◆什么是CMMI?
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
CMM是由美国卡内基梅隆大学的软件工程研究所(SEI)创立的CMM(Capability Maturity Model 软件能力成熟度模型)认证评估,在过去的十几年中,对全球的软件产业产生了非常深远的影响。
CMM是目前世界公认的软件产品进入国际市场的通行证,它不仅仅是对产品质量的认证,更是一种软件过程改善的途径。软件开发企业通过CMM的评估认证不仅仅是目标,它是推动软件企业在产品的研发、生产、服务和管理上不断成熟和进步的手段,是一种持续提升和完善企业自身能力的过程。
CMM分几个等级?
CMM共有五个等级,分别标志着软件企业能力成熟度的五个层次。从低到高,软件开发生产计划精度逐级升高,单位工程生产周期逐级缩短,单位工程成本逐级降低。据SEI统计,通过评估的软件公司对项目的估计与控制能力约提升40%到50%;生产率提高10%到20%,软件产品出错率下降超过1/3。
对一个软件企业来说,达到CMM2就基本上进入了规模开发,基本具备了一个现代化软件企业的基本架构和方法,具备了承接外包项目的能力。CMM3评估则需要对大软件集成的把握,包括整体架构的整合。一般来说,通过CMM认证的级别越高,其越容易获得用户的信任,在国内、国际市场上的竞争力也就越强。因此,是否能够通过CMM认证也成为国际上衡量软件企业工程开发能力的一个重要标志。
CMM的五个等级
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
重庆GJB5000A认证★
◆ CMM 1--初始级
软件过程是无序的,有时甚至是混乱的,对过程几乎没有定义,成功取决于个人努力。管理是反应式的。
◆ CMM 2--已管理级
建立了基本的项目管理过程来跟踪费用、进度和功能特性。制定了必要的过程纪律,能重复早先类似应用项目取得的成功经验。
◆ CMM 3--已定义级
已将软件管理和工程两方面的过程文档化、标准化,并综合成该组织的标准软件过程。所有项目均使用经批准、剪裁的标准软件过程来开发和维护软件,软件产品的生产在整个软件过程是可见的。
◆ CMM 4--量化管理级
分析对软件过程和产品质量的详细度量数据,对软件过程和产品都有定量的理解与控制。管理有一个作出结论的客观依据,管理能够在定量的范围内预测性能。
◆ CMM 5--优化管理级
过程的量化反馈和先进的新思想、新技术促使过程持续不断改进。
CMMI的原则:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
1、强调高层管理者的支持。过程改进往往也是由高层管理者认识和提出的,大力度的、一致的支持是过程改进的关键。
2、仔细确定改进目标,首先应该对给定时间内的所能完成的改进目标进行正确的估计和定义并制定计划。选择能够达到的目标和能够看到对组织的效益。
3、选择最佳实践,应该基于组织现有的软件活动和过程财富,参考其他标准模型,取其精华去其糟粕,得到新的实践活动模型。
4、过程改进要与组织的商务目标一致,与发展战略紧密结合。
CMMI目标:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
1、为提高组织过程和管理产品开发、发布和维护能力的提供保障。
2、帮助组客观织评价自身能力成熟度和过程域能力,为过程改进建立优先级以及执行过程改进。
CMMI的方法:
1、决定哪个CMMI模型等级最适合组织过程改进需要。
2、选择模型的表示法是连续式还是阶段式。
3、决定组织需要用到的模型中的知识领域。
4、类似CMM提出的过程改进6步,集成化过程改进分成:开始集成过程改进,建造集成改善平台,集成传统过程,启动新过程,进行改进评估。
CMMI内容:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
CMMI内容分为三个级别
◆Required必需的:
是模型和过程改进的基础。
模型构件是目标,代表了过程改进想要达到的最终状态,它的实现表示了项目和过程控制已经达到了某种水平。当一个目标对应一个关键过程域,就称为"特定目标";对应整个关键过程域就称为"公用目标"。整个CMMI模型包括了54个特定目标,每个关键过程域都对应了一到四个特定目标。每个目标的描述都是非常简捷的,为了充分理解要求的目标就是扩展"期望"的构件。
◆Expected期望的:
在过程改进中起到主要作用,但是某些情况不是必须的可能不会出现在成功的组织模型中。
模型构件是方法,代表了达到目标的实践手段和补充认识。每个方法都能映射到一个目标上,当一个方法对一个目标是唯一就是"特定方法";而能适用于所有目标时就是"公用方法"。CMMI模型包括了186个特定方法,每个目标有两到七个方法对应。
◆Informative提供信息的:构成了模型的主要部分,为过程改进提供了有用的指导,在许多情况下他们对需要和期望的构件做了进一步说明。
