ISO27001信息安全管理体系及ISO20000IT服务管理体系

ISO9000ISO27000ISO20000三体系整合构想⼀、实施构想众所周知， ISO9001是对国际上各类优秀企业的质量管理体系共性的总结。

是以客户为关注焦点的质量管理的基本要求。

CMMI更关注于软件开发过程的流程控制和交付质量；ISO20000⽤于规范整个应⽤交付上线以后的运营和维护，不仅有流程、客户还包括成本；ISO27001确定企业运营过程中信息安全的保护防范措施的到位程度。

虽然管理的侧重不同，但均采⽤过程⽅法将经营中的各类活动⽤输⼊、输出的⽅法进⾏连接，通过对过程的分析，找到维持规范化管理的必要程序，最后形成基于PDCA 不断改进的管理体系。

今年4⽉份，ISO20000（2011）新版的变化更突出ISO20000与ISO9001、ISO27001整合的可⾏性。

项⽬实施的难点在于多体系的整合，⽽重点则落在IT服务管理的流程梳理和公司信息安全管理的规划与实施上。

通过整合管理体系，在成本和客户满意度之间实现企业与客户的双赢，⽤标准化流程和规范化管理来尽量减少服务的差异和可变性。

⼆、成功关键因素领导作⽤和全员参与是⾸要的成功关键因素。

国内通过ISO9001认证的企业数字⾮常可观，但在很多企业中这套本应促进企业规范化管理的体系却变成了额外负担，体系越做越静态，逐渐丧失了价值。

其主要原因是企业⾼层不重视，员⼯⽆动⼒，体系建设仅仅是咨询公司或咨询师的⼯作，在通过认证审核后体系⽴刻停滞。

因此⾼层重视、各部门领导的协作、全员的奖惩将做为推进体系⼯作的⾄关因素。

项⽬成功的另⼀个关键因素是⼤规模专业化培训的开展。

很多企业在选择咨询机构或者咨询师的时候并不重视过程，⽽仅仅强调了结果是否通过认证审核、是否可以顺利拿证。

体系建设强调过程，因此专业化的培训对全员看待体系的⼼态、意识等⽅⾯有很⼤提升。

三、为什么要整合⾯对IT 服务市场的竞争趋势，各服务提供商为了更稳妥的占据⼀席之地，纷纷改变原有的市场竞争策略，不在盲⽬投产于IT 基础设施建设，⽽通过权威标准来规范企业组织，分别引⼊符合国际标准的理念或体系，并结合企业⾃⾝特点，建⽴各种体系规范来协助企业管理建设。

15种常见ISO体系简介01ISO9001质量管理体系ISO9001标准是⼀个放之四海皆准的东西，这并不是说9000标准有多少万能，⽽是因为9001是⼀个基础型的标准，是西⽅质量管理科学的精华，因为⽣产型的企业适⽤，服务性⾏业、中介公司、销售公司等也都适⽤。

因为讲究质量都是共通的。

⼀般来说，ISO9001标准⽐较适合⽣产型企业，因为标准中的内容⽐较好对应，过程对应⽐较清楚，因此有对号⼊座的感觉。

销售公司可以分为两种，纯销售和⽣产型销售公司，如果是纯销售公司，他的产品就是外包或采购的，其产品就是销售服务，⽽不是应该是产品⽣产，因此策划过程就要考虑产品（销售过程）的特殊性，这样会⽐较好策划体系了。

如果是⽣产型的销售企业，中间包括了⽣产，就应该把⽣产过程及销售过程都策划进去，所以销售公司申请ISO9001证书时就应该考虑⾃⼰的产品，与⽣产型企业区分开。

适合任何的⾏业，亦总的来说，⽆论企业⼤⼩，⽆论什么⾏业，⽬前所有企业都适合做ISO9001认证，其适⽤范围⾯很⼴，适合任何的⾏业，亦是所有企业发展壮⼤的基础、根基。

针对不同⾏业，ISO9001⼜衍⽣出不同的细化标准，例如汽车⾏业、医疗⾏业的质量体是所有企业发展壮⼤的基础、根基系标准等等。

02ISO14001环境管理体系ISO14001环境管理体系认证适⽤于任何组织，包括企业，事业及相关政府单位，通过认证后可证明该组织在环境管理⽅⾯达到了国际⽔平，能够确保对企业各过程、产品及活动中的各类污染物控制达到相关要求，给企业树⽴良好的社会形象。

