主要內(nèi)容包括:建立項(xiàng)目組織��、前期準(zhǔn)備、差距分析���、制度建立、培訓(xùn)宣貫�����、認(rèn)證審核���。下面小編分別介紹下每一步的具體內(nèi)容�。
堅(jiān)持“一把手工程�、全員參與”的原則,在體系建設(shè)期間,建立項(xiàng)目管理領(lǐng)導(dǎo)組�����、項(xiàng)目管理工作組兩級(jí)專項(xiàng)工作組����,負(fù)責(zé)IT管理體系的建設(shè)工作。
(1)項(xiàng)目管理領(lǐng)導(dǎo)組
人員構(gòu)成:由組織“一把手”(如數(shù)據(jù)中心總經(jīng)理)擔(dān)任組長(zhǎng)���,由負(fù)責(zé)體系建設(shè)的高級(jí)管理者(如數(shù)據(jù)中心副總經(jīng)理)和咨詢公司總經(jīng)理?yè)?dān)任副組長(zhǎng)�。
職責(zé):負(fù)責(zé)審定管理體系建設(shè)及ISO20000、ISO27001國(guó)際標(biāo)準(zhǔn)認(rèn)證專項(xiàng)工作總體方案�,明確工作目標(biāo);聽(tīng)取管理體系建設(shè)及ISO20000����、ISO27001國(guó)際標(biāo)準(zhǔn)認(rèn)證專項(xiàng)匯報(bào),對(duì)相關(guān)工作開(kāi)展做出決策����,及時(shí)推進(jìn)項(xiàng)目和解決實(shí)施過(guò)程中的重大問(wèn)題。
(2)項(xiàng)目管理工作組
人員構(gòu)成:數(shù)據(jù)中心項(xiàng)目經(jīng)理���、數(shù)據(jù)中心項(xiàng)目質(zhì)量經(jīng)理��、數(shù)據(jù)中心項(xiàng)目工作組成員��、咨詢公司項(xiàng)目經(jīng)理�����、咨詢公司質(zhì)量經(jīng)理和咨詢公司顧問(wèn)���。
職責(zé):負(fù)責(zé)制定工作總體方案和實(shí)施計(jì)劃,細(xì)化階段工作具體任務(wù)和內(nèi)容����;隨時(shí)了解整體認(rèn)證工作的開(kāi)展情況��,定期向項(xiàng)目管理領(lǐng)導(dǎo)組匯報(bào)��;落實(shí)項(xiàng)目管理領(lǐng)導(dǎo)組指示,及時(shí)組織推動(dòng)具體工作事項(xiàng)����;實(shí)施完成認(rèn)證項(xiàng)目;負(fù)責(zé)推進(jìn)管理體系建設(shè)及認(rèn)證工作中跨職能單位的專項(xiàng)工作任務(wù)�;按照標(biāo)準(zhǔn)要求,在項(xiàng)目實(shí)施階段負(fù)責(zé)對(duì)數(shù)據(jù)中心管理體系建設(shè)工作進(jìn)行監(jiān)控��、度量和審查���,并為后續(xù)建立持續(xù)優(yōu)化的長(zhǎng)效工作機(jī)制奠定基礎(chǔ)����。
1���、了解體系認(rèn)證要求
對(duì)于想要獲得ISO20000����、ISO27001等體系認(rèn)證的機(jī)構(gòu)來(lái)說(shuō),需要在體系建設(shè)項(xiàng)目實(shí)施前對(duì)體系認(rèn)證的基本要求進(jìn)行了解��,如公司資質(zhì)�����、認(rèn)證對(duì)于相關(guān)方的利益和認(rèn)證風(fēng)險(xiǎn)等方面的內(nèi)容���。準(zhǔn)備實(shí)施體系建設(shè)的機(jī)構(gòu)應(yīng)預(yù)先同認(rèn)證審核機(jī)構(gòu)溝通��,填寫(xiě)認(rèn)證申請(qǐng)材料�����。
2����、明確體系認(rèn)證目標(biāo)
