pzppp.com
ISO27001认证体系建设分为四个阶段:实施风险评估、规划体系建设方案、建立信息管理
体系、体系运行及改进。也符合信息管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,
即有效地保护企业信息系统的,确保信息的持续发展。
1、确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑
内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括
公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机
系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质
,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库
、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息
系统中传输以及存储的数据;管理:包括策略、规章制度、人员组织、开发、项目管理
和系统管理人员在日常运维过程中的合规、审计等。
2、风险评估
企业信息是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供、可信的服
务,保证信息系统的可用性、完整性和保密性。
本次进行的评估,主要包括两方面的内容:
2.1、企业管理类的评估
通过企业的控制现状调查、访谈、文档研读和ISO27001的 实践比对,以及在行业的经验上
进行“差距分析”,检查企业在控制层面上存在的弱点,从而为措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息管理体系相关的11个方面,包括信息策略、组
织、资产分类与控制、人员、物理和环境、通信和操作管理、访问控制、系统开发与维护、安
全事件管理、业务连续性管理、符合性。
2.2、企业技术类评估
基于资产等级的分类,通过对信息设备进行的扫描、设备的配置,检查分析现有网络
设备、服务器系统、终端、网络架构的现状和存在的弱点,为加固提供依据。
针对企业具有代表性的关键应用进行评估。关键应用的评估方式采用渗透测试的方法,在应用
评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的目标之间的差距,为后期改造提
供依据。
提到评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点
,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信
息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威
胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属
性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
3、规划体系建设方案
企业信息问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息体系
,并终落实到管理措施和技术措施,才能确保信息。
规划体系建设方案是在风险评估的基础上,对企业中存在的风险提出建议,增强系统的安
全性和抗攻击性。
在未来1-2年内通过信息体系制的建立与实施,建立组织,技术上进行审计、内外网隔
离的改造、产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息体系
和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,为主,防治结合
的先进型企业。
4、企业信息体系建设
企业信息体系建立在信息模型与企业信息化的基础上,建立信息管理体系核心可以更
好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复
(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
体系的建设一是涉及管理制度建设完善;二是涉及到信息技术。首先,针对管理制
