2007年,中国海洋石油总公司(下简称中海油)的名字一下为国内外大众所熟知。在大名鼎鼎的《财富》杂志7月11日公布的“2007年世界企业500强”排行榜中,中国海洋石油总公司以2006年160亿美元的销售额首次入榜。入榜世界500强,是中海油国际竞争力增强的重要体现。这一业绩的取得,是与中海油科学、前瞻性的战略分不开的。而作为这一战略的具体支撑,中海油成功地实施信息化建设给公司业务、管理所带来的加速度不容忽视。
2006年,中海油联手全球质量管理体系之先驱BSI(英标管理体系认证公司),成为国有大型企业中第一家通过ISO20000认证的企业内部IT服务提供者。通过这一认证,中海油建立并完善了IT服务管理体系,探索出更为科学合理的管理模式,使企业的信息化水平、尤其是IT服务管理水平在整个石油能源行业处于领先地位,为保障业务战略目标的实现,提供了有力的IT支持。2007年,中海油再次携手BSI,完成了ISO27000的认证工作,这标志着其信息安全已经达到了国内领先并与国际接轨的水平。在中国,通过ISO20000认证或者ISO27000认证的企业屈指可数,而在国有大型企业中更是凤毛麟角,而同时通过这两项认证的,中海油是第一家,目前也是唯一一家。
需求特点和挑战
中海油成立于1982年,是中国最大的国家石油公司之一。自成立以来,中海油一直保持着良好的发展态势,由一家单纯从事油气开采的纯上游公司,发展成为主业突出、产业链完整的综合型企业集团。然而,随着全球经济一体化进程的加快,中国入世走过过渡期,作为国家直属的大型国有企业,中海油同样面临着如何做大做强,提升国际竞争力,走向世界的严峻挑战。因此,如何提升管理水平,拓展业务,增强盈利能力,以应对国内和国际复杂多变的市场及竞争环境,就成为摆在中海油面前的重要课题。为此,近年来,中海油成功实施了改革重组、资本运营、海外并购、上下游一体化等战略举措。其中,科学前瞻的信息化战略,在整个战略部署中,具有举足轻重的作用。
中海油的信息化一直走在国内同行前列。不过,随着企业规模的壮大,特别是国际化进程的加快,公司的信息化也面临新的挑战。一方面,经过多年的发展,中海油现有员工4.4万人,拥有众多的子公司。企业规模和人员的壮大给管理带来难题。而信息化无疑是提升管理和效率的重要手段之一。另一方面,中海油在海内外资本市场上市的四家企业,其中一家在纽约上市。而随着萨班斯法案出台,其中404法案,要求公司管理层应该设计所需的内部控制,并保证高层能知道公司及其合并报表子公司的所有重大信息,尤其是在报告期内的重大信息,这对企业的IT内控提出了苛刻的要求。
法规依从是摆在面前、无法回避的课题。同时,作为中海油客户信息技术服务中心,其本身也存在一个管理和效率提升,保证信息安全万无一失的问题,只有在这一前提之下,IT部门才能为中海油的业务、管理及信息安全提供支持和服务。显然,中海油需要更前瞻地部署信息化,以应对市场和业务目标的挑战。
从技术驱动到业务驱动
在过去,IT似乎都是靠技术来驱动,但现在,IT的价值被重新界定。在中海油客户信息技术服务中心主任王若讯看来,企业的IT部门,最终目标是为企业的管理和业务提供支持,为公司的整个战略,提升竞争力而服务。为此,面对挑战,中海油客户信息技术服务中心决定从流程和方法,信息安全等方面入手,一方面,理顺中心的管理、服务流程,以提升效率,为公司提供高效的IT服务。另一方面,在信息安全方面,实现与国际接轨,不仅解决公司内控,遵守萨班斯法案的404条款问题,也为企业的数据及业务安全提供数字保障。
基于以上考虑,中海油决定实施ISO/IEC 20000认证。ISO/IEC 20000是国际标准化组织(ISO)与国际电工委员会 (IEC) 在2005年年末共同发布的IT服务管理的国际标准,它倡导的IT服务管理是一种以流程为导向、以客户为中心的方法,通过整合IT服务与业务来提高组织IT服务支持和服务交付的能力及其水平,ISO/IEC 20000代表了对信息技术服务管理体系建设和评估的最佳方法。ISO/IEC 20000标准与ITIL最佳实践一起,因其能促进IT部门由支撑机构转变为增值服务部门而倍受推崇。
当时,进行ISO/IEC 20000认证时,中海油面临二个选择。一家是BSI公司。一家是DNV挪威船级社。相对而言,中海油认为BSI是标准的撰写者,编写了全球最值得信赖和得到广泛认可的ISO9001质量管理体系,每年编写的标准高达2000多个,这和其他标准认证公司有根本的不同;同时,BSI基于标准,能为客户提供标准审核的整体解决方案。因此,经过了广泛的考察,比较、调研和评估之后,中海油决定选择BSI作为标准认证机构。事实上,像IBM这样世界最顶尖的IT服务商,也选择了BSI作为其ISO20000认证审核机构。BSI是全球质量管理体系之先驱,是全球最大的认证机构之一,拥有超过100年的历史,制定并颁布了全球第一部商业标准,并编写了全球最值得信赖和得到广泛认可的ISO9001质量管理体系,如今它已成为标准的代名词,并被世界超过50万个机构所采用。BSI目前已在全球110多个国家拥有众多的认证客户,认证服务涵盖质量管理体系,环境安全管理体系,职业健康和安全管理体系,信息安全管理体系,IT服务管理体系和食品安全管理体系等众多体系,几乎覆盖了所有管理体系领域。全球财富500强企业中已有超过34.2%的客户选择BSI向其提供ISO9000,ISO14000等体系的认证服务。另外,目前市场上企业通常选择认证的ISO9000,ISO14000及OHSAS18001体系均为BSI公司原创,并经ISO组织成员投票表决,最后纳入全球ISO标准体系。BSI是首家获得中国认可委员会QMS,EMS,OHSAS 三体系认可的外资认证机构。
