[原创]“细化、再细化的”－结合网络室工作谈ISO实施

清风徐来

（转载请写明 栖息谷友 清风徐来 ，公司内刊，勿做商业通途）
       轰轰烈烈的ISO外审已经在喧嚣中离我们渐渐远去，公司的质量管理也进入完善、实施、保持的持续改进时期。这次公司实施ISO，作为一个基层主管，我感受颇多，个中滋味，如鱼饮水。现结合实际，谈谈实施过程中的我的一点感受

实施前——网络室的“三无”
    网络室工作长期存在的问题：无长期目标、无周密计划、无合理监控（以下简称 “三无”）造成这种情况的原因有
1、 信息化工作内容繁杂：软硬件维护、系统开发、网站制作等等相关工作千头万绪，牵涉    知识面广且技术更新快；
2、 工作繁杂，突发事件多，对计划制订、执行水平要求较高
3、 岗位职责不明确，网管常常身兼多职，多能确不能做到一专；
4、 相关制度不完善，国家信息化基础薄弱，相关法规、制度不是空白，就是不适用，而公司原有制度不够细；
5、 公司网络较复杂、配置新旧高低不齐；
6、 员工躲在技术的保护之后，工作缺乏指引和管理；

    虽自去年年底以来，通过大量努力，完善了部分信息制度，工作计划也有了，公司所有局域网都通过VPN互联互通了，即时通讯系统也用上了，内部论坛也开了，项目网站宣传也有一定起色。但随着信息系统越复杂，问题越多，各种工作千头万绪，而网络室的员工不可谓不努力，下班晚走一两个小时是常事，节假日也常常加班，实际情况却是我们被动地将大部分时间陷于日常维护等琐碎工作中（当然，不是说日常维护不重要，相反，它是我们工作中最重要的一环），无法投入更多的精力到其他长期工作中，无法从根本上解决问题。在网上和一个大型跨国公司的CIO交流，他说：“信息部门的工作是这样，你要网络不出问题，不难；但是你要做好一点，很努力都不一定有成效，更不要说结合信息技术提高企业核心竞争力了。”唉，哪怕花200％的努力只能取得10％的进步，我也愿意呀，忙碌的工作中，我逐渐认识到信息化工作必须制度化，只有制度化了才能制订长期计划，循序渐进开展工作。可如何制度化呢，怎么规范地制度化呢，怎么全面制度化呢？“上天下地求之遍，两处茫茫皆不见，忽闻管理有ISO，它在虚无飘渺间”，正在我苦苦寻觅解决办法的时候，ISO 来了、、、
初步接触――态度转变
说实话，最开始我只在达义物管实施ISO时，听说过ISO，知道ISO是一种质量认证体系，一个企业要做大做强,一定有一套好的管理方法,这其中也一定要包括ISO9001体系，其他知道的不多，我也不认为它的实施会给我部门带来什么质的改变。但是随着我的逐渐深入了解和与贯标小组的交流，我逐渐对ISO有了新的认识，简单来说。ISO是让一切工作都有标准，有计划，有记录。如果实施了，将我部门千头万绪的工作统统有所依据，有所记录，比如配合相关制度建立信息系统故障解决系统，对所有的信息故障进行汇总分析，找出故障根源，加以彻底解决，从而可以规范管理，提高效率。。。这是一件多么美好的事情啊，我开始对ISO 充满幻想、、、
文件撰写——“痛苦”历程
ISO 文件一般分为四层，依次为 质量文件、控制作业程序、各种支持文件和指导书、质量记录文件。质量文件像宪法，作业程序像依据宪法制订的婚姻法、刑法等法律，制度文件像法律下的各种条例，质量记录文件就像居民户口本等。质量文件是贯标小组负责撰写，各部门负责自己的作业程序和以下的文件。所以写好我部门的信息控制文件和支持文件是关键。你想站得更高就要站到巨人的肩膀上，换言之，你需要借助别人的经验，而我手头上有什么参考资料呢？几份过时、简单的国家规范，七、八份公司原有信息制度（大多是自己为了好好管理各种信息系统自己根据写的，现在看来，完全不符合ISO要求），一点伙伴公司的参考文件（和我们原有的信息管理制度比，半斤八两），还有三年来我对传统制造业信息化工作的理解、经验以及我对成功实施的渴望。
