主要内容包括:建立项目组织、前期准备、差距分析、制度建立、培训宣贯、认证审核。下面小编分别介绍下每一步的具体内容。
建立项目组织
坚持“一把手工程、全员参与”的原则,在体系建设期间,建立项目管理领导组、项目管理工作组两级专项工作组,负责IT管理体系的建设工作。
(1)项目管理领导组
人员构成:由组织“一把手”(如数据中心总经理)担任组长,由负责体系建设的高级管理者(如数据中心副总经理)和咨询公司总经理担任副组长。
职责:负责审定管理体系建设及ISO20000、ISO27001国际标准认证专项工作总体方案,明确工作目标;听取管理体系建设及ISO20000、ISO27001国际标准认证专项汇报,对相关工作开展做出决策,及时推进项目和解决实施过程中的重大问题。
(2)项目管理工作组
人员构成:数据中心项目经理、数据中心项目质量经理、数据中心项目工作组成员、咨询公司项目经理、咨询公司质量经理和咨询公司顾问。
职责:负责制定工作总体方案和实施计划,细化阶段工作具体任务和内容;随时了解整体认证工作的开展情况,定期向项目管理领导组汇报;落实项目管理领导组指示,及时组织推动具体工作事项;实施完成认证项目;负责推进管理体系建设及认证工作中跨职能单位的专项工作任务;按照标准要求,在项目实施阶段负责对数据中心管理体系建设工作进行监控、度量和审查,并为后续建立持续优化的长效工作机制奠定基础。
前期准备
1、了解体系认证要求
对于想要获得ISO20000、ISO27001等体系认证的机构来说,需要在体系建设项目实施前对体系认证的基本要求进行了解,如公司资质、认证对于相关方的利益和认证风险等方面的内容。准备实施体系建设的机构应预先同认证审核机构沟通,填写认证申请材料。
2、明确体系认证目标
组织应当使建立的管理体系符合于组织的发展规划和长期目标,满足组织的发展要求和企业愿景,使体系成为组织成员共同认可、接受的价值观,并转化为自身工作中追求的组织使命、任务、目标及价值信念。
组织实现体系认证的驱动力会影响到体系建设及认证项目的实施方式。如果组织获得体系认证的主要原因只是因为在某个合同中承诺或客户要求,可能会使得项目仓促实施,人员、资源配置不充足,导致最终实施效果不佳。相反,如果组织获得体系认证的主要目的是帮助组织改善服务管理能力、防范信息安全风险、提升客户满意度,那么组织项目实施可能会准备更充分,项目周期更合理,风险控制更完善,资源配置更充足,体系建设更加完善并获得良好的管理。
3、评估组织现状
基于组织架构对组织进行评估有助于确定组织当前的能力以及对认证的准备情况。评估可以为组织提供对照的标准,找出差距和改进的目标。评估的内容通常包括但不限于以下方面:
(1)组织制度,包括同IT服务管理和信息安全管理相关的规定、制度、文件和记录;
(2)组织开展与服务管理和信息安全管理相关的业务、应用方面的技术等;
(3)人员的技能、能力和意识;
(4)运营及管理的成熟度,包括工具的使用以及工具与流程的符合度。
在体系建设开始阶段,通常由外部咨询机构对组织进行评估。由专业机构进行评估可以避免组织本身由于对标准的误解或忽略而无法客观评估自身现状的问题,而且可以借助外部专家的经验和技能来提高评估的准确性,更便于发现问题。通常来讲,在了解组织现状及明确现有差距后,体系的认证目标和范围也会相应地做出调整,使之更加符合组织的实际情况,帮助组织进一步界定认证范围。
4、界定认证范围
体系认证范围的界定对体系实施和审核都有重要意义。对于组织来说,定义的体系范围越大,体系实施的工作量也就越大,需要投入的人力、物力资源也就越多。因此,界定体系认证范围时应充分考虑组织的发展要求,达成成本与收益的均衡。在体系建立的前期,咨询机构将和组织沟通确定认证范围,包括组织范围、业务范围、物理范围及标准范围,这也是后续体系建设的范围。
差距分析
识别差距是组织体系建设的前提,差距分析将为管理体系的制度建设奠定基础。总的来说,组织ISO20000及ISO27001认证的差距就是ISO标准定义的要求与组织IT服务及信息安全管理实施现状之间的差异。差距评估的方法主要包括问卷调研、现场访谈、文档及记录的调阅等。访谈的主要对象包括组织管理层、中层主管及骨干员工。
