某信息中心承担着集团公司信息系统的规划、建设、运维等信息化工作。为了适应集团信息化的快速发展……
一、前言
某信息中心承担着集团公司信息系统的规划、建设、运维等信息化工作。为了适应集团信息化的快速发展,信息中心领导希望借助国际标准的实施全面提升信息中心的管理水平,为此,在ISO/IEC9000:2008质量管理体系的基础上,分别于2009年引入了ISO/IEC 27001 信息安全管理体系,2010年引入了ISO/IEC 20000 IT服务管理体系,并顺利通过认证,国际标准的通过标志着信息中心实现了信息化管理工作的文件化、标准化、制度化,核心竞争力得到了提升,为成为国际一流的IT 服务供应商迈出了重要步伐。
然而,在信息化管理体系的运行过程中,由于三大体系分别由不同的部门在不同的时间,根据管理体系的不同要求,从不同角度进行策划、建设和认证,在中心层面统筹考虑仍有不足,导致三个管理体系的认证或监督审核后,仍存在资源未能最优化和优化整合利用等主要问题,例如:
·管理体系臃肿、接口林立,影响工作效率
每套体系的管理部门都从各自服务的专业范围和管理责任出发,经常出现争资源、政令不一、信息不能共享、甚至互相排斥的情况,影响工作效率。
·不同体系进行不同审核,致使工作重复
不同体系按不同的审核计划计算,信息中心平均每4个月就要接受一次审核,如果再加上内部审核,可能每1~2个月就要审核一次,对于信息人员来说,审核太过频繁造成资源浪费。
·操作类规程相互重叠,职员无所适从
风险管理、信息安全事件处理通报流程、业务持续性管理、变更管理等管理程序,由于ISO 20000和ISO27001都有要求,造成了操作规程相互重叠,多头管理,职员实际操作无所适从。
因为,很有必要对中心的质量管理体系、信息安全管理体系、IT服务管理体系按照系统化的原则形成统一而又相互协调、相互兼容、相互补充的“整合管理体系”,将分散的、多头的管理变为集中的、系统的、分类的管理。整合管理体系将能覆盖组织运行和各体系的要求,同时又能简化管理,降低成本,提高效率。
二、管理体系整合的方法
中润长弘管理咨询有限公司专家经过多年的实践经验,总结提出了“整合管理体系”方法论。“整合管理体系”就是组织将两个或两个以上的管理体系经过有机的整合成为一个管理体系运行。这样的体系不是多个管理体系的简单叠加,而是以科学的方式将它们整合,在共同的管理原则及可兼容的各标准条款的基础上,兼顾各分体系的特殊要求,建立和谐、有机的整合管理体系。
组织要建立并保持一个兼容质量管理、信息安全管理和IT服务管理三个标准要求的整合管理体系,就必须认真分析三个标准的共有要素、相同要素和个性要素,运用整体思维、有机融合、共性兼容、个性互补的原则进行整合,建立既符合三个标准要求,又结合组织实际的整合管理体系。
(1)共同要素的整合·文件及文件控制
·记录控制
·内部审核
·管理评审
·纠正和预防措施
以上五个要素在ISO9000、ISO/IEC27001、ISO/IEC20000标准中的管理对象一致,管理要求相同,人员职责相同,如何实施也基本相同,故在体系整合中可以共用一个程序文件去控制。
(2)相容要素的整合
·方针ISO9000、ISO/IEC27001、ISO/IEC20000等标准虽然内容不同,但是管理的方式都是相同的,都要求形成文件,付诸实施,并予以保持并传达到全体员工。此外,方针也都应能被公众获取,并评审其持续适宜性。针对这些特点,组织可以单独建立各自的方针,也可以整合为一个总方针,但其内容都应满足各个标准各自对方针的要求,特别是要表述各自特性的承诺都不可缺少。
·目标、指标和管理方案
ISO9000、ISO/IEC27001、ISO/IEC20000、BS25999对其目标的要求基本一致,都要求在相关职能和层次上得到建立(或分解),应尽可能量化以便测量,要有明确的统计口径,需体现持续改进的方向并确保技术经济可行,经过努力可以实现等。从形式上看,以“一览表”形式各个标准的目标、指标,更有利于组织对综合目标进行统一管理,也方便目标的审批、发布、展开、实施、检查和考核。
·法律法规及其他要求
组织应建立统一的“法律、法规及其他要求控制程序”,以便及时获取相关的法律法规及其他要求,确保完整性、时效性并进行动态管理。
·管理职责
组织可编制一份统一的“一体化管理体系组织机构图”,并在管理手册职责描述中,将同一部门需承担的多个管理体系的管理职责进行融合,编制涵盖领导和所有部门的职能分配表。
·人力资源
ISO9000、ISO/IEC27001、ISO/IEC20000等标准关于人员能力和培训的要求大体可以相容,都要求对人员能力和意识进行鉴定,按照需要执行培训计划并实施培训,并进行考核和有效性评价。培训主管部门、培训实施流程和培训所要达到的目标应该说都是一致的,不同的只是培训的侧重点和具体培训内容有所区别。因此,组织可以建立统一的“人员培训控制程序”。
·沟通和协商
ISO9000、ISO/IEC27001、ISO/IEC20000等标准都提出了内外沟通协商、信息交流的要求,管理对象虽然各自有侧重,信息内容分别涉及质量、信息安全管理、IT服务管理和业务持续性管理不同方面,但是信息的载体、信息交流的途径和传递方式却相差无几。因此,组织可以考虑建立统一的“沟通协商和信息交流控制程序”,将各标准的要求加以整合。
