山西合力創新科技有限公司 成立于2005年3月，注冊資金3008萬元。是一家以軟件研發為核心綜合系統集成的高新技術企業。在信息系統集成及信息技術運維服務領域，公司擁有一批經驗豐富的管理及實施團隊，有一大批通過一、二級項目經理等國家從業資質考試及思科、華為、IBM等企業認證工程師的人員。公司擁有“信息系統集成二級資質”，“智能建筑設計及施工乙級資質” ，“ISO20000：2005服務管理體系認證企業”，“ ISO9001：2008質量管理體系認證企業”，“山西省安全防范工程設計施工資格認證”等一批認證資質，是太原市市級企業技術中心、山西優秀系統集成企業。在推動信息化與工業化深度融合上，公司為省內許多大中型企業提供了持續不斷的信息化建設服務。

關于企業中如何進行ISO20000IT系統的運行服務管理的體系。這里有三個關鍵詞語需要注意，一是IT系統，如果一個組織的業務對IT系統的依賴不大，大可不必上此套管理體系；二是運行，最終目的強調的是IT系統的可用性，這也是整個ISO20000管理體系的核心；三是服務管理，強調說明運行維護是一項服務，服務級別管理及服務報告是服務管理的核心體現，也是ISO20000的精髓。在ISO20000的13個流程中有信息安全管理流程，標準中注明了信息安全管理要參考ISO17799。從這個層面理解，ISO20000應該包含ISO27001的內容。這也是我學完ISO20000后的初步認識和后來進一步學習27001的動機，目的都是為了做好IT服務的管理。

但是，當我學完27001后，我才發現，這個認識是錯誤的。正確的理解應該是，從整個組織管理的角度看，ISO27001應該包含ISO20000。為什么這么理解？這要從ISO27001在組織管理中所起的作用來分析。27001主要講的是信息安全管理體系的建設、運行、維護和改進。對于信息安全管理的目的，標準中反復強調的是保證信息的保密性、完整性和可用性，而我們最容易陷入的誤區是信息安全就是保密性，不牽涉到完整性和可用性，實際上三者的整合才是信息安全管理的目的。前面已經提到，ISO20000的最終目的是要管理IT系統的可用性，實際上只是完成了ISO27001中的可用性管理。而且從IT系統的生命周期看，20000管的是系統建設完成后的可用性管理，27001管的是從需求到開發到運行維護整個IT系統生命周期的可用性管理。從這個角度理解，僅僅對于可用性的管理，27001需要管理的范圍就更大，而且，27001還要管理信息的保密性和完整性。當然，信息的完整性是個基本要求，信息不完整也意味者不可用，因此，無論是27001還是20000，對完整性的管理都是基本要求。

因此，我們基本可以得出結論，對于一個比較依賴IT系統的組織來說，27001的內容包含20000的內容。做好20000對于27001的建設是大有好處的，而且，對于一個有需求的組織來說我也建議先上20000，再上27001。

其次，來說說兩者之間如何融合、借鑒。