现在环境保护问题⽇益受到⼈们的关注，⾃从国际标准化组织发布了ISO14001环境管理体系标准和其他⼏个相关标准以来，得到了世界各国的普遍响应和关注。

越来越多有注重环境节能的企业⾃愿推⾏了ISO14001环境管理体系。

⼀般来企业推⾏ISO14001环境管理体系有以下⼏种情况：1、注重环境保护，希望通过推⾏环境管理体系的实施，从根本上实现污染预防和持续改进，同时可以推动了企业开发清洁产品、采⽤清洁⼯艺、采⽤⾼效设备、合理处置废物的进程。

三体系办理流程及关键时间节点在当今的社会中，越来越多的企业开始意识到信息安全管理的重要性。

为了提高企业的信息安全管理水平，保护企业的信息资产，很多企业选择引入信息安全管理系统。

而ISO27001信息安全管理体系、ISO20000信息技术服务管理体系以及ISO9001质量管理体系就是三个非常重要的信息安全管理系统。

这三个体系的建立不仅可以提高企业的信息安全保障水平，还有利于企业提高管理水平、提高竞争力以及形成自身品牌。

那么，在实际操作中，这三个体系的办理流程是怎样的呢？本文将对三体系的办理流程及关键时间节点进行详细阐述。

首先，我们来了解一下ISO27001信息安全管理体系的办理流程。

ISO27001是国际标准化组织（ISO）制定的信息安全管理体系标准。

其办理流程如下：1.准备阶段：企业决定建立ISO27001信息安全管理体系后，首先要明确建立信息安全管理体系的目的和意义，确定相关的管理目标和范围。

在这个阶段，企业需要成立信息安全管理团队，明确团队成员及其职责。

2.筹备阶段：企业在明确了信息安全管理体系的目标和范围之后，就要开始进行体系相关的培训。

培训包括对信息安全管理体系标准的理解以及如何进行内审等。

此外，企业还要确定信息资产，进行风险评估，并编制文件。

3.编制资料：这是ISO27001信息安全管理体系建立的重要环节。

企业需要依据标准的要求编制相关的手册、程序文件以及记录表。

同时，企业还需要进行内审，发现不足之处，并及时进行整改。

4.认证审核：在完成了文档编制、内审并整改之后，企业需要选择认证机构进行认证审核。

在认证审核的过程中，认证机构将对企业的信息安全管理体系是否符合ISO27001标准进行审核。

5.改进与保持：通过认证审核后，企业需要不断改进自身的信息安全管理体系，并进行定期的内审以及认证审核。

接下来，我们来了解ISO20000信息技术服务管理体系的办理流程。

ISO20000是一个国际标准化组织的服务管理标准，是为了确保信息技术服务组织提供符合客户要求的服务。

LOGO ABCDE 科技有限公司信息安全/信息技术服务管理手册（ 依照ISO/IEC27001:2013idtGB/T 22080-2016 &ISO/IEC20000-1:2018标准编制）文 件 编 号：XX/I-TSMS-2019 版 次：A/0 受 控 状态：发 放 编生 效 日 期： 2019年11月1日2019-10-18 发布 2019-11-01 日 生效声明：此《信息安全/信息技术服务管理手册》内容版权为ABCDE 科技有限公司所有，此文件自生效日期起开始执行，由本公司综合部予以受控发行，各持有者应妥善保存及维护。

