|
|
|
|
|
|
來源: 發布日期:2015.02.09 點擊量:
一、 什么是IT多管理體系融合咨詢
隨著信息技術的不斷發展深化,企業開始逐步通過建設各類管理體系并通過認證來提升自己的管理水平,常見的管理體系包括ISO27001 信息安全管理體系、ISO20000 IT服務管理體系等,為了確保企業內部各類管理體系的有效運轉,提升管理體系運作效率,降低類似工作的重復開展,企業有必要開展多管理體系融合咨詢活動,常見的IT管理體系融合一般是將信息安全管理體系與IT服務管理體系進行融合,部分企業為了提高整體業務水平,還通過了ISO9000質量管理體系,在這種情況下,也需要考慮與質量管理體系的融合。
二、 多體系融合的重要意義
1. 提升工作效率
通過開展IT多體系融合工作,可以將管理體系共性的內部審核、績效評價、管理評審、糾正預防等工作的開展實現同步開展,簡化工作流程,提高工作效率。
2. 明確工作事項
通過開展IT多體系融合工作,可以將各管理體系之間的部分進行有效梳理,通過對相關體系文件的修訂完善,實現各管理體系具體要求之間的有效關聯映射,避免各項具體要求的重復或沖突。
3. 便于考核評價
通過開展IT多體系融合工作,可以將針對各管理體系的考核評價進行有機整合,從實現對企業自身信息安全管理和IT服務管理的綜合評價,為企業發現內部IT工作的不足,有效推動后續改進提供支持。
三、 多管理體系融合的基本方法
多管理體系融合時需要考慮管理體系自身運作要求以及體系各項具體要求
1. 體系自身運作要求
無論何種管理體系基本都會包含體系方針、策劃要求、運行要求、評價要求、改進要求和管理評審要求等
2. 體系各項具體要求
通過上述分析可以看出,信息安全管理體系和IT服務管理體系之間存在諸多交叉關聯的內容,在進行管理體系整合時,應分析各體系之間的交叉內容,對相關體系文件進行合理修訂完善,實現完善的關聯映射關系。
四、 多管理體系融合的注意事項
針對多管理體系融合工作,安言咨詢認為應該抓住管理體系建設的實質,盡量減少體系建設和運行中的重復環節,避免重復建設,應重點注意:
1. 盡量使用統一的文控管理規范和編碼規則,梳理不同體系文件之間的相互關聯關系,減少交叉內容,明確外部引用,避免文件的重疊和沖突;
2. 采用統一的體系管理組織建設思路,按照“管理層、協調層、執行層”的三層架構進行構建。使得該管理架構可以適用于任何一種體系建設標準,只需要在各層次內指定相應的工作角色,而不需要對組織架構進行大的調整。
3. 建立統一的審核管理和體系度量機制,信息安全管理體系的內審活動、管理評審活動和體系有效性度量的組織和開展與ISO20000遵循相同的方法和步驟,差別僅在于具體內容和側重點不同。
1. 體系文件的整合
在引入或者建設一個新的管理體系,應首先考慮修訂已有的文件制度,通過文件版本的升級,使現有的文件制度能夠體現新的管理體系的要求。對于增加新的文件制度應慎之又慎。
在引入或者建設一個新的管理體系時,應充分使用索引或文件名稱引用的方式,禁止已有的管理制度要求在新的制度里重復出現,以避免隨著時間的推移,兩個制度文件因版本更新步伐不一致而導致制度之間的沖突。
2. 關鍵活動的設計
無論ISO20000體系還是ISO27001體系,實施過程中內審、管理評審、檢查度量等關鍵活動的形式和方法是一致的,有關體系文件控制、記錄管理的要求也是相同的。因此,本項目的關鍵活動應與ISO20000體系維護中的關鍵活動進行統籌考慮,明確項目各個階段的具體關鍵活動目標、內容和形式,避免重復組織和實施活動,減少體系運行的資源消耗。
相關客戶案例: