iso9001内审员培训专业 高效 严谨 价优
                       服务热线 021-60528029  60528019
首 页
公司简介
服务项目
内审员培训
业务流程
证书查询
经营业绩
资料下载
联系方式
 
  ※ 021-60528029 上海ISO9001认证,ISO9001体系认证,ISO9001质量认证,ISO9001体系咨询,ISO9001管理认证,ISO认证,质量管理体系认证,质量体系认证,质量认证
  服务项目
    ISO9001认证
    ISO14001认证
    IATF16949认证
    TS16949认证
    ISO27001认证
    OHSAS18001认证
    ISO三体系认证
    ISO50001认证
    ISO20000认证
    AS9100认证
    GJB9001A认证
    SA8000认证
    EICC验厂认证
    QC080000认证
   培训课程
ISO9001:2015内审员培训
IATF16949内审员培训
ISO9001+ISO14001二体系内审员培训
ISO14001:2015内审员培训
OHSAS18000内审员培训
CQI-11电镀系统评估培训
VDA6.3:2016过程审核培训
TS16949五大工具类课程培训
APQP产品质量先期策划和控制计划培训
PPAP生产件批准程序培训
FMEA潜在失效模式分析培训
SPC统计过程控制培训
MSA测量系统分析培训
ISO13485:2016内审员培训
SQE供应商质量管理工具培训
6S现场管理与目视管理培训
新旧QC七大手法培训
EHS工厂安全环境管理培训
生产计划与物料控制(PMC)
从技术人才走向管理培训
  ISO20000认证(IT服务管理体系认证)

上海翼依信息技术有限公司顺利通过iso20000信息技术服务管理体系认证

ISO/IEC20000-1:2011新版与老版ISO/IEC20000:2005的区别

2分钟了解什么是ISO20000认证

ISO20000认证的好处

ISO20000认证咨询(ITSM体系建设)

ISO20000实施项目经验交流

ISO20000与ISO27001的区别和联系

ISO20000认证流程

ISO20000管理介绍

 

 
2分钟了解什么是ISO20000认证 

  前言

  ISO20000是在ITIL基础上发展完善形成的国际标准,为IT管理者提供一套可以持续优化IT服务的流程化管理体系。

  第1章 背景

  IT服务管理从最佳实践中产生,又指导实践的开展。

  ITIL是以流程为导向、以客户服务为核心的IT服务管理最佳实践。

  ITIL V2有六个模块、10个核心流程和1项服务职能。

  ITIL的核心思想是从业务而不是从IT技术的角度去理解IT服务需求,只有先明确业务需求才能确定所需要的IT基础架构,更好地处理业务和IT系统的关系。

  ITIL的核心模块是服务模块,分为服务提供和服务支持。

  ITIL是IT服务管理的最佳实践,ISO20000是ITIL服务管理最佳实践的指南。

  ISO20000将IT管理组织以“部门为主”管理模式,转变为“以流程为主”的矩阵话管理模式,以部门职能为主导的工作方式转变为以流程驱动为主的工作方式。

  第2章 体系

  ISO20000标准包括两个部分:规范和实践指南。

  服务需量化,评定,提交服务报告。

  服务可用性和连续性。

  IT服务预算和核算管理:IT管理者要对IT资源进行成本效益管理,资源的效率和经济价值。(发散:将IT部门作为独立部门进行核算,在IT部门投入的资源作为本部门支出,为其他部门的提供的服务作为收入,计算收益)

  SLA(服务等级协议)是ISO20000流程的核心。

  SLA是一种量化的服务质量标准。

  PDCA方法论在ISO20000中的运用,适用于所有流程。

  指标:关键成功因素CSF和关键绩效指标KPI,指标设计遵循SMART原则、适度原则。

  第3章 其他

  ISO27001着重于组织整体的信息安全管理。

  第二部分 认证

  认证过程PIGA:prepare准备、gap analyze差距分析、implement实施、audit实施。

  ITSM模型

  ITIL针对个人认证,ISO20000针对组织的整体认证。

  第4章 IT服务体系管理

  质量经理、流程经理

  员工的角色和职责,及相应的能力。

 
ISO20000认证的好处

  ISO20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。 不同于ITIL只有个人认证系列,ISO20000则是对组织的整体认证,因此需要全方位的建立符合标准的体系,也意味着认证前期准备工作将是复杂而细致的。正所谓“万事开头难”,在着手进行认证之初,必须充分认识到良好而充分的前期准备工作是通过这样一项国际标准认证的基石。实际上,对于大多数组织而言,通常没有太多认证工作相关的经验,因此在认证准备阶段打下扎实的基础,对于整个认证实践都是颇有益处的。

  ISO20000认证实施效益

  · 得以获得业界普遍认同的国际证书ISO20000认证,向国际标杆靠齐,增强市场竞争力,提高组织声誉,提升投资回报;

  · 就服务质量和服务承诺与业务及供货商达成一致,建立和业务及供货商统一的沟通平台;达到相关利益方均满意的IT服务管理目标;

  · 提高IT服务的可用性、可靠性和安全性,为业务用户提供高质量的服务;

  · 持续优化服务流程,提升服务水平,提高业务满意度;

  · 提高项目的可提供性并确保如期交付,控制IT风险及相关的成本,提高与控制IT服务质量、降低长期的服务成本;

  · 从总体上提高组织/企业IT投资的报酬率,提升组织/企业的综合竞争力;

  · 建立IT部门一整套行之有效的持续改善机制和内控机制;

