信息安全体系认证 当前您的位置:软件信息产品认证>>信息安全体系认证
ISO20000信息技术认证方案

ISO20000信息技术认证方案

 


认证条件
1
、中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件;外国企业持有关机构的登记注册证明。
2
、申请方的IT服务管理体系已按ISO/IEC 20000-1:2011标准的要求建立,并实施运行3个月以上。
3
、至少完成一次内部审核,并进行了管理评审。
4
、信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。
 

 认证步骤
1.1
开展培训,职能分工
1.1.1
培训:
1.1.1.1
全员ISO20000基础知识培训。
培训目的 :
了解ISO20000标准的内容;了解ISO20000标准的基本要求;了解ISO20000标准的实施办法;了解企业推行ISO20000意义和计划。
学习内容:
什么是ISO20000标准?对标准的理解;该公司推行ISO20000意义;该公司推行ISO20000的计划和要求。
1.1.1.2
骨干培训
培训目的
了解ISO20000标准的基本内容;领导在体系中的作用;了解为什么要推行ISO20000;要了解如何推行ISO20000
学习内容
ISO20000
标准的结构、原理和内容概述;重要的质量概念;实施标准的指导思想;领导在体系中的作用; IT服务管理体系认证、维护和改进的过程。
参加人员
公司总经理、副总经理、各有关部门经理和主管。
1.1.1.3
文件编写技能培训
培训目的
掌握文件编写方法;结合该公司实际如何编制有关文件。
学习内容
IT
服务管理体系文件总论; IT服务管理体系编写;程序文件编写;工作文件编写;管理计划制定;管理记录。
参加人员
企业各有关部门领导、ISO20000工作小组内的成员,专职管理人员。
1.1.2
建立组织:
1.1.2.1
领导小组 ISO20000委员会
推行ISO20000,领导是关键,企业领导应作正确决策,并积极地带头参加这项工作;给出人力和物力支援;成立领导小组,主要领导都应当参与;任命管理代表,负责标准中规定的职责;及时处理有关重大问题;组织管理评审。
1.1.2.2
工作机
为了推行ISO20000,公司应成立专门工作机构,负责全公司推行ISO20000组织协调工作,作为一个办事核心。应保证:
所有各有关部门都能参与工作小组;
有专职人员;
有骨干力量。骨干人员应对ISO20000有较全面系统的学习,最好有一定相关工作经历。
1.1.2.3
管理者代表
公司应按标准要求任命管理者代表。
应由最高管理者指定;管理者代表应是公司管理层成员;
管理者代表应具有如下职责:
确保按照标准规定建立、实施和维持IT服务管理体系要求;向管理者报告体系的执行情况,以便评审和改进管理体系;管理者代表的职责还可以包括就IT服务管理体系方面与外部机构的联络。
1.1.3
系统调查、诊断
1.1.3.1
通过诊断,达到以下目的:
现有体系与标准的符合性:找出与标准之间差距;找出形成这些差距原因。
1.1.3.2
选择合适的IT服务管理体系标准及其补充要求:
根据公司运作需要、合同要求、产品特点从ISO9000或其他标准中选择适合于企业的管理体系标准;