組織應(yīng)當(dāng)使建立的管理體系符合于組織的發(fā)展規(guī)劃和長(zhǎng)期目標(biāo)���,滿足組織的發(fā)展要求和企業(yè)愿景�,使體系成為組織成員共同認(rèn)可��、接受的價(jià)值觀����,并轉(zhuǎn)化為自身工作中追求的組織使命�、任務(wù)�����、目標(biāo)及價(jià)值信念��。
組織實(shí)現(xiàn)體系認(rèn)證的驅(qū)動(dòng)力會(huì)影響到體系建設(shè)及認(rèn)證項(xiàng)目的實(shí)施方式���。如果組織獲得體系認(rèn)證的主要原因只是因?yàn)樵谀硞€(gè)合同中承諾或客戶要求,可能會(huì)使得項(xiàng)目倉(cāng)促實(shí)施��,人員��、資源配置不充足���,導(dǎo)致最終實(shí)施效果不佳���。相反,如果組織獲得體系認(rèn)證的主要目的是幫助組織改善服務(wù)管理能力����、防范信息安全風(fēng)險(xiǎn)�、提升客戶滿意度�,那么組織項(xiàng)目實(shí)施可能會(huì)準(zhǔn)備更充分,項(xiàng)目周期更合理���,風(fēng)險(xiǎn)控制更完善�,資源配置更充足���,體系建設(shè)更加完善并獲得良好的管理��。
3����、評(píng)估組織現(xiàn)狀
基于組織架構(gòu)對(duì)組織進(jìn)行評(píng)估有助于確定組織當(dāng)前的能力以及對(duì)認(rèn)證的準(zhǔn)備情況�����。評(píng)估可以為組織提供對(duì)照的標(biāo)準(zhǔn)�����,找出差距和改進(jìn)的目標(biāo)����。評(píng)估的內(nèi)容通常包括但不限于以下方面:
(1)組織制度����,包括同IT服務(wù)管理和信息安全管理相關(guān)的規(guī)定���、制度��、文件和記錄��;
(2)組織開(kāi)展與服務(wù)管理和信息安全管理相關(guān)的業(yè)務(wù)���、應(yīng)用方面的技術(shù)等;
(3)人員的技能�、能力和意識(shí)���;
(4)運(yùn)營(yíng)及管理的成熟度���,包括工具的使用以及工具與流程的符合度。
在體系建設(shè)開(kāi)始階段�,通常由外部咨詢機(jī)構(gòu)對(duì)組織進(jìn)行評(píng)估。由專業(yè)機(jī)構(gòu)進(jìn)行評(píng)估可以避免組織本身由于對(duì)標(biāo)準(zhǔn)的誤解或忽略而無(wú)法客觀評(píng)估自身現(xiàn)狀的問(wèn)題�����,而且可以借助外部專家的經(jīng)驗(yàn)和技能來(lái)提高評(píng)估的準(zhǔn)確性,更便于發(fā)現(xiàn)問(wèn)題�。通常來(lái)講,在了解組織現(xiàn)狀及明確現(xiàn)有差距后�����,體系的認(rèn)證目標(biāo)和范圍也會(huì)相應(yīng)地做出調(diào)整�����,使之更加符合組織的實(shí)際情況�,幫助組織進(jìn)一步界定認(rèn)證范圍。
4���、界定認(rèn)證范圍
體系認(rèn)證范圍的界定對(duì)體系實(shí)施和審核都有重要意義�。對(duì)于組織來(lái)說(shuō)�����,定義的體系范圍越大�����,體系實(shí)施的工作量也就越大,需要投入的人力���、物力資源也就越多����。因此��,界定體系認(rèn)證范圍時(shí)應(yīng)充分考慮組織的發(fā)展要求�����,達(dá)成成本與收益的均衡���。在體系建立的前期��,咨詢機(jī)構(gòu)將和組織溝通確定認(rèn)證范圍�,包括組織范圍�����、業(yè)務(wù)范圍��、物理范圍及標(biāo)準(zhǔn)范圍�,這也是后續(xù)體系建設(shè)的范圍。