    开始动手写啦，先拟定部门职责，岗位职责，我先把日常工作一条条写下来，归了类，然后满怀信心地拿给贯标小组看，结果却被告知完全不符合规范，这时候，贯标小组给予我春天般的关怀，相关同志一次次不厌其烦给我解释解释，怎么改才符合ISO要求，为什么要这样改（再次谢谢总裁办瞿同志）。一次次的沟通，一次次的修改，部门职责，岗位职责终于写好了。开始写支持文件和技术指导书了，结果更复杂，整个过程不但是对我掌握的信息技术的一次大清理，更是对我部门各种工作的一次完整清理和检查，在看了很多ISO相关资料后，我发现按照质量标准我部门工作现状要比我早期认识的要槽糕得多，还好，不怕有问题，就怕找不到解决问题的方向和办法，于是我开始就着部门职责写支持文件，觉得哪些是需要的文件，我就拟定一个名字，写完了一看，天啦，居然要写16、7个支持文件和指导书，10多个质量记录文件，而且很多文件内容要交错，合在一起又不合适，分开写又太罗嗦，这时候，贯标小组地同志又无私地帮助了我，在和他们以及本部门员工的激烈讨论后，最后确定为十二个支持文件、7个记录文件。和其他同事分了工，然后开始写，又一次“痛苦”。。。大到数据管理，信息系统故障解决流程，小到工作站安装指导书，写好一个，就和部门同事在一起讨论，再修改，再讨论。支持文件要求不但要规范，而且要写得有概括性有广泛适用性。内审的时间一次次临近，而很多文件还没完成，每次看见贯标小组的有关同事就心虚，他看我的眼神里分明也只有两个字：“文件”。终于，文件写好了，内审开始，结果、、、
内审——不合格的考核
内审的时候，类似以下的对话被重复N次，
内审员：数据备份？
我：有啊，我们每月都备份啦
内审员：备份清单？
我：有简单的，一般就把服务器上的个人文件备份啦，数据库、日志什么的备份啦
内容员：为什么清单上没有明确写清楚？不合格！
我：晕哦（心头）
     还好，还好，是内审，还有时间，我和同事们开始每天加班规范文件，多少个披星戴月的夜晚哦、、、（略去100字）,终于外审来了、、、
外审——顺利过关
    也许是我们准备充分的原因，也许中国ISO认证对信息化考察缺乏经验，我个人觉得还有很多不足，但是外审的老师只是仔细考察资产管理和维护、数据备份和安全（外审的老师检查数据备份还一张光盘一张光盘的看，真是仔细呀）。其他都没怎么考核，“老师，我还有很多文件要给你看哦，可行性和适用性的完美结合啊，我们的心血之作啊。”我在心底呐喊，但一想到我在某个质量认证论坛上看到的那句外审格言：“外审老师问什么，答什么，千万不要多嘴。”我就三缄其口。我想，国内质量认证对信息化的某些盲点也许从一个侧面反映了中国传统制造业信息化基础、环境的薄弱和滞后吧？
持续改进——写给未来
    有了制度，就要执行，在执行过程中，我和同事们发现我部门ISO文件还有很多不合理的地方，存在如不够细，用词不当，不具代表性，操作性差等问题，再看看ISO质量目标，哦，还要持续改进，不断完善，不断进步。
    我反复问自己一个问题，通过实施ISO我们要去向哪里？ISO持续改进符合ISO质量方针要求，也是实现网络室工作“制度化、专业化、透明化”的重要途径。专业化有两层含义，专业技术团队和专业信息化管理，没有形成制度化的管理，不能称其为专业化的管理，也不利于我们自身专业技术水平的提高，更称不上专业技术团队。没有制度化，没有形成统一的管理、执行标准，透明信息管理相关工作更加无从谈起。因此，我们应该坚持执行现有ISO信息化制度，不断发现和收集现有制度的不足，及时反馈，通过对ISO制度的持续改进，在实践中共同完善和建立高效、易行的一整套信息管理制度。ISO不是万能的灵丹妙药，但却是实现信息工作制度化的必由之路。
  