  · 明晰IT管理成本和组织/企业业务战略和IT战略目标的结合点,完善现有IT服务结构和资源配置,使各项IT资源的运用符合公司业务战略和IT战略目标;

  · 通过建立优化、透明的管理流程和权责的定义,监控管理流程、进行绩效评价;降低IT运营的管理成本和风险;

  · 易于整合服务管理流程和其它管理系统,如:信息安全管理体系 ISMS 、质量管理体系ISO9000等;

  · 将现有管理体系和业务流程整合,规范IT部门服务水平,规范工作流程,降低由人员变动导致的风险;

  · 提高IT部门相关员工的专业素质,提高员工的服务能力和工作效率;

  · 提升IT部门整体运作及部门间沟通的能力;

  · 灵活应对来自客户、认证机构、内部机构等不同的合规审核要求,增加投资者信心。

  企业建立IT服务管理体系的目标是为了企业建立起一套行之有效的以客户为中心的自我完善的体系。在实施认证ISO20000管理体系后,在各个流程中,各个工作岗位上都建立了一个自我完善的循环,工作的策划、执行、检查,以及持续的发现问题改善问题的体系建立起来,使每个员工都拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题一个一个的解决。

  对于众多IT服务提供商,ISO20000认证的意义并不仅仅限于IT服务符合规程和提高服务质量。它在服务量化,员工绩效考核,衡量IT部门投资回报方面更具有积极的意义。

 

ISO20000认证咨询(ITSM体系建设)

  依据ITIL、ISO20000国际标准,吸取业界广泛采用的IT管理、运营与规划领域的核心理念、方法论和最佳实践,针对ISO20000认证标准,帮助客户建立起一套IT服务管理的最佳流程,从而系统地、有序地落实服务管理,为企业提供完整的IT服务管理(ITSM)咨询和实施服务。

 

ISO20000实施项目经验交流

  项目管理是一个比较宽泛的概念,由于这些年组织的发展,事实上许多时间在组织中会有各种各样的临时任务存在,而这些临时任务其实都可以利用项目管理的理念进行管理与控制,我相信项目管理的技巧与经验会越来越在各种组织中发挥越来越大的作用,也会越来越引发人们的重视,在此我并不打算针对项目管理这么大的层面进行探讨,而是针对ISO20000导入的项目进行一些说明

  事实我们公司实施ISO20000项目,也只是在过程中,尚未完成,所以以下的讨论可能并不是全面的,只是在我认为经常会发生问题,而大家没有真正重要到的一些点进行探讨,下面将进行具体说明:

  一、项目体制建设

  体制是一切工作有序进行的一个重要基础,尤其是在涉及人员较多时,显得更为重要,遗憾的是大家往往只是在开始时,画上一个项目组织图,而且在其中会把大量的领导人员置入其中,事实上在作业过程中,项目的权力结构并没有根据组织进执行,导致大量并未在项目过程发挥的高层管理人员挂名在上,并未真考虑他们要担负起什么职责,或具体要他们做什么,管理性的项目是一种临时的任务,往往承担任务的人员另外负有生产任务,而在项目体制设计时,一定需要考虑清楚各自的职责与权力边界,一定要让体制是清晰而有力的运转起来,体制

  在 ISO20000的实施过程中,就我们公司的情况,基本没有什么人员可以全职投入搞ISO20000,这时如果把整个项目的目标分解到各个兼职人员身上,显得十分重要,我们在搞ISO20000的主力人员就是各个业务领域的主管人员,他们对业务最熟悉,同时对管理具备一些理念,同时他们也是日后这个体系的主要受体,所以我把ISO20000的十几个流程分担到每一位业务主管身上,而自已专注于各个流程接口,同时负责整个项目进程的计划者也是控制者,也就是项目经理,而在项目经理之上是部长与老总,等于说组织分为有三层,决策领导、计划控制、执行实施,我认为其中最重要一点就是流程经理负责制,定义各个流程的负责人,他要负责这个流程的设计、推行、培训,这样一可以有效把项目目标分解,二可以把不用一开始让每一个人对整个体系有非常深入的了解,减少工作难度与要求,三是让每一个人有自已专精的流程,最后做知识的融合。

  体制是在项目之初应该设计好的,需要正式的任命与公布,这种任命或公布有时会显得仪式化,但在项目过程中,有些仪式性质的活动的作用却比较你做许多具体的工作要有用的多,这也是我一直不太理解的,好象人类的天性中就是容易被仪式所引导,会在不知不觉中,让人们尊从,并受仪式氛围的影响,这种影响虽然不是一直有效的,但只要没有人去破坏,还是会在相当的时间内的活动中发挥作用,这里面也要把握一个度的问题,凡事滥用就无用了,一定要在关键点才使出来,而且这离不开高层领导强有力的支持,这是机制不会失效的重要因素。

  二、理念知识培训

  理念的培训一定要提前展开,而且要分层次的展开,对公司高层的知识培训,要在项目之初展开,让他们理解基本的理念很重要,不然后续的决策支持会脱节,尤其放多到具体的制度会改变公司既有的做法,没有一定的共识是很难相象后续的落实,要理解ISO20000的导入是一个管理工程,真正有权力让一个制度生效持久执行,不是项目组织这种临时性组织决定的,这是对公司高层的培训,要让顾问帮助洗脑。而对项目的主力军,即各个流程的负责人(流程经理),对他们的培训也要随后进行,因为只有他们了解了具体的各个流程标准要求及方法理论后,才能结合实现业务实际开始设计流程,这项培训工作一定要做扎实,而且要在程序文件开始设计前就做完,一旦流程经理不熟悉在标准中这个流程到底是做什么的,一知半解的去开始体系设计,一般会出问题,你会发现设计的流程,要么过理论化与实际业务脱节,要么没有把标准中的流程精神没有体现出来,这个过程难度是很大的,也是对体系质量影响最大的地方。

