县QC080000认证要求CQC认证

ITSS认证的六大过程 ITSS条款从管理要求、人员、资源、技术和过程五个方面提出了运维成熟度模型各级的要求, 不同成熟度级别的标准条款要求也不相同, 但无论三级还是四级, 其实施的步骤和方法都基本相同。实施步骤可分为贯标准备、现状调查分析、构建体系、试运行、内部评估和… ??ITSS条款从管理要求、人员、资源、技术和过程五个方面提出了运维成熟度模型各级的要求, 不同成熟度级别的标准条款要求也不相同, 但无论三级还是四级, 其实施的步骤和方法都基本相同。实施步骤可分为贯标准备、现状调查分析、构建体系、试运行、内部评估和体系管理评审、改进六个阶段, 若企业还有评估认证的需求, 还可增加评估申请、接受现场评审并整改等阶段的工作。 ??1 贯标准备 ??建立运行维护服务能力体系是对企业运维服务业务有重大影响的决策。它涉及到组织结构、管理方式、资源配置等方面的变化和优化, 对组织运维业务发展甚至是企业发展都有重大影响。组织在实施标准前应做好充分准备来应对过程中可能出现的问题。这主要包括以下三方面的准备工作。 ??(1) 成立贯标领导小组和工作组 ??在贯标过程中, 会涉及到对原有组织结构、资源配置、管理方法的调整, 在体系构建过程中, 则会涉及到相关运维职能的确定和划分, 这都必须由公司级领导协调和决策。成立贯标领导小组的目的就是为了在贯标过程中对组织结构、资源配置和管理方法等重大事项进行决策。领导小组至少要由主管运维业务的企业级领导担任组长, 各相关部门负责人担任组员, 以便遇到问题及时协商做出决策。除领导小组外, 企业还需要成立一个负责贯标具体工作的工作小组, 工作小组主要负责贯标过程中具体工作的落实, 如企业运维业务发展分析、组织贯标过程培训、组织实施内部评估和管理体系评审、对外联络等工作。工作小组通常由运维业务管理部门和企业管理部门负责人担任组长, 各相关部门与运维业务有关的岗位人员担任组员。工作小组的组长应当在贯标期间专职负责贯标工作。 ??(2) 组织贯标培训 ??在正式开展贯标工作之前, 对标准进行了解和学习是基本条件。至少要组织领导小组和工作小组所有成员参加培训。培训内容要包括标准基本内容、标准条款的具体要求以及实施标准的主要工作等。 ??(3) 制定贯标工作总体计划 ??贯标相对企业的日常工作而言比较复杂, 为保证贯标进度和过程中各项工作有效完成, 企业应当制定贯标工作总体计划。计划应对贯标每一个阶段工作都做出策划, 明确具体工作内容、实施人、责任人、配合人、工作结果及要求等内容。总体计划应经领导小组批准, 所有人员都应按要求的工作内容、时间进度、工作结果保质保量完成各项工作。 ??2 现状调查分析 ??本阶段应对企业的运行维护服务能力的现状进行调查。调查包括以下五方面: ??(1) 现有运行维护项目的数量、收益及比重、顾客满意度、SLA达成情况、存在的主要问题和潜在威胁等。 ??(2) 运行维护业务的发展规划和运维业务在企业中的定位。明确运维业务在企业战略中的地位、未来发展目标以及实现途径, 以此作为运维业务体系搭建和资源配置的基础。 ??(3) 现有运维业务的管理制度和管理方法。搜集企业所有与运维业务相关的制度, 包括直接和间接相关的制度, 如运维业务事件管理制度、运维人员管理制度等。 ??(4) 运维业务组织结构。明确运维业务各项职能、部门、岗位的设置, 特别是相对独立的运维团队、服务台、知识库等。 ??(5) 与运维业务有关职能和活动的绩效指标及考核。建立了哪些职能和活动的绩效指标及其考核方法和制度, 人员绩效是否与人员发展和收益建立了关联关系, 绩效指标是否实现等。 ??工作组应采用对照法针对调查结果进行分析。对照标准条款的要求, 在调查结果中寻求满足要求的证据。找出没有落实的标准条款和虽然有相关制度但不能充分满足的标准条款, 并将差距内容具体化, 作为下一步工作的基础。 ??3 构建体系 ??本阶段是企业贯标重要的阶段, 企业要认真理解标准各条款要求, 根据企业运维业务发展规划和管理的实际情况, 设计出适合于自身的运维能力管理制度和方法。