ISO9000ISO27000ISO20000三体系整合构想

ISO9000ISO27000ISO20000三体系整合构想
⼀、实施构想
众所周知， ISO9001是对国际上各类优秀企业的质量管理体系共性的总结。

是以客户为关注焦点的质量管理的基本要
求。

CMMI更关注于软件开发过程的流程控制和交付质量；ISO20000⽤于规范整个应⽤交付上线以后的运营和维护，不仅有流程、客户还包括成本；ISO27001确定企业运营过程中信息安全的保护防范措施的到位程度。

虽然管理的侧重不同，但均采⽤过程⽅法将经营中的各类活动⽤输⼊、输出的⽅法进⾏连接，通过对过程的分析，找到维持规范化管理的必要程序，最后形成基于PDCA 不断改进的管理体系。

今年4⽉份，ISO20000（2011）新版的变化更突出ISO20000与ISO9001、ISO27001整合的可⾏性。

项⽬实施的难点在于多体系的整合，⽽重点则落在IT服务管理的流程梳理和公司信息安全管理的规划与实施上。

通过整合管理体系，在成本和客户满意度之间实现企业与客户的双赢，⽤标准化流程和规范化管理来尽量减少服务的差异和可变性。

⼆、成功关键因素
领导作⽤和全员参与是⾸要的成功关键因素。

国内通过ISO9001认证的企业数字⾮常可观，但在很多企业中这套本应促进企业规范化管理的体系却变成了额外负担，体系越做越静态，逐渐丧失了价值。

其主要原因是企业⾼层不重视，员⼯⽆动⼒，体系建设仅仅是咨询公司或咨询师的⼯作，在通过认证审核后体系⽴刻停滞。

因此⾼层重视、各部门领导的协作、全员的奖惩将做为推进体系⼯作的⾄关因素。

项⽬成功的另⼀个关键因素是⼤规模专业化培训的开展。

很多企业在选择咨询机构或者咨询师的时候并不重视过程，⽽仅仅强调了结果是否通过认证审核、是否可以顺利拿证。

体系建设强调过程，因此专业化的培训对全员看待体系的⼼态、意识等⽅⾯有很⼤提升。

三、为什么要整合
⾯对IT 服务市场的竞争趋势，各服务提供商为了更稳妥的占据⼀席之地，纷纷改变原有的市场竞争策略，不在盲⽬投产于IT 基础设施建设，⽽通过权威标准来规范企业组织，分别引⼊符合国际标准的理念或体系，并结合企业⾃⾝特点，建⽴各种体系规范来协助企业管理建设。

多体系的建⽴也随之带来了不同程度上的问题。

如：ISO9000、六西格
玛、ISO27001、ISO20000、平衡计分卡等等，这些体系相互独⽴，不利于企业组织针对市场做出快速反应与长远利益的发展规划，如何做到真正的过程持续改进成了困绕各企业的⼀⼤难题。

质量、运维与信息安全作为每个组织对客户服务交付后所重点关注的三个问题，三体系的建⽴与实施将对企业组织带来⼀定程度上的影响。

ISO9001、ISO20000 与ISO27001 都同
属ISO所发布的具有国际性的标准，三套体系的侧重点分别侧重于质量管理、IT 服务管理与信息安全管理。

质量管理、客户服务与信息安全存在着相互辅助、相互依存的特性。

在操作运⾏中，我们遵照三套所规定的体系标准、体系要素和法律法规要求，可以对内部的质量、信息安全、服务提供与服务⽀持⽅⾯得到有效控制，运⽤PDCA 运⾏模式的⼿段和⽅法，规范其流程，强化其管理，对过程进⾏持续改进，使企业组织从整体上不断提升⾃⾝的服务能⼒。

符合三套体系规范的流程建设，会在⼀定程度上发挥其最⼤效能，但如果能够将三套体系融合在⼀起，将更能够发挥其应⽤效果，下⾯为ISO9001、ISO2000
与ISO27001 未整合可能会出现的问题，包括：
三套体系实施团队⾮同⼀团队：鉴于企业的战略规划与资⾦预算的限制，企业组织可能会分不同阶段不同⼈员来实施这三套体系，但由于实施时间的间隔与⼈员知识层次的不同，⼀旦缺乏有效的沟通机制，就会对后期体系维护与管理造成或多或少的⿇烦；
体系建设投⼊成本与时间并未减少：有不少企业组织认为，三套体系分别实施，可以减⼩投⼊成本与投⼊时间，但如果三套体系没有设计合理的接⼝或很好的整合机制，反⽽会让整体的运营成本与维护时间花费更多；
不利于市场⼯作开展：单体系的认证实施在⼀定程度上没有说服⼒，⽆论在客户服务营销或竞标过程中，相对缺乏效⼒。

三体系的认证实施，更⼤程度上可以保证企业的竞争优势；
不利于企业组织内部管理：单体系的运⾏效果，对企业组织的战略制定起到⼀定的借鉴作⽤，但由于其覆盖⾯积的局限性，使对组织战略规划与调整也存在⼀定的狭隘性；
单体系⽂档的参考价值不明显：⽂档是作为体系实施的有⼒证据，但单⼀体系的⽂档并不能充分的证明所具有的战略意义与作⽤，并未能发挥其最⼤效能。

