本书将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面来介绍认证准备阶段工作。事实上,虽然这四部分内容是大多数组织通过IT认证所必不可少的,但由于每个组织的组织架构和管理基础的不同,前期准备需要完成的具体工作会有一定的差异,通过认证的过程也会不同。因此,组织应“因地制宜”地开展认证实践工作。
认证实施计划
认证实施计划是认证方案书中的核心部分之一。提到计划,通常的理解就是步骤、任务、人员、周期、里程碑等内容,使用专业的工具如MS Project、Excel进行编辑和制定。按照项目计划的常用制定方法基本可以覆盖认证计划的主要内容,但必须注意认证实施计划与一般工作计划几个细节上的区别:
1) 本书前面已经介绍过,认证过程主要分为前期准备阶段、差距分析阶段、流程建立改进和试运行阶段、认证审核阶段等。各个阶段的时间和人员分配取决于组织自身的成熟度,可以适当调整几个阶段的资源分配。如果IT服务管理的基础较好,前期准备和流程建立改进阶段时间可以大大减少。
2) 始终牢记各个流程必须全部达到ISO 20000的要求才能获得认证,因此资源适当向基础薄弱、离标准要求有一定距离的管理流程,提早启动流程建立和改进阶段工作。
3) 认证计划中需要包括审核机构的部分,由于整个审核过程会包括几批次,每批次之间另有再改进的时间,同时每一次审核需要提前预约,因此整个实施计划建议预留一些时间给审核机构。
俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息方针、完整的信息管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息管理体系,从预防控制的角度出发,保障组织的信息系统与业务之与正常运作。
ISO20000认证标准是首部颁布的,被用作处理信息技术服务范畴的世界标准,来自各个IT职业的服务专家是ISO20000认证标准的制定者。该认证系统具体规定了IT服务职业的一些相关服务标准。但凡与IT服务职业有联系的安排组织都是ISO20000认证标准的需求者。
认证好处:
1.符合法律法规要求
证书的获得,可以向机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统、知识产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任
证书的获得,可以强化员工的信息意识,规范组织信息行为,减少人为原因造成的不必要的损失。
3.履行信息管理责任
证书的获得,本身就能证明组织在各个层面的保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
证书的获得,可以强化员工的信息意识,规范组织信息行为,减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
的信息管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本
ISMS的实施,能降低因为潜在事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到程度