在此的基础上对选定标准进行必要的增删,提出对IT服务管理体系补充要求。
1.1.3.3
识别确定对服务管理体系进行修改的内容:
体系标准和要素选择;机构调整内容;体系文件清单;需新编制的文件(清单)
1.1.3.4
诊断的依据
诊断工作一般应按某一合适的IT服务管理体系标准、主要合同和本单位一些基本法规。根据各单位具体情况,诊断的依据可以归纳成如下几个方面:
管理体系标准:例如ISO20000标准;
诊断所选择的标准与申请认证的标准应是同一类型的。
合同:
IT
服务管理体系应能基本满足各客户的要求,因此,合同应是论断的一个重要依据。
本单位的基本规定、规程:
如有关标准化方面的、有关监控方面的、有安全方面的等等,这些规定、规程是否合理及合理的内容是否被有效运行,诊断时要检查的内容。
社会或行业有关法规
IT
服务管理体系不仅要满足管理体系标准、合同和公司有关规定,还应该符合国家、地区、行业有关法律、法规、规章制度的要求,诊断时应作为考虑。
⑴.
有关安全法规;
⑵.
有关服务法规;
⑶.
有关环保法规;
⑷.
有关劳动法规
1.1.3.5
实施诊断的人员
实施诊断员可以是公司内部的人员,也可以公司委托的外部机构,如谘询机构的人员,因此实施诊断的人员可以有如下几方面:
谘询人员:
如果公司聘请了谘询人员,诊断工作可以其为主进行。为此谘询机构可以委派专门诊断、检查工作组,制订计划,在企业确认的基础上按计划进行诊断。
内部审核员:
如果公司有经培训合格并胜任该项工作的人员,可以授权其进行诊断工作。
第三方审核机构的人员:
如果公司有需要,可以聘请外部审核机构的审核员为公司进行诊断
1.1.3.6
诊断工作的实施过程
确定诊断小组。
确定诊断依据和诊断物件。
制订诊断计划,编制诊断工作文件。
现场诊断检查
⑴.
与现场人员交谈,了解情况;
⑵.
检查现场文件和记录;
⑶.
如实记录体系运行现状。
提交诊断报告
⑴.
不合格报告;
⑵.
诊断结论;
⑶.
体系文件清单;
⑷.
需新编制和修订的文件(清单)。
1.1.4
职能分工、体系设计
1.1.4.1
制订IT服务管理方针;
1.1.4.2
任命管理者代表主要责任:
协助管理者确保按标准的要求建立IT服务管理体系。
负责体系的实施和维护。负责组织内部管理体系审核,向最高管理者报告体系执行情况,以便评审和改进。
IT服务管理体系方面问题与外部联系。
1.1.4.3
选择体系标准和要素
管理体系要素选择
⑴.
根据合同要求,可删去所选择标准中包含的某些服务管理体系要素或分要素,还可以涉及体系要素证实程度的调整;
按合同要求,规定对管理体系的补充要求,例如统计程序控制要求、安全性要求等。
设计调整组织机构
各部门职责应覆盖标准要求.
各部门有清楚的职责。
各部门工作之间有合理的衔接。
职能分工形成书面文件,并经充分讨论。
应把有关管理的策划、控制、协调、检查、改进工作都反映出来。
确定新体系中文件结构
典型文件层次
编写文件、试点运
1.1.5
编写文件
1.1.5.1
列出文件清单:
IT
服务管理体系
手册的构
职能的分配
组织结构
手册中要素描
有关支持性文件(针对某个具体事件的管理办法、工作流程、或者详细说明)
程序文件
需编制哪些程序文
每个程序文件对应标准哪个要
各程序文件之间有无重复、有无遗
