认证实施计划
认证实施计划是认证方案书中的核心部分之一。提到计划,通常的理解就是步骤、任务、人员、周期、里程碑等内容,使用专业的工具如MS Project、Excel进行编辑和制定。按照项目计划的常用制定方法基本可以覆盖认证计划的主要内容,但必须注意认证实施计划与一般工作计划几个细节上的区别:
1) 本书前面已经介绍过,认证过程主要分为前期准备阶段、差距分析阶段、流程建立改进和试运行阶段、认证审核阶段等。各个阶段的时间和人员分配取决于组织自身的成熟度,可以适当调整几个阶段的资源分配。如果IT服务管理的基础较好,前期准备和流程建立改进阶段时间可以大大减少。
2) 始终牢记各个流程必须全部达到ISO 20000的要求才能获得认证,因此资源适当向基础薄弱、离标准要求有一定距离的管理流程,提早启动流程建立和改进阶段工作。
3) 认证计划中需要包括审核机构的部分,由于整个审核过程会包括几批次,每批次之间另有再改进的时间,同时每一次审核需要提前预约,因此整个实施计划建议预留一些时间给审核机构。
费用方面,通常认证实施项目包含以下5个部分:
1) 认证咨询服务费(咨询合作方,可选)
2) 认证服务费(审核机构)
3) 培训费用(可选)
4) 认证相关参考资料、宣传费用(可选)
5) 工具软件费用(可选)
具体费用根据组织规模而有所不同。对于希望通过该项认证的组织来说,在项目方案中应确认认证服务费用是否包含后续年度的复审、复评和证书管理费用等。
除以上介绍的管理基础分析、效益分析、认证实施计划、资源与费用等主要内容外,认证可行性方案中还可以包括ISO 20000认证介绍、风险因素及对策等内容,组织可根据自身情况丰富方案内容。
下面简要介绍几个认证准备阶段常用的调研方式。
1.问卷调查
问卷调查是为常用的方式之一,优点是可以让受访对象能够有针对性地准备收集材料、整理相关信息,同时准备的时间也相对充裕。在调研问卷回收的基础上,可以安排进行面对面的访谈,对问卷中的重要部分进行展开了解。
问卷调查可根据ISO 20000的特点进行设计,主要包括2个部分,即管理体系和13个管理流程。管理体系部分的调研范围涵盖认证目标、组织结构、员工职位描述、人员知识结构、文档体系、培训体系、内部审计和改善计划等方面。管理体系的调研对象为组织的高层管理人员,这些人员通常也是ISO 20000体系整体质量管理人员,或称质量经理,对整个体系负有管理职责。管理流程部分相对细节层面的内容较多,可以包括各流程的定义、输入、输出、文档记录、工具以及流程间关联的内容。管理流程的调研对象为组织内当前负责相关流程或者工作的管理和技术人员,通常可包括ISO 20000体系中各流程经理、流程协调人员和流程执行人员。
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。