杭州质量体系认证 FSC-COC认证 ISO22301业务连续性

企业业务与信息化进一步融合,用户对信息应用系统的可用性和可靠性要求加强,运行维护逐渐成为信息中心的要工作.如何实现信息运维管理的规范化和流程化,增强信息基础设施的可用性和可靠性,提高IT管理的效率和质量,已成为信息中心面临的重要课题。
       信息化运维的实现——为设备精维护提供支撑。
       精维护的特点就是预防性维护、个性化维护，做到预防性就要挖掘机组的隐患，做到个性化就要针对每台机组对症，这些都需信息采集、积累、挖掘，是信息化运维目的所在。
随着IT技术的持续发展,IT行业变得越来越全球化,IT行业管理变得越来越复杂,我国的IT行业的成长也越来越快.但是在发展速度上,如何跟进的IT服务管理水平;在应用推广上,如何开展主流IT服务管理核心概念,摆在了国内各企业的面前.原先,国内大多数企业必须通过IS09001这个国际质量管理认证标准,但是它并不适用于现在的IT行业.直到2005年12月,国际标准化组织(ISO)和国际电工会(IEC)共同发布了ISO/IEC 20000标准.就此,IT服务管理领域个国际标准诞生了.如何将ISO/IEC20000标准在IT行业中应用推广,如何使国内各类行业都依靠的IT服务行业这一重要平台来遵循国际标准,成为众多IT公司的一个关键问题.所以无论是IT外包公司,还是使用IT服务支持前台和后台业务的企业,都需要建立一套基于IS020000的IT服务管理系统,来通过ISO 20000认证,从而提高对业务的服务质量并确保其IT服务管理系统安全.本系统通过引入ISO/IEC20000标准,将服务运营的管理流程(即:事件服务请求管理,问题管理,配置管理,变更和发布管理,知识管理,文档管理)融入进面向证券行业IT服务的管理中,使得该IT服务管理系统成为一个集中化,规范化的服务管理平台,以解决目前证券公司IT运维所面临的问题.本系统采用了面向对象的开发方法,基于BMC remedy AR系统和B/S体系结构,通过对服务管理模块进行详细的需求分析和设计,实现了面向证券行业的IT服务管理系统。

ISO20000标准是什么？
   上面说到ISO20000的由来，ISO20000由国际标准化组织(ISO)和国际电工会(IEC)于2005年共同发布的关于IT服务的标准，通常也写成ISO/IEC 20000形式，目前的标准版本即2018版。

ITSM（IT Service Management，IT服务管理）在全世界范围内目前越来越成为一个立的领域了，它已开始从各个方面冲击着人们对于传统IT的理解，不管是从管理、技术、商业任何一个方面，ITSM开始融合以前各种IT的枝叶，汇聚成一个立的学科与行业。人们对于IT的不再是“我能为IT做些什么”而是“IT能为我做些什么”，其结果是—IT业不可避免地变成了服务业。 
   ITSM的产生有着不可逆转的社会发展原因与背景，从IT的发展，我们可以看到一条大的主线，从硬件到软件，从孤立到网络，两者互为相融，无法清晰地区分系统管理与网络管理。 
   全世界从50年前开始做IT的建设与投资，从大的层面来看，这种初的IT建设已经基本完成，现在的系统分布地理广泛，功能越来越多，规模越来越大，变化 也越来越快，硬件、软件、网络和应用不新升级，而这一切都相互连接在一起，形成一个庞大的架构，每个企业都面对着一个疯狂成长的怪物，它变得越来越难 以控制，吞食着每年庞大的预算。于是，如何管理、驾驭好它成为一个全世界的关心的课题。 
   另一个层面，从生命周期来看，无论是硬件还是软件，基本分为规划、设计、开发、测试、实施、运营、终止，运营阶段占据其80%以上的生命周期。全球的企业在数十年中花费巨额的资金布署的IT设施，如何使其发挥效用、保障投资，也是一个显而易见的课题。