各程序文件形成的记录
有关支援性文件
工作文件
作业指导
技术类文
管理文件
报告和表格
1.1.5.2
明确哪些旧文件作废、哪些保留
1.1.5.3
分配文件编写任务:
各部门参与
1.1.5.4
起草文件
1.1.5.5
文件讨论:
内部讨论适用性
外部检查完整性
1.1.5.6
文件批准发效
审核、批准
复印、装订
受控、登记
发效、签收
1.1.6
试点运行
1.1.6.1
向工作人员进行体系文件的交代:
手册:特点、使用、保管要求;
程序:特点、注意事项、形成记录、各程序之间介面;
工作文件:需要掌握关键问题如何记录,报告不合格品。
1.1.6.2
培训、宣传:
培训:岗位培训;
特殊岗位培训考核;
管理人员程序文件培训;
全员IT服务管理方针、目标培训。
宣传:管理方针;
试运行计划;
ISO20000
认证计划;
体系文件内容介绍。
1.1.6.3
其他配套工作:
监控;
合格分承包方许定;
标识的制作。
1.1.6.4
试运行:
补充完善基础工作:边运行,边完善第三层次文件;
修改体系文件:边运行,边修改不合适的文件;
作为记录并保存好记录以推供证据。
1.2
内部审核、正式运行
1.2.1
部审核、管理评审:
至少进行一次内部审核,按ISO20000要求制订审核计划、审核清单、审核报告、不合格项的跟踪和监督等有关活动记录和文件应保存完好,以便以认证检查。
至少安排一次管理评审,以评价新体系的有效性和适用性,同时积累一次管理评审活动记录,评审按程序文件要求进行。
1.2.2
正式运行:
通过内部审核、管理评审,对体系文件中不切合实际或规定不合适之处进行及时的修改,在一系列修改後,发布第二版管理手册、程序文件进行正式运行。
1.3
内部审核,准备认证
1.3.1
为了减少认证一次通过可能存在的某种风险,在由第三方正式审核之前,可以由内部审核组成类似的外部机构进行一次内部审核或请已确认的认证机构进行预审。
1.3.2
企业应本着对自己有利的观点选择认证机构,一般应从以下几个方面考虑:
客户要求;
企业所在地区;在选择认证机构时应在原则上既近又便;
认证机构的认证范围和有效性;
费用;正常认证收费和交通、食宿等其他费用。
1.4
正式审核,体系维持
1.4.1
接受所选择的认证机构的正式审核。
1.4.2
体系维持与提高
检查现场中问题,不断地改进和巩固;
进一步完善体系文件,加强协调监督工作 [1]
认证好处
解决问题
企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。IT服务提供商通过实施IT服务管理体系,可以获取如下收益:
保持服务目标与企业业务目标一致,有效的支持业务战略
建立规范的服务流程,提高信息技术服务和运营效率
有效及高效地整合和利用信息、基础架构、应用及人员等IT资源
建立持续改进的服务管理机制,快速应对市场需求,提高客户满意度
向国际标杆靠齐,增强市场竞争力,提高组织声誉,提升投资回报
控制IT风险及相关的成本,提高与控制IT服务质量、降低长期的服务成本
灵活应对来自客户、认证机构、内部机构等不同的合规审核要求,增加投资者信心
对于众多IT服务提供商,ISO20000认证的意义并不仅仅限于IT服务符合规程和提高服务质量。它在服务量化,员工绩效考核,衡量IT部门投资回报方面更具有积极的意义。

