對於ISO20000信息技術管理體系和ISO27001信息安全管理體系來講,雖然兩者之間關注不同的領域,但是不同標準在信息安全方面存在交叉;同時,由於ISO20000和ISO27001兩者都屬於國際標準,所以在宏觀上又存在相似之處,為了避免重複性項目建設,也為了將兩種體系儘量融合,九腦匯學院在這給出整合建議。
ISO20000和ISO27001整合思路
將兩個體系作為一個整體的體系來建設,這樣最終只有一套體系文件。
主要思路是:
ISO20000、ISO27001、ISO9000具有相同的文檔體系結構:定義相同的體系文檔結構,包括管理層承諾、目標、方針、組織架構、管理體系要求和PDCA等方面的要求,這種文檔體系以滿足標準的共同要求。
ISO20000和ISO27001在信息安全方面具有交叉內容,而ISO27001在信息安全方面完全覆蓋ISO20000中信息安全的要求部分,同時一個企業只能存在一種安全標準,因此,信息安全主要以ISO27001構建為主,同時考慮ISO20000的信息安全的要求,做好兩個標準的接口。
需要實現文件編碼方面的整合,爭取兩個體系採用類似或者同樣的文件編碼結構,如ISO20000體系可採用ITSM-2-IM-01形式,其中第一段代表所屬體系簡寫,第二段代表文件階層,第三段代表控制域或者過程縮寫,第四段採用順序號來編號。
CMMI和ISO27001在信息系統的開發及維護上存在交叉內容,ISO27001體系要求在信息系統開發過程中需符合ISO27001 A12(信息系統的開發及維護)中的安全管控要求,以滿足ISO27001的整體安全管控要求。因此要做好軟件開發中安全管理與信息安全的接口。
CMMI和ISO20000在軟件的變更、發佈以及新服務或變更的服務交付上存在交叉內容,因此在整合文檔時要考慮以上幾點,並界定兩個體系的接口。
ISO9000的章節7.1和7.3(產品交付)與ISO20000的新服務和變更的服務(章節5)存在交叉,ISO9000的章節7.2與ISO20000客户關係管理方面存在交叉,因此在整合文檔時會覆蓋ISO9000的相關內容。
ISO20000和ISO27001融合的體系文件結構
多個體系可公用一套體系文件,整個體系分為四階:
一階:主要是Statement和手冊,定義了體系的目標、組織架構、管理層聲明、管理者代表和體系的總體要求的綱領性文件。
二階:各個體系的流程層面的管理指引文件,在二階文件中來最大限度的整合ISO27001&ISO20000;體系的管理流程,信息安全的流程盡力整成一個文件。所有的二階流程文件都是各個體系的流程層面的指引,規定了各個流程的整體活動、角色、執行原則、KPI要求等方面。
三階:各體系的執行層面的規章制度,比如服務枱熱線操作手冊、系統使用説明等。如果存在總公司-分公司管理、或者不同客户的要求有很大的不同時,可在相應二階流程指引的框架下,在三階文件中制定不同的執行制度,比如可制定各個分運維中心的事件管理流程或事件操作制度。
四階:各體系的文件記錄和相關報表。