整合的管理體系建設

案例名稱   某金融機構ISO20000 &ISO27001體系整合建設項目

項目背景

某金融機構為提升業務管理水平，自2005年開始實施ISO9001質量管理體系。ISO9001體系實施以來，公司的整體管理水平明顯提高。但ISO9001作為企業整體管控的標準，雖然覆蓋了企業的各個職能部門，但對于IT的專業化管理還不夠細致。

為迎接管理挑戰，滿足公司向國際化發展和商業化轉型的戰略需要，該金融機構決定在信息技術部實施建立ISO20000和ISO27001管理體系并通過國內國際相關認證。

項目實施

該金融機構實施管理體系在策略上決定分兩步走，先在總部信息技術部范圍內實施并通過認證，然后推廣到辦事處和具備條件的控股公司。總部項目實施分為4個階段：現狀調查和差距評估階段、體系建制階段、試運行階段、認證審核。

現狀調查和差距評估階段：依據ISO20000和ISO27001標準，通過大量的現場訪談以及對原有管理制度文檔、系統的檢查回顧，從人員、技術、流程三個方面著手，進行了差距評估，導出有針對性的53個改進課題。公司管理層聽取了匯報，肯定了整改的方向。

在流程建制階段：與公司管理層明確了信息技術“規范、安全、高效、創新”的管理方針。為保證項目的順利開展和兩個標準的導入，組織了全國范圍內IT相關崗位的IT服務質量意識與信息安全培訓。在趨勢引領顧問幫助梳理業務流程，發現業務操作問題和管理盲點，依據標準要求和公司管理需要進行體系制度的建立和完善。

本項目特點是既要滿足IT服務質量管理體系與信息安全國際標準，又要繼承現有ISO9001管理體系，實現ISO9001、ISO20000和ISO27001管理體系的整合。新的管理體系由基于服務的、橫向的管理流程和基于業務處理的、縱向的管理規程，以及融入到流程、規程、辦法、手冊中的信息安全管控措施三部分構成。

試運行階段：全體人員參與，檢查管理體系的執行的有效性和適宜性。為保證發布的新的管理體系的順利執行，咨詢顧問組織了兩次集中貫標培訓和14次分小組貫標培訓。依據體系文件以及ISO9001、ISO20000、ISO27001標準，顧問帶領該金融機構內審員對各職能組、外包開發和運維團隊開展內部審核。內審方式包括訪談、現場走查和查看記錄等，對前一階段的工作進行全面檢查、發現并及時解決問題，向公司領導匯報管理評審結果。中國信息安全認證中心（ISCCC）和英國管理體系認證有限公司（BSI）在預審核時肯定了體系建制符合ISO20000和ISO27001標準，提出管理體系的不足及改進建議。咨詢顧問幫助信息技術部立即落實整改計劃。

正式審核階段：審核由英標管理體系認證有限公司（BSI）和中國信息安全認證中心（ISCCC）聯合舉行。在文件審核中，聯合審核小組審核了該金融機構信息安全和IT服務質量管理體系對兩個標準的符合性。在現場審核時，聯合審核組主要審核了標準的執行情況，肯定了該金融機構對ISO9001、ISO20000和ISO27001體系的整合成果。

客戶收益

首先，整合了ISO9001、ISO20000和ISO27001標準的管理體更加注重服務質量。新體系設置了一系列KPI指標，建立了服務報告、客戶滿意度調查、服務臺和投訴受理等相關制度。明確職責，簽訂服務承諾書，定期回顧檢查各項服務承諾的履約執行情況。

其次，重視信息安全。新體系設立了安全質量相關崗位，明確職責，將信息安全監督、檢查列入日常管理工作。通過本項目實施，徹底解決了長期困擾的災難備份和系統恢復問題，并為實現集團化信息管理平臺創造了條件。

第三，更加強調規范操作。新體系針對該金融機構IT服務工作大量外包的實際情況，對軟件開發、系統運維、產品采購、網站管理制訂了明確的業務操作流程和管理要求，監督、檢查外包服務團隊的執行情況。基于國際化管理標準建立的新體系，為該金融機構廣泛建立合作伙伴關系、參與市場競爭奠定了信息技術支持基礎。

第四，PDCA持續改進的企業文化已經形成。業務的發展、市場環境的變化以及有關法律法規和監管規定日趨嚴格，要求該金融機構管理體系具備持續自我完善的能力，以保證其對相關標準要求的動態符合性。該金融機構整合后的管理體系已經具備了跟蹤外界變化，自學、自查、自我糾正的管理機制和能力，為信息服務的深化和拓展提供了保障。

隨著標準的實施和認證以及后續幾期深化項目的順利開展，該金融機構在信息安全和IT服務管理方面的規范管理能力不斷提高，順利通過后續的監督審核。該金融機構信息技術部從人員能力、工具部署和管理制度幾方面在集團各公司中的IT管理方面走在了前列。

客戶評價   ISO20000&ISO27001雙認證項目是一項富有挑戰性的項目。在已有ISO9001的基礎之上，建立起同時滿足ISO9001、ISO20000和ISO27001三個標準及該金融機構管理者要求的“三合一”的管理體系是一次嘗試和創新。顧問能從實際工作流程出發并融合業務需求，不是片面機械地套標準要求，將體系進行了很好的無縫整合。這為以后體系的部署執行奠定了強有力的基礎，對工作有真正價值。

在有限的時間內使體系得到大部分員工的認知和遵守，審核中每個人都對體系新的要求和變化及自己的職責和差距有比較深刻的認識，這是體系實施最重要的生命力，離不開顧問的輔導與幫助。