度涉及的主要内容包括企业信息系统的总体方针、技术策略和管理策略等。总体方针
涉及组织机构、管理制度、人员管理、运行维护等方面的制度。技术策略涉
及信息域的划分、业务应用的等级、保护思路、说以及进一步的统一管理、系统分级、网络互
联、容灾备份、集中监控等方面的要求。
其次,信息技术按其所在的信息系统层次可划分为物理技术、网络技术、系统技
术、应用技术,以及基础设施平台;同时按照技术所提供的功能又可划分为保护类、检
测跟踪类和响应恢复类三大类技术。结合主流的技术以及未来信息系统发展的要求,规划信息
技术包括:
房地产ISO9000认证强调过程管理的思想,通过对房地产开发全过程的业务和管理活动进行分析,
从市场调研、项目论证、产品策划、规划及建筑方案设计、施工图设计、施工过程管理(进度、质量
)、销售、交付、售后服务等业务流程以及相关的支持性管理流程的分析,对现有流程进行梳理,使
运作流程更加清晰,同时对不合理或流程绩效低下(如效率、质量、成本)的流程进行优化和改进,
达到提率,降低成本的目的。
a) 设计过程的控制。设计过程控制包括设计过程策划、设计评审、设计验证、设计确认及设计
更改的控制,由于房地产设计主要由设计院完成,因此与设计院的沟通及设计过程责任区分需要明确
,对设计更改的评审及更改过程的监控及有效跟踪应特别关注。
b) 对分包商的管理。由于房地产开发过程有多种类型的分包商,重点包括建筑商、监理方、材
料供应商、设计供应商等,对供应商如何制定合适的评估标准及方法以及过程如何进行监控将影响到
体系的可操作性及有效性。
c) 施工过程的质量管理。施工过程质量管理除了对采购材料的质量进行监控外,重点是施工过
程的质量监控,需要明确内部工程师需要监控的项目及方法,并有效跟踪并关闭发现的质量问题,包
括监理方提出的质量问题应及时跟踪并关闭,关注并书面明确与相关方在质量控制方面的责任划分。
d) 对过程质量的检查应注意操作性。应明确过程巡查的方式、重点以及必须巡查的内容,应有
效记录并分析所发生的所有问题,进行原因分析并采取相应的纠正或措施,通过数据分析将结果
应用于改进未来的设计、施工和服务中。
e) 注意施工过程的档案管理。施工过程中有关设计、工程等方面的档案应明确管理的方法,包
括保存、发放、编号、版本等,对文件的 版本状态应加以识别,防止误用。对有关设计变更及工
程变更的记录必须有可追溯的编号。
f) 对已经发生的问题或薄弱环节应有针对性建立文件进行改进。如对顾客经常发生投诉的销售
人员不实宣传应建立相应的程序或规范加以防止,同时内部注意销售人员的培训、发布广告的管理、
销售现场检查及证据的收集等。
房地产ISO9001认证在房地产企业的实施为促进房地产业的稳定发展起到了重要作用。房地
产ISO9001认证在房地产推行为了达到目的和 效果,确保实施的成功性,必须确保以下几个要素
正常运行:
1、ISO9001质量方针:是企业总的方向和目标,是企业的口号和旗帜。
2、管理者推动:在房地产企业中建立一套新的ISO9001管理体系,决不是一件轻而易举的事,是
需要伤筋动骨的,不但需要打破一些传统观念,而且还要使新的体系能够在企业中生根、发芽、开花
。它从基层到管理层,从一个部门到另一个部门,涉及的人员之多,关系之复杂,无疑这将是困难的
。要克服这些困难,使管理体系的建立能够获得成功,捷径之一--管理者推动这把利器。首先:管理
者站在企业的上层,有利于观察企业的情况,能够看到企业的软肋在哪里?有利于工作的开展。其次
:管理者有利于推动部门与部门之间事务的协调,有利于监督上下级之间的工作。再次:管理者既是
改革的带头人,又是改革的推动者。
3、建立项目小组:项目小组的组成有助于更好的建立和实施新的体系。在项目小组成员的组成
上,应该是有所要求的,成员要有一定的组织协调能力、监督和实施能力。一般建议企业中上层管理
人员或者部门负责人以上人员组成。
在质量体系实施的过程中有以下几个质量控制点:
a、企业诊断
b、建立ISO9001体系(参照标准、结合企业实际情况设立目标和范围)
c、ISO9001试运行(检验体系的可行性)
d、建立ISO9001内部审核制度
e、ISO9001管理评审
f、ISO9001培训(贯穿于所有阶段的所有过程)
通过以上各个关键点的把握,使房地产企业都通过ISO9001质量管理体系认证过程得到很好的效
果。ISO9001质量管理认证在房地产企业成功实现的经验,我们可以借鉴应用在企业实施客户关系管
理中来,利用ISO9001质量管理体系认证规范的流程和成熟的运作模式为企业实施客户关系管理提供