未经本公司最高管理层批准，任何人均不得以任何方式对本手册内容进行复制、传阅或外泄。

0.1目录0.2信息安全/信息技术服务管理手册修改记录 (3)0.3颁布令 (4)0.4任命书 (5)0.5公司简介 (6)0.6公司简介 (6)1.目的和适用范围 (8)2.引用标准 (9)3.术语和定义 (10)4 公司所处的环境 (8)4.1理解组织及其环境 (8)4.2理解相关方的需求和期望 (8)4.3确定信息安全/信息技术服务管理体系范围 (8)4.4信息安全/信息技术服务管理体系 (9)5.领导 (13)5.1领导和承诺 (13)5.2信息安全/信息技术服务方针 (13)5.3公司岗位、职责和权限 (14)6.规划 (17)6.1 应对风险和机遇的措施 (17)6.2信息安全/信息技术服务目标及其实现的规划 (1)7.支持 (21)7.1资源 (21)7.2能力 (21)7.3意识 (22)7.4沟通 (22)7.5文件化信息 (23)7.6知识 (25)8 运行 (25)8.1运行规划和控制 (25)8.2信息安全风险评估/服务组合 (27)8.3信息安全风险处置/关系和协议 (29)8.4供应与需求 (33)8.5服务设计构建和转换 (36)8.6解决和履行 (38)8.7服务保证 (40)9.绩效评价 (42)9.1监视、测量、分析和评价 (43)9.2内部审核 (44)9.3管理评审 (45)9.4信息技术服务报告 (45)10.改进 (46)附录1：信息安全/信息技术服务管理体系流程图 (48)附录2：公司组织机构图 (49)附录3：公司各部门职责与权限 (50)附录4：信息安全/信息技术服务职能分配表 (53)附录5：信息安全/信息技术服务方针和目标 (55)附录6：信息安全/信息技术服务管理流程图 (57)附录7：工程/信息化网络拓扑图 (59)0.2信息安全/信息技术服务管理手册修改记录0.3颁布令为提高ABCDE科技有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻ISO/IEC27001:2013《信息技术一安全技术-信息安全管理体系-要求》和ISO/IEC20000-1:2018《信息技术-服务管理-服务管理体系-要求》国际标准工作，建立、实施和持续改进文件化的管理手册体系，制定了《信息安全/信息技术服务管理手册》。

××××××有限公司信息安全与信息技术服务管理手册文件编号：MC-ITISM-01（A0）（依据ISO27001: 2013/ISO20000-1: 2018标准编制）编制：审核：批准：××××××有限公司发布修订履历目录0.1 颁布令 (5)0.2 管理者代表授权书 (6)0.3 企业概况 (7)0.4 手册的管理 (8)1 范围 (9)2 规范性引用文件 (9)3 术语和定义 (10)4 组织环境 (11)4.1 理解组织及其环境 (11)4.2 理解相关方的需求和期望 (11)4.3 确定管理体系的范围 (12)4.4 信息安全管理体系 (13)4.5 信息技术服务管理体系 (13)5 领导 (15)5.1 领导和承诺 (15)5.2 方针 (16)5.3 组织角色、职责和权限 (16)6 策划 (17)6.1 应对风险和机会的措施 (17)6.2 管理目标及其实现策划 (19)6.3 策划信息技术服务管理体系 (19)7 支持 (20)7.1 资源 (20)7.2 能力 (20)7.3 意识 (20)7.4 沟通 (21)7.5 文件化信息 (21)8 运行 (23)8.1 运行策划和控制 (23)8.2 信息安全风险评估与信息技术服务组合 (23)8.3 信息安全风险处置与关系、协议管理 (26)8.4 供应与需求 (28)8.5 服务设计、构建与转换 (29)8.6 解决与完成 (32)8.7 服务保障 (34)9 绩效评价 (36)9.1 监视、测量、分析和评价 (36)9.2 内部审核 (37)9.3 管理评审 (38)9.4 信息技术服务报告 (39)10 改进 (39)10.1 不符合及纠正措施 (39)10.2 持续改进 (40)附录A组织机构图 (41)附录B 信息安全与信息技术服务管理职责表 (41)附录C 办公区域平面图 (43)附录D 信息安全与信息技术服务管理职责分配表 (44)附录E 方针和目标 (46)E.1 信息技术服务管理方针和目标 (46)E.2 信息安全管理方针和目标 (47)0.1 颁布令为提高××××××有限公司的信息安全管理水平，保障我公司业务活动的正常进行，防止由于信息系统的中断、数据的丢失、敏感信息的泄密所导致的公司和客户的损失，以及规范我公司IT信息技术服务管理，提供满足顾客要求的信息技术服务，我公司开展贯彻《ISO27001: 2013信息技术-安全技术-信息安全管理体系-要求》和《ISO20000-1: 2018 信息技术-服务管理体系-要求》国际标准的工作，建立、实施和持续改进文件化的信息安全与信息技术服务管理体系，制定了《信息安全与信息技术服务管理手册》（以下简称为“手册”）。

ISO20000信息技术管理体系与ISO27001信息安全管理体系认证整合实施方案一、概述：ISO20000与ISO27001多体系的整合会对企业组织来讲，无论在是战略规划上，还是日常操作中，都将产生重大的影响意义。

