ISO20000是部针对信息技术服务管理（IT Service Management）领域的，它于2005年12月15日发布 作为认证组织的IT运营和服务管理水平的，ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求，帮助识别和管理IT服务的关键过程，保证提供有效的IT服务以满足客户和业务的需求 它着重于通过“IT服务标准化”来管理IT问题，即将IT问题归类，识别问题的内在联系，然后依据服务级别协议进行计划、管理和监控，并强调与客户的沟通 ISO/IEC20000是一个关于 IT服务管理体系的要求的，它帮助识别和管理IT服务的关键过程，保证提供有效的IT服务满足客户和业务的需求 在ISO20000中的信息安全管理部份，以ISO27002/ISO27001为参考规范 在企业组织ISO20000的实施范围不大于 ISO27001/ISO27002 实施的范围的情况下，若该组织/企业已通过ISO27001认证，则该企业组织的ISO20000中信息安全管理部份也将符合标准 二、 ISO20000认证的范围 IT服务组织要获得ISO/IEC 20000的认证，必须证明它能够对标准中涉及的所有5组13个流程都具有以上的管理控制力 ISO/IEC 20000系列对流程的实践进行了总结，可适用于不同规模、类型和结构的组织，服务管理流程实践要求并不会因为组织形式不同而被改变 三、取得ISO 20000认证步骤： 1.准备 1) 明确认证的意义； 2) 确定IT服务管理认证范围； 3) 确立愿景，决定服务管理改进的方面与改进的顺序； 4) 明确认证活动的参与方面，确定各方所期望的收益； 5) 地理解认证的内容，明确认证活动对个人和对组织的影响； 6) 获取信息：与相似规模、职能的组织交流经验，向咨询顾问、培训提供机构、相关论坛和用户组织咨询 7) 获得高层管理者的支持； 8) 获得ITIL、ISO 20000的知识和文档； 9) 选定一家认证机构，确认审核的范围 2.初步评估 与计划制定 1) 进行初步的评估、掌握现状并 进行差距分析；评估明确需改进的方面；管理在认证过程中的风险 2) 制定整体的计划，获得相关方面的支持与承诺 3.缩小差距 1) 建立、管理服务改进计划 (PDCA环) ； 2) 根据ISO 20000：《服务管理规范》进行详细的评估； 3) 借鉴ISO 20000、ITIL，制定具体的服务管理的政策、流程、步骤； 4）实施服务管理流程； 5）改进服务管理的政策、流程、步骤； 6) 定期检查和回顾 4.认证审核 准备 1)联系认证机构进行内审，为正式的审核时间；国内认证机构有DNV 和BSI 2) 与认证机构充分交流以建立对审核范围、审核内容的共同理解； 3) 准备审核所需要的“证据”：文档，记录，等等 5.认证审核 典型的认证审核包括： 1) 协定参考标准和审核范围的条款； 2) 离场的对文档和流程的评估； 3) 现场的对员工和流程的审核； 4) 审核结果的陈述 如果达到ISO 200000 体系要求，将进行ISO 20000认证陈述，颁发 6.维护 认证的有效期 为三年；所以，每三年，需要进行一次的认证审核 每年都须由认证机构进行“监督审核”，以确保认证质量，确保服务管理的持续改进 组织需要根据ISO 20000的要求，进行内部审核 四、 外部审计公司审核过程 外审通常前期会沟通的相关信息比如客户名称、地点、范围、标准，在实际的审核中会审核其是否在建立的体系框架范围内运营；是否满足了ISO20000标准、实践及相关法律法规的要求；是否提升了客户的核心竞争力和运营效率 其公司各部门职责和授权的划分、文档体系和资料、公司员工对ISO20000知识的了解程度，是否严格按照ISO20000标准正确的进行操作等都属于审核范畴 审核员一般会采取抽样、同相关人员面谈、查看文档和记录等方式进行审核，如果有问题被发现，会记录并在末次会议上提出审核发现 引导人即公司项目负责人在外审期间的工作就是向审核员解释公司相关内部术语、见证审核发现、协助审核快速有效的推进