冗余的重复性⼯作：在同⼀管理流程建设⽅⾯，三套体系中可能会存在或多或少的交集，完全没有必要在三套体系系统中分别来记录两次，这样不仅对⼈⼒资源造成浪费，⽽且还要浪费很多时间。

体系内审执⾏存在冗余：在对三套体系进⾏内审时，由于三套体系分别为独⽴评审，可能会造成评审结果为同⼀原因记录，冗余的内审。

例如：事故在ISO20000 中已经被发现，⽽在ISO27001 也被发现；
管理评审执⾏活动次数多：管理评审时，三套体系单独运⾏，⽆形中会增加评审的次数与会议召开的次数，评审质量与评审效果也不是很明显，并且问题很多，更可能会出现相互扯⽪的现象。

四、整合原则
为了能够更好的发挥三套体系整合所带来的企业价值，需要遵从体系整合原则，进⽽开展体系整合的建设与管理。

体系整合原则，是企业建设质量管理、服务管理与信息安全管理的前提基础与保证依据，整合原则在体系整合构建与实施中将发挥其最⼤作⽤。

体系整合所要遵照的原则包括：
ISO9001是以顾客为关注焦点，旨在提⾼客户满意度⽔平；ISO20000⽤于规范整个应⽤交付上线以后的运营和维护，不仅有流程、客户还包括成本；⽽ISO27001 主要是对信息资产的风险控制，同样是为了保障企业内部整体服务能⼒，间接的保证了客户服务质量；
体系条款满⾜原则：三套体系整合的条款，应将共性要求条款融合为⼀体，不同的特定要求条款也应得到满⾜；
⽂件结构满⾜原则：三套体系应采⽤⼀致性的⽂档层次结构，⽅便⽂件共享与统⼀搜索路径，更便于⽇常维护与参照；
职能⼀体化满⾜原则：构建体系整合实施，应将管理职能的集中与分散进⾏结合，要充分考虑三套体系的标准差异，调整与优化组织结构，做到对标准的共性要求的集中管理与统⼀控制；
降本增效满⾜原则：三套体系整合后应在时效性与成本控制⽅⾯有明显的改进；
风险控制满⾜原则：确保在体系流程规划、实施与运⾏时，能够采取有效措施对各类风险进⾏有效控制；
全员参与满⾜原则：要求在体系实施与执⾏过程中，组织全体⼈员都参与进来，从⽽保证⼤家在思路上的共识；体系运⾏模式满⾜原则：遵照PDCA 过程⽅法来对体系进⾏不间断的持续改进⼯具接⼝满⾜原则如要对IT 服务管理与信息安全，要建设两个系统时，要求两个系统要设计详细的接⼝，并有专门的⽂档来记录接⼝定义。

五、整合可⾏性
归纳与总结ISO9001、ISO20000 与ISO27001 的体系对⽐，个⼈认为三套体系整合的可⾏性可能会存在以下⼏个⽅⾯，包括：
体系实施⼈员的整合：作为三套体系整合的第⼀要素，也是整合最重要的因素，只有对实施⼈员的统⼀管理与任务分派，才能更好的管理体系实施与改进。

即使⼈员有很⼤变动时，也能保证正常的服务运营；
体系规范的整合：体系实施⼈员通过⾃⾝研究或借助咨询公司深⼊研究三套体系规范，找出其共性体系要素。

如：ISO20000的“事件管理”与ISO27001 的“信息安全事故管理”等；
法律与法律的整合：企业从整体上应满⾜三套体系的法律、法规要求，这样可以保证符合法律的全⾯性；
流程建设的整合：参照体系规范的模型与流程建设原则，可以规范内在管理与外在服务程序，使服务⽀持与服务提供紧密结合，并对成本投⼊进⾏有效控制，为组织提供事件处理的时效性、灵活性及风险控制性。

通过体系中所阐述的考核指标与报表，可实现服务可计量；
体系实施⽂件编制的整合：当前，三套体系认证的⽂档体系框架主要都是以四级⽂档为准，并且划分的结构层次也有⼀定程度的相似之处。

可以提炼出共⽤的模板与⽂件结构。

组织运维规划与职能的整合：组织的运维规划要从服务与风险控制两个主要⽅⾯来考虑，保证制定的战略符合未来的发展要求，依据详细的控制措施来保障整体的服务能⼒。

并根据三套体系的标准差异，调整与优化组织结构，完善⾓⾊⼈员的职能化要求，从⽽实现职能⼀体化的建设；
内部与管理评审的整合：在管理评审的前期准备时，可以全⾯考虑其评审符合条件要素，审核后可根据审核机构的建议来统⼀进⾏改进与优化。

审核机构应尽量选择同⼀家认证机构，保证认证及维护的⼀致性；
培养与培训的整合体系整合的培训，可以使组织员⼯很快就能够了解其应⽤实质，⼤⼤减少了时间成本。

六、整合后的应⽤
⽬前，企业信息化战略建设倡导从“技术驱动”向“业务驱动”进⾏转变，要求企业组织⼈员应由“被动服务意识”向“主动服务意识”进⾏转变，IT 部门的⾓⾊也应由开始的“单纯的信息技术提供者”向“信息服务供应者”进⾏转换，“单⼀职能管理”向“综合职能管理”的⽅式的转变。

为了更好应对上述的转变要求，需对服务提供⽅式与服务质量进⾏改进，强调具有时效性与灵活性的体系设计，从整体上提⾼与改进其服务质量，使全⾯提升客户满意度⽔平。