iso20000信息安全管理体系认证

ISO20000信息安全管理体系认证流程

1．准备

1）明确认证的意义；

2）确定IT服务管理认证范围；

3）确立愿景，决定服务管理改进的方面与改进的顺序；

4）明确认证活动的参与方面，确定各方所期望的收益；

5）全面地理解认证的内容，明确认证活动对个人和对组织的影响；

6）获取信息：与相似规模、智能的组织交流经验

7）获得高层管理者的支持；

8）获得ITIL、ISO 20000的知识和文档；

9）选定一家认证机构，确认审核的范围。

2、初步评估与计划制定

1）进行初步的评估、掌握现状并进行差距分析；评估明确需改进的方面；管理在认证过程中的风险。

2）制定整体的计划，获得相关方面的支持与承诺。

3、缩小差距

1）建立、管理服务改进计划 (PDCA环) ；

2）根据ISO 20000：《服务管理规范》进行详细的评估；

3）借鉴ISO 20000、ITIL，制定具体的服务管理的政策、流程、步骤；

4）实施服务管理流程；

5）改进服务管理的政策、流程、步骤；

6）定期检查和回顾。

4、认证审核准备

1）如有必要，联系认证机构进行内审，为正式的审核预定时间；

2）与认证机构充分交流以建立对审核范围、审核内容的共同理解；

3）准备审核所需要的“证据”：文档，记录等。

5、认证审核

典型的认证审核包括：

1）协定参考标准和审核范围的条款；

2）离场的对文档和流程的评估；

3）现场的对员工和流程的审核；

4）审核结果的陈述。

如果达到ISO 20000 体系要求，将进行ISO 20000认证陈述，颁发证书。

6、维护

认证的有效期为三年；所以，每三年，需要进行一次全面的认证审核。每年都须由认证机构进行“监督审核”，以确保认证质量，确保服务管理的持续改进。组织需要根据ISO 20000的要求，进行内部审核。