Tích hợp ISO 9001, ISO 20000-1 và ISO 27001
Tích hợp ISO 9001, ISO 20000-1 và ISO 27001
Thời gian đọc bài 3 phút
Đăng bải TonyPI
Nhà cung cấp nội dung HQC Company
Phân loại bài: Quản lý Dịch vụ, Chất lượng và An toàn bảo mật
Hiện nay, Báo cáo kỹ thuật ISO / IEC 20000-7 đã được xuất bản, có tiêu đề Hướng dẫn về sự tích hợp và liên quan của ISO / IEC 20000-1: 2018 với ISO 9001: 2015 và ISO / IEC 27001: 2013.
Báo cáo này cung cấp hướng dẫn về cách vận hành một hệ thống quản lý tích hợp dựa trên ISO / IEC 20000-1 (hệ thống quản lý dịch vụ, SMS), ISO 9001 (hệ thống quản lý chất lượng, QMS) và ISO / IEC 27001 (hệ thống quản lý an toàn thông tin, ISMS) . Ba tiêu chuẩn này khá gần nhau và có nhiều tổ chức áp dụng triển khai hai trong số này hoặc cả ba cùng nhau.
Xem thêm: Hướng dẫn tích hợp ISO 9001 và ISO 27001
►►► Xem thêm chứng nhận ISO 9001, ISO 20000 vs ISO 27001
Những lợi ích và lưu ý chính khi tích hợp ba tiêu chuẩn này vào một hệ thống quản lý là gì?
Phụ lục L (Annex L)
Phụ lục L (trước đây gọi là Phụ lục SL) của Chỉ thị hợp nhất ISO / IEC, Phần 1 được thiết kế như cấu trúc cấp cao chung (HLS) và các yêu cầu đối với tiêu chuẩn hệ thống quản lý. Kể từ phiên bản 2018, ISO / IEC 20000-1 cũng tuân theo HLS; ISO 9001: 2015 và ISO / IEC 27001: 2013 đều đã làm như vậy kể từ lần xuất bản.
Bạn có thể nói rằng với Phụ lục L, mọi thứ đều sẵn sàng để tích hợp ba tiêu chuẩn trong một hệ thống quản lý duy nhất. Cho đến một thời điểm, điều này đúng: có tới 40% các yêu cầu là giống hệt nhau. Tuy nhiên, mỗi ủy ban xây dựng các tiêu chuẩn này đã có những thay đổi và bổ sung nhỏ đối với văn bản Phụ lục L, điều này cần được xem xét cẩn thận khi áp dụng các yêu cầu của Phụ lục L cho các tiêu chuẩn khác nhau.
Ví dụ, ISO / IEC 20000-1 áp dụng nhiều yêu cầu của Phụ lục L cho "SMS và dịch vụ", trong đó hai tiêu chuẩn còn lại chỉ áp dụng chúng cho QMS và ISMS, tương ứng. Hơn nữa, trong một số lĩnh vực, chẳng hạn như xem xét của lãnh đạo, các ủy ban khác nhau đã thực hiện nhiều bổ sung khác nhau đối với các yêu cầu cần được điều chỉnh khi tích hợp hệ thống quản lý.
Phạm vi (Scope)
Trên thực tế, phạm vi của SMS, QMS và ISMS có thể hơi khác nhau: trong bất kỳ tổ chức nào, có thể quyết định rằng vì lý do nào đó, nhóm A không thuộc phạm vi của ISMS, nhưng thuộc phạm vi của SMS và QMS. Phạm vi QMS thường dựa trên hoạt động chính của tổ chức, trong đó phạm vi ISMS thường dựa trên vị trí nhiều hơn, do các cân nhắc về bảo mật vật lý.
Do đó, cần cẩn thận xem xét phạm vi của ba tiêu chuẩn có trùng khớp hay không ở mức độ nào, điều này có thể hạn chế số lượng tích hợp có thể có.
Điều khoản (Clause)
Trong trường hợp nội dung của các điều 4-7 và 9-10 dựa trên Phụ lục L trong cả ba tiêu chuẩn, thì có các điều khoản (phụ) khác (ví dụ: Điều 8) và các biện pháp kiểm soát (từ Phụ lục A của ISO / IEC 27001) có thể được tích hợp. Một vài ví dụ sau đây.
1. Mặc dù ISO 9001 đã được viết nhiều hơn với trọng tâm sản phẩm hơn là trọng tâm dịch vụ, các yếu tố từ điều khoản 8 liên quan đến thu thập yêu cầu, thiết kế và phát triển (điều khoản 8.3) với cách diễn giải linh hoạt có thể được áp dụng cho các dịch vụ. Theo cách này, các yêu cầu này từ ISO 9001 có mức độ trùng lặp với các yêu cầu trong ISO / IEC 20000-1, điều khoản 8.5 Thiết kế, xây dựng và chuyển đổi dịch vụ.
2. Điều khoản 8.7.3 của ISO / IEC 20000-1 đề cập đến bảo mật thông tin và hoàn toàn phù hợp với các yêu cầu của ISO / IEC 27001, mặc dù theo cách rất ngắn gọn và đơn giản. Do đó, việc triển khai ISMS sẽ đơn giản đáp ứng các yêu cầu của ISO / IEC 20000-1, điều khoản 8.7.3.
3. Một số biện pháp kiểm soát từ Phụ lục A của ISO / IEC 27001 liên quan đến việc kiểm soát các nhà cung cấp bên ngoài (ví dụ: A.14.2.7, A.15). Nếu các biện pháp kiểm soát này được coi là có thể áp dụng và đã được thực hiện, thì các biện pháp kiểm soát này sẽ giúp tuân thủ các yêu cầu của cả ISO / IEC 20000-1, điều khoản 8.3.4 Quản lý nhà cung cấp và ISO 9001, điều khoản 8.4. Kiểm soát các quá trình, sản phẩm và dịch vụ được cung cấp bên ngoài. Tất nhiên không có sự phù hợp 100% giữa các tiêu chuẩn trong lĩnh vực này. Thông tin về mối tương quan mở rộng giữa tất cả các điều khoản của ba tiêu chuẩn được cung cấp trong Phụ lục B và C của ISO / IEC 20000-7.
Có rất nhiều cơ hội để tích hợp các hệ thống quản lý, không chỉ do Phụ lục L, mà còn trong nhiều lĩnh vực khác. Báo cáo kỹ thuật này chỉ là một ví dụ về cách có thể thực hiện điều này.
►►► Xem thêm đào tạo ISO 9001, ISO 20000 vs ISO 27001 LIÊN HỆ
Ms.Thủy – Phụ trách Dịch vụ Khách hàng
Mobile: 0912 300 560
SẴN SÀNG ĐỂ BẮT ĐẦU HÀNH TRÌNH ĐẠT ĐÁNH GIÁ ISO ?
Chúng tôi sẽ cung cấp cho bạn một thông tin rõ ràng về chi phí đánh giá ISO. Nếu bạn chưa sẵn sàng? Gọi cho chúng tôi theo số 0912 300 560 hoặc yêu cầu gọi lại để thảo luận về các yêu cầu đánh giá ISO của bạn.