趋势引领
Trendsetting

IT综合管理-序言IT管理规划IT组织架构设计绩效管理体系设计IT人员能力管理IT服务人员胜任力评估IT服务战略研讨管理变革意识宣传IT综合管理IT服务管理-序言ISO20000IT服务管理体系建设ISO20000&ISO27001体系整合建设容量管理深化-人员容量分析可用性管理深化-CFIA分析服务级别管理深化-服务目录设计知识管理深化-知识库管理咨询发布管理深化-最终介质库建设供方管理深化-外包服务管理咨询ITSM工具建设监理服务IT服务管理信息安全与风险管理-序言ISO27001信息安全管理体系建设ISO20000&ISO27001体系整合实施咨询BIA业务影响分析信息安全风险评估咨询服务基于ISO27001的差距评估基于等级保护的差距评估个人信息保护管理体系建设信息安全与风险管理项目管理-序言PRINCE2项目管理体系建设咨询基于PRINCE2和CMMI的软件项目管理流程设计PMO运营咨询项目管理业务连续性管理-序言业务连续性管理咨询应急预案设计 演练策划业务连续性管理IT合规与审计-序言基于COBIT5的能力成熟度评估及改进银行业监管要求符合性建设证券会运维管理规范符合性建设IT审计内审及管理评审协助IT合规与审计业务敏捷ABP课程数字化商业模式架构师认证(CDBMA)培训CCRC-CDO首席数据官招聘线上大讲堂
设为首页 | 收藏本站
联系方式
 免费学习材料领取
 工作时间
周一至周日 :0:00-24:00
 联系方式
客服热线:010-51078703
企业邮箱:zhu.hong@trendsetting.com.cn

整合的管理体系建设

整合的管理体系建设

案例名称   某金融机构ISO20000 &ISO27001体系整合建设项目

项目背景

某金融机构为提升业务管理水平,自2005年开始实施ISO9001质量管理体系。ISO9001体系实施以来,公司的整体管理水平明显提高。但ISO9001作为企业整体管控的标准,虽然覆盖了企业的各个职能部门,但对于IT的专业化管理还不够细致。

为迎接管理挑战,满足公司向国际化发展和商业化转型的战略需要,该金融机构决定在信息技术部实施建立ISO20000和ISO27001管理体系并通过国内国际相关认证。

项目实施

该金融机构实施管理体系在策略上决定分两步走,先在总部信息技术部范围内实施并通过认证,然后推广到办事处和具备条件的控股公司。总部项目实施分为4个阶段:现状调查和差距评估阶段、体系建制阶段、试运行阶段、认证审核。

现状调查和差距评估阶段:依据ISO20000和ISO27001标准,通过大量的现场访谈以及对原有管理制度文档、系统的检查回顾,从人员、技术、流程三个方面着手,进行了差距评估,导出有针对性的53个改进课题。公司管理层听取了汇报,肯定了整改的方向。

在流程建制阶段:与公司管理层明确了信息技术“规范、安全、高效、创新”的管理方针。为保证项目的顺利开展和两个标准的导入,组织了全国范围内IT相关岗位的IT服务质量意识与信息安全培训。在趋势引领顾问帮助梳理业务流程,发现业务操作问题和管理盲点,依据标准要求和公司管理需要进行体系制度的建立和完善。

本项目特点是既要满足IT服务质量管理体系与信息安全国际标准,又要继承现有ISO9001管理体系,实现ISO9001、ISO20000和ISO27001管理体系的整合。新的管理体系由基于服务的、横向的管理流程和基于业务处理的、纵向的管理规程,以及融入到流程、规程、办法、手册中的信息安全管控措施三部分构成。

试运行阶段:全体人员参与,检查管理体系的执行的有效性和适宜性。为保证发布的新的管理体系的顺利执行,咨询顾问组织了两次集中贯标培训和14次分小组贯标培训。依据体系文件以及ISO9001、ISO20000、ISO27001标准,顾问带领该金融机构内审员对各职能组、外包开发和运维团队开展内部审核。内审方式包括访谈、现场走查和查看记录等,对前一阶段的工作进行全面检查、发现并及时解决问题,向公司领导汇报管理评审结果。中国信息安全认证中心(ISCCC)和英国管理体系认证有限公司(BSI)在预审核时肯定了体系建制符合ISO20000和ISO27001标准,提出管理体系的不足及改进建议。咨询顾问帮助信息技术部立即落实整改计划。

正式审核阶段:审核由英标管理体系认证有限公司(BSI)和中国信息安全认证中心(ISCCC)联合举行。在文件审核中,联合审核小组审核了该金融机构信息安全和IT服务质量管理体系对两个标准的符合性。在现场审核时,联合审核组主要审核了标准的执行情况,肯定了该金融机构对ISO9001、ISO20000和ISO27001体系的整合成果。

客户收益

首先,整合了ISO9001、ISO20000和ISO27001标准的管理体更加注重服务质量。新体系设置了一系列KPI指标,建立了服务报告、客户满意度调查、服务台和投诉受理等相关制度。明确职责,签订服务承诺书,定期回顾检查各项服务承诺的履约执行情况。

其次,重视信息安全。新体系设立了安全质量相关岗位,明确职责,将信息安全监督、检查列入日常管理工作。通过本项目实施,彻底解决了长期困扰的灾难备份和系统恢复问题,并为实现集团化信息管理平台创造了条件。

第三,更加强调规范操作。新体系针对该金融机构IT服务工作大量外包的实际情况,对软件开发、系统运维、产品采购、网站管理制订了明确的业务操作流程和管理要求,监督、检查外包服务团队的执行情况。基于国际化管理标准建立的新体系,为该金融机构广泛建立合作伙伴关系、参与市场竞争奠定了信息技术支持基础。

第四,PDCA持续改进的企业文化已经形成。业务的发展、市场环境的变化以及有关法律法规和监管规定日趋严格,要求该金融机构管理体系具备持续自我完善的能力,以保证其对相关标准要求的动态符合性。该金融机构整合后的管理体系已经具备了跟踪外界变化,自学、自查、自我纠正的管理机制和能力,为信息服务的深化和拓展提供了保障。

随着标准的实施和认证以及后续几期深化项目的顺利开展,该金融机构在信息安全和IT服务管理方面的规范管理能力不断提高,顺利通过后续的监督审核。该金融机构信息技术部从人员能力、工具部署和管理制度几方面在集团各公司中的IT管理方面走在了前列。

客户评价   ISO20000&ISO27001双认证项目是一项富有挑战性的项目。在已有ISO9001的基础之上,建立起同时满足ISO9001、ISO20000和ISO27001三个标准及该金融机构管理者要求的“三合一”的管理体系是一次尝试和创新。顾问能从实际工作流程出发并融合业务需求,不是片面机械地套标准要求,将体系进行了很好的无缝整合。这为以后体系的部署执行奠定了强有力的基础,对工作有真正价值。

在有限的时间内使体系得到大部分员工的认知和遵守,审核中每个人都对体系新的要求和变化及自己的职责和差距有比较深刻的认识,这是体系实施最重要的生命力,离不开顾问的辅导与帮助。


文章分类: 培训课程