ISO20000與(yu)ISO27001多體(ti)系的整合(he������)會對(dui)企(qi)業(ye)組織(zhi)來講,無(wu)論在是戰略規劃上,還是日常操作中,都將(jiang)產(chan)生(sheng)重大的影響意(yi)義。企(qi)業(ye)組織(zhi)關心的是如何將(jiang)多體(ti)系整合(he),山(shan)東世通國(guo)際認(ren)證有限(xian)公司根據多年(nian)的認(ren)證經驗(yan),著(zhu)重介紹(shao)一下,ISO20000信息技術服務管理體系與(yu)ISO27001信息安全管理體系是如何(he)進行整合的。
整合原則
1
為了能夠更好的發揮兩套體系整合所帶來的企業價值,需要遵從體系整合原則,進而開展體系整合的建設與管理。體系整合原則,是企業建設服務管理與信息安全管理的前提基礎與保證依據,整合原(yuan)則(ze)在體系整合構建與實(shi)施中將������發(fa)揮其最大作(zuo)用。
體系整合所要遵照的原則
一、 關注客戶服務水平
是(shi)以客戶為(wei)中(zhong)心,以流程為(wei)導向的IT 服(fu)務������管(guan)理(li)體系,旨在提(ti)高(gao)客戶滿意度(du)水平(ping)。而ISO27001 主要是(shi)對信(xin)息資產的風險控制,同樣是(shi)為(wei)了保障(zhang)企業內部整體服(fu)務能力,間(jian)接的保證(zheng)了客戶服(fu)務質量。
二、體系條款滿足原則
兩套(tao)體(ti)系整合的條���(tiao)款應將(jiang)共(gong)性要求條(tiao)款融合為一體(ti),不同的特定要求條(tiao)款也應得到(dao)滿足。
三、文件結構滿足原則
兩套體系應采用一(yi)致(zhi)性的文檔層(ceng)次結構(gou),方便(bian)(bian)文件(jian)共享與(yu)統(tong�����)一(yi)搜(sou)索路徑,更便(bian)(bian)于日(ri)常(chang)維(wei)護與(yu)參照。
四、職能一體化滿足原則
構建體系(xi)整合實施,應將管理(li)職能的集(ji)中與(yu)分散進行(xing)結合,要充分考慮兩套(tao)體系(xi)的標準(zhun)差異(yi),調整與(yu)優化組織結構,做(zuo)到(dao)對標準(zhun)的共性要求的集(ji)中管理(li)與(yu)統�������一控制。
五、降本增效滿足原則
兩套體(ti)系整(zheng)������合后應在時效性與(yu)成(cheng)本控(kong)制方面有明�������顯的改進。
六、風險控制滿足原則
確(que)保在體系流程規������(gui)劃(hua)、實施與(yu)運行時,能夠采取有效措施對各(ge)類風(feng)險進行有效控制。
七、全員參與滿足原則
要求在(zai)體(ti)(ti)系實施與執行過程中,組織全體(ti)(ti)人員都參與進來,從而保證大家在(zai)思�����路上的(de)共識。
八、體系運行模式滿足原則
遵照PDCA 過(guo)程方法來對體系進行不間斷的持續改進。
九、工具接口滿足原則
�������� 如要(yao)對IT 服務管理與信息安全,要(yao)建設兩個(ge)(ge)系統時,要(yao)求(qiu)兩個(ge)(������ge)系統要(yao)設計詳細的(de)接(jie)口,并有(you)專門的(de)文檔來記錄接(jie)口定義。
ISO20000與ISO27001管理體系整合可行性
通過以往的(�����de)項(xiang)目經驗及對兩套體(ti)系的(de)研究,歸納與(yu)總(zong)結ISO20000與(yu)ISO27001 的(de)體(ti)系對比,兩套體(ti)系整合的(de)可(ke)行性可(ke)能會(hui)存在(zai�����)以下幾(ji)個方面(mian),包括:
一、體系實施人員的整合
作為兩套(tao)體(ti)系整(zheng)合的第一要素(su),也是整(zheng)合最(zui)重要的因素(su),只有對實(shi)施人員(yuan)(yuan)的統(tong)一管(guan)理與(yu)任務分派,才能(neng)(neng)更好的管(guan)理體(ti)系實(shi)施與(yu)改進。即使人員(yuan)(yuan)有很(hen)������大變(bian)動(dong)時,������也能(neng)(neng)保證正常的服務運營。
二、體系規范的整合
體(ti)系實施人員通過自身研究或借助咨詢(xun)公司深(shen)入研究兩套體(ti)系規�������范,找出其(qi)共性體(ti)系要素。如:ISO20000的“事件管理(li)”與ISO27001的“信息安全事故管理(li)”等。
三、法律法規的整合
企業從整(zheng)體(ti)上應滿足兩(liang)套體(ti)系的(de)法(fa)律、法(fa)規要求,這樣可以保(bao)證符合�����法(fa)律的(de)全面���(mian)性。
四、流程建設的整合
ISO20000認證(zheng)與ISO27001認證(zheng)參(can)照體系規(gui)范的模型與流程建設原則,可以規(gui)范內(nei)在(zai)(zai)管理(li)與外在(zai)(zai)服務(wu)程序,使(shi)服務(wu)支持與服務(wu)提供緊密結合,并對成本投(tou)入(ru)進行有效控制(zhi)(zhi),�������為組織提供事件(jian)處(chu)理(li)的時效性(xing)、靈(ling)活性(x���ing)及風險控制(zhi)(zhi)性(xing)。通過體系中所闡(chan)述的考(kao)核指標(biao)與報表,可實現服務(wu)可計量(liang)。
五、體系實施文件編制的整合
當前,兩套體系(xi)認證的(de)文(wen)檔體系(xi)框(kuang)架主要都�����是以四級(ji)文(wen)檔為準,������并且劃(hua)分的(de)結構(gou)層次也有一定(ding)程度的(de)相似之處。可(ke)以提煉出共用的(de)模板與文(wen)件結構(gou)。
六、組織運維規劃與職能的整合
組織(zhi)的(de)運維規劃要從服(fu)務(wu)與(yu)風險控(kong)制兩個主要方(fang)面來考慮,保(bao)證制定的(de)戰(zhan)略符(fu)合(he)未來的(de)發展要求,依(yi)據詳細的(de)控(kong)制措(cuo)施來保(bao)障整體(ti)的(de)服(fu)務(wu)能(neng)力。并根據兩套體(ti)系的(de)標準差異,調整與(yu)優(you)化組織(zhi)結構(gou),完(wan)善(shan)角色人員的(de)職能(neng)化要求,從而(er)實現職能(neng)一體(ti)化的(d�������e)建(���jian)設。
七、內部與管理評審的整合
在管(guan)理評(ping)審(shen)的(de)前期(qi)準備時,可以全面考(kao)慮其(qi)評(ping)審(shen)符合(he)條件要素(su),審(shen)核后可��������根據審(shen)核機構的(de)建(jian)議(yi)來統一進行改進與優化。審(shen)核機構應盡(jin)量選擇(ze)同一家認證機構,保證認證及維護的(de)一致(zhi)性(xing)。
八、培養與培訓的整合
培養與培訓的整(zheng)(zheng)合��������(he)體系整(z����heng)(zheng)合(he)的培訓,可以使組織員工很快就能夠了解其應(ying)用實質,大大減少了時間成(cheng)本。
體系整合后的企業應用
目前,企業信息化戰略建設倡導從“技術驅動”向“業務驅動”進行轉變,要求企業組織人員應由“被動服務意識”向“主動服務意識”進行轉變;IT 部門的角色也應由開始的“單純的信息技術提供者”向“信息服務供應者”進行轉換,“單一職能管理”向“綜合職能管理”的方式的轉變。
為了更好應(ying)對上述的(de)轉(zhu�������an)變要求,需對服務(wu)(wu)提(ti)供方式與服務(wu)(wu)質量(liang)進(jin)行改進(jin),強調具(ju)有時(shi)效性與靈活性的(de)體系(xi)設計,從整體上提(ti)高與改進(jin)其服務(wu)(wu)質量(liang),使(shi)全面提(ti)升(s�������heng)客戶(hu)滿意度水平。
搜索
客戶案例
