今日导读
从谷安天下成立至今,我们已为各行业数家企业实施过ISO 20000、ISO 27001、ISO 9000各种国际标准认证类咨询项目,越来越多的客户出于各种驱动力想基于ISO系列标准建立自己公司内部的管理体系规范,并且获取相应的国际认证。在与客户前提接触过程中,经常会碰到客户向我们的咨询顾问或销售询问,到底是先实施IT服务管理体系通过ISO 20000认证还是先建立信息安全管理体系通过ISO 27001认证、或者同时实施,选择不同的实施顺序风险在何处?收益有哪些?
根据多年积累的经验,通常我们会建议客户从以下几个角度分析此问题,根据分析结果自然就能较清晰的确定自己的实施顺序(即短期或长期规划)或此类体系建立实施项目的目标和范围。
企业所面对的客户需求
作为IT服务提供者,无论是为内部客户还是外部客户提供IT服务,需要如何建立内部规范制度或选择参考哪个标准建立管理体系,都首先从客户关注点或客户需求出发,若客户对信息安全方面比较关注,或提供服务过程中,作为IT服务提供者会接触、保存或处理大量的客户敏感信息,则考虑以建立信息安全管理体系为优先,例如很多为政府或大型央企、国有企业提供IT服务的企业、BPO行业,往往会选在通过ISO 27001认证为优先,他们所面对的客户群自身就要满足各种信息安全方面的要求(例如等级保护、分级保护、涉密系统的维护等),或在给客户提供服务中需要保留大量的客户重要信息(例如为客户开发软件的源代码、客户未发布测试中的各种新型产品等);同样,若客户对服务或服务交付能力方面比较关注,则考虑建立IT服务管理体系为优先,例如很多为金融行业、通信行业、制造业和服务行业的客户提供IT服务的企业,往往以通过ISO 20000认证为有限,他们所面的客户群自身也在为其服务对象对内/外提供各种服务甚至也准备或已经通过了ISO 20000认证,他们为了能为其客户提供更优质的服务或提高服务效率,往往在选择IT服务供应商时会提出专业的具体的服务级别、服务流程和服务响应等各方面要求(例如服务资质、服务交付能力的考核、明确的服务级别协议),以便支撑其业务良好远作发展。
因此在资源有限的情况下,建议企业先考虑目前重点服务对象的关注点和成熟度,作为先自身体系建立规划的考虑要素之一。
同等规模同行业的最佳实践
每个行业都具备几个领头企业,对于已经处于所在行业的领头企业,想依托国际标准进一步提升内部管理水平,可参考国外一些同类规模企业的实践过程,无论ISO 20000还是ISO 27001标准在欧美一些国家已经有了很多实践案例,可以供企业参考,对于处于正在朝行业领头企业发展的国内企业,可参考行业内的领头企业或同等规模企业的发展实践,看看自己的竞争对手或行业标杆企业都是如何提升内部管理,是先建立的IT服务管理体系还是先关注的信息安全管理水平的提成,其他企业的实践经验和教训的总结可以给企业的自身发展提供很有价值的资料。增进同行业的交流,可以是自身少走弯路,找到更多的捷径和管理经验。
谷安天下一直不定期的举办面向不同行业的沙龙、研讨会议等各种活动,通过各种活动促进为各行业企业提供交流平台,分享管控经验共同成长,具体请关注我们的网站www.gooann.com)。
各相关监管机构的要求
通常企业设计自身管理体系时,都会综合考虑各相关方要求,其中之一也是所面对的各监管机构的要求,甚至有时需要更深一步考虑客户所面对的各类监管机构及法律法规要求。因此无论要依据什么管理体系框架或国际标准规范内部管理前,还是建议企业能先识别出自身所要考虑和满足的各类监管机构、国家相关法律法规、内部审核和合规部门、第二方(客户方)和第三方审核机构出台的各类要求。根据这些硬性要求内容,来选择可参考的管理体系框架或国际标准来实施。
企业自身发展需求
对于IT服务提供者,选择认证类体系实施前,除了上述外部驱动外,不应忽略到自身的业务发展方向或规划,也许目前所服务的客户或内部业务部门还没有对服务或信息安全提出明确需求,但从企业自身发展规划或预期拓展的客户领域角度考虑,也可以为决定体系实施前后顺序提供引导。优化内部管理的最终目的还是为了支持企业业务发展,因为无论通过ISO 20000认证还是ISO 27000认证都是要以业务目标为驱动,站在公司业务发展角度进行IT治理的规划。
企业自身资源局限性
近来我们面对的越来越多客户希望通过一段时间的集中整改优化,建立起同时符合ISO 20000和ISO 27001两个标准要求的一套整合管理体系,如果单纯从项目实施的角度看,通过一个项目实施,的确前期可以节省许多工作量,面对这类客户,我们也已经形成了一套成熟的整合管理体系实施方法论,其中现状调研和差距分析、配置项和信息资产的收集、内部审核管理评审以及体系文件的编写工作都可以一起开展,的确从时间、双方人员投入角度都节省了大量资源,但体系发布后,企业在体系运行阶段的初期会面