  培训的对象还有具体的一线员工与我们的客户方,一线员工对ITIL的基本知识需要有一定了解,更重要的是要让他们清楚怎么展开他们的服务活动,具体尤其是三四级文件的要求让他们清楚,另一个方面是客户方,在ISO20000的体系中,许多流程基本是需要与客户直接接口的,体系不是IT服务商一方说了算,你需要引导客户接受一种新的作业模式,往往在IT服务中,如果客户是处于一种强势地位,对你的管理流程冲击是非常大的,尤其是客户没有固定的套路,经常提出新的制度或作业要求,这样你的内部管理需要不断调适,这样时间长了,IT服务商根本是疲于奔命,内部的体制无法固定,稳定的组织与流程才是一切好转的基本条件,所以对IT服务商最省的做法是,跟客户对服务体系达成一致,让他们知道我们需要是在培育一种土壤,只有在好的土壤上,才能持续的提供优质的服务,而且会为后续的一切服务提升源源不断的提供动力。我认为虽然各种体系标准越来越多,真正意识到其作用,并真正有效利用的厂商其实不多,这是需要有一个真正有意识的人去引导与控制的。

  三、对咨询公司的控制

  ISO20000包含的知识与信息内容,比ISO9000要复杂得多,很多时候,我们是不具备太多的知识去重建体系,即要满足体系标准要求又要符合自已的业务实际,这也是我们花钱请咨询公司的原因,但真正具备知识及实务经验的咨询顾问并不多,即便有对项目的管理与控制又可能不足,或者他们出于各种考虑,并不会做得很深入,所以在ISO20000的项目实施过程中,对咨询公司的控制是很重要的,这种控制一方面需要在合同中约定,但合同中不会规定非常具体的质量行为,这需要被咨询方有意识的在项目过程中进控制。

  鉴于管理咨询在中国的现状,各种不知所谓的顾问太多,在选择咨询公司时,事实上是一个选择顾问的过程,我个人的意见是,如果可以请咨询公司先把日后会来做这个咨询项目的顾问师先请来试讲,只有通常正规的试讲,让顾问把自已的知识与理念展现出来,然后我们再丢出一系列的问题去交流,只有这样才能真正起到一个把关的作用,而不是让咨询公司先派出能力强的顾问师来打单,然后派一个能力差的顾问来服务,或者前期交流的顾问顶着一个项目经理的帽子参与项目,选择对了顾问师,比什么都重要,我认为在连过来服务顾问是谁的情况都不知道的情况下,去冒然把合同订下是相当冒险的,相信我,中国真正的人才并不多,尤其是具备真正能实务经验与理论知识,并愿意真正扎进来帮助你提升的顾问更是少之又少,在ITIL这种领域内,那些所谓的专家,一并非如你想象的那么精深的,而且人家会把这种专家丢到你的公司来折腾吗?在项目初期多花一些心思,比后面花十倍的功夫还要有价值,反正一条,一定要找到合适的顾问。

  对咨询公司的控制,最有约束力的就是合同,一定要明确双方的责任,明确产出与交付,最好把顾问的人工也做一个约定,记住喔,日后不要随意浪费顾问资源,也不要让顾问没事一整天呆在你的公司里,也不要让顾问跑来公司呆个半天就算一天,这些好好的计算一下。还有一点就是付款方式,不要让咨询公司把过多的款项放在合同前期交付,点定义付款的点也是一个需要考虑的,是二级文件写出来时付一部份吗?什么叫写出来呢?顾问到时为了这个点赶着大家写出来,文件质量不高,或日后返头修正,浪费更多的项目资源,这里的情况需要多考虑一下。还有培训事宜,到底在项目过程中,咨询公司提供多少培训课时,什么人讲,有多少证书,都是什么样的证书,重要的是安排在什么时候,是不是与项目时程是切合的,这些最好都在合同中定义好,说白些,如果你找的家咨询公司与顾问师是职业素养的,这些他们都会帮你考虑好,并做到,即便你不说,他也会去思考,但现实中,这种公司太少,这种顾问师太少了。从六年前接触咨询公司以来,我就非常反感这样做管理咨询,事实上中国的管理咨询现状没有什么变化,可能还恶化了。博士、专家头衔一堆,站在云端掰理论,这也说明绝大多数企业管理者是没有严谨的头脑,所以才给了这些人这么大的生存空间,我见过一些号称顶尖的业内专家,说来可笑,他们连基本的工作技能都不过关,基本的文件制作与讲课能力还有管理理念都不有很大的不足,他们做的方案用基本的逻辑去看都存在漏洞问题,一个顾问是不是扎实,你可以从许多工作的细节可以看出来,那种专业精神是可以在他给你的任何一分产出都可以得以体现的。