CMMI包括了10种"提供的信息":目的,概括和总结了关键过程域的特定目标;介绍说明,介绍关键过程域的范围、性质和实际方法和影响等特征;引用,关键过程域之间的指向是通过引用;名字,表示了关键过程域的构件;方法和目标关系,关键过程域中方法映射到目标的关系表;注释,注释关键过程域的其他模型构件的信息来源;典型工作产品集,定义关键过程域中执行方法时候产生的工作产品;子方法,通过方法活动的分解和详细描述;学科扩充,CMMI对应学科是独立的,这里提供了对应特定学科的扩展;公用方法的详细描述,关键过程域中公用方法应用实践的详细描述。
CMMI评估方法:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
自1991年起,CMM出现了很多模型,覆盖了各种各样的专业领域。其中著名的模型有:系统工程、软件工程、软件采购、集成产品、流程开发等。
当企业想要在组织内不同专业领域的流程改进,这些针对不同专业领域的模型在架构?内容和方法上的不同限制了组织成功实施改进的能力。此外,将这样模型在组织内部集成也提高了培训?认证和改进的费用。一套包括多个专业领域的模型加上整合的培训和认证支持将解决这些问题。
CMMI(Capability maturity model integration)是为了合并三个模型到一个框架中
Capability Maturity Model for Software (SW-CMM) v2.0 draft C,
Electronic Industries Alliance Interim Standard (EIA/IS) 731
Integrated Product Development Capability Maturity Model (IPD-CMM) v0.98
正如其他CMM模型,CMMI提供了流程改进的指导,而不是流程或流程的描述。组织使用的实际流程取决于很多因素,包括应用领域?组织框架和规模。CMMI将许多经过验证的方法加入架构中,来帮组组织评价成熟度?某个软件流程的能力度,并且建立改进的优先顺序和实施改进。
从CMMI框架可以产生不同的CMMI模型,因此必须首先确定那种模型最适合企业流程改进的需要。
阶段式描述 or 连续式描述
系统工程 or 软件工程 or 两者皆有
使用连续式描述可以根据企业需要选择流程改进顺序,降低企业风险,这给通过ISO做流程改进提供了一个方便的比较。使用能力度(Capability)来衡量。
阶段式描述提供了已经过验证的流程改进顺序,方便从CMM移植过来。使用成熟度(Maturity)来衡量流程改进。
系统工程包括整个系统的开发,可能包括软件也可能不包括。
软件工程用于软件系统的开发,主要集中在使用系统的?科学的?量化的方法来开发?运行?维护软件。
CMMI的评估方式:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
自我评估:用于本企业领导层评价公司自身的软件能力。
主任评估:使本企业领导层评价公司自身的软件能力,向外宣布自己企业的软件能力
CMMI的评估类型:
软件组织的关于具体的软件过程能力的评估。
软件组织整体软件能力的评估(软件能力成熟度等级评估)。
ISO27001实用规则
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
ISO27001背景:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
·直接损失
丢失订单,减少直接收入,损失生产率;
·间接损失
恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
·法律损失
法律、法规的制裁,带来相关联的诉讼或追索等。
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。目前组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
本公司拥有大批一流而稳定的专业咨询师队伍及配套服务人员,技术顾问力量雄厚,所有顾问师均是从各行各业的工作中成长起来的,具有丰富的现代企业品质管理实践经验并全部拥有国内或国际注册审核员资格,其中专职顾问师20多名,有多位曾在国外知名认证机构中做过主任审核员。在辅导过程中,将严格按《顾问师守则》进行管理,以保障顾问工作的顺利开展。
ISO27001发展:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
目前,在信息安全管理体系方面,ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
ISO27001认证好处:
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
1.符合法律法规要求
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度
ISO27001适用范围 :
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从目前的获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。
ISO27001证书的有效期?