1、ISO20000的评估依据
IT服务管理的评估主要依据图4-4开展。图4-4展现了ISO20000:2011管理体系标准的结构和标准的内容。
图4-4 ISO20000管理体系标准的内容
经过对标准的详细拆解,将标准所要求的管理域和管理流程进一步细化为要求点,以便于落地执行。ISO20000各管理域和流程包含的要求点如图4-5所示,19个流程共包含256个控制点。
2、ISO27001的评估依据
同样,ISO27001的评估也依据ISO27001:2013版的标准结构及标准内容展开,ISO27001:2013版共包括14个控制域。
经过对标准的详细拆解,ISO27001:2013版各章节和各控制域共包含250个需落地执行的要求点,如图4-6所示。
图4-5 ISO20000管理体系要求点
图4-6 ISO27001管理体系要求点
3、差距评估方法论
结合某咨询机构的专业经验,A银行数据中心的差距分析主要采用了4-7所示的模型。
图4-7 差距评估模型
根据制度完整情况及实施水平情况两个问题,本评估模型的评分标准按照同ISO国际标准的差距由大到小共有5种状态,分别如下。
NS:既没有文档化制度规范又没有相关的实施记录。
P1:文档化制度规范和实施都存在差距或者明显不足。
P2:在实施方面没有显著差距,需要在文档化制度规范上加以完善。
P3:在文档化制度规范方面没有显著差距,需要在实施上加以完善。
S:没有主要差距。
通过与ISO20000及ISO27001标准的对比,分析得出现阶段流程及规范距标准的差距,差距评估的结果以图表形式清晰展示,样例如图4-8所示。
图4-8 标准差距图样例
图4-8 标准差距图样例(续)
根据评估结果,组织可以明确在制度及实施方面需要提升的流程或领域,为下一阶段的体系制度建设提供了依据。
制度建设
1、体系建设的原则
根据差距分析的结果,根据纳入体系建设的流程或规范的现行水平进行分类,设立不同的建设目标。
(1)已具备较好基础的流程及规范:
以体系化为目标,优化现有流程,完善操作制度和各报表;
补全流程缺失的各级文档,形成完整的文档管理体系框架;
建立流程的持续优化机制,定期对文档进行审核和回顾;
基于流程和工具的定义,加强组织内的流程意识宣传和上线推广。
(2)仅有一些片段化的流程及规范
建立完善流程的管理规范,覆盖流程的全生命周期,将片段化的流程活动纳入到统一的管理框架中来;
基于流程框架,创建流程的各级管理文档,健全流程管理体系。
(3)缺失的流程
加强在组织内部的意识宣导和流程培训活动;
根据国际标准对流程目标和控制点的要求,创建流程文档,搭建流程体系框架;
结合组织内目前的实际工作需要,将流程中的某些点落地实施。
2、体系制度的建设方法
体系制度的建设方法论共分为五个步骤:
(1)根操差距分析结果明确差距点;
(2)基于差距点设定改进目标及预期成果;
(3)根据改进点整合并形成改进课题,成立课题组,以课题的形式开展体
系制度建设;
(4)确定课题的优先等级,根据课题的重要程度及复杂程度确定优先级;
(5)制定改进计划,根据体系建设的整体时间周期及资源情况,排定改进计划。
其中最为核心的课题建设步骤细分为六个子环节。
(1)草拟:由外部专业咨询机构基于调研评估,草拟流程文件,识别、设计关键讨论点。
(2)课题负责人讨论:讨论流程范围、存在问题、主要管理要素,以及与其他流程间的接口等。
(3)小组讨论:课题组成员参与流程设计研讨,提出改进意见,确认改进方式和目标,并确认结果。
(4)小组评审:课题组对改进后的流程进行评审。通过评审,确认流程文件的有效性。
(5)集中评审:领导小组对课题产出物即体系制度文件进行评审,正式确认并批准流程文件。
(6)文件发布:课题负责人做好体系发布准备。
明确体系建设的原则和方法后,经过一段时期的体系建设,组织将形成符合ISO20000及ISO27001标准的制度文件。
联系客服