解析ISO20000 与ISO27001 整合可行性

发布时间：2016-10-27

阅读次数：207

小优通过之前的项目经验及对两套体系的研究，归纳与总结ISO20000 与ISO27001 的体系对比，两套体系整合的可行性可能会存在以下几个方面，包括：

（1）体系实施人员的整合既是两套体系整合的第一要素，也是整合过程中最重要的因素，只有对实施人员的统一管理与任务分配，才可以更好的管理体系开展与改进。 就算人员有较大变动时，也能维持正常的服务运营；

（2） 体系规范的整合，体系实施人员通过自身研究或借助咨询公司深入研究两套体系规范，找出其共同性体系要素。如：ISO20000 的“事件管理”与ISO27001 的“信息安全事故管理”等；

（3） 法律之间的整合，企业从整体上应符合两套体系的法律、法规要求，这样有利于保证符合法律的全面性；

（4） 流程建设的整合，参照体系规范的模型与流程建设原则，便于规整内在管理与外在服务程序，使服务支持与服务提供相结合，且对成本投入展开有效控制，为组织配备事件处理的时效性、灵活性和风控性。通过体系中所记录的考核指标与报表，确保服务可计量；

（5） 体系实施文件编制的整合，两套体系认证的文档体系框架主要都是以四级文档为准，并且规划的结构层次也有一定程度的相似之处。便可提炼出共用的模板与文件架构。

（6） 组织运维规划与职能的整合，组织的运维规划要从服务与风险控制两个主要方面来考虑，使得制定的战略符合未来的发展要求，参照详细的控制措施来保障整体的服务能力。并根据两套体系的标准差异，调节与优化组织结构，满足角色人员的职能化要求，这样下次将实现职能一体化的建设；

（7） 内部与管理评审的整合， 在管理评审的前期准备时，可以全方位考虑其评审符合条件要素，审核后可参照审核机构的建议来统一进行整改与优化。审核机构若可以尽可选择同一家认证机构，利于认证及维护的一致性；

（8） 培养与培训的整合，体系整合的培训，可以使组织员工较快就能够理解其应用实质，极大节省了时间成本。