識(shí)別差距是組織體系建設(shè)的前提����,差距分析將為管理體系的制度建設(shè)奠定基礎(chǔ)?����?偟膩?lái)說(shuō)�����,組織ISO20000及ISO27001認(rèn)證的差距就是ISO標(biāo)準(zhǔn)定義的要求與組織IT服務(wù)及信息安全管理實(shí)施現(xiàn)狀之間的差異�。差距評(píng)估的方法主要包括問(wèn)卷調(diào)研、現(xiàn)場(chǎng)訪談�、文檔及記錄的調(diào)閱等。訪談的主要對(duì)象包括組織管理層���、中層主管及骨干員工�。
1����、ISO20000的評(píng)估依據(jù)
IT服務(wù)管理的評(píng)估主要依據(jù)圖4-4開(kāi)展。圖4-4展現(xiàn)了ISO20000:2011管理體系標(biāo)準(zhǔn)的結(jié)構(gòu)和標(biāo)準(zhǔn)的內(nèi)容�。
圖4-4 ISO20000管理體系標(biāo)準(zhǔn)的內(nèi)容
經(jīng)過(guò)對(duì)標(biāo)準(zhǔn)的詳細(xì)拆解�,將標(biāo)準(zhǔn)所要求的管理域和管理流程進(jìn)一步細(xì)化為要求點(diǎn)��,以便于落地執(zhí)行�。ISO20000各管理域和流程包含的要求點(diǎn)如圖4-5所示,19個(gè)流程共包含256個(gè)控制點(diǎn)����。
2、ISO27001的評(píng)估依據(jù)
同樣����,ISO27001的評(píng)估也依據(jù)ISO27001:2013版的標(biāo)準(zhǔn)結(jié)構(gòu)及標(biāo)準(zhǔn)內(nèi)容展開(kāi),ISO27001:2013版共包括14個(gè)控制域�����。
經(jīng)過(guò)對(duì)標(biāo)準(zhǔn)的詳細(xì)拆解��,ISO27001:2013版各章節(jié)和各控制域共包含250個(gè)需落地執(zhí)行的要求點(diǎn)���,如圖4-6所示��。
圖4-5 ISO20000管理體系要求點(diǎn)
圖4-6 ISO27001管理體系要求點(diǎn)
3����、差距評(píng)估方法論
結(jié)合某咨詢機(jī)構(gòu)的專業(yè)經(jīng)驗(yàn)�,A銀行數(shù)據(jù)中心的差距分析主要采用了4-7所示的模型。
圖4-7 差距評(píng)估模型
根據(jù)制度完整情況及實(shí)施水平情況兩個(gè)問(wèn)題�����,本評(píng)估模型的評(píng)分標(biāo)準(zhǔn)按照同ISO國(guó)際標(biāo)準(zhǔn)的差距由大到小共有5種狀態(tài)�����,分別如下��。
NS:既沒(méi)有文檔化制度規(guī)范又沒(méi)有相關(guān)的實(shí)施記錄�����。
P1:文檔化制度規(guī)范和實(shí)施都存在差距或者明顯不足���。
P2:在實(shí)施方面沒(méi)有顯著差距,需要在文檔化制度規(guī)范上加以完善��。
P3:在文檔化制度規(guī)范方面沒(méi)有顯著差距,需要在實(shí)施上加以完善����。
S:沒(méi)有主要差距�。
通過(guò)與ISO20000及ISO27001標(biāo)準(zhǔn)的對(duì)比�����,分析得出現(xiàn)階段流程及規(guī)范距標(biāo)準(zhǔn)的差距�,差距評(píng)估的結(jié)果以圖表形式清晰展示���,樣例如圖4-8所示���。
圖4-8 標(biāo)準(zhǔn)差距圖樣例
圖4-8 標(biāo)準(zhǔn)差距圖樣例(續(xù))
根據(jù)評(píng)估結(jié)果,組織可以明確在制度及實(shí)施方面需要提升的流程或領(lǐng)域�,為下一階段的體系制度建設(shè)提供了依據(jù)。