  四、过程的控制

  这里说的过程控制是指项目过程,大体来说,可以说是进度控制与质量的控制

  先说进度控制,一个可执行而清晰的项目主计划非常重要,我们的做法是根据公司的计划体系,采用了三层计划进行控制,第一层是项目主计划,把项目主要的里程碑都标识出来,主计划需要在项目一开始就完成制作,需要与顾问一同商议,因为你可能对过程的时长没有知识去评估。第二层是战术计划,把每个大阶段的计划做出来,这个计划是随着进程一个一个的进行编制,比如马上要到三四级文件的编制了,你就需要提前把三四级文件的阶段计划编出来。三层计划就是执行计划,也就是周计划,周计划是根据二级计划生成的,二级计划又服从于一级计划,这样一层一层控制,把战略目标分解到每周每人要做什么,我们是以每周做为一个计划周期的,每周召开项目例会,回顾当周的计划执行情况,把下周的计划公布出来,每周的计划要做到一周一清,即一个计划周期的任务在当前周期要消化掉,以免滚动到下一个计划周期,要做到这个地步是需要比较大的控制力,做计划的人要考虑周全。

  质量的控制,其实对于ISO20000的质量,我认为关键在于两点,一方面是我们体系的质量,这是体现在我们的每一份体系文件中的,另一个方面就是人员的培养质量,这是依赖于培训的,而这两者又是相辅相成的,体系文件是我们自已制作,如果制作者并没有真正理解标准与理论,是不可能设计好的体系流程的,大家可能会说,我们每一个体系文件可以组织大家去评审,是的,可以的,我们也是这样做的,但是真正那份文件的的流程与要求是那么“标准”时,除了这个流程经理之外的人,是不太可能提出多少深入的意见,很多时候你会感受,这个东西好象说得有道理,但无法想象具体怎么执行,这时更多需要依赖顾问的作用了,如果你的顾问在这种时候还是没有接合你的业务实际,还是只站在标准的角度去回答你的一切问题,那你只能祈祷了。就我而言,去思考任何一份文件,首先考虑是它满不满足标准要求,然后是它是不是合乎我们的实际,请相信我,真正把握到流程与业务本质的人是极少的,我所说的实际,不是你业务现在就是这样的,我说的实际是真正把握了你的业务特质,真正找到一个流程去控制跟管理,许多一线的主管人员可能他们熟悉实际在做些什么,但事实对于业务本质他们是极少思考的,需要有一个人去跨领域思考,我相信大多数问题是有一把钥匙可以解开的,如果你看到了,你会强烈感受到这是你要的,当你把文件一打开后,里面说的云里雾里,看完后仍然有一种踩在绵花的感觉的话,一定存在着什么问题。最好的做法是,除了寄望于顾问与这流程设计者外,作为整个服务体系的负责人,最好是能够深入到每一个流程去,你需要完全可以和顾问或者这个流程经理做平等对话,我说的平等是这个流程知识掌握方面,体系的质量取决于你的每一份文件,把它们写好,好好的控制评审过程。

  五、成果呈现

  做ISO20000这种管理性质的项目,时间比较长,又耗费资源,领导一开始时可能一腔热情,但时间长后,他发现就是一天到晚开会,一天到晚写文件,就会慢慢有些怀疑,久了如果再听到一些对项目负面的说法,就会更加深担心与怀疑,如果你的领导是一个完全的“理性人”,他的头脑很清醒,也很坚定,这种情况可能你不会碰到,或者碰到也不会带来什么太多的麻烦,但现实是很可能你没有这的完美领导,注意我这里说的领导是指你公司高层的管理者,很可能就是你的总经理,反正就是有生杀大权的人。这种时候,我们需要策略的用一些手段去做些什么,做一件工作,尤其是一件长期的工作,并不是一定要等到你的工作做完了,你才去说取得了什么成果的,人都是短视的,需要持续不断的剌激,那怕剌激不大,这不重要,重要的是剌激,不要间断。

  好好理解你的项目,最好想清楚在什么时间,你可以正式跟你的老板呈现些什么了,这一定要有战略的考虑,就是说别想到可以汇报什么了,就去组织,而是全面的考虑好,在什么点上做什么事情,哪怕在你无法说出在经过一段时间的作业这个项目帮公司做了什么实质性的贡献,但起码你可以把计划执行情况说说吧,跟公司高层管理者的会议,可以每月进行一次,这个取决你的现实的公司情况,把它形成一个固定的机制,让公司高层看到你的计划执行力非常强,项目管理非常有序,也是给他们打了一点强心针。这里面一直说的公司内部,上面有说过还有客户,如何阶段性的向客户展现我们的成果与作业情况,也是非常必要的,做这些的考虑点只有一条,让一切成为有利于项目的方向发展,不要让任何一种力量站在项目的对立面,有时项目是很脆弱的,可能一个你没有意识到的点,导致你的作业非常被动,一般来讲只要你是一个合格的项目管理者,这个项目内在的风险你是一般会知道,而外部的风险控制得怎么样,这就是合格与优秀的区别了,我相信无论一个人类怎么优秀,都不可能完全的控制住所有的问题与风险,他的项目一定非常成功,不存在这样的事情,这是资源与DNA决定了的,一定会失败的可能在每一个地方等着你,我们能做的就是尽可能把我们意识的问题控制好,有资源不充足的情况下(项目很少有资源充足的),项目管理者一般是自私的,你需要和别人争夺资源,除非你不想项目有保障。项目管理者也会做一些自已不喜欢的事情,比如经常性的汇报与会议,强势的安排任务下去,导致个人关系的牺牲。没有人喜欢变革,你引入 ISO20000时,就意味着你变革,也意味着组织的痛苦,我不相信导入一个服务体系,是可以在一团和气与平静欢喜的氛围中完成的,没有这样完美的组织,也没有这样完美的人。

  六、绩效考核

  绩效现在是被大家说得烂了的一个词,但它的确又很重要,绩效考核的存在,会有利于项目过程的推进,也可以起到保障质量的作用,这需要考虑到项目需要,也需要考虑公司的特性,绩效一定需要落到实处,做到一定的量化,这是你也是控制这个项目所有人员的一个工具,以便让他们按你的轨迹前进。

