杭州貝安企業管理咨詢公司
Hangzhou Beian Mangement Co.,Ltd
如何將ISO27001國際認證和ISO20000相結合?
2022-06-05 來源:
對于ISO20000和ISO27001就信息安全管理體系而言,雖然兩者關注不同的領域,但不同的標準在信息安全方面存在交叉;同時,由于ISO20000和ISO27001兩者都屬于國際標準,所以宏觀上有相似之處。為了避免重復項目建設,盡可能整合兩個體系
建立兩個系統作為一個整體系統,較終只有一套系統文件。
主要思路是:
ISO20000、ISO27001、ISO9000具有相同的文檔體系結構:定義相同的文檔體系結構,包括管理承諾、目標、政策、組織結構、管理體系要求和PDCA本文檔系統滿足標準的共同要求。
ISO20000和ISO27001在信息安全方面具有交叉內容,而ISO27001完全覆蓋信息安全ISO20000在信息安全要求部分,企業只能有一個安全標準,因此,信息安全主要是ISO27001同時考慮建設ISO20000要求信息安全,做好兩個標準接口。
要實現文件編碼的整合,爭取兩個系統采用類似或相同的文件編碼結構,如ISO20000體系可采用IT -2-IM-01形式,第一段代表系統簡寫,第二段代表文件階層,第三段代表控制域或過程縮寫,第四段用序列號編號。
CMMI和ISO27001信息系統的開發和維護存在交叉內容,ISO27001在信息系統開發過程中,系統需要滿足要求ISO27001 A12(信息系統的開發及維護)中的安全管控要求,以滿足ISO27001整體安全控制要求。因此,在軟件開發中做好安全管理和信息安全界面。
CMMI和ISO20000軟件變更、發布、新服務或變更服務交付存在交叉內容,因此在整合文檔時應考慮上述幾點,并定義兩個系統的接口。
ISO9000的章節7.1和7.3(產品交付)和ISO20000新服務與變更服務(章節5)交叉,ISO9000的章節7.2與ISO20000客戶關系管理存在交叉,整合文檔時會覆蓋ISO9000相關內容。
一套系統文件可用于多個系統,整個系統分為四個階段:
一階:主要是Statement本手冊定義了系統目標、組織結構、管理聲明、管理者代表和系統的總體要求。
二階:各系統流程層面的管理指導文件,較大限度地整合二階文件ISO27001&ISO20000系統管理流程和信息安全流程應盡可能整合成文件。所有二級流程文件都是各系統流程水平的指導,規定了各流程的整體活動、角色和執行原則KPI要求等。
三階:各系統執行層面的規章制度,如服務臺熱線操作手冊、系統使用說明等。如果有總部-管理或不同客戶的要求非常不同時,可以在相應的二級流程指導框架下,在三級文件中制定不同的執行系統,運維中心的事件管理流程或事件操作系統。
四階:各系統的文件記錄及相關報表。
