13274610375 / 0451-58578842
ISO20000包含的知识与信息内容,比ISO9000要复杂得多,很多时候,我们是不具备太多的知识去重建体系,即要满足体系标准要求又要符合自已的业务实际,这也是我们花钱请咨询公司的原因,但真正具备知识及实务经验的咨询顾问并不多,即便有对项目的管理与控制又可能不足,或者他们出于各种考虑,并不会做得很深入,所以在ISO20000的项目实施过程中,对咨询公司的控制是很重要的,这种控制一方面需要在合同中约定,但合同中不会规定非常具体的质量行为,这需要被咨询方有意识的在项目过程中进控制。
鉴于管理咨询在中国的现状,各种不知所谓的顾问太多,在选择咨询公司时,事实上是一个选择顾问的过程,我个人的意见是,如果可以请咨询公司先把日后会来做这个咨询项目的顾问师先请来试讲,只有通常正规的试讲,让顾问把自已的知识与理念展现出来,然后我们再丢出一系列的问题去交流,只有这样才能真正起到一个把关的作用,而不是让咨询公司先派出能力强的顾问师来打单,然后派一个能力差的顾问来服务,或者前期交流的顾问顶着一个项目经理的帽子参与项目,选择对了顾问师,比什么都重要,我认为在连过来服务顾问是谁的情况都不知道的情况下,去冒然把合同订下是相当冒险的,相信我,中国真正的人才并不多,尤其是具备真正能实务经验与理论知识,并愿意真正扎进来帮助你提升的顾问更是少之又少,在ITIL这种领域内,那些所谓的专家,一并非如你想象的那么精深的,而且人家会把这种专家丢到你的公司来折腾吗?在项目初期多花一些心思,比后面花十倍的功夫还要有价值,反正一条,一定要找到合适的顾问。
ISO20000在服务提供过程的“信息安全管理”部分中包括有对信息安全的要求。尽管两者都专注于IT服务的管理,然而,在专注点和适用范围上有着很大的不同:
ISO20000以流程为核心,定义了一系列比较抽象的流程目标,而ISO27001以控制点/控制措施为主,比较具体;
两套体系规范的侧重点有所不同,ISO20000是面向IT服务管理的质量体系标准,而ISO27001是面向信息安全的质量标准规范,ISO20000强调以流程的方式达到质量管理标准,ISO27001强调以风险控制点的方式来达到信息安全管理的目的;
两套体系规范存在着许多的共性特征,如:事件管理、业务连续性管理、信息资产管理等方面,大多数的企业都会选择将ISO20000与ISO27001认证项目一同实施,使两套体系间的互补特性得到充分的发挥,更全面适用范围不一样
ISO20000适用于企业的IT服务部门,通常是IT部门
ISO27001适用于整个企业,不仅仅是IT部门,还包括业务部门、财务、人事等部门