admin 发表于 2013-9-7 16:21:37

某地产中介机构的ISO27001信息安全管理体系落地实施案例

      近年来,随着国内经济的发展和经济增长模式的转变,以地产行业为代表的规模化发展企业面临着从粗放式管理到科学化管理阶段的变革。2010年我国政府调控房地产市场决心空前,更进一步刺激相关企业加速信息化进程,以实现科学管理来实现效益最大化。而能否利用IT手段降低成本、规范运作流程,同样成为摆在每一个房地产企业面前的一道难题。
      中原地产作为香港最大的华资地产代理行,业务与分支机构基本遍布中国的每一座大中城市,有着庞大的客户信息网络,业务遍及建筑设计、营销策划,住宅、商业、酒店、商铺租赁及买卖、物业估价等,年成交金额达百亿元。当随着企业信息化规模不断扩大和复杂程度的不断提高,企业迫切需要解决两个问题:首先是IT管理的效率问题,即如何通过规范运作流程,提高效率,降低IT管理成本;其次是IT管控和信息安全问题,即针对企业国内分支机构多,客户信息量大,数据安全要求高等要求,更好地解决IT安全管理方面的问题。
      面对上述情形,中原地产等企业深刻认识到,IT服务管理和IT安全管理对于关键业务的支持扮演着越来越重要的角色。为了更好提升IT服务管理能力,强化安全管理等风险控制水平。提出了将ISO20000与ISO27001国际体系认证相结合的“双S”咨询方案,及时解决企业面临的难题。
      “双S”咨询方案科学构建了中原地产的IT服务与安全管理体系,并使得企业可以采用国际通用的“PDCA”戴明环法对整个体系进行持续改进,体系框架如图所示: “双S”咨询方案体系框架

       依上图所示,“双S”咨询方案的实施主要包括以下阶段:
      1.ISO20000&ISO27001认知培训阶段
      作为本期项目的培训宣导部分,专业讲师基于ITSM&ISMS国际先进理念,同时结合中原地产IT运维特点开展理论培训,有效统一了中原地产各部门人员对ITSM与ISMS管理体系规范的认识,从而加深对项目体系建设的认知与了解,为后期的项目体系建设提供了坚实基础。
      2.中原地产IT服务与信息安全管理现状评估阶段
      基于IT服务管理成熟度(ITIL/ISO20000)评估方法,针对 “Where are we now?”以及“Where should we go?”两个问题,来帮助中原地产确定当前的IT运营现状与发展远景,并对现有服务与安全管理体系进行梳理,评估目前服务管理水平及信息安全建设程度,从而为中原地产提供专业的意见与建议。
      3.ITIL&ISMS专项咨询阶段
      根据现状评估阶段的意见与建议,与中原地产项目相关人员针对体系中包含的重点流程展开研讨,主要确定重点流程的显著问题与解决方法、体系文件建设结构、流程文档设计原则等。
      4.ISO20000&ISO27001体系设计阶段
      作为本次项目中重点建设部分,协助中原地产在ISO20000&ISO27001定义的相关领域分别建立了管理流程和文档体系,重点工作事项为四级文档体系结构设计与内容编写工作。
      5.ISO20000&ISO27001体系试运行、改进与审核
      项目流程体系建设完成后,指导和协助中原地产进行体系推广,并针对内审人员进行数据收集、记录与审核方法等方面的培训。在专业咨询顾问的指导下,内审人员顺利开展了体系的内部审核,及时修正了审核中所发现的问题。
      通过ISO20000&ISO27001认证咨询项目,中原地产公司建立了可持续改进的IT服务管理与信息安全管理体系,确保了IT服务质量最大程度的满足业务的SLA要求,达到了“降本增效”的目的,从而更加有效地改进与完善内部服务与风险控制管理机制。以下为此次项目实施后,中原地产的主要收益有:
      •中原地产顺利通过体系管理评审,取得ISO20000与ISO27001体系认证,提升了中原地产的竞争优势;
      •中原地产建立一整套行之有效的IT服务与信息安全管理持续改善机制;
      • 有效强化了中原地产服务与信息安全意识,规范了组织服务与信息安全管理行为;
      • 管理体系与业务流程的高效整合,大大减少了中原地产工作量,达到了降低运营成本,提升工作效率的目的;
      中原地产在双S解决方案的帮助下,实施ISO20000与ISO27001体系流程,获取ISO20000与ISO27001体系认证证书,加强了中原地产在业内的影响力,同时也使得中原地产在IT服务与信息安全管理水平上得到有效提升,为中原地产未来发展起到‘保驾护航’的作用。



huangjie528 发表于 2013-9-7 19:41:56

学习了。
页: [1]
查看完整版本: 某地产中介机构的ISO27001信息安全管理体系落地实施案例