在ISO/IEC 20000认证成功实施之后,基于班斯法案的现实挑战,以及为提高整个公司IT的稳定、可靠性,为业务的连续性,数据安全等保驾护航,中海油又选择了通过ISO27000认证来提升整个公司的信息安全水平,同样采用的BSI作为认证机构。信息的保密性、完整性及可用性非常重要,而信息安全管理正是企业保护自身数据信息的关键。ISO27000信息安全标准,能更好地协助企业开发、实践及不断改进信息管理系统。让企业可制定有效的安全管理模式,从改善信息安全管理开始为企业长远的发展打下坚实的基础。
BSI综合的审核方案与实施
针对中海油客户信息技术服务中心的ISO20000、ISO27000认证需求,BSI英标管理体系认证公司针对其IT、业务及管理现状,并考虑整个IT战略及公司战略,依据自己的科学方法论及全球的最佳审核实践,并参考国内实际情况,为其提供了一整套认证审核方案及全程服务。在以上基础上,中海油通过严密的项目实施流程及全程服务体系,把实施风险控制到最低,以确保项目的成功。
在中海油的认证过程中,为帮助其从初步了解到深入掌握标准的要求,BSI提供了系列的培训课程,让客户逐步实施和落实标准的要求,并在这个过程中提高了全员的信息安全的风险控制意识。在BSI通过人员培训和差距分析后,中海油建立了认证体系;然后进行预备和认证审核;在认证之后,还通过绩效标杆帮助中海油评估体系实施的有效性。最终为提升绩效服务。
在具体实施过程中,BSI在审核中与客户进行了深入、广泛地交流,给中海油留下深刻印象。在理解客户业务的基础上,BSI不仅为客户精要讲解了标准的要求,还不断沟通标准为什么这样要求,以及这样做的好处等等。与此同时,作为国际权威标准认证机构,BSI能够对标准的严谨和深刻理解,以及经验的积累进行传授和知识转移;同时也能把新标准和先进的发展趋势的信息带给客户。当然,BSI的团队合作精神,审核员和销售之间的很好的合作,也促进了工作的开展。
不仅如此,通过认证后,BSI还为中海油提供三年为一周期的战略评估增值服务,评估报告是三年监督审核结果的分析总结,是持续改善的良好依据,更是下一步管理体系发展的目标。
当前和长远收益明显
ISO20000、ISO27000认证的通过,标志着中海油的IT治理,以及信息化水平跃上了一个新台阶。同时符合整个公司的战略,也为公司的整体战略提供服务和支持。以上认证实施之后,中海油所取得的当前和长远收益都可谓立竿见影。
在通过ISO20000认证之后,通过相关的流程和规范,目前,中海油的员工如果PC等出了问题,只要拨打一个特服号13133,就可以得到客户信息技术服务中心及时、高质量和标准流程的服务。而在以前,许多员工要维修PC,往往不知道打那个电话,找谁,从而浪费了不少的时间。另外,ISO20000在服务量化,员工绩效考核,衡量IT部门投资回报方面更具有积极的意义。ISO20000是以流程化管理方式为基础,IT工作被分解成了不同的流程,每个小部门、每个人的工作都是若干流程中不同工作的组合,流程对工作量化的输入输出为员工的工作量化提供了可能。对客户满意度等还选用第三方进行调查,保证数据的可信性。借用ISO20000,CIO也同时找到了一个衡量IT服务好坏的国际公认的标准。用这么一个标准来证明公司的ITSM实施达到了怎样一个阶段,在一个标准的平台上跟CEO、CIO沟通IT服务管理的标准化、规范化。
在通过ISO27000认证之前,由于拥有纽约上市公司,中海油需要聘请专门的咨询公司,进行信息安全等方面的审计。根据萨班斯法案,上市公司一切重要信息都必须可以追溯,记录在案,才能通过审核,要求十分苛刻。由于没有通过国际相关安全标准,中海油面临的是全面的审核,不仅工程量庞大,而且颇多周折。第一申请时,就有100多项不符合要求而需要调整。而通过ISO27000这一国际认证后,对公司的审计将在这一基础上展开,因此要简化许多。可以预料,现在审核时,中海油将节省许多时间和费用。
虽然从不同的角度来看,通过ISO20000、ISO27000认证,让中海油都获得许多益处。但归根结底,在于节省了各方成本,提升了效率,为中海油的业务、管理提供了服务,从而有助于整体战略的实施,以及国际竞争力的提高。实施ISMS以后,中海油IT中心的管理有了规范的制度,从风险控制的角度提升了信息安全的水平。特别是,在实施ITSM和ISMS体系过程中,考虑到了业务连续性管理的要求,开始了灾备中心的建设项目。在向着“国际一流能源公司”的目标迈进中,信息化正成为中海油的一个重要驱动力之一。
