苏州IATF16949认证机构

咨询热线:

15850285687

新闻资讯

最新资讯

当前位置:首页 > 新闻资讯 > 最新资讯
如何将ISO27000国际认证和ISO20000相结合?
发布时间:2020-12-30 09:26  文章来源:苏州IATF16949  点击量:

对于ISO20000信息技术管理体系和ISO27000信息安全管理体系来讲,虽然两者之间关注不同的领域,但是不同标准在信息安全方面存在交叉;同时,由于ISO20000和ISO27000两者都属于国际标准,所以在宏观上又存在相似之处,为了避免重复性项目建设,也为了将两种体系尽量融合,证戛资质认证为大家详细介绍。
 
  将两个体系作为一个整体的体系来建设,这样最终只有一套体系文件。
 
  主要思路是:
 
  ISO20000、ISO27000、ISO9000具有相同的文档体系结构:定义相同的体系文档结构,包括管理层承诺、目标、方针、组织架构、管理体系要求和PDCA等方面的要求,这种文档体系以满足标准的共同要求。苏州IATF16949
 
  ISO20000和ISO27000在信息安全方面具有交叉内容,而ISO27000在信息安全方面完全覆盖ISO20000中信息安全的要求部分,同时一个企业只能存在一种安全标准,因此,信息安全主要以ISO27000构建为主,同时考虑ISO20000的信息安全的要求,做好两个标准的接口。
 
  需要实现文件编码方面的整合,争取两个体系采用类似或者同样的文件编码结构,如ISO20000体系可采用ITSM-2-IM-01形式,其中第一段代表所属体系简写,第二段代表文件阶层,第三段代表控制域或者过程缩写,第四段采用顺序号来编号。
 
  CMMI和ISO27000在信息系统的开发及维护上存在交叉内容,ISO27000体系要求在信息系统开发过程中需符合ISO27000 A12(信息系统的开发及维护)中的安全管控要求,以满足ISO27000的整体安全管控要求。因此要做好软件开发中安全管理与信息安全的接口。
 
  CMMI和ISO20000在软件的变更、发布以及新服务或变更的服务交付上存在交叉内容,因此在整合文档时要考虑以上几点,并界定两个体系的接口。
 
  ISO9000的章节7.1和7.3(产品交付)与ISO20000的新服务和变更的服务(章节5)存在交叉,ISO9000的章节7.2与ISO20000客户关系管理方面存在交叉,因此在整合文档时会覆盖ISO9000的相关内容。
 
  多个体系可公用一套体系文件,整个体系分为四阶:
 
  一阶:主要是Statement和手册,定义了体系的目标、组织架构、管理层声明、管理者代表和体系的总体要求的纲领性文件。
 
  二阶:各个体系的流程层面的管理指引文件,在二阶文件中来最大限度的整合ISO27000&ISO20000体系的管理流程,信息安全的流程尽力整成一个文件。所有的二阶流程文件都是各个体系的流程层面的指引,规定了各个流程的整体活动、角色、执行原则、KPI要求等方面。
 
  三阶:各体系的执行层面的规章制度,比如服务台热线操作手册、系统使用说明等。如果存在总公司-分公司管理、或者不同客户的要求有很大的不同时,可在相应二阶流程指引的框架下,在三阶文件中制定不同的执行制度,比如可制定各个分运维中心的事件管理流程或事件操作制度。
 
  四阶:各体系的文件记录和相关报表。
 

苏州奥罗曼企业管理咨询有限公司

地址:太仓市科教新城健雄路20号  电话:15850285687

联系人:沈先生  邮编:215400  公司网址:http://www.isoalm.com/  苏ICP备20034301号

版权所有 ©苏州奥罗曼企业管理咨询有限公司专业服务苏州IATF16949,苏州IATF16949认证费用,太仓ISO9001,太仓ISO9001认证咨询机构   网站地图  太仓网站建设
 
QQ在线咨询
咨询热线1
15850285687
咨询热线2
15850285687