  在我们项目中,主要是为了进度方面的绩效、质量方面的绩效、行为方面的绩效,而量是另一个纬度的,进度方面是我们是做法,凡是没有按计划完成任务的,凡是没有达到质量要求完成任务的,都会留下记录,行为方面是指缺席方面,其它的象态度这些没有记录,用脑子在项目结束打分,这些需要有清晰的记录,每周的项目例会公布,做一定的分析统计,而且流程经理在体系试运行与评审时,每一个问题点都会影响绩效,这每一个点都会直接对应金额计算,用钱去惩罚,最后在项目奖金分配时,会兑现出来,这里要注意,绩效考核的目的不是为了奖金的发放计算,而不是为了控制大家在项目过程的作业,如果你的绩效考核方式无法在作业过程促进质量的提升,你再量化,计算再清晰也没有意义的,因为等你计算出来时,项目已结束,你发奖金也无助于项目质量的提升,这是非常关键的一个点,当你每周把每个项目成员的当前的问题数公布时,尤其是当有高层领导在场时那个在柱形图或饼图占用大一块区域的人员,一定会被剌激到的,没有人想做到最差,经常开会不参加的人员,当你的每周的统计数据出来时,那个由于个人原因或工作原因缺席人员,他缺席最多,即使是他每次是因为工作原因,但时间长了,领导一定会奇怪一个问题,别人也是生产,他也是生产,为什么他缺席次数最多,是他的工作安排有问题吗,这种有量化的数据一定会强迫他在未来一周去做一些改变,这种绩效的记录,数据采集不会特别复杂,也不会存在感情的因素在内,你只要在阶段性的会议上公布出来,它就会帮助你约束你的项目成员的作业行为,而且最后,的确可以把你的项目奖金比较公布的分配出来,让绩效好者得到更多,让绩效差者者得到更少。

  上面大概说了一些,只是我们ISO20000项目的一些策略与做法,这些是基于我们公司自已的现实情况的,并不会一定适用于别的公司,但应该可以有一些参考作用,而且我们许多点也没有做好,这些点是我认为应该加以重点关注的,做项目难,做ISO20000项目更难,象以前面做软件项目,是有非常清晰的目标的,而且相对是一个实体,但ISO20000这种项目,是一种管理性的活动,公司给你的质量要求绝不是一张证书那么简单,证书只是最低要求,还要真正对运维服务管理起到作用,真正建设一个有效实用的体系,我们的情况复杂一些,因为我们还夹着一个ITSM系统,要把在ISO20000实施过程中的沉淀用软件去固化,而这个软件的开发过程与ISO20000实施项目并行在做,等于是两个项目一起搞,作业人员是同一批,而且我们还有一个REMEDY在哪儿支撑着业务,这一切都在一起时,可以想象复杂度与人员作业上的压力,我们的情况也是一句话:在路上。。。。。。

 

ISO20000与ISO27001的区别和联系

  ISO20000在服务提供过程的“信息安全管理”部分中包括有对信息安全的要求。尽管两者都专注于IT服务的管理,然而,在专注点和适用范围上有着很大的不同:

  ISO20000以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001以控制点/控制措施为主,比较具体;

  两套体系规范的侧重点有所不同,ISO20000是面向IT服务管理的质量体系标准,而ISO27001是面向信息安全的质量标准规范,ISO20000强调以流程的方式达到质量管理标准,ISO27001强调以风险控制点的方式来达到信息安全管理的目的;

  两套体系规范存在着许多的共性特征,如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000与ISO27001认证项目一同实施,使两套体系间的互补特性得到充分的发挥,更全面适用范围不一样

  ISO20000适用于企业的IT服务部门,通常是IT部门

  ISO27001适用于整个企业,不仅仅是IT部门,还包括业务部门、财务、人事等部门

 

ISO20000认证流程

  1.1 开展培训,职能分工

  1.1.1 培训:

  1.1.1.1 全员ISO20000基础知识培训。

  培训目的 :

  了解ISO20000标准的内容;了解ISO20000标准的基本要求;了解ISO20000标准的实施办法;了解企业推行ISO20000意义和计划。

  学习内容:

  什么是ISO20000标准?对标准的理解;该公司推行ISO20000意义;该公司推行ISO20000的计划和要求。

  1.1.1.2 骨干培训

  培训目的

  了解ISO20000标准的基本内容;领导在体系中的作用;了解为什么要推行ISO20000;要了解如何推行ISO20000。

  学习内容

  ISO20000标准的结构、原理和内容概述;重要的质量概念;实施标准的指导思想;领导在体系中的作用; IT服务管理体系认证、维护和改进的过程。

  参加人员

  公司总经理、副总经理、各有关部门经理和主管。

  1.1.1.3 文件编写技能培训

  培训目的

  掌握文件编写方法;结合该公司实际如何编制有关文件。

  学习内容

  IT服务管理体系文件总论; IT服务管理体系编写;程序文件编写;工作文件编写;管理计划制定;管理记录。

  参加人员

  企业各有关部门领导、ISO20000工作小组内的成员,专职管理人员。

  1.1.2 建立组织:

  1.1.2.1 领导小组 ISO20000委员会

  推行ISO20000,领导是关键,企业领导应作正确决策,并积极地带头参加这项工作;给出人力和物力支援;成立领导小组,主要领导都应当参与;任命管理代表,负责标准中规定的职责; 及时处理有关重大问题;组织管理评审。

