[原创]获得ISO20000体系认证过程介绍

一、 ISO20000 认证介绍

ISO20000是{dy}部针对信息技术服务管理（IT Service Management）领域的国际标准，它于2005年12月15日发布。作为认证组织的IT运营和服务管理水平的国际标准，ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务级别协议进行计划、管理和监控，并强调与客户的沟通。

ISO/IEC20000是一个关于 IT服务管理体系的要求的国际标准，它帮助识别和管理IT服务的关键过程，保证提供有效的IT服务满足客户和业务的需求。

ISO20000， 共分为两部分 :

l ISO/IEC 20000-1 Information technology-Service management Part-1:Specification(信息技术服务管理标准规范， 认证要求)

l ISO/IEC 20000-1 Information technology-Service management Part-2:Code of practice(信息技术服务管理{zj0}实践)

在ISO20000中的信息安全管理部份，以ISO27002/ISO27001为参考规范。在企业组织ISO20000的实施范围不大于 ISO27001/ISO27002 实施的范围的情况下，若该组织/企业已通过ISO27001认证，则该企业组织的ISO20000中信息安全管理部份也将符合标准。

二、 ISO20000认证的范围

ISO/IEC 20000是一个针对管理流程系统的标准，ISO/IEC 20000的认证适合IT服务的提供者，可以内部的IT部门，也可以是外部的服务提供商。获取ISO/IEC 20000的认证，意味着提供服务的IT组织，对ISO/IEC 20000中定义的这些管理流程，具有足够好的管理控制力。这里所谓对流程的管理控制力包括：

·对流程输入的了解和控制

·对流程输出的了解、使用和诠释

·制定和执行对流程效能的衡量机制

·有客观的证据表明，对流程的功能负责，使之符合ISO 20000标准要求

·制定流程的改进提高计划，衡量和回顾改进结果

IT服务组织要获得ISO/IEC 20000的认证，必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力。ISO/IEC 20000系列对流程的{zj0}实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程{zj0}实践要求并不会因为组织形式不同而被改变。

三、取得ISO 20000认证步骤：
1.准备
1) 明确认证的意义；
2) 确定IT服务管理认证范围；
3) 确立愿景，决定服务管理改进的方面与改进的顺序；
4) 明确认证活动的参与方面，确定各方所期望的收益；
5) 全面地理解认证的内容，明确认证活动对个人和对组织的影响；
6) 获取信息：与相似规模、职能的组织交流经验，向咨询顾问、培训提供机构、相关论坛和用户组织咨询
7) 获得高层管理者的支持；
8) 获得ITIL、ISO 20000的知识和文档；
9) 选定一家认证机构，确认审核的范围。
2.初步评估 与计划制定
1) 进行初步的评估、掌握现状并 进行差距分析；评估明确需改进的方面；管理在认证过程中的风险。
2) 制定整体的计划，获得相关方面的支持与承诺。
3.缩小差距
1) 建立、管理服务改进计划 (PDCA环) ；
2) 根据ISO 20000：《服务管理规范》进行详细的评估；
3) 借鉴ISO 20000、ITIL，制定具体的服务管理的政策、流程、步骤；
4）实施服务管理流程；
5）改进服务管理的政策、流程、步骤；
6) 定期检查和回顾。
4.认证审核 准备
1)联系认证机构进行内审，为正式的审核预定时间；国内认证机构有DNV 和BSI
2) 与认证机构充分交流以建立对审核范围、审核内容的共同理解；
3) 准备审核所需要的“证据”：文档，记录，等等。
5.认证审核
典型的认证审核包括：
1) 协定参考标准和审核范围的条款；
2) 离场的对文档和流程的评估；
3) 现场的对员工和流程的审核；
4) 审核结果的陈述。
如果达到ISO 200000 体系要求，将进行ISO 20000认证陈述，颁发证书。
6.维护
认证的有效期 为三年；所以，每三年，需要进行一次全面的认证审核。每年都须由认证机构进行“监督审核”，以确保认证质量，确保服务管理的持续改进。组织需要根据ISO 20000的要求，进行内部审核。

四、 外部审计公司审核过程

外审通常分为两次，分别被称为书面审核和现场审核，在实际工作中两次审核不像字面理解的{dy}次只做书面文档检查第二次做实际的考察，通常是两次审核内容上由浅入深。

外审通常前期会沟通证书的相关信息比如客户名称、地点、范围、标准，在实际的审核中会审核其是否在建立的体系框架范围内运营；是否满足了ISO20000标准、{zj0}实践及相关法律法规的要求；是否提升了客户的核心竞争力和运营效率。其公司各部门职责和授权的划分、文档体系和资料、公司员工对ISO20000知识的了解程度，是否严格按照ISO20000标准高效正确的进行操作等都属于审核范畴。

审核员一般会采取抽样、同相关人员面谈、查看文档和记录等方式进行审核，如果有问题被发现，会记录并在末次会议上提出审核发现。引导人即公司项目负责人在外审期间的工作就是向审核员解释公司相关内部术语、见证审核发现、协助审核快速有效的推进。

不符合事项分为严重不符合与轻微不符合观察项三种

• 重大不符合项
  • 未执行或不符合一个或多个ISO 20000适用的控制要求
  • 造成系统性或区域性严重失效的不符合
  • 可能造成严重后果的不符合事项
• 轻微不符合项
  • 孤立的人为错误
  • 文件偶尔未被遵守，造成后果不太严重
  • 对系统不会造成重要影响
• 观察项或建议项
  • 证据稍不足，估计存在问题，需提醒注意
  • 已经发现问题，尚不构成不符合，但发展下去有可能成为不符合
  • 其他需要提醒被审核方注意的事项

现场审核结束后，如果审核员没有发现严重不符合项，只有少量轻微不符合项的话，那么恭喜你，应该会通过ISO20000认证了。尽快分析少量轻微不符合项发生的根本原因，并制定相应的改进计划，在末次会议结束后六周之内回复审核员，并提供相关电子证据。审核通过后，即颁发认证证书。

  更多 信息安全与ITIL相关的信息请关注我的BLOG