ISO27001和ISO20000認證流程核心邏輯一致,均遵循“體系搭建→審核驗證→獲取證書”的路徑,具體步驟如下:
一、通用認證核心流程(兩者共通)
1.體系籌備與搭建:組織成立推進小組,學習標準要求,結合自身業務梳理現狀(如ISO27001需做風險評估,ISO20000需梳理IT服務流程),編寫體系文件(如手冊、程序文件)。
2.體系試運行:正式運行搭建好的管理體系,記錄運行數據(如ISO27001的事件記錄,ISO20000的故障處理記錄),持續優化體系漏洞,試運行周期通常≥3個月。
3.內部審核(階段審核):組織內部審核員對照標準,檢查體系運行的符合性和有效性,出具內部審核報告,整改發現的問題。
4.管理評審(第二階段審核前):管理者主持評審,確認體系是否滿足組織目標、是否需要調整,確保體系持續適宜。
5.第三方認證審核:
- 階段(文件審核):認證機構審核體系文件是否符合標準要求,提出文件修改意見。
- 第二階段(現場審核):審核員到組織現場,檢查體系實際運行情況(如訪談員工、查看記錄),判斷是否符合認證要求,出具審核報告。
6.獲取證書與監督:若審核通過,認證機構頒發證書(有效期3年);3年內每12個月需進行一次監督審核,3年后需重新進行換證審核以維持證書有效性。
二、關鍵差異點
- ISO27001:在“體系搭建”階段需額外完成信息資產盤點和風險評估與處置(如識別數據泄露風險并制定加密措施),這是其核心前置步驟。
- ISO20000:在“體系搭建”階段需重點梳理IT服務流程(如事件管理、變更管理)并明確服務級別協議(SLA,如故障1小時內響應),流程規范性是審核關鍵。
有需求,請聯系下面
聯系人:陳經理 手 機:一八九八四九二一八五七
