ISO/IEC 20000信息技术服务管理体系认证流程介绍

“十四五”时期是我国开启全面建设社会主义现代化国家新征程的第一个五年，全球新一轮科技革命和产业变革深入发展，软件和信息技术服务业迎来新的发展机遇。我们要着眼长远、把握大势、系统谋划、真抓实干，加快推进软件和信息技术服务业高质量发展，为建设现代产业体系、构建新发展格局提供有力支撑。

ISO20000信息技术服务管理体系认证是一套国际性的信息技术服务管理标准，旨在帮助企业建立、实施、运行、监控、评审、改进和维护信息技术服务管理体系。该认证体系以流程为导向，强调服务级别协议(SLA)的重要性，确保企业能够提供高质量、稳定、可靠的信息技术服务。

01、ISO20000认证的意义

(1)提高IT服务的可用性、可靠性、安全性;

(2)为IT服务的量化和考核提供了一个有效渠道;

(3)建立规范的服务流程，提高信息技术服务和运营效率;

(4)有效及高效地整合和利用信息、基础架构、应用及人员等IT资源;

(5)向国际标杆靠齐，提高整体服务水平;

(6)控制IT风险及相关的成本，提高与控制IT服务质量、降低长期的服务成本;

(7)增强客户、合作伙伴等相关方的信任和信心。

02、ISO20000认证的内容

由国际标准化组织于2005年12月发布的ISO20000 IT服务管理标准，其主要内容均来自于ITIL最佳实践，标准的主要目的为IT服务提供商就IT服务管理提供一套方法，并可以通过第三方认证以证实组织有能力满足顾客要求。ISO20000标准包含以下两部分：

1) ISO20000-1 (第一部分) — 信息技术 - 服务管理 - 规范

2) ISO20000-2 (第二部分) — 信息技术 - 服务管理 - 实施指南

03、认证依据

ISO/IEC 20000-1：2018

《信息技术服务—服务管理第1部分：服务管理体系要求》

04、认证适用的行业类别

05、申请企业应当具备的条件

(1)法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证 书);

(2)取得相关法规规定的行政许可文件(适用时);

(3)从事的业务活动符合中华人民共和国相关法律、法规、信息技术服务标 准和有关规范的要求;

(4)对信息技术服务管理体系认证范围涉及的业务活动的描述，包括利用信 息技术为内部或外部顾客的业务过程提供支持的说明;

(5)已按认证依据和相关要求建立和实施了文件化的信息技术服务管理体系;

(6)体系有效运行3个月以上，并且已完成内部审核和管理评审。

06、认证模式

初次审核+2次监督审核。

初次审核：分为第一、二阶段实施审核。

监督审核(2次)：第一次监督审核在初次认证证书签发日起12个月内进行，第二次监督审核在下一年度进行，且两次监督审核的时间间隔不得超过15个月。

07、认证申请资料清单

(1)认证申请书;

(2)法律地位证明文件复印件;

(3)申请组织的一般特征，包括其名称、物理场所的地址、利用信息技术为 内部或外部顾客的业务过程提供支持的说明、过程和运作的重要方面以及任何 相关的法律义务;

(4)申请组织与申请认证的领域相关的一般信息，包括其活动，人力与技术资源，以及适用时，其在一个较大实体中的职能和关系;

(5)申请组织采用的所有影响符合性的外包过程的信息;

(6)接受与信息技术服务管理体系有关的咨询的情况。

08、现场审核(一阶段审核内容)

第一阶段审核应在申请组织的现场进行，审核内容包括：

(1)审核申请组织的信息技术服务管理体系文件;

(2)评价申请组织的运作场所和现场的具体情况，并与申请组织的人员进行讨论，以确定第二阶段审核的准备情况;

(3)审查申请组织理解和实施信息技术服务管理体系标准要求的情况;

(4)审查申请组织是否系统而充分地识别与所提供的服务相关的法律法规和其他要求及其遵守情况;

(5)审查第二阶段审核所需资源的配置情况，并与申请组织商定第二阶段审核的细节;

(6)结合申请组织信息技术服务管理体系方针和目标，了解其审核准备状态，为策划第二阶段的审核提供重点;

(7)评价申请组织是否策划和实施了内部审核与管理评审，以及信息技术务管理体系的实施程度能否证明其已为第二阶段审核做好准备。

09、现场审核(二阶段审核内容)

第二阶段审核应在具备实施认证审核的条件下在申请组织的场所进行。应证实组织对信息技术服务管理过程的分析和组织运作实施了适当的控制措施，应包括：

(1)服务交付过程(服务级别管理，服务报告，服务连续性和可用性管理，信息技术服务的预算和核算，能力管理，信息安全管理);

(2)关系过程(业务关系管理，供方管理);

(3)处理过程(事件管理，问题管理);

(4)控制过程(配置管理，变更管理);

(5)发布过程(发布管理)。

10、监督审核内容

监督审核应包括，但不限于以下内容：

(1)体系保持和变化情况;

(2)顾客投诉情况;

(3)涉及变更的范围;

(4)内部审核与管理评审;

(5)服务目录的变化情况;

(6)对上次审核时提出的不符合所采取纠正措施的审查;

(7)标志的使用和(或)任何其他对认证资格的引用;

(8)适当时，其它选定的范围。

11、认证流程