关于27001与20000的关系问题，我想主要要从三个方面进行分析：一是两者在组织管理中的地位关系；二是两者如何互相融合、借鉴；三是企业如何考虑使用这两套标准。
    先，来说说两者在组织管理中的地位。
    我先接触的是20000体系，而且在学之前系统学过ITIL理论。关于完整的IT服务管理体系，我的认识是它是关于企业中如何进行IT系统的运行服务管理的体系。这里有三个关键词语需要注意，一是IT系统，如果一个组织的业务对IT系统的依赖不大，大可不必上此套管理体系；二是运行，终目的强调的是IT系统的可用性，这也是整个ISO20000管理体系的核心；三是服务管理，强调说明运行维护是一项服务，服务级别管理及服务报告是服务管理的核心体现，也是ISO20000的精髓。在ISO20000的13个流程中有信息安全管理流程，标准中了信息安全管理要参考ISO17799。从这个层面理解，ISO20000应该包含ISO27001的内容。这也是我学完ISO20000后的初步认识和后来进一步学习27001的动机，目的都是为了做好IT服务的管理。
   从整个组织管理的角度看，ISO27001应该包含ISO20000。为什么这么理解？这要从ISO27001在组织管理中所起的作用来分析。27001主要讲的是信息安全管理体系的建设、运行、维护和改进。对于信息安全管理的目的，标准中反复强调的是保证信息的保密性、完整性和可用性，而我们容易陷入的误区是信息安全就是保密性，不牵涉到完整性和可用性，实际上三者的整合才是信息安全管理的目的。前面已经提到，ISO20000的终目的是要管理IT系统的可用性，实际上只是完成了ISO27001中的可用性管理。而且从IT系统的生命周期看，20000管的是系统建设完成后的可用性管理，27001管的是从需求到开发到运行维护整个IT系统生命周期的可用性管理。从这个角度理解，仅仅对于可用性的管理，27001需要管理的范围就更大，而且，27001还要管理信息的保密性和完整性。当然，信息的完整性是个基本要求，信息不完整也意味者不可用，因此，无论是27001还是20000，对完整性的管理都是基本要求。
     ISO20000的服务管理思想是ISO27001所没有的，对于承担运维管理和安全管理的组织中的团队来说，服务管理的思想都是值得借鉴和采用的，因此服务级别协议和服务报告是先应该考虑融合、借鉴的。
     综合上述思路，可以归纳为“以服务管理的思想为，以风险管理的思想为核心，以ITIL流程管理的思路为主线对ISO27001和ISO20000进行融合”
   ，说说组织应该如何如何考虑使用这两套标准。
   在这个话题上，组织应该着重考虑两个问题。其一，这两套标准公司需要吗？其二，何时具备上的条件？
   我在这里主要强调的是第二个问题，当组织决定采用其中一个标准或两个标准都采用时，应该具备的条件。要知道，一套体系的建设是高难度的工作。按照我理解的成熟度模型，体系的建设应该是第三阶段的工作。一个阶段为打基础阶段，主要解决日常工作和的问题；二个阶段是流程建设阶段，要具备流程管理的能力；三个阶段才是体系建设阶段。因此，一个组织在没有经历前两个阶段前，不要盲目进入体系建设阶段。
通过 ISO20000认证，的核心技术实力、客户服务能力和出色的质量管理体系是密不可分的。同时，对进一步提升其客户服务质量、树立形象、提高公司标准化、规范化管理有着积的推动作用。
     未来，赛学将持续有效运行质量管理体系，用心铸造经营理念，在产品、服务、管理等体系上精益求精，不断进取，坚持创新，为客户提供更、的服务，提高客户满意度，在市场竞争中树立更加良好的企业形象。

上海赛学企业管理有限公司是从事企业管理咨询，管理体系认证咨询（ISO9000认证咨询、ISO14000认证咨询、ISO/TS16949认证咨询等），认可监督会和上海市质量技术监督局批准成立的认证咨询机构号为CNCA-Z-02-2012-099)、产品认证咨询和企业项目托管的专业机构。我们拥有了一批极具现代管理知识和不同专业背景的资深国家注册咨询师、资深专家和大学教授。我们致力于国际标准和管理咨询的研究及应用，曾为众多企业提供过管理服务。我们聘请上海交通大学、复旦大学、华东师范大学、上海第二工业大学、浙江农林大学的教授来公司授课和指导，在管理理论新动向，培训及案例研讨等方面进行深入广泛的交流。我们坚信“学习是一种态度”“学习是一种信仰”。