 处

35、理过程 事件管理 问题管理 关系过程业务关系管理 供方管理.ISO/IEC 20000规范的特点 1完好的框架：使ITSM构成完好的框架，与业务 管理兼容的体系。2认证的根据：具有正式、完好的认证体系。3效力规范化：运用通用术语和效力规范。4一体化管理：规定了提供一体化管理过程及要求。5管理流程化：一套完好的信息技术效力管理流程。6最正确实际指南：采用了ITIL v2中的全部主要流 程，并对几个关键的管理流程做了补充。 .ISO/IEC 20000与ISO 9000比较 1ISO/IEC 20000与ISO 9000的适用范畴不同2ISO/IEC 20000与ISO 9000的偏重点不同3ISO/IE