  1.1.2.2 工作机

  为了推行ISO20000,公司应成立专门工作机构,负责全公司推行ISO20000组织协调工作,作为一个办事核心。应保证:

  所有各有关部门都能参与工作小组;

  有专职人员;

  有骨干力量。骨干人员应对ISO20000有较全面系统的学习,最好有一定相关工作经历。

  1.1.2.3 管理者代表

  公司应按标准要求任命管理者代表。

  应由最高管理者指定;管理者代表应是公司管理层成员;

  管理者代表应具有如下职责:

  确保按照标准规定建立、实施和维持IT服务管理体系要求;向管理者报告体系的执行情况,以便评审和改进管理体系;管理者代表的职责还可以包括就IT服务管理体系方面与外部机构的联络。

  1.1.3 系统调查、诊断

  1.1.3.1 通过诊断,达到以下目的:

  现有体系与标准的符合性:找出与标准之间差距;找出形成这些差距原因。

  1.1.3.2 选择合适的IT服务管理体系标准及其补充要求:

  根据公司运作需要、合同要求、产品特点从ISO9000或其他标准中选择适合于企业的管理体系标准;

  在此的基础上对选定标准进行必要的增删,提出对IT服务管理体系补充要求。

  1.1.3.3 识别确定对服务管理体系进行修改的内容:

  体系标准和要素选择;机构调整内容;体系文件清单;需新编制的文件(清单)

  1.1.3.4 诊断的依据

  诊断工作一般应按某一合适的IT服务管理体系标准、主要合同和本单位一些基本法规。根据各单位具体情况,诊断的依据可以归纳成如下几个方面:

  管理体系标准:例如ISO20000标准;

  诊断所选择的标准与申请认证的标准应是同一类型的。

  合同:

  IT服务管理体系应能基本满足各客户的要求,因此,合同应是论断的一个重要依据。

  本单位的基本规定、规程:

  如有关标准化方面的、有关监控方面的、有安全方面的等等,这些规定、规程是否合理及合理的内容是否被有效运行,诊断时要检查的内容。

  社会或行业有关法规

  IT服务管理体系不仅要满足管理体系标准、合同和公司有关规定,还应该符合国家、地区、行业有关法律、法规、规章制度的要求,诊断时应作为考虑。

  ⑴.有关安全法规;

  ⑵.有关服务法规;

  ⑶.有关环保法规;

  ⑷.有关劳动法规

  1.1.3.5 实施诊断的人员

  实施诊断员可以是公司内部的人员,也可以公司委托的外部机构,如谘询机构的人员,因此实施诊断的人员可以有如下几方面:

  谘询人员:

  如果公司聘请了谘询人员,诊断工作可以其为主进行。为此谘询机构可以委派专门诊断、检查工作组,制订计划,在企业确认的基础上按计划进行诊断。

  内部审核员:

  如果公司有经培训合格并胜任该项工作的人员,可以授权其进行诊断工作。

  第三方审核机构的人员:

  如果公司有需要,可以聘请外部审核机构的审核员为公司进行诊断

  1.1.3.6 诊断工作的实施过程

  确定诊断小组。

  确定诊断依据和诊断物件。

  制订诊断计划,编制诊断工作文件。

  现场诊断检查

  ⑴.与现场人员交谈,了解情况;

  ⑵.检查现场文件和记录;

  ⑶.如实记录体系运行现状。

  提交诊断报告

  ⑴.不合格报告;

  ⑵.诊断结论;

  ⑶.体系文件清单;

  ⑷.需新编制和修订的文件(清单)。

  1.1.4 职能分工、体系设计

  1.1.4.1 制订IT服务管理方针;

  1.1.4.2 任命管理者代表主要责任:

  协助管理者确保按标准的要求建立IT服务管理体系。

  负责体系的实施和维护。负责组织内部管理体系审核,向最高管理者报告体系执行情况,以便评审和改进。

  就IT服务管理体系方面问题与外部联系。

  1.1.4.3 选择体系标准和要素

  管理体系要素选择

  ⑴.根据合同要求,可删去所选择标准中包含的某些服务管理体系要素或分要素,还可以涉及体系要素证实程度的调整;

  ⑵按合同要求,规定对管理体系的补充要求,例如统计程序控制要求、安全性要求等。

  设计调整组织机构

  ⑴各部门职责应覆盖标准要求.

  ⑵各部门有清楚的职责。

  ⑶各部门工作之间有合理的衔接。

  ⑷职能分工形成书面文件,并经充分讨论。

  ⑸应把有关管理的策划、控制、协调、检查、改进工作都反映出来。

  确定新体系中文件结构

  ⑴典型文件层次

  编写文件、试点运

  1.1.5 编写文件

  1.1.5.1 列出文件清单:

  IT服务管理体系

  ⑴手册的构

  ⑵职能的分配

  ⑶组织结构

  ⑷手册中要素描

  ⑸有关支持性文件(针对某个具体事件的管理办法、工作流程、或者详细说明)

  程序文件

  ⑴需编制哪些程序文

  ⑵每个程序文件对应标准哪个要

  ⑶各程序文件之间有无重复、有无遗

  ⑷各程序文件形成的记录

  ⑸有关支援性文件

  工作文件

  ⑴作业指导

  ⑵技术类文

  ⑶管理文件

  ⑷报告和表格

  1.1.5.2 明确哪些旧文件作废、哪些保留

  1.1.5.3 分配文件编写任务:

  各部门参与

  1.1.5.4 起草文件

  1.1.5.5 文件讨论:

  内部讨论─适用性

  外部检查─完整性

  1.1.5.6 文件批准发效

  审核、批准

  复印、装订

  受控、登记

  发效、签收

  1.1.6 试点运行

  1.1.6.1 向工作人员进行体系文件的交代:

  手册:特点、使用、保管要求;

  程序:特点、注意事项、形成记录、各程序之间介面;

  工作文件:需要掌握关键问题如何记录,报告不合格品。

  1.1.6.2 培训、宣传:

  培训:岗位培训;

  特殊岗位培训考核;

  管理人员程序文件培训;

  全员IT服务管理方针、目标培训。

  宣传:管理方针;

  试运行计划;

  ISO20000认证计划;

  体系文件内容介绍。

  1.1.6.3 其他配套工作:

  监控;

  合格分承包方许定;

  标识的制作。

  1.1.6.4 试运行:

  补充完善基础工作:边运行,边完善第三层次文件;

  修改体系文件:边运行,边修改不合适的文件;

  作为记录并保存好记录以推供证据。

  1.2 内部审核、正式运行

  1.2.1 部审核、管理评审:

  至少进行一次内部审核,按ISO20000要求制订审核计划、审核清单、审核报告、不合格项的跟踪和监督等有关活动记录和文件应保存完好,以便以认证检查。

  至少安排一次管理评审,以评价新体系的有效性和适用性,同时积累一次管理评审活动记录,评审按程序文件要求进行。

  1.2.2 正式运行:

  通过内部审核、管理评审,对体系文件中不切合实际或规定不合适之处进行及时的修改,在一系列修改後,发布第二版管理手册、程序文件进行正式运行。

  1.3 内部审核,准备认证

  1.3.1 为了减少认证一次通过可能存在的某种风险,在由第三方正式审核之前,可以由内部审核组成类似的外部机构进行一次内部审核或请已确认的认证机构进行预审。

  1.3.2 企业应本着对自己有利的观点选择认证机构,一般应从以下几个方面考虑:

  客户要求;

  企业所在地区;在选择认证机构时应在原则上既近又便;

  认证机构的认证范围和有效性;

  费用;正常认证收费和交通、食宿等其他费用。

  1.4 正式审核,体系维持

  1.4.1 接受所选择的认证机构的正式审核。

  1.4.2 体系维持与提高

  检查现场中问题,不断地改进和巩固;

  进一步完善体系文件,加强协调监督工作

 

ISO20000管理介绍

  1)管理体系:

  目标:提供包括策略和架构的管理体系,使IT服务被有效的管理和实施。

  内容:提出对管理层的职责要求、服务过程中的文件管制要求、人员的培训要求。这一部分明确了一个IT服务商需要建立一个管理体系,并对这个管理体系提出了一系列的要求。

  2)计划与实施服务管理:

  目标:PDCA应用于全部的流程。

  内容:提出了对服务管理体系的计划、实施、监控评审、改进。这一部分明确了体系整体层面的PDCA要求,引入了ISO9001中的内审与管理评审等精神,同时非常注重体系的改进。

  3)计划和实施新的/变更的服务

  目标:确保新服务和变更服务以协商的成本和服务质量来交付和管理。

  内容:提出当一个新的服务或服务发生变更时,如何进行管理控制,并通过资源的布署,利用变更流程执行评审。

  4)服务级别管理

  目标:定义、协商、记录和管理服务级别。

  内容:提出了文件化的服务级别协议、支持服务协议、供应商合同要求,阶段性进行评审报告实际情况,并做服务改进。

  5)能力管理

  目标:确保IT服务商一直保持有效的能力去满足当前和未来客户的业务需求。

  性能管理

  目标:确保服务提供者在任何时间都有足够的能力来满足当前和未来的客户业务需求。

  能力管理必须产生、维护一个能力计划。

  能力管理必须满足业务需求,包括:

  a) 当前的和未来的能力和性能需求

  b)服务升级时间、阀值和成本

  c) 对计划的服务升级、变更请求、新技术和新技能对能力所产生的作用的评估

  d)外部变更对能力可能产生的影响,比如法律的

  e) 用来进行预测分析的数据和流程

  监控服务能力、调整服务绩效、提供足够能力的方法、步骤和技术必须被明确。

  内容:提出了能力计划制订要求,并需要进行相应的能力监视及调整,包括相关的程序与技术。

  6)服务持续性和可用性管理

  目标:确保在所有情况达到承诺给客户的服务持续性和可用性。

  内容:提出了开发可用性与持续性计划的要求,并定义对此计划的维护与变更控制,同时需要进行相应的测试,以保障服务目标。

  7)信息安全管理

  目标:有效地管理所有服务活动中的信息安全。

  内容:提出了信息安全的方针要求,定义对风险的控制及信息安全事件的管理。

  8)财务管理

  目标:提供服务成本的预算和核算。

  内容:提出了对服务成本进行充分控制的要求,明确IT服务商需要如何有效管理预算。

  9)业务关系管理

  目标:在理解客户和他们的业务基础之上,服务供应商与客户之间建立和维护良好的关系。

  内容:提出了IT服务商需要与客户建立周期性的沟通机制,并重点定义了哪一些信息是必须交互的,同时需要定义投诉流程,并对客户满意度进行测量,以促进服务改进。

  10)供应商管理

  目标:管理供应商,以确保无缝、有品质的服务。

  内容:提出了对服务供应商的管理要求(含直接供应商与分包供应商),并定义了周期性的评审机制,以确保业务需求的满足。

  11)事件管理

  目标:尽快恢复承诺的服务或响应服务请求。

  内容:提出了事件的生命周期管理,明确了事件的分类分级要求,并强制规定了事件处理过程中的处置要求。

  12)问题管理

  目标:主动识别和分析事件的原因,管理问题的关闭,以减少对业务的破坏。

  内容:提出了问题的生命周期管理,明确了问题的分类分级要求,并定义了问题流程对事件流程的支持要求,以及知名错误的标识要求。

  13)配置管理

  目标:定义并控制服务和基础设施的组件,维护准确的配置信息。

  内容:提出建立了配置策略的要求,定义了配置管理的信息边界,同时对唯一性标识以及基线也做了明确规定,对CMDB的强制性规定,同时要求做周期的审计。

  14)变更管理

  目标:确保以受控的方式去评估、批准、实施和评审所有变更。

  内容:提出了变更的分类,变更不成功的补救措施要求,定义了变更的趋势分析,紧急变更需要适当的授权控制。

  15)发布管理

  目标:交付、分发和跟踪版本进入现实环境时的一个或多个变更。

  内容:提出了发布恢复和补救要求,并要求建立可控的测试环境,以保障分布过程。

 

ISO/IEC20000-1:2011新版与老版ISO/IEC20000:2005的区别

  2011年4月15日,国际标准化组织遵循所有标准每隔5年必须进行升级的原则以及出于对术语国际化和一致性的考虑,正式发布IT服务管理最新国际标准ISO/IEC 20000-1:2011新版融入了ISO20000至2005年发布以来业界的实践经验和行业新的变化。

  一、2011版概述

  2011版标准的要求包括了服务管理体系(SMS)、设计和转换新的或变更的服务以及包含了4大过程(process)、13个流程(process3)共计256个控制点,服务管理体系

  2011版与2005版的区别

  1.思路上:进一步明确了服务管理体系(SMS),阐述了服务管理体系、服务管理流程、服务之间的相互关系

  2.内容上:

  a.范围:此为新增内容,主要说明哪些组织适用于进行ISO/IEC20000认证

  b.其他部门运营流程的治理:此为新增部分,主要说明服务提供商需要其他组织运营服务管理流程的某些部分时,服务服务提供商应识别这些流程,并通过某种方式对其进行治理

  c.策划和实施新服务或变更的服务:考虑到与ITILv3的一致性,将其更新为设计和转换新服务或变更的服务

  d.文档需求:进行了扩展,并与ISO9001相一致

  e.资源管理:进行了扩展,并与ISO9001相一致

  f.PDCA中的监视、检查流程:与ISO9001相一致,将内部审核和管理评审进行独立描述

  g.能力管理流程:进行了扩展和详细阐述,因为它以前是一个比较弱的流程

  h.信息安全管理流程:与ISO27001 进行了更多的融合,但仍以子集的形式保持,通过将内容拆分成策略、控制、安全事件和变更

  i.事件管理流程:考虑到与ITILv3的一致性,将事件管理扩展为事件和服务请求管理

  j.发布管理:扩展为发布和部署管理,并归入到控制管理流程

  k.形式上:由2005版的16页变化为2011版的26页(更多的定义与扩展介绍4页;扩展内容列表与其他子标题2页;其他需求4页)

  新证转换

  1.转换时间安排

  a.认可机构通常认可18个月的转换周期; ISO20000-1:2011 2011-04-15日发布,通常2012-10-14日后不可再发ISO20000-1:2005版本证书

  b.第一阶段:2011-04-15到2011-10-14之间客户仍然可以申请ISO20000-1:2005认证;在第二年的定期审核或换证审核时再做版本转换.

  c.第二阶段2011-10-15到2012-10-14日客户只能申请ISO20000-1:2011认证

  2.转换准备阶段

  a.通常各认证机构会有一个准备周期,准备周期的时间通常是3个月;认证机构的准备周期需要向认可机构申报,并获得同意

  b.如果获得认可机构(例如UKAS)批准,转换周期的安排会顺延3个月

  c.顺延后的时间安排是,第一阶段2011-07-15到2012-01-14日;第二阶段是2012-01-15到2013-01-14日

  3、对于计划通过认证的企业:

  a.在2011/10/15日之前,可以继续申请2005旧版标准。(注:此处的申请为审核机构向上级机构的申请,也就是说你已经通过了第二次外审了)但第二年续审时必须采用新版标准。也就是说你可以先以ISO/IEC 20000-1:2005拿到证书,但是未来的一年里你还必须按照新版标准的要求,补足与新版的差距,否则第二年无法通过续审。

  b.2011/10/15日之后,则必须使用2011新版标准。对于那些计划在此时间之后获得证书的企业,建议现在开始就用新标准要求来建立你企业的IT服务管理体系,否则到时认证时将会有较大的差距。

  4、对于已获得2005旧版标准认证的企业:

  a.在2011/10/15日之后的续审,必须使用2011新版标准。也就是说未来几个月时间,你的企业必须补足与新版的差距,否则无法通过续审。

  b.在2012/10/15之后,ISO/IEC 20000-1:2005旧版证书将失效,要做换证工作,换为新版标准证书。

 

回到首页 | 最新文章 | 联系我们

咨询热线:021-60528029 60528019 13817262650
地址:上海市沪闵路6088号莘庄凯德龙之梦商务楼1132室
邮编:201109

与一般的咨询公司相比SQS赛学提供的咨询服务强调提高企业的管理质量
通过完善企业基础管理从而快速有效的取得认证,进而提高公司的盈利和竞争力。

版权所有 SQS
CopyRight @ 2004
网站地图