ISO27001认证准备.docx

认证准备差距分析1．前期准备文章将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面介绍认证准备阶段工作。1.1制定认证方案认证准备阶段第一步工作就是完成认证可行性方案的编写。如果把认证活动理解成一个项目，认证方案的编写就是通过对项目的主要内容、目标和相应配套条件（如管理基础、管理需求、项目规模、资源投入等），从技术、经济、工程等方面进行调查和反洗比较，并对认证可能取得的经历效益及社会效益进行预测，从而形成该项目是否值得实施和如何实施的结论意见，为组织的高层提供项目决策的重要依据。从这个意义上来说，认证方案的制定也是认证准备阶段中最重要的工作。1．可行性分析可行性分析通常可包含投资必要性、组织可行性、技术可行性、财务可行性、经济可行性、社会可行性、风险因素及对策等部分。由于各类型项目因行业特点而差异很大，具体到ISO20000认证，通常需要从管理基础和效益两方面进行考虑和分析。首先是管理基础分析。需要对组织自身的管理基础，包括ITIL体系实施的基础、当前的组织架构和当前管理体系在认证过程中的风险进行全面的评估。IT服务管理体系的建设，首先是管理问题，其次才是技术问题，成功和失败的经验都表明，需要首先解决管理体质和机制的问题，建立以客户为中心的理念，培养服务意识和质量意识，建立可行、科学的服务模式；其次才是借助软件工具将管理流程固话和优化，利用自动化工具辅助和提升管理效率，实现技术和管理的有效结合。因此，在认证可行性分析时应更关注管理上的可行性，其次才是技术上的可行性。对于那些已经成功实施基于ITIL的管理方法的组织来说，需要更标准化的成熟IT服务质量管理体系来确保与国际接轨。ISO20000的持续改进机制也确保其管理流程几倍疯抢的生命力。其次是效益分析，可以从资源配置的角度衡量认证项目的收益，评价认证项目在现实组织发展目标、有效配置IT资源、改善运行环境、提高流程效率、减少人员工作量、提升盈利能力等方面的效益。虽然对于不同的组织来说可能带来的效益各有不同，单通常ISO20000可能为组织带来的效益包括以下内容：在IT服务提供中有更多的管理手段，并能持续地改进。改进服务交付的能力，为关键业务服务提供稳定的、高质量的、低成本的、可靠的服务。通用的服务表达方式，方便不同的组织之间的对话。为组织内部运营过程提供一个管理和沟通的平台。采纳最佳之间，提高组织内部服务水平以及服务级别的持续保持。减少服务交付中的时间成本。有效管理供应尚的方法。提高人员利用率，改善激励，降低人员流失。有价值的管理数据，更好的决策支持。……2．认证实施计划认证实施计划是认证方案书中的核心部分之一。提到计划，通常的理解就是步骤、任务、人员、周期、里程碑等内容，使用专业的工具如MS Project、Excel进行编辑和制定。按照项目计划的常用制定方法基本可以覆盖认证计划的主要内容，但必须注意认证实施计划与一般工作计划几个细节上的区别。认证过程主要分为前期阶段、差距分析阶段、流程建立改进阶段试运行阶段和认证审核阶段等。各个阶段的时间和人员分配取决于自身的成熟度，可以适当调整几个阶段的资源分配。如果IT服务管理的基础较好，前期准备和流程建立改进阶段时间可以大大减少。始终牢记各个流程必须全部达到ISO20000的要求才能获得认证，因此资源适当香基础薄弱、离标准要求有一定距离的管理流程倾斜提早启动流程建立和改进阶段工作。认证计划中需要包括审核机构的部分，由于整个审核需要提前预约，因此整个实施计划建议预留一些时间给审核机构。W月份 X月份 Y月份 Z月份颁发证书n个工作日（m个月）认证准备，差距评估流程建制和改进阶段试运行内部审核完成终审阶段1最终用户支持阶段2发布和控制阶段3技术层面阶段4客户和供应商阶段4认证审核项目启动访谈评估制定改进方案服务台事件管理问题管理变更管理发布管理可用性和业务连续性管理安全管理能力管理服务级别管理客户关系管理供应商管理财务管理预审核再改进正式审核取得认证配置管理服务报告认证实施计划3．资源与费用资源投入的多少主要取决于组织自身的成熟度，越成熟的组织需要在IT服务管理体系建设和完善上花费的资源相对越少。人力资源：通常包括组织自身、第三方咨询机构、认证审核机构等的人力资源，其中通常容易被忽视的是组织在全员培训上的人力投入。这个流程体系试运行和认证审核阶段都是相当关键的。工具阶段：现阶段，大多数组织的IT服务管理体系都与工具软件有一定关联，而且这种一寸度正在逐渐上升。组织在实施ISO20000认证时，可能需要对其现有的工具平台进行一定的调整，也可能需要采购一些新的产品。费用方面，通常认证实施项目包含以下5给人部分。认证咨询服务费（咨询合作方，可选