建信金科大咖访谈:ISO20000 及 ISO27001 标准体系解读
· 如何保证信息系统的安全稳定运行、避免敏感信息泄露?
· 相关国际标准可从哪些方面助力 IT 运行管理能力的提升?
· 获取双标认证需要满足什么要求,又能获得什么收益呢?
大咖简介
涂凯,建信金融科技有限责任公司武汉事业群副总裁,1992 年加入中国建设银行,历任建行湖北省分行信息技术部经理、建行信息技术管理部武汉开发中心项目管理与质量控制部高级经理、武汉数据中心副主任,在 IT 项目管理、数据中心运行管理方面经验丰富,熟悉 IT 系统架构设计、运维体系规划建设和企业贯标认证过程,二十余年孜孜不倦在银行信息科技建设历程中不断迎接新挑战、研究新模式、探索新机制。
2020 年 9 月 14 日,金融科技大咖涂凯副总裁登陆建行大学“金科大咖云讲台”,聚焦信息技术发展,关注保障信息安全的技术服务,从国际标准体系的角度深挖 IT 服务企业如何进行管理,精辟解读了 ISO20000 标准体系和 ISO27001 标准体系。金科优源汇于直播后,第一时间对涂总进行了采访,以下为部分采访实录节选。
优源汇:涂总您好,您已经为大家解读了两个标准体系的发展历程及核心框架内容,那么请问我们为什么要获取这两个标准体系认证呢?
涂总:首先我们要清楚地知道这两个标准体系是什么。ISO20000 是一个针对管理流程系统的标准,适用于 IT 服务的提供者,可以是内部的 IT 部门,也可以是外部的 IT 服务供应商;ISO27001 是为了与其他管理标准兼容而设计的,它可以使得组织可以建立起一套完整的信息安全管理体系,并且在最大程度上融入组织正在使用的其他任何管理体系。
然后我们来看看获得两个标准体系认证之后对我们建行来说意味着什么。第一,可以向权威机构及客户表明我们遵守了适用的法律法规,从而保护企业和相关方的信息系统安全、知识产权、商业秘密等;第二,获得国际认可的机构的认证证书,增加了我们在竞争市场上的核心竞争力,可满足特殊客户的竞标需要;第三,这两个标准都强调一个持续改进的过程,也就是 PDCA 即 Plan 策划、Do 执行、Check 检查和 Act 改进组成的一个无限循环的过程,主要涉及到实施人员、规范、流程建设、文件编制、组织运维规划等方面,要求员工由“被动服务意识”向“主动服务意识”进行转变,IT 部门的角色也应由开始的“单纯的信息技术提供者”向“信息服务供应者”进行转换,“单一职能管理”向“综合职能管理”的方式的转变;第四,按照两个标准体系要求建立我们内部的管理体系,可以强化员工的信息安全意识,规范组织信息安全行为,使员工拥有问题意识,自觉的发现自己工作当中的问题,并通过系统的解决问题的方法,将问题逐个解决,从而减少人为原因造成的不必要的损失;第五,建立一整套行之有效的持续改善机制和内控机制,通过建立、优化、透明的管理流程和权责来监控管理流程并进行绩效评价,实施 SMS 降低因为潜在安全事件发生而带来的损失,降低企业的运营成本。
总体来说,企业获得 ISO27001 认证以及 ISO20000 认证资质后,在行业内信息安全方面就具有了足够的说服力,对企业的信息技术服务管理有更高的认可,同时提升了企业的影响力和竞争力。
优源汇:您在分享中提到了建行已于 2016 年获得 ISO7001 标准体系的认证并于 2018 年获得 ISO20000 标准体系的认证,那么这两个标准体系的认证是一劳永逸的吗?获得认证后我们是否还需要做些什么呢?
涂总:刚刚我已经提到过了这两个标准都强调一个持续改进的过程,那么这两个标准体系的认证自然也就不可能是一劳永逸的了。虽然我们已经获得了双标认证,我个人认为这只是一个美好的开端,但是随着时代的发展,企业的管理流程不是一成不变的,那么管理体系也是需要持续维护的。
通过 ISO20000 和 ISO27001 的实施,建立一套可衡量、可评价、可管控、可持续改进的 IT 运维管理体系和信息安全管理体系,实现流程管理系统化、标准化,并与相关的管理工具平台相结合,对 IT 运维项目实施进行包括人员配备、成本预算及流程等方面的有效管理,通过策略、惯例、规程、组织结构和软件功能等方面综合控制信息安全。
获取双标认证后,每年都要接受认证机构的监督审核,三年证书有效期到期后还需接受复评也就是再认证延续有效性,这就要求我们根据时代的进步和企业的发展持续地进行动态的调整以保证这两个标准体系在我们企业的运转有效。这就要求我们企业创造一种积极的合规文化,从上到下要达成一种共识,在工作中不断优化自己的工作模式提升工作效率,形成良好的工作氛围;同时,整合 IT 服务与企业业务不断提升业务的科技支撑能力和应对内外部信息变化的快速反应能力;再者,优化企业内部组织架构,通过合理调配系统及人力资源,创建可知可控的 IT 环境。
获取双标认证只是一种手段,不断优化改进提升服务质量使得组织成熟度持续增长才是最终管理目标;通过双标认证,增强企业的竞标能力,提升客户满意度,才是我们的目的。
评论