解读ISO20000信息技术服务管理体系认证的相关流程和材料

前言

ISO20000 是世界上第一部针对信息技术服务管理（IT Service Management）领域的guojibiaozhun，ISO20000信息技术服务管理体系标准代表了被广泛认可的评估IT服务管理流程的原则的基础。该标准定义了一套全面的、紧密相关的服务管理流程。 ISO20000认证指组织建立的信息技术服务管理符合ISO20000标准，从而通过ISO20000认证。

ISO/IEC 20000认证适用范围

ISO/IEC 20000是一个针对管理流程系统的标准，ISO/IEC 20000的认证适合IT服务的提供者，可以是内部的IT部门，也可以是外部的服务提供商。获取ISO/IEC 20000的认证，意味着提供服务的IT组织，对ISO/IEC 20000中定义的这些管理流程，具有足够好的管理控制力。
适用于以下组织：

将以其服务进行投标的机构；

要求供应链中的所有服务提供方采用一致的方法的机构；

要确定IT服务管理基准的服务提供方；

独立评估的基础；

需要证明其可提供满足顾客要求的服务的能力的组织；

意欲通过过程的有效应用来监视和提高服务质量，从而改善服务的组织。　　

根据国家认监委2012年第8号公告《关于开展信息技术服务管理体系认证工作的公告》，目前国内开展ISO20000管理体系认证的范围一共分为以下几个类别：

在以上十四大类别中，申请组织应根据自身营业执照范围及实际现有业务范围合理规划认证覆盖范围，不应超范围申请认证。

企业申报ISO/IEC 20000认证的基本条件

中国企业持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》或等效文件；外国企业持有关机构的登记注册证明；

申请方的IT服务管理体系已按ISO/IEC 20000标准的要求建立，并实施运行3个月以上；

已经按照文件化的体系运行3个月以上，并在进行认证审核前按照文件的要求进行了至少一次管理评审和内部IT服务管理体系审核。

信息技术服务管理体系运行期间及建立体系前的一年内未受到主管部门行政处罚。

ISO/IEC 20000认证流程

1、按照ISO20000标准要求建立体系框架；

2、体系建立后，需要运行一段时间，最少三个月，产生三个月的运行记录；

3、向认证机构递交审核申请；

4、认证机构评估费用和正式审核时间；

5、认证机构将进行预审，在正式审核前排除一些重大的缺失，同时让客户熟悉审核的方法危险评估，审查方针，范围和采用的程序。检查体系中遗漏和繁琐需要修改的地方；

6、认证机构将进行第二阶段审核，主要进行实施审核，查看程序规定的执行情况。认证机构通常将现场审核并给出建议；

7、如果能顺利完成审核，在确定清楚认证范围后，发放信息技术服务管理体系证书。在满足持续审核情况下，三年有效。

 

申请ISO/IEC 20000认证需要的材料

1、组织法律证明文件，如营业执照及年检证明复印件；

2、 组织机构代码证书复印件；

3、申请认证体系有效运行的证明文件（如体系文件发布控制表，有时间标记的记录等复印件）；

4、申请组织简介：

1) 组织简介（1000字左右）；

2) 申请组织的主要业务流程；

3) 组织机构图或职能表述文件。

5、申请组织的体系文件，需包含但不jinxian于（可以合并）：

1) 服务管理方针和计划；

2) 服务级别协议；

3) 能力管理流程；

4) 服务连续性和可用性管理流程；

5) 服务级别管理流程；

6) 服务报告流程；

7) 信息安全管理流程；

8) IT服务预算和核算流程；

9) 业务关系管理流程；

10) 供方管理流程；

11) 事件管理流程；

12) 问题管理流程；

13) 配置管理流程；

14) 变更管理流程；

15) 发布管理流程；

16) 整个体系文件的结构和清单。

6、申请组织体系文件与ISO/IEC 20000-1:2018（E）要求的文件对照说明；

7、申请组织内部审核和管理评审的证明资料；

8、申请组织记录保密性或敏感性声明。

ISO/IEC 20000现场审核关注要点

ISO20000信息技术服务管理体系现场审核时，更关注IT服务项目执行过程的合规性和有效性，着重考核项目是否按照体系标准实施和执行，组织需要提供相应的过程记录来进行佐证，这些记录包括但不限于：

（1）IT 服务项目合同、订单（2）与IT 服务相关的培训计划、培训签到记录（3）IT 服务相关员工人事档案、离职记录、离职交接单、岗位调整通知单（4）IT 项目发布方案、上线计划表、发布测试记录、升级记录、升级反馈等（5）企业体系资质服务平台信息技术服务能力计划、服务目录、服务级别协议、运营级别协议、服务需求说明等（6）SOWT 分析表（7）IT 项目可用性风险评估报告、连续性计划及其测试记录、运维应急预案等（8）IT 项目能力计划、能力监控记录、能力报告（9）IT 服务项目容量计划、巡检报告、测试记录（10）事件和服务请求处理单、请求汇总记录（11）问题处理单、汇总记录；信息系统故障记录表（12）客户投诉记录、投诉整改及反馈记录（13）顾客满意度调查表及满意度汇总报告（14）月度、季度、年度 IT 服务管理目标及达成情况统计（15）变更管理计划、变更测试及验收报告记录表单（16）服务评审纪要企业体系资质服务平台（17）配置清单及检查表、配置报告、配置审计报告（18）IT 服务改进记录风险及机遇识别和评价记录合格供应商名录及供应商调查评价记录（19）IT 企业体系资质服务平台（20）合格供应商名录及供应商调查记录评价

ISO/IEC 20000证书的有效期和年审

ISO20000证书的有效期都是三年，而且证书有效期内的每一年都是需要年审的。

到了年审时间，企业如果没有及时年审，半年内（有的机构为3个月），证书状态会显示暂停状态，超过半年（有的机构为3个月）则会变成撤销状态。如果证书“暂停”了，企业应该及时通过年审来恢复证书的有效性，因为证书一旦被撤销，企业就必须重新进行认证。每年正常进行年审的证书，3年有效期到期后，会变成失效状态，企业重新进行认证即可。

如何查询ISO/IEC 20000证书真伪

真实有效的ISO20000证书，在认监委都会进行公示，企业在拿到证书之后，可以等待几个工作日之后（证书存在公示期），直接在搜索引擎搜索“国家认监委”，找到“国家认证认可监督管理委员会”，向下滑动一下，找到“认证结果”，在这个页面输入证书编号、获证组织名称等相关信息，填写正确验证码，点击“查询”。即可显示所查证书相关信息。将信息与证书上的信息进行核对，即可辨明真假。

但要注意的是，如果证书处于待年审状态、撤销状态、暂停状态，那么即使在认监委上能查询出证书的信息，证书也是无效的。