企业组织关心的是如何将多体系整合，下面着重介绍一下，ISO20000与ISO27001体系是如何进行整合的。

二、整合原则：为了能够更好的发挥两套体系整合所带来的企业价值，需要遵从体系整合原则，进而开展体系整合的建设与管理。

体系整合原则，是企业建设服务管理与信息安全管理的前提基础与保证依据，整合原则在体系整合构建与实施中将发挥其最大作用。

1、关注客户服务水平。

是以客户为中心，以流程为导向的IT 服务管理体系，旨在提高客户满意度水平。

而ISO27001 主要是对信息资产的风险控制，同样是为了保障企业内部整体服务能力，间接的保证了客户服务质量。

2、体系条款满足原则。

两套体系整合的条款应将共性要求条款融合为一体，不同的特定要求条款也应得到满足。

3、文件结构满足原则。

两套体系应采用一致性的文档层次结构，方便文件共享与统一搜索路径，更便于日常维护与参照。

4、职能一体化满足原则。

构建体系整合实施，应将管理职能的集中与分散进行结合，要充分考虑两套体系的标准差异，调整与优化组织结构，做到对标准的共性要求的集中管理与统一控制。

5、降本增效满足原则。

两套体系整合后应在时效性与成本控制方面有明显的改进。

6、风险控制满足原则。

确保在体系流程规划、实施与运行时，能够采取有效措施对各类风险进行有效控制。

7、全员参与满足原则。

要求在体系实施与执行过程中，组织全体人员都参与进来，从而保证大家在思路上的共识。

8、体系运行模式满足原则。

遵照PDCA 过程方法来对体系进行不间断的持续改进。

9、工具接口满足原则。

如要对IT 服务管理与信息安全，要建设两个系统时，要求两个系统要设计详细的接口，并有专门的文档来记录接口定义。

三、ISO20000与ISO27001管理体系整合内容：通过以往的项目经验及对两套体系的研究，归纳与总结ISO20000与ISO27001 的体系对比，两套体系整合的可行性可能会存在以下几个方面，包括：1、体系实施人员的整合。

管理评审程序1目的为确保信息安全管理体系/IT服务管理体系持续的适宜性、充分性、有效性，对信息安全管理体系/IT服务管理体系、信息安全方针/服务方针和信息安全管理目标/服务目标进行定期评审，并保证与法律、法规、公司其他制度、原则性文件不相悖的前提下制定本程序。

信息安全体系： ISO27001体系IT服务管理体系：ISO20000体系2适用范围本程序适用于最高管理者对信息安全管理体系/IT服务管理体系的评审。

3职责与权限3.1 公司高管主持召开管理评审大会；批准《管理评审报告》3.2 管理者代表批准《管理评审计划》；组织召开管理评审会；组织撰写《管理评审报告》3.3 主管体系建设部门制定《管理评审计划》；负责搜集并提供管理评审资料；负责对评审后的纠正、预防措施进行跟踪和验证3.4 各部门准备、提供与本部门工作相关的评审所需资料；负责实施管理评审中提出的相关的纠正、预防措施4程序和工作流程4.1 制定年度管理评审计划4.1.1 年度管理评审计划组织主管部门根据信息安全管理体系/IT服务管理体系的运营情况，根据《IT服务管理手册》、《信息安全管理手册》以及ISO20000、ISO27001的标准要求，于每年年初（1月底之前）制定《年度管理评审计划》。

管理评审计划由管理者代表审批后方可生效。

4.1.2 年度管理评审计划的内容管理评审计划的主要内容包括：审核目的、审核范围、审核准则、审核组的组建、审核员的资质等的要求、审核的时间、参与评审的部门等。

4.1.3 管理评审的频次管理评审一般每年进行一次，一般在同一年度最后一次内部审核完成后进行。

也可根据需要安排。

当出现下列情况之一时可适当增加管理评审频次：①公司组织机构、服务范围、资源配置发生重大变化时；②发生重大IT服务事故/安全事故或用户关于IT服务/信息安全有严重投诉或投诉连续发生时；③当法律、法规、标准及其他要求有变化时；④市场需求发生重大变化时；⑤即将进行第二、三方审核时；⑥审核中发现严重不合格时。