构建体系要以现状调查分析阶段的工作成果为基础, 针对每一项差距, 认真分析标准要求和自身运维服务特点, 结合管理学知识理念, 完善运维业务的组织结构及职能、策划能力建设需求和能力建设计划、编制能力管理所需制度、确定绩效指标及考核方法。本阶段要特别注意不能照搬其他企业的能力管理计划、制度、绩效指标等内容, 不能盲目、不结合企业实际情况照搬照抄。 ??4 体系试运行 ??体系构建完毕后, 要在企业内部开始体系的试运行, 发现体系存在的问题并及时调整改进, 确保体系与标准的符合性、与企业实际运维业务的适宜性以及体系有效性。体系试运行前企业应组织运维业务相关职能人员学习已建立的运维能力体系, 确保相关人员掌握工作方法和要求。试运行期间要求相关人员严格按照制度和文件要求开展工作, 对于存在的问题要记录并反馈到工作组。工作组应针对收到的反馈意见及时进行分析并调整相关制度和文件, 确保体系各项活动不断优化。 ??5 内部评估和体系管理评审 ??在试运行末期, 要组织内部评估和体系管理评审活动。企业要选定实施内部评估的人员, 并进行内部评估相关知识和技能的培训。内部评估和体系管理评审都需要按照相关制度和计划实施, 评估、评审范围要覆盖标准所有条款要求和企业运维业务所有职能。通过评估、评审对已建立体系的有效性、符合性、适宜性进行评价。对发现的问题要以书面形式开出不合格报告并进行改进。 ??6 改进 ??通过体系构建、试运行、内部评估和体系管理评审, 企业应根据已建立的改进机制, 整理上述过程中发现的各类问题, 特别是不符合策划要求的行为、未实现的绩效指标、内审和管理评审中发现的问题等。企业要对所有这些问题进行分析, 确定问题发生的原因以及问题原因的必要性和可行性, 并制定出问题原因的具体措施。企业应制定改进计划, 包括改进工作内容、方法、实施人、负责人、完成时间、效果验证方法及时间等内容。 ??通过上述六个阶段的工作, 企业可初步建立运维能力体系。

ISO27001认证体系信息业务连续性审核示便供参考。 ISO27001认证体系业务连续性审核目的 1）组织是否进行了关键业务分析; 2）组织是否分析了关键业务对信息资产的依赖程度; 3）组织是否建立了业务连续性框架; 4）组织确定的业务连续性信息管理方面的管理流程是否完整; 5）组织是否针对关键业务分别制定了业务连续性计划; 6）组织是否针对与关键业务密切相关的高风险信息资产制定了完整的信息业务连续性计划; 7）组织是否针对业务连续性计划制定了演练计划; 8）组织是否针对信息业务连续性计划制定了演练计划; 9）组织是否组织了业务连续性演练; 10）组织是否组织了信息业务连续性演练; 11）组织进行的信息业务连续性演练是否满足三年全覆盖要求; 12）组织是否进行了业务连续性演练分析; 13）组织是否进行了信息业务连续性分析; 14）组织是否依据信息业务连续性分析结果，对信息业务连续性演练计划、信息业务连续性计划、业务连续性信息管理方面的管理流程进行适当的调整; 15）组织是杏出现过引起关键业务中断的信息事件;如出现，是否依据信息、业务连续性计划实现了关键业务的恢复目标，特别是有没有关联信息资产影响恢复目标实现 上述内容既是ISO27001认证机构审核的目的，也应是企业实施ISO27001认证体系及内审参考。以下审核步骤 1.ISO27001认证体系业务连续性程序检查 a) 业务连续性管理程序完整性; b) 关键业务分析报告、业务连续性计划、业务连续性演练计划等的发布与控制 2.ISO27001认证体系业务连续性报告检查 a) 关键业务进行了分析; b) 关键业务对信息与信息系统的依赖程度分析; c) 信息对关键业务的连续性影响因素分析; d) 对所有影响因素制定了可操作的具体业务连续性保证计划; c)各种演练记录完整性; f) 各种演练分析报告完整性合理抽样审 3.ISO27001认证体系业务连续性演练检查 a) 演练计划; b) 演练方式; c) 演练内容; d) 演练记录; e) 演练分析 4.ISO27001认证体系业务连续性事件检查 a) 事件记录； b) 事件处理方式; c)事件影响分析: d) 业务连续性恢复记录