 

基础要求
ISO20000
是以流程化管理方式为基础的,IT工作被分解成了不同的流程,每个小部门、每个人的工作都是若干流程中不同工作的组合,流程对工作量化的输入输出为员工的工作量化提供了可能。员工的量化考核这个IT部门的普遍难题得到了初步解决,尤其是服务台的一线员工基本做到了完全的工作量化衡量。
流程的量化数据为员工的工作分配,工作成绩的反映提供了基础,同时对于工作人员的责任也有了相应的考核体系。
同时,IT对服务也有了量化指标,建立了量化的质量控制体系,设定了完整准确的考核指标,提供完善的报表。对客户满意度等还选用第三方进行调查,保证数据的可信性。
量化管理不仅是IT部门自身管理的需要,也是衡量IT部门价值与投资回报的基础,流程化管理方式为量化管理的实现提供了可能。借用ISO20000CIO也同时找到了一个衡量IT服务好坏的国际公认的标准。用这么一个标准来证明公司的ITSM实施达到了怎样一个阶段,在一个标准的平台上跟CEOCIO沟通IT服务管理的标准化、规范化。
适用范围
ISO/IEC 20000
是一个针对管理流程系统的标准,ISO/IEC 20000的认证适合IT服务的提供者,可以内部的IT部门,也可以是外部的服务提供商。获取ISO/IEC 20000的认证,意味着提供服务的IT组织,对ISO/IEC 20000中定义的这些管理流程,具有足够好的管理控制力。这里所谓对流程的管理控制力包括:
·
对流程输入的了解和控制
·
对流程输出的了解、使用和诠释
·
制定和执行对流程效能的衡量机制
·
有客观的证据表明,对流程的功能负责,使之符合ISO 20000标准要求
·
制定流程的改进提高计划,衡量和回顾改进结果
IT
服务组织要获得ISO/IEC 20000的认证,必须证明它能够对标准中涉及的所有513个流程都具有以上的管理控制力。ISO/IEC 20000系列对流程的最佳实践进行了总结,可适用于不同规模、类型和结构的组织,服务管理流程最佳实践要求并不会因为组织形式不同而被改变。
组成部分
ISO 20000-1
是一个正式的规范,它界定了一个组织向客户提供品质合格、管理良好的服务的有关要求。
另一方面,ISO 20000-2是一个行为准则,它描述了ISO 20000-1范围内的服务管理程序的最佳范例。这个行为准则对于要准备通过ISO 20000-1审核或计划改进服务的公司来说尤其有用。
实施效益
·
得以获得业界普遍认同的国际证书ISO20000认证;
·
就服务质量和服务承诺与业务及供货商达成一致,建立和业务及供货商统一的沟通平台;达到相关利益方均满意的IT服务管理目标;
·
提高IT服务的可用性、可靠性和安全性,为业务用户提供高质量的服务;
·
持续优化服务流程,提升服务水平,提高业务满意度;
·
提高项目的可提供性并确保如期交付;
·
从总体上提高组织/企业IT投资的报酬率,提升组织/企业的综合竞争力;
·
建立IT部门一整套行之有效的持续改善机制和内控机制;
·
明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点,完善现有IT服务结构和资源配置,使各项IT资源的运用符合公司业务战略和IT战略目标;
·
通过建立优化、透明的管理流程和权责的定义,监控管理流程、进行绩效评价;降低IT运营的管理成本和风险;
·
易于整合服务管理流程和其它管理系统,如:信息安全管理体系ISMS 、质量管理体系ISO9000等;
·
将现有管理体系和业务流程整合,规范IT部门服务水平,规范工作流程,降低由人员变动导致的风险;
·
提高IT部门相关员工的专业素质,提高员工的服务能力和工作效率;
·
提升IT部门整体运作及部门间沟通的能力。

 

 

ISO20000认证准备
  前期准备
  ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。
  不同于ITIL只有个人认证系列,ISO 20000则是对组织的整体认证,因此需要全方位的建立符合标准的体系,也意味着认证前期准备工作将是复杂而细致的。正所谓万事开头难,在着手进行认证之初,必须充分认识到良好而充分的前期准备工作是通过这样一项国际标准认证的基石。实际上,对于大多数组织而言,通常没有太多认证工作相关的经验,因此在认证准备阶段打下扎实的基础,对于整个认证实践都是颇有益处的。
  本书将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面来介绍认证准备阶段工作。事实上,虽然这四部分内容是大多数组织通过IT认证所必不可少的,但由于每个组织的组织架构和管理基础的不同,前期准备需要完成的具体工作会有一定的差异,通过认证的过程也会不同。因此,组织应因地制宜地开展认证实践工作。