1�、體系建設(shè)的原則
根據(jù)差距分析的結(jié)果,根據(jù)納入體系建設(shè)的流程或規(guī)范的現(xiàn)行水平進(jìn)行分類�����,設(shè)立不同的建設(shè)目標(biāo)�。
(1)已具備較好基礎(chǔ)的流程及規(guī)范:
以體系化為目標(biāo),優(yōu)化現(xiàn)有流程�,完善操作制度和各報(bào)表;
補(bǔ)全流程缺失的各級(jí)文檔����,形成完整的文檔管理體系框架�;
建立流程的持續(xù)優(yōu)化機(jī)制��,定期對(duì)文檔進(jìn)行審核和回顧���;
基于流程和工具的定義,加強(qiáng)組織內(nèi)的流程意識(shí)宣傳和上線推廣���。
(2)僅有一些片段化的流程及規(guī)范
建立完善流程的管理規(guī)范����,覆蓋流程的全生命周期����,將片段化的流程活動(dòng)納入到統(tǒng)一的管理框架中來(lái);
基于流程框架�����,創(chuàng)建流程的各級(jí)管理文檔��,健全流程管理體系�����。
(3)缺失的流程
加強(qiáng)在組織內(nèi)部的意識(shí)宣導(dǎo)和流程培訓(xùn)活動(dòng);
根據(jù)國(guó)際標(biāo)準(zhǔn)對(duì)流程目標(biāo)和控制點(diǎn)的要求�����,創(chuàng)建流程文檔����,搭建流程體系框架;
結(jié)合組織內(nèi)目前的實(shí)際工作需要���,將流程中的某些點(diǎn)落地實(shí)施�����。
2��、體系制度的建設(shè)方法
體系制度的建設(shè)方法論共分為五個(gè)步驟:
(1)根操差距分析結(jié)果明確差距點(diǎn)�;
(2)基于差距點(diǎn)設(shè)定改進(jìn)目標(biāo)及預(yù)期成果�;
(3)根據(jù)改進(jìn)點(diǎn)整合并形成改進(jìn)課題,成立課題組�,以課題的形式開(kāi)展體
系制度建設(shè);
(4)確定課題的優(yōu)先等級(jí)�,根據(jù)課題的重要程度及復(fù)雜程度確定優(yōu)先級(jí);
(5)制定改進(jìn)計(jì)劃,根據(jù)體系建設(shè)的整體時(shí)間周期及資源情況��,排定改進(jìn)計(jì)劃�。
其中最為核心的課題建設(shè)步驟細(xì)分為六個(gè)子環(huán)節(jié)。
(1)草擬:由外部專業(yè)咨詢機(jī)構(gòu)基于調(diào)研評(píng)估�����,草擬流程文件�����,識(shí)別�、設(shè)計(jì)關(guān)鍵討論點(diǎn)���。
(2)課題負(fù)責(zé)人討論:討論流程范圍�����、存在問(wèn)題����、主要管理要素�����,以及與其他流程間的接口等。
(3)小組討論:課題組成員參與流程設(shè)計(jì)研討��,提出改進(jìn)意見(jiàn)�����,確認(rèn)改進(jìn)方式和目標(biāo)����,并確認(rèn)結(jié)果。
(4)小組評(píng)審:課題組對(duì)改進(jìn)后的流程進(jìn)行評(píng)審�����。通過(guò)評(píng)審�����,確認(rèn)流程文件的有效性���。
(5)集中評(píng)審:領(lǐng)導(dǎo)小組對(duì)課題產(chǎn)出物即體系制度文件進(jìn)行評(píng)審���,正式確認(rèn)并批準(zhǔn)流程文件��。
(6)文件發(fā)布:課題負(fù)責(zé)人做好體系發(fā)布準(zhǔn)備��。
明確體系建設(shè)的原則和方法后�,經(jīng)過(guò)一段時(shí)期的體系建設(shè)��,組織將形成符合ISO20000及ISO27001標(biāo)準(zhǔn)的制度文件�����。
