ISO 20000和ISO 27001管理体系认证是一项专业性很强的工作,是企业管理能力提升的一个契机,对于绝大多数的IT企业来讲都需要第三方咨询机构进行协助实施,需要企业外部资源来帮助企业进行信息安全审计以及服务能力改进评估,这些工作自有其规律及实施程序,远不是一般的IT企业凭自身资源和能力就可以胜任和完成的。下面我们就来说一下,ISO 20000及ISO 27001认证实施的基本流程。
第一阶段.准备/贯标培训
1)明确认证的意义;
2)确定IT服务管理认证范围;
3)确立愿景,决定服务管理改进的方面与改进的顺序;
4)明确认证活动的参与方面,确定各方所期望的收益;
5)全面地理解认证的内容,明确认证活动对个人和对组织的影响;
6)获取信息:与相似规模、职能的组织交流经验,相关论坛和用户组织咨询;
7)获得高层管理者的支持;
8)获得ITIL、ISO 20000的知识和文档;
9)选择认证咨询机构进行ISO 20000/ITIL基础知识贯标培训;
10)选定一家认证机构,确认审核的范围。
第二阶段.初步评估与计划制定
1)进行初步的评估、掌握现状并进行差距分析;评估明确需改进的方面;管理在认证过程中的风险。
2)制定整体的计划,获得相关方面的支持与承诺。
第三阶段.缩小差距
1)建立、管理服务改进计划 (PDCA 环) ;
2)根据ISO 20000:《服务管理规范》进行详细的评估;
3)借鉴ISO 20000、ITIL,制定具体的服务管理的政策、流程、步骤;
4)实施服务管理流程;
5)改进服务管理的政策、流程、步骤;
6) 定期检查和回顾。
第四阶段.认证审核准备
1)如有必要,联系认证机构进行内审,为正式的审核预定时间;
2)与认证机构充分交流以建立对审核范围、审核内容的共同理解;
3)准备审核所需要的“证据”:文档,记录,等等。
第五阶段.认证审核
典型的认证审核包括:
1)协定参考标准和审核范围的条款;
2)离场的对文档和流程的评估;
3)现场的对员工和流程的审核;
4)审核结果的陈述。
如果达到ISO 200000 体系要求,将进行ISO 20000认证陈述,颁发证书
