鼎华永道信息科技有限公司(ChinaToptao)
设为首页 | 添加收藏

CMMI咨询

业务洽谈 :
0755-36553400

ISO20000 咨询
  IT企业从产生到发展的很长一段时期以来,一直是以搞好技术、做好技术支持为特征的。随着IT的逐年投入,建设了大量的软硬件系统,客户要求的提高,都促使企业要采取更有效的措施来规范IT服务(尤其是售后服务)的管理。
  在产品生产过程中,需要遵循一定的质量控制标准(如CMMI系列标准),以确保产品质量保持较高水准(如较高的产品合格率),同时也可降低产品开发成本。而对于IT服务提供(或运营)过程来说,遵循相关的IT服务管理标准(如ISO20000)才可以实现服务运营的标准化。只有将过程标准化了,才能保证最终的服务质量和成本符合预定的期望和标准,才能对过程实现有效控制,从而达到企业的目标。
  如何控制IT服务的整体风险(无论是内部还是外部)、提高IT整体服务水平,无疑是一个非常重要的问题,ISO/IEC20000为此提供了很好的指南。
1、ISO20000特点
  企业在服务供应上往往被动响应,很少花时间调查、规划、培训、检查和改善当前的服务模式,其结果必然导致失败,源于没有采用系统、主动的工作方式。
  ISO20000的标准描述了IT服务管理流程的最佳实践,以最小成本满足企业业务需求,并满足客户不断提出的新要求。
  人们已经意识到服务和服务管理对帮助企业开源节流的重要性。ISO/IEC 20000能使企业了解如何从内部和外部改进其服务质量,包括如何提供更加专业的服务、如果降低企业运营降低成本、如何调查和控制企业风险。
  ISO/IEC 20000-2推荐服务管理者采用一致的术语和统一的方法进行服务管理,这可以为改进服务交付基础,并有助于服务提供者建立一个服务管理框架。
  ISO/IEC 20000-2为审核人员提供指南,并可为企业规划服务的改进提供帮助,以便企业通过ISO/IEC 20000-1认证。
2、ISO20000 与 ISO9000比较
  实用范畴不同: ISO20000 只针对 IT 服务管理,在 IT 服务提供商、政府及企业的IT部门应用较多;而 ISO9000 是适用各行业的质量标准,在生产制造企业应用得最多。
  侧重点不同:ISO20000 与 IT 服务流程相关,其流程的名称和控制采用的IT人员容易接受的术语,对 IT 系统变更的风险进行管理;而 ISO9000 侧重在质量管理。
  覆盖内容不同:ISO20000和ISO9000相比,除IT服务质量外,如还包含财务、信息安全两个方面。
  ISO20000也可以说是ISO9000在IT服务行业的具体应用和拓展。
3、ISO20000和ITIL的关系
  ISO20000 作为 IT 服务管理的国际标准,是从 IT 服务管理最佳实践 ITIL 中发展而来。
  ISO20000 是13个管理流程,而 ITIL 是10个管理流程(不含服务台)。
  ISO20000 新增了业务关系管理与供应商管理,对应于 ITIL 中的服务等级管理。
  ISO20000 新增的服务报告,涵盖在 ITIL 的每个管理流程之中。
  ISO20000 提供基于 ITSM 的度量,ITIL 提供最佳实践指南。
4、ISO20000适用范围
  ISO/IEC 20000是一个针对管理流程系统的标准,ISO/IEC 20000的认证适合IT服务的提供者,可以是内部的IT部门,也可以是外部的服务提供商。获取ISO/IEC 20000的认证,意味着提供服务的IT企业,对ISO/IEC 20000中定义的这些管理流程,具有足够好的管理控制力。这里的流程管理控制力包括:
  对流程输入的了解和控制;
  对流程输出的了解、使用和诠释;
  制定和执行对流程效能的衡量机制;
  对流程功能的管理,使之符合ISO 20000标准要求;
  制定流程的改进计划,衡量和回顾改进结果。
  IT服务企业要获得ISO/IEC 20000的认证,必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。ISO/IEC 20000系列对流程的最佳实践进行了总结,可适用于不同规模、类型和结构的企业,服务管理流程最佳实践要求并不会因为企业形式不同而改变。
ISO27001 咨询
  随着信息技术的高速发展,特别是Internet的应用给企业业务开展带来了极大的便利。在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。  
  俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。  
  目前,在信息安全管理体系方面,起源于英国标准BS7799的国际标准ISO27001已经成为世界上应用最广泛与典型的信息安全管理标准。1995年英国八部BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,并且适用于大、中、小组织。1998年英国公布标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系要求与信息安全控制要求,它是一个组织的全面或部分信息安全管理体系评估的基础,它可以作为一个正式认证方案的根据。  