    总之，艰苦的工作刚刚开始，大量细致的工作需要去做，去执行，“光是思考不会找到正确的方法，只有行动，才能找到正确的方法”。也许我们要面临拨茧抽丝般的痛苦，但我们有信心把ISO进行到底，让它在我公司信息化的历史上写下浓重而艳丽的一笔！

清风徐来

这是半年前写的，发在公司内部刊物上，写的时候我还没有接触ITTL(国际通用的IT服务标准)。今天和一个老友谈起信息化实施ISO,看他眉飞色舞，想起自己过ISO哪些激情飞扬的日子，以及现在面临的一些问题，翻出这篇文章看看，感触颇多


                         明朝只所以衰退，是因为全国没有数字化管理，我们的工作无法开展，是因为没有制度化。放在这里的目的，是想请各位质量管理专家提一些批评，认识一帮搞信息化的朋友。仅此而已

刚刚

我现在正在IT企业做ISO体系工作，时间很紧，任务很重，刚开始，就看企业怎么对待了。

清风徐来

IT企业做ISO 和 传统企业ISO中信息化部分 还是有区别吧？


至少大家做IT的，难度少一些，信息化意识、技能都要强一些相对传统制造业

gohome

我的认识是这样的：



ISO9000强调过程得到"识别"和"确认"，只要以顾客为关注焦点，满足顾客的需求（信息化上的顾客包括各网络用户和各种业务流程对信息化的需求等），并在此基础上将日常工作形成文件，加以持续改进，我想这样的体系基本上保证了对于公司内部顾客方面及信息化方面的满足。


从你的文章看，尽可能的使用PDCA循环满足过程的监控是对的，但并不代表信息化的所有过程均需得到监控，所以根据企业的实际情况取舍才是形成程序文件的要点，将监控细化到服务器日志及备份清单似乎没必要，而突出重点的企业质量信息收集，分析，整理等各环节信息战及相关过程是现代企业头痛问题，在这方面的信息化处理与ISO的整合也希望有关专家给予指点。

[此贴子已经被作者于2004-3-1 16:12:11编辑过]

清风徐来

"将监控细化到服务器日志及备份清单似乎没必要，而突出重点的企业质量信息收集，分析，整理等各环节信息战及相关过程" 前面的工作重点在维护，更符合现有中国企业信息部门的工作内容；后者突出信息中心，是前者发展的方向。但是创建和维护一个好的IT环境是开展信息中心相关工作的必要前提基础，所以要求网络维护工作正规化，网络维护工作一个很重要的要求是“一次性解决问题”。就是说，一个好的网管不会让通一个问题反复出现，但是很多故障原因并不是它所表现得那样。简单举例，一个网络中工作站无法登陆域，网管发现通过ping发现该台工作站与服务器时断时续，初步判定和交互机有关，重启了一下交换机，于是问题解决，结果过了一段时间，该问题又出现，没有经验的网管会采取再次重启解决。稍有经验的网管会在初步解决后，进行抓包等工作来继续跟进，发现其实最终的原因可能是有工作站中毒，造成服务器收到类似遭受拒绝服务的攻击，导致通讯不畅。
一个有良好制度公司会把这个过程详细记录下来，没有制度的公司的网管只是凭经验完成这一切。
我见过水平不高的网管，因为企业信息化制度好而可以维护一个良好的网站的情况，建立日志、故障等质量记录的目的正在与此。我一直在找ITIL(IT服务标准)的资料，收集情况不是很理想。 欢迎有经验的朋友和没经验的朋友都来讨论

gohome

这种标准化工作需要与企业实际网络情况结合，如果企业只需用网络作为基本的沟通工具，那么就没有必要优化得详细，如果企业的运作已经离不开网络，或许你所言的标准化将有利于指导以后相关工作的开展，这与ＩＳＯ留下记录相符，工作量也极大，个人观点是做好相对取舍。