制定认证方案
  认证准备阶段第一步工作就是完成认证可行性方案的编写。如果把认证活动理解成一个项目,认证方案的编写就是通过对项目的主要内容、目标和相应配套条件(如管理基础、管理需求、项目规模、资源投入等),从技术、经济、工程等方面进行调查研究和分析比较,并对认证可能取得的经济效益及社会效益进行预测,从而形成该项目是否值得实施和如何实施的咨询意见,为组织的高层提供项目决策的重要依据。从这个意义上来说,认证方案的制定也是认证准备阶段中最重要的工作。
  1. 可行性分析
  可行性分析通常可包含投资必要性、组织可行性、技术可行性、财务可行性、经济可行性、社会可行性、风险因素及对策等部分。由于各类型项目因行业特点而差异很大,具体到ISO 20000认证,通常需要从管理基础和效益两方面进行考虑和分析。
  首先是管理基础分析。需要对组织自身的管理基础,包括ITIL体系实施的基础、当前的组织架构和当前管理体系在认证过程中的风险进行全面的评估。
  IT服务管理体系的建设,首先是管理问题,其次才是技术问题。成功和失败的经验都表明,需要首先解决管理体制和机制的问题,建立以客户为中心的理念,培养服务意识和质量意识,建立内部可行、科学的服务模式;其次才是借助软件工具将管理流程固化和优化,利用自动化工具辅助和提升管理效率,实现技术和管理的有效结合。因此,在认证可行性分析时应更关注管理可行性,其次才是技术可行性。
  对于那些已经成功实施基于ITIL的管理方法的组织来说,需要更标准化的成熟IT服务质量管理体系来确保管理与国际接轨。ISO 20000认证将满足其进一步发展的战略需求,同时ISO 20000的持续改进机制也确保管理流程具备更强的生命力。
  其次是效益分析。可以从资源配置的角度衡量认证项目的收益,评价认证项目在实现组织发展目标、有效配置IT资源、改善运行环境、提高流程效率、减少人员工作量、提升盈利能力等方面的效益。
  虽然对于不同的组织来说可能带来的效益各有不同,但通常ISO 20000可能为组织带来的效益可能包括以下内容:
  IT服务提供中有更多的管理手段,并能持续地改进;
  改进服务交付的能力,为关键业务服务提供稳定的,高质量,低成本的可靠的服务;
  通用的服务表达方式,方便不同组织之间的对话;
  为组织内部运营过程提供一个管理和沟通的平台;
  采纳最佳实践,提高组织内部服务水平,以及服务级别的持续保持;
  减少服务交付中的时间成本;
  有效管理供应商的方法;
  提高人员利用率,改善激励,降低人员流失;
  有价值的管理数据,更好的决策支持;
  ……
  

2. 认证实施计划
  认证实施计划是认证方案书中的核心部分之一。提到计划,通常的理解就是步骤、任务、人员、周期、里程碑等内容,使用专业的工具如MS ProjectExcel进行编辑和制定。按照项目计划的常用制定方法基本可以覆盖认证计划的主要内容,但必须注意认证实施计划与一般工作计划几个细节上的区别:
  1) 本书前面已经介绍过,认证过程主要分为前期准备阶段、差距分析阶段、流程建立改进和试运行阶段、认证审核阶段等。各个阶段的时间和人员分配取决于组织自身的成熟度,可以适当调整几个阶段的资源分配。如果IT服务管理的基础较好,前期准备和流程建立改进阶段时间可以大大减少。
  2) 始终牢记各个流程必须全部达到ISO 20000的要求才能获得认证,因此资源适当向基础薄弱、离标准要求有一定距离的管理流程,提早启动流程建立和改进阶段工作。
  3) 认证计划中需要包括审核机构的部分,由于整个审核过程会包括几批次,每批次之间另有再改进的时间,同时每一次审核需要提前预约,因此整个实施计划建议预留一些时间给审核机构。
  图4-1是一个认证计划的样例,供读者参考。事实上,计划的形式并不重要,重要的是对制定认证计划这项工作的重视。
  3. 资源与费用
  资源与费用也是认证方案准备过程中需要了解的内容之一。与实施计划一样,资源投入的多少主要取决于组织自身的成熟度,越成熟的组织需要在IT服务管理体系建设和完善上花费的资源相对越少。
人力资源:通常包括组织自身、第三方咨询机构、认证审核机构等的人力资源,其中通常较为容易忽视的是组织在全员培训上的人力投入。这在流程体系试运行和认证审核阶段都是相当关键的。
 
  工具资源:现阶段,任何组织的IT服务管理体系都与工具软件有一定关联,而且这种依存度正在逐渐上升。组织在实施ISO 20000认证时,可能需要对其现有的工具平台进行一定的调整,也可能需要采购一些新的产品。


 

★四川ITSS认证★四川CS认证★四川CCRC认证★四川CMMI认证★四川ISO27001认证★四川军标认证★四川保密认证★四川CCCF认证★四川特种设备许可证★四川LA认证★四川CNAS认证★四川CMA认证★ 四川两化融合认证★

 

 

 

成都公司地址:成都市高新区天府三街218号1-10-8    重庆公司地址:重庆市江北区北滨二路538号7-8-4 nbsp;备案号:渝ICP备19005035号