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
ISO27001信息安全管理体系的认证证书有效期是三年,期间每年要接受发证机构的监督审核(也称为:年检或年审),三年证书到期后,要接受认证机构的再认证(也称为复评或换证)。[3]
ISO20000认证准备
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
前期准备
ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。
不同于ITIL只有个人认证系列,ISO 20000则是对组织的整体认证,因此需要全方位的建立符合标准的体系,也意味着认证前期准备工作将是复杂而细致的。正所谓“万事开头难”,在着手进行认证之初,必须充分认识到良好而充分的前期准备工作是通过这样一项国际标准认证的基石。实际上,对于大多数组织而言,通常没有太多认证工作相关的经验,因此在认证准备阶段打下扎实的基础,对于整个认证实践都是颇有益处的。
本书将从认证方案制定、调研访谈、咨询审核机构选择、组织内部流程4个方面来介绍认证准备阶段工作。事实上,虽然这四部分内容是大多数组织通过IT认证所必不可少的,但由于每个组织的组织架构和管理基础的不同,前期准备需要完成的具体工作会有一定的差异,通过认证的过程也会不同。因此,组织应“因地制宜”地开展认证实践工作。
制定认证方案
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
认证准备阶段第一步工作就是完成认证可行性方案的编写。如果把认证活动理解成一个项目,认证方案的编写就是通过对项目的主要内容、目标和相应配套条件(如管理基础、管理需求、项目规模、资源投入等),从技术、经济、工程等方面进行调查研究和分析比较,并对认证可能取得的经济效益及社会效益进行预测,从而形成该项目是否值得实施和如何实施的咨询意见,为组织的高层提供项目决策的重要依据。从这个意义上来说,认证方案的制定也是认证准备阶段中最重要的工作。
1. 可行性分析
可行性分析通常可包含投资必要性、组织可行性、技术可行性、财务可行性、经济可行性、社会可行性、风险因素及对策等部分。由于各类型项目因行业特点而差异很大,具体到ISO 20000认证,通常需要从管理基础和效益两方面进行考虑和分析。
首先是管理基础分析。需要对组织自身的管理基础,包括ITIL体系实施的基础、当前的组织架构和当前管理体系在认证过程中的风险进行全面的评估。
IT服务管理体系的建设,首先是管理问题,其次才是技术问题。成功和失败的经验都表明,需要首先解决管理体制和机制的问题,建立以客户为中心的理念,培养服务意识和质量意识,建立内部可行、科学的服务模式;其次才是借助软件工具将管理流程固化和优化,利用自动化工具辅助和提升管理效率,实现技术和管理的有效结合。因此,在认证可行性分析时应更关注管理可行性,其次才是技术可行性。
对于那些已经成功实施基于ITIL的管理方法的组织来说,需要更标准化的成熟IT服务质量管理体系来确保管理与国际接轨。ISO 20000认证将满足其进一步发展的战略需求,同时ISO 20000的持续改进机制也确保管理流程具备更强的生命力。
其次是效益分析。可以从资源配置的角度衡量认证项目的收益,评价认证项目在实现组织发展目标、有效配置IT资源、改善运行环境、提高流程效率、减少人员工作量、提升盈利能力等方面的效益。
虽然对于不同的组织来说可能带来的效益各有不同,但通常ISO 20000可能为组织带来的效益可能包括以下内容:
—在IT服务提供中有更多的管理手段,并能持续地改进;
—改进服务交付的能力,为关键业务服务提供稳定的,高质量,低成本的可靠的服务;
—通用的服务表达方式,方便不同组织之间的对话;
—为组织内部运营过程提供一个管理和沟通的平台;
—采纳最佳实践,提高组织内部服务水平,以及服务级别的持续保持;
—减少服务交付中的时间成本;
—有效管理供应商的方法;
—提高人员利用率,改善激励,降低人员流失;
—有价值的管理数据,更好的决策支持;
……
2. 认证实施计划
认证实施计划是认证方案书中的核心部分之一。提到计划,通常的理解就是步骤、任务、人员、周期、里程碑等内容,使用专业的工具如MS Project、Excel进行编辑和制定。按照项目计划的常用制定方法基本可以覆盖认证计划的主要内容,但必须注意认证实施计划与一般工作计划几个细节上的区别:
1) 本书前面已经介绍过,认证过程主要分为前期准备阶段、差距分析阶段、流程建立改进和试运行阶段、认证审核阶段等。各个阶段的时间和人员分配取决于组织自身的成熟度,可以适当调整几个阶段的资源分配。如果IT服务管理的基础较好,前期准备和流程建立改进阶段时间可以大大减少。
2) 始终牢记各个流程必须全部达到ISO 20000的要求才能获得认证,因此资源适当向基础薄弱、离标准要求有一定距离的管理流程,提早启动流程建立和改进阶段工作。
3) 认证计划中需要包括审核机构的部分,由于整个审核过程会包括几批次,每批次之间另有再改进的时间,同时每一次审核需要提前预约,因此整个实施计划建议预留一些时间给审核机构。
图4-1是一个认证计划的样例,供读者参考。事实上,计划的形式并不重要,重要的是对制定认证计划这项工作的重视。
3. 资源与费用
资源与费用也是认证方案准备过程中需要了解的内容之一。与实施计划一样,资源投入的多少主要取决于组织自身的成熟度,越成熟的组织需要在IT服务管理体系建设和完善上花费的资源相对越少。
人力资源:通常包括组织自身、第三方咨询机构、认证审核机构等的人力资源,其中通常较为容易忽视的是组织在全员培训上的人力投入。这在流程体系试运行和认证审核阶段都是相当关键的。
工具资源:现阶段,任何组织的IT服务管理体系都与工具软件有一定关联,而且这种依存度正在逐渐上升。组织在实施ISO 20000认证时,可能需要对其现有的工具平台进行一定的调整,也可能需要采购一些新的产品。
费用方面,通常认证实施项目包含以下5个部分:
1) 认证咨询服务费(咨询合作方,可选)
2) 认证服务费(审核机构)
3) 培训费用(可选)
4) 认证相关参考资料、宣传费用(可选)
5) 工具软件费用(可选)
具体费用根据组织规模而有所不同。对于希望通过该项认证的组织来说,在项目方案中应确认认证服务费用是否包含后续年度的复审、复评和证书管理费用等。
除以上介绍的管理基础分析、效益分析、认证实施计划、资源与费用等主要内容外,认证可行性方案中还可以包括ISO 20000认证介绍、风险因素及对策等内容,组织可根据自身情况丰富方案内容。
ISO20000前期调研
★重庆CMMI认证★重庆ISO27001认证★重庆ITSS认证★重庆CCRC认证★四川CMMI认证★四川ISO27001认证★四川ITSS认证★四川CCRC认证★
认证准备阶段的另一项重要工作就是调研,对于整个组织而言,进行充分细致的调研工作有助于梳理组织内IT服务管理现状,同时对于提高全员认证意识,提升组织内成员对认证工作的重视程度有一定的积极作用。这一阶段的工作在某种程度上和下一阶段差距分析工作存在一定重叠,可以同步进行。区别在于正式启动认证前的调研承担了部分可行性研究的职能,同时主要偏重于现状的了解和梳理,并不过多地进行与ISO 20000标准条款的对比,而差距分析主要立足于ISO 20000标准,运用专业的分析方法和工具进行比较性的分析,查找出组织现状和ISO 20000标准中各条款的差距,进而制定改进课题。
下面简要介绍几个认证准备阶段常用的调研方式。
1. 问卷调查
问卷调查是最为常用的方式之一,优点是可以让受访对象能够有针对性地准备收集材料、整理相关信息,同时准备的时间也相对充裕。在调研问卷回收的基础上,可以安排进行面对面的访谈,对问卷中的重要部分进行展开了解。
问卷调查可根据ISO 20000的特点进行设计,主要包括2个部分,即管理体系和13个管理流程。管理体系部分的调研范围涵盖认证目标、组织结构、员工职位描述、人员知识结构、文档体系、培训体系、内部审计和改善计划等方面。管理体系的调研对象为组织的高层管理人员,这些人员通常也是ISO 20000体系整体质量管理人员,或称质量经理,对整个体系负有管理职责。管理流程部分相对细节层面的内容较多,可以包括各流程的定义、输入、输出、文档记录、工具以及流程间关联的内容。管理流程的调研对象为组织内当前负责相关流程或者工作的管理和技术人员,通常可包括ISO 20000体系中各流程经理、流程协调人员和流程执行人员。
2. 人员职责汇总
除管理体系和管理流程外,组织内部人员职责分工也是调研期间需要梳理和掌握的重要内容。建议采用“人员角色和职责列表”(Role & Responsibility Matrix)的方式,通过建立人员和工作内容的对应矩阵,对组织内所有人员的职责分工进行汇总和整理。
★重庆两化融合★重庆CMMI认证★重庆GJB5000A认证★重庆CCRC认证★重庆ISO27001认证★重庆ISO20000认证★重庆ISO22301认证★重庆ISO27701认证★重庆ITSS认证★重庆CS认证★
|