学习资料: ITIL培训基地专家讲堂直播 300期视频回放
从谷安天下成立至今,我们已为各行业数家企业实施过ISO 20000、ISO 27001、ISO 9000各种国际标准认证类咨询项目,越来越多的客户出于各种驱动力想基于ISO系列标准建立自己公司内部的管理体系规范,并且获取相应的国际认证。
从谷安天下成立至今,我们已为各行业数家企业实施过ISO 20000、ISO 27001、ISO 9000各种国际标准认证类咨询项目,越来越多的客户出于各种驱动力想基于ISO系列标准建立自己公司内部的管理体系规范,并且获取相应的国际认证。在与客户前提接触过程中,经常会碰到客户向我们的咨询顾问或销售询问,到底是先实施IT服务管理体系通过ISO 20000认证还是先建立信息安全管理体系通过ISO 27001认证、或者同时实施,选择不同的实施顺序风险在何处?收益有哪些?
根据多年积累的经验,通常我们会建议客户从以下几个角度分析此问题,根据分析结果自然就能较清晰的确定自己的实施顺序(即短期或长期规划)或此类体系建立实施项目的目标和范围。
企业所面对的客户需求
作为IT服务提供者,无论是为内部客户还是外部客户提供IT服务,需要如何建立内部规范制度或选择参考哪个标准建立管理体系,都首先从客户关注点或客户需求出发,若客户对信息安全方面比较关注,或提供服务过程中,作为IT服务提供者会接触、保存或处理大量的客户敏感信息,则考虑以建立信息安全管理体系为优先,例如很多为政府或大型央企、国有企业提供IT服务的企业、BPO行业,往往会选在通过ISO 27001认证为优先,他们所面对的 自身就要满足各种信息安全方面的要求(例如等级保护、分级保护、涉密系统的维护等),或在给客户提供服务中需要保留大量的客户重要信息(例如为客户开发软件的源代码、客户未发布测试中的各种新型产品等);同样,若客户对服务或服务交付能力方面比较关注,则考虑建立IT服务管理体系为优先,例如很多为金融行业、通信行业、制造业和服务行业的客户提供IT服务的企业,往往以通过ISO 20000认证为有限,他们所面的 自身也在为其服务对象对内/外提供各种服务甚至也准备或已经通过了ISO 20000认证,他们为了能为其客户提供更优质的服务或提高服务效率,往往在选择IT服务供应商时会提出专业的具体的服务级别、服务流程和服务响应等各方面要求(例如服务资质、服务交付能力的考核、明确的服务级别协议),以便支撑其业务良好远作发展。
因此在资源有限的情况下,建议企业先考虑目前重点服务对象的关注点和成熟度,作为先自身体系建立规划的考虑要素之一。
同等规模同行业的最佳实践
每个行业都具备几个领头企业,对于已经处于所在行业的领头企业,想依托国际标准进一步提升内部管理水平,可参考国外一些同类规模企业的实践过程,无论ISO 20000还是ISO 27001标准在欧美一些国家已经有了很多实践案例,可以供企业参考,对于处于正在朝行业领头企业发展的国内企业,可参考行业内的领头企业或同等规模企业的发展实践,看看自己的竞争对手或行业标杆企业都是如何提升内部管理,是先建立的IT服务管理体系还是先关注的信息安全管理水平的提成,其他企业的实践经验和教训的总结可以给企业的自身发展提供很有价值的资料。增进同行业的交流,可以是自身少走弯路,找到更多的捷径和管理经验。
谷安天下一直不定期的举办面向不同行业的沙龙、研讨会议等各种活动,通过各种活动促进为各行业企业提供交流平台,分享管控经验共同成长,具体请关注我们的网站 )。
各相关监管机构的要求
通常企业设计自身管理体系时,都会综合考虑各相关方要求,其中之一也是所面对的各监管机构的要求,甚至有时需要更深一步考虑客户所面对的各类监管机构及法律法规要求。因此无论要依据什么管理体系框架或国际标准规范内部管理前,还是建议企业能先识别出自身所要考虑和满足的各类监管机构、国家相关法律法规、内部审核和合规部门、第二方(客户方)和第三方审核机构出台的各类要求。根据这些硬性要求内容,来选择可参考的管理体系框架或国际标准来实施。
企业自身发展需求
对于IT服务提供者,选择认证类体系实施前,除了上述外部驱动外,不应忽略到自身的业务发展方向或规划,也许目前所服务的客户或内部业务部门还没有对服务或信息安全提出明确需求,但从企业自身发展规划或预期拓展的客户领域角度考虑,也可以为决定体系实施前后顺序提供引导。优化内部管理的最终目的还是为了支持企业业务发展,因为无论通过ISO 20000认证还是ISO 27000认证都是要以业务目标为驱动,站在公司业务发展角度进行IT治理的规划。
企业自身资源局限性
近来我们面对的越来越多客户希望通过一段时间的集中整改优化,建立起同时符合ISO 20000和ISO 27001两个标准要求的一套整合管理体系,如果单纯从项目实施的角度看,通过一个项目实施,的确前期可以节省许多工作量,面对这类客户,我们也已经形成了一套成熟的整合管理体系实施方法论,其中现状调研和差距分析、配置项和信息资产的收集、内部审核管理评审以及体系文件的编写工作都可以一起开展,的确从时间、双方人员投入角度都节省了大量资源,但体系发布后,企业在体系运行阶段的初期会面临较大压力,体系实施范围内的部门需要做大量优化工作,包括IT服务管理各个流程及信息安全制度的运行和各类风险处置计划的执行落地;往往企业的IT服务管理和信息安全管理体系的实施和认证范围会有一定区别,往往信息安全管理体系涉及到的部门要比IT服务管理体系多,且信息安全工作职责和IT服务交付职责也通常不是由同一部门承担,这种情况一般在体系建立期间,企业也会选择不同的部门主导实施,在整个项目实施过程中,除了现状调研和资产收集,其他工作也是分头进行,只不过基于标准要求,对于其中的部分流程进行整合。
因此是否建立整合管理体系同时满足几套标准要求,还是根据迫切度依次建立体系通过认证,还是需要企业考虑自身能投入的人力、时间和具体需求决定。若资源有限的情况下,还是建立企业能有侧重点的分批建立管理体系,逐步优化,对于已经通过ISO 20000或ISO 27000认证的企业,再实施剩余的体系且获取认证相对容易一些,毕竟已经有了一次实践,且其中一些标准要求的体系文件可在原有的IT服务管理体系或信息安全体系文件基础上略加修订更新即可,同样也可以实现符合企业自身业务特点的整合管理体系,并顺利通过认证。
附:标准对比知识库-谷安天下ITT风险管控系列软件
谷安天下自行研发出此种工具IT风险管控系列软件,根据多名资深顾问自身信息安全和IT服务管理经验建立了满足各行业特点的强大知识库,包括风险评估管理、风险控制管理、风险运营管理、风险审计管理、风险知识管理5大知识模块及各行业法律法规指引解析和国内外相关标准的知识库。
知识库中不仅包含常见的IT服务管理相关标准内容、各行业IT管理相关的行业监管要求、法律法规和指引,并且包含各类标准、法律法规和指引的解析、差距分析表、内审检查表,可以协助企业根据自己所需遵守的标准使用相应的检查表结合企业实际情况进行差距分析,为IT服务管理体系的建设和规划提供基础,为日后的改进提供测量基线。
原文出自【比特网】,转载请保留原文链接:35/11353535.shtml
|
转播
分享
淘帖
()