方法。在房地产企业中,不妨我们把ISO9001质量管理体系的实施模式引进来,在房地产企业中得以
应用和消化。房地产企业在满足了管理者推动、公司实施客户关系管理方针和目标明确、有了充分的
资源可以利用的基础上,应该在以下环节上加大力度。
1、客户关系管理诊断。帮助公司建立切实有效的规范化、系统化、科学化、可操作性强的客户
关系管理体系,以满足客户关系管理的需要。能够有效的控制整个客户关系管理体系的建立,确保实
施的成功性。在诊断中,充分了解企业在经营销售、市场活动和客户服务方面存在的问题,客户从咨
询房子到买房子变成业主,直到后期的物业管理,再到客户的价值,形成交叉销售和链式销售。
在整个客户的价值生命周期中,客户关心和了解什么问题?企业需要了解和掌握客户的哪些资料?如何
细分客户?客户不满意的原因是什么?有什么改进方法?每个问题如何通过信息化手段实现?等等诸如此
类的问题要多了解。作为房地产企业多问些为什么,是有助于企业发展的。
2、客户关系管理体系的建立,要根据企业的实际情况制定自己的目标和范围,不可放大目标,
也不能缩小目标。目标太高,不利于看到实施效果,容易产生负面影响;目标太低,容易实现,但很
难达到实施客户关系管理体系的 效果。只有适合企业情况的体系才更能有助于企业的发展。例如
房地产经营销售部实施客户关系管理的目标:在三个月之内,建立完善的客户档案资料,并能对部分
数据进行分析;在六个月内,客户资料完善,对潜在客户和业主进行跟踪和管理,并对经营销售
部的所有数据进行分析。对房地产企业来说,在六个月内整个公司客户关系管理平台建成,在各个部
门得到初步完善;在一年内完成客户关系管理体系的建立,对所有客户数据可以进行分析,指导相关
部门、人员制定计划和目标,提高企业整体协同作战能力,增强企业竞争力。客观的制定目标、建立
体系才能很好评估客户关系管理给企业带来的价值,有比较,才会有进步。
3、建立客户关系管理监督审核机制,确保客户关系管理体系在企业中有效应用。完善的监督审
核机制,是对客户关系管理体系顺利实施、延续的重要环节之一。在监督审核人员的选择上,应该是
很有责任心、组织协调能力强、有信息化基础的人员组成。公司也可以倡导自监或他监的制度,无论
是在工作流上,还是在处理客户投诉方面,让客户关系管理成为自己的好帮手、企业发展的好助手。
深圳招商房地产在这方面做得比较好,他们组织客户关系管理项目小组,监督着整个企业的客户关系
管理建设,从管理方面、业务方面和信息化方面多层次多渠道进行监督和审核,在借助外力的同时,
也在加紧修炼自己的内功。
4、培训是企业成功实施客户关系管理的基础。培训是贯穿在整个过程中的,为了打破传统观念
,要进行理念培训;为了建立客户关系管理体系,要进行客户关系管理基础知识培训;为了很好的实施
客户关系管理,要进行客户关系管理操作培训;为了让客户关系管理更好的在企业中升华,要持续不
断的坚持培训。在一些企业中,经常听到某某人员不理解客户关系管理,某某人员不会使用客户关系
管理,这都是培训不佳或没有培训的结果。特别在房地产企业中,培训就尤其重要,从以前挖坑盖房
,到现在管理和信息化建设相结合的年代,时间之短,速度之快,人员的整体素质的需要不断的
学习和培训才能达到。
5、组织企业客户关系管理管理评审,对于企业设立的目标和体系实施的有效性要进行定期评审
。结合企业的内部审核结果,对体系的有效性进行评估、改进、,使客户关系管理体系始终保持
良性的可持续发展的状态。
惠州/惠阳ISO认证需求量很大,很多企业想走捷径,想省钱,想取得ISO认证想直接找认证机构发证。因为他们想,如果让咨询机构介入,成本肯定会增加。
想法固然没有错,但 有规定,认证机构如果直接给企业发是违规的,结果会被吊销。等于白做。
从另外一个方面来说,企业直接找认证机构,前期需要准备的资料,认证机构也会安排咨询师过来编写文件。羊毛出在羊身上。
另外,如果找咨询公司拿证,这其中的一些程序咨询公司帮助企业处理了,同时,咨询机构与认证机构有长期的合作价格,找咨询机构价格还便宜。有的认证机构规定,企业找他们拿证,必须从公司帐号上汇12000元到认证机构帐号上。再加上认证机构安排人来做文件的费用,算下来少也要15000元。如果找咨询机构,12000元就搞定了。
惠州/惠阳ISO认证 惠州/惠阳ISO认证公司
惠州/惠阳博慧达咨询机构在做ISO谁敢证咨询的同时,也代理了几家认证机构的业务,审核员就在惠州/惠阳,往返比较方便。为企业节省人力和物力。