·其他操作流程
ISO20000中“9.2变更管理”和ISO27001中“A.10.1.1 变更管理”、ISO20000中“8.1 事件和服务请求管理”和ISO27001中“A.13 信息安全事件管理”、ISO20000中“6.5 容量管理”和ISO27001中“A.10.3.1容量管理”等这些内容在各自的标准中侧重点不同,要求程度不同,但是核心目标却基本相同。因此,组织可以充分识别这两个标准操作要求的相容要素,然后本着就高不就低、就简不就繁的原则进行策划融合。
(3)个性要素的处理:ISO9000、ISO/IEC27001、ISO/IEC20000等标准最大不同在于自身区别于其他标准的个性要素。
·ISO9001 标准中“产品实现的策划”、“与顾客有关的过程”、“设计和开发”、“采购”、“生产和服务的提供”、“顾客”、“过程监视和测量”、“产品监视和测量”、“不合格品控制”等是自己的特色要素。
·ISO/IEC27001标准中“信息风险识别、风险评价、风险控制目标和控制措施”是自己的特色要素。
·ISO/IEC20000标准中“事件管理、服务请求管理、问题管理、配置管理、业务关系管理、服务级别管理、服务报告、服务预算和核算”是自己的特色要素。
三、管理体系整合实施内容
在中润长弘专家顾问的辅导下,信息中心在三体系整合方面做了如下工作:
·成立专职的项目小组
2011年初,信息中心正式成立了领导小组和工作小组,启动了三个管理体系的整合工作。领导小组由中心管理者代表的总工程师、质量管理部经理、系统运维部经理、应用开发部经理和信息安全部经理组成,管理者代表为组长。工作小组则由质量管理部副经理、系统运维部副经理、应用开发部副经理、信息安全部副经理及技术骨干组成,质量管理部副经理任工作小组组长,牵头推动项目运作。
·培训和现状分析
项目开始时,中润长弘咨询专家对项目小组成员及相关人员进行了培训,通过培训使项目小组人员了解建立整合管理体系的重要性、各个标准的主要内容和差异点、融合方法,增加了项目实施的信心。
在中润长弘咨询专家的带领下,项目小组还对各个体系的运行现状进行了评估,以了解各个体系的程序文件、运行情况、重叠内容、冲突内容等,为整合管理体系设计提供依据。
·整合管理体系设计
整合管理体系既要包含质量、信息安全、IT服务管理,又要进行有机整合,主要内容如下:
a)体系组织机构整合
打破原体系各自独立领导运行的模式,在领导层形成统一的领导机构,下设秘
书处对三个体系进行整合管理,秘书处由质量管理部负责。同时在质量管理部设立独立的审计处,统一负责三个体系的内审、外审。另外,操作层面的职责分工,将各个标准中的各要素进行识别、融合并转换成职能,分配到各个岗位,确保通过职责分工,使标准的各项要素都能得到覆盖且不冲突、不遗漏。
b)体系程序文件整合
在前期管理体系程序文件现状分析的基础上,采用统一格式、统一编码、统一流程图的方式构建四级文件框架。同时,对现有程序文件进行完善,确保程序文件不缺失、不重复、不冲突。到目前为止,程序文件从原有的200多份,精简到了145份,管理体系文件的质量的得到了进一步的提高。
c)体系运行工具整合
将各个管理体系整合到统一的体系管理平台进行管理。同时,实现了信息安全监控平台与ITSM平台的信息共享。工具的融合,极大的保证了各体系间信息的有效、畅通、共享。
·内审工作的整合
2011年3月,质量管理部在原有内审员的基础上,经各部门推荐,形成了新的内审队伍,并组织他们参加整合管理体系内审员培训,取得了培训合格证书。最后经管理者代表批准,中心任命了15名**三合一内审员。审计处还专门制定了整合型体系内审的实施指引,并严格按照指引要求实施。内审队伍的建立和内审指引的实施为内审工作的开展奠定了基础,也为管理体系的有效落地提供了保障。
·管理评审的整合
质量管理部根据整合管理体系的要求制定了整合型体系评审的管理要求,并严格按照要求实施。2011年3月底,进行了第一次三标一体整合管理体系管理评审工作,实现了管理信息共享、资源统一配置、体系整体改进。
·外审工作的整合
经过工作小组的努力和领导小组的支持,并征得认证公司的理解,2011年及以后,认证公司将对信息中心每年进行一次全面的质量、信息安全、IT服务管理体系的统一监督审核。
四、管理体系整理所带来的价值
·强化组织管理,有利于提高管理水平
整合管理体系将促进组织系统管理体系的形成,并通过对不同体系的审核,可以更加全面、更加准确和客观地评价组织的综合管理水平,有利于组织采取更为合理的措施,改进整体绩效,实现不断持续改进的目的。
·合理配置资源,有利于提高组织效益
整合管理体系将促进精简组织架构,协调管理职能,优化过程,减少文件数量,减少内审和外审工作量,大大降低成本,提高组织的服务水平,进而提升经济效益、社会效益。
·有效降低风险,有利于提高外部合规性
整合管理体系将促进组织有效识别各类风险因素,采取切实有效的控制措施,提高组织IT管控水平,降低经营风险,且能以不变应万变,满足内外部管理及合规需要。
|