將兩個體系作為一個整體的體系來建設,這樣最終只有一套體系文件。主要思路是:
1. ISO20000、ISO27001、ISO9000具有相同的文檔體系結構:定義相同的體系文檔結構,包括管理層承諾、目標、方針、組織架構
、管理體系要求和PDCA等方面的要求,這種文檔體系以滿足標準的共同要求。
2. ISO20000和ISO27001在信息安全方面具有交叉內(nèi)容,而ISO27001在信息安全方面完全覆蓋ISO20000中信息安全的要求部分,同時
一個企業(yè)只能存在一種安全標準,因此,信息安全主要以ISO27001構建為主,同時考慮ISO20000的信息安全的要求,做好兩個標準
的接口。
3. 需要實現(xiàn)文件編碼方面的整合,爭取兩個體系采用類似或者同樣的文件編碼結構,如ISO20000體系可采用ITSM-2-IM-01形式,其
中第一段代表所屬體系簡寫,第二段代表文件階層,第三段代表控制域或者過程縮寫,第四段采用順序號來編號。
4. CMMI和ISO27001在信息系統(tǒng)的開發(fā)及維護上存在交叉內(nèi)容,ISO27001體系要求在信息系統(tǒng)開發(fā)過程中需符合ISO27001 A12(信息
系統(tǒng)的開發(fā)及維護)中的安全管控要求,以滿足ISO27001的整體安全管控要求。因此要做好軟件開發(fā)中安全管理與信息安全的接口
。
5. CMMI和ISO20000在軟件的變更、發(fā)布以及新服務或變更的服務交付上存在交叉內(nèi)容,因此在整合文檔時要考慮以上幾點,并界定
兩個體系的接口。
6. ISO9000的章節(jié)7.1和7.3(產(chǎn)品交付)與ISO20000的新服務和變更的服務(章節(jié)5)存在交叉,ISO9000的章節(jié)7.2與ISO20000客戶
關系管理方面存在交叉,因此在整合文檔時會覆蓋ISO9000的相關內(nèi)容。
ISO20000和ISO27001融合的體系文件結構
多個體系可公用一套體系文件,整個體系分為四階:
1. 一階:主要是Statement和手冊,定義了體系的目標、組織架構、管理層聲明、管理者代表和體系的總體要求的綱領性文件。
2. 二階:各個體系的流程層面的管理指引文件,在二階文件中來最大限度的整合ISO27001&ISO20000體系的管理流程,信息安全的
流程盡力整成一個文件。所有的二階流程文件都是各個體系的流程層面的指引,規(guī)定了各個流程的整體活動、角色、執(zhí)行原則、KPI
要求等方面。
3. 三階:各體系的執(zhí)行層面的規(guī)章制度,比如服務臺熱線操作手冊、系統(tǒng)使用說明等。如果存在總公司-分公司管理、或者不同客
戶的要求有很大的不同時,可在相應二階流程指引的框架下,在三階文件中制定不同的執(zhí)行制度,比如可制定各個分運維中心的事
件管理流程或事件操作制度。
4. 四階:各體系的文件記錄和相關報表。
中企檢測認證網(wǎng)提供iso體系認證機構查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權貫標一站式行業(yè)企業(yè)服務平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規(guī)咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權、版權法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網(wǎng)絡信息技術檢測、環(huán)境檢測、管理體系認證、服務體系認證、產(chǎn)品認證、版權登記、專利申請、知識產(chǎn)權、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權、版權、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡信息整理,文章版權歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權和其它問題,請跟我們聯(lián)系刪除并致歉!