  2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准—ISO/IEC17799-1:2000《信息技术-信息安全管理实施细则》。2002年9月5日,BS7799-2:2002草案经过广泛的讨论之后, 终于发布成为正式标准,同时BS7799-2:1999被废止。BS7799标准得到了很多国家的认可,是国际上具有代表性的信息安全管理体系标准。  2005年11月,ISO27001:2005出版,取代了之前的BS 7799-2:2002,今后,7799系列标准的编号更改为ISO27001系列标准。在印刷、IC和软件外包等行业,信息安全管理体系认证已成为一些客户的要求条件之一。
ISO27001标准特点
  注重体系的完整性,是一套科学的信息安全管理体系
  以风险评估为基础
  强调对法律法规的符合性
  广泛适用于各类组织
  与ISO9000标准有很强的兼容性
ISO27001认证好处
  获得ISO27001认证您将获得以下好处:
  保护企业的知识产权、商标、竞争优势
  维护企业的声誉、品牌和客户信任
  减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失
  强化员工的信息安全意识,规范组织信息安全行为
  在信息系统受到侵袭时,确保业务持续开展并将损失降到最低程度
ISO27001认证适用范围
  ISO27001从1998年颁布后,在全世界范围内得到广泛的认可。目前已有40多个国家和地区开展信息安全管理体系的认证。根据ISO27001国际使用者协会的最新统计,到2005年4月,全球通过信息安全管理体系ISO27001认证的组织已经超过1200家。  
  信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
ISO27001认证/咨询基本流程
  组织应建立符合ISO27001标准要求的文件化信息安全管理体系,在申请认证之前应完成内部审核和管理评审,并保证ISO27001体系的有效、充分运行三个月以上;     
  组织应向ISO27001认证机构提供信息安全管理体系运行的充分信息,对于多现场应说明各现场的认证范围、地址及人员分布等情况,认证机构将以抽样的方式对多现场进行审核;     
  组织如要求,可向ISO27001认证机构提出预审核的申请;     
  ISO27001认证分两个阶段进行:第一阶段文件审核,文件审核可在组织现场或非现场进行;第二阶段现场审核;     
  获得ISO27001认证后每年进行一次监督;     
  当组织的信息安全管理体系出现变化,或出现影响信息安全管理体系符合性的重大变动时,应及时通知ISO27001认证中心;ISO27001认证中心将视情况进行监督审核、换证审核或复审以保持ISO27001认证证书的有效性;
ISO27001认证实施步骤
  (1)系统规划  
  系统规划主要是明订信息安全管理的目标、范围和政策,并收集目前和公司信息安全相关的数据、文件。系统规划阶段应该由一个跨部门的「信息安全委员会」来负责,并且拥有最高管理阶层的支持。  
  (2)风险评估  
  ISMS的目标是透过系统的安全风险评估确定安全需求,并对实施控制措施的支出与安全事故可能造成的商业损失进行权衡考虑;透过风险评估可以了解风险的权重和等级,以供建立安全控制机制的参考。风险评估的过程包括:  
  *资产清查、分类与评价  
  *威胁与脆弱性分析  
  *对业务需求、法规需求的评估  
  *评估风险等级  
  *评估可接受之风险等级  
  *建议安全控制措施  
  风险评估的总结报告应该呈现给「信息安全委员会」来评估处理风险的策略(移转、避免、降低或接受),以及决定开始用的工具和办法。  
  (3)风险管理  
  公司必须就企业需求和法令规章决定可接受风险之临界等级,并应该依照所决定的风险管理策略规划和建立控制机制。控制方法可参考BS 7799 - 2 的建议。风险管理的重点在于建立一套循环不断的Plan-Do-Check-Action 机制,藉由不断的审核、重新规划,加强让公司内的安全等级不断提升。  
  (4)系统颁行和推广  
  ISO27001是一套不限于IT技术的管理系统,它就像是ISO9001一样需要全公司员工身体力行方能奏效。在实施的过程中,需要经营管理阶层的认知与全力支持,以及 全体员工的共识和配合。教育训练和不断的实施活动是必要的,尤其需要定期审核和检查,以确保系统可以持续不断的执行。
    出错啦!
    错误信息:Table 'chinatoptao_net.se_co' doesn't exist
    错误编号:1146
    SQL语句:select * from `se_co` where `lm`=1 order by px desc,id desc