广东 ISO 20000 信息技术服务管理体系申请流程及要求全解

一、ISO 20000 标准概述

二、申请流程

（一）准备阶段

1. 确定范围与目标
   企业首先需要明确自身信息技术服务管理体系的覆盖范围，例如涵盖哪些 IT 部门、业务系统、服务类型等。同时，确定实施 ISO 20000 标准的目标，如提高服务可用性、提升客户满意度、优化成本控制等，以便为后续的体系建设和认证工作提供清晰的方向。
2. 现状评估与差距分析
   对企业现有的信息技术服务管理现状进行全面评估，包括 IT 服务流程、人员技能、技术设施、管理制度等方面。通过与 ISO 20000 标准要求进行对比，找出存在的差距和不足，为制定针对性的改进计划提供依据。可采用内部审核、问卷调查、访谈等方式收集相关信息，并形成详细的评估报告。
3. 制定实施计划
   根据范围确定、目标设定以及差距分析的结果，制定详细的 ISO 20000 实施计划。实施计划应明确各阶段的任务、责任部门与人员、时间节点、资源需求等，确保体系建设工作有条不紊地推进。计划内容通常包括管理体系文件编写、流程优化与再造、人员培训、内部审核与管理评审等关键活动的安排。

（二）体系建立阶段

1. 管理体系文件编写
   依据 ISO 20000 标准要求，结合企业实际情况，编写信息技术服务管理体系文件。体系文件通常包括质量手册、程序文件、工作指导书、记录表单等四个层次。质量手册是整个管理体系的纲领性文件，阐述企业的信息技术服务管理方针、目标以及体系的范围、结构等；程序文件规定了各项 IT 服务管理活动的流程和控制要求；工作指导书为具体的操作步骤和方法提供详细指导；记录表单则用于记录体系运行过程中的相关数据和证据，以证明体系的有效实施。
2. 资源配置与人员培训
   确保企业具备实施信息技术服务管理体系所需的各类资源，包括人力资源、技术设施、资金等。根据体系建设和运行的需求，合理调配人员，明确各岗位的职责与权限。同时，针对全体员工开展 ISO 20000 标准知识培训，使其了解标准要求、自身在体系中的角色和职责，提高员工对信息技术服务管理的认识和执行能力。对于关键岗位人员，如 IT 服务管理人员、流程负责人、内审员等，还需提供更深入、专业的培训，确保其能够熟练掌握相关知识和技能，有效推动体系的运行和维护。

（三）体系运行与优化阶段

1. 体系试运行
   在完成管理体系文件编写和资源配置后，进入体系试运行阶段。在试运行期间，企业按照体系文件要求全面开展信息技术服务管理活动，记录各项活动的执行情况和相关数据。通过实际运行，检验体系文件的有效性和可操作性，发现并及时解决体系运行过程中出现的问题，如流程不顺畅、职责不清晰、资源不足等。同时，注重收集员工的反馈意见，对体系进行持续优化和改进。
2. 内部审核
   定期开展内部审核是确保信息技术服务管理体系有效运行的重要手段。内部审核由经过培训并具备资格的内审员组成审核组，依据 ISO 20000 标准、企业管理体系文件以及相关法律法规要求，对企业的信息技术服务管理体系进行全面、系统的审核。审核内容包括体系文件的符合性、各项 IT 服务管理活动的实施情况、目标的达成情况等。审核过程中发现的不符合项应及时开具，并要求责任部门制定纠正措施，限期整改。通过内部审核，及时发现体系运行中的薄弱环节，采取有效措施加以改进，确保体系的持续符合性和有效性。
3. 管理评审
   管理评审是企业最高管理者对信息技术服务管理体系的适宜性、充分性和有效性进行评价的活动。通常每年至少进行一次管理评审，由最高管理者主持，各部门负责人参加。管理评审的输入包括内部审核结果、客户反馈、过程绩效指标、预防和纠正措施实施情况、体系变更情况等。通过对这些输入信息的综合分析和评价，最高管理者确定体系是否需要调整和改进，并做出相应的决策，如修订管理体系文件、调整资源配置、制定新的改进目标和措施等，以确保信息技术服务管理体系能够持续适应企业内外部环境的变化，实现企业的信息技术服务管理目标。

（四）认证申请与审核阶段

1. 选择认证机构
   在企业认为信息技术服务管理体系运行已较为成熟，基本满足 ISO 20000 标准要求后，可选择合适的认证机构进行认证申请。选择认证机构时，应综合考虑其资质信誉、认证范围、审核团队专业水平、服务质量、认证费用等因素。可通过查阅认证机构官方网站、咨询同行企业、参考行业评价等方式，了解各认证机构的情况，选择一家具有良好口碑和丰富经验的认证机构，以确保认证过程的顺利进行和认证结果的权威性。
2. 提交认证申请
   向选定的认证机构提交 ISO 20000 认证申请，并按照认证机构要求提供相关资料，如企业营业执照副本、管理体系文件、内部审核与管理评审报告、相关法律法规清单等。认证机构在收到申请资料后，会对其进行初步审核，确认企业是否具备认证条件，如申请资料是否齐全、体系运行时间是否满足要求等。若资料审核通过，认证机构将与企业签订认证合同，确定审核时间、审核计划等具体事宜。
3. 现场审核
   认证机构根据审核计划安排审核组对企业进行现场审核。现场审核通常分为两个阶段：第一阶段审核主要是对企业的信息技术服务管理体系文件进行审查，了解企业体系的整体架构、运行情况以及与标准的符合性，确定第二阶段审核的重点和范围；第二阶段审核是全面、深入的现场审核，审核组依据 ISO 20000 标准要求，对企业的信息技术服务管理体系的各个要素进行详细审核，包括服务交付过程、服务支持过程、人员管理、资源管理、风险管理等方面。审核过程中，审核组通过查阅文件记录、现场观察、与员工访谈等方式收集审核证据，以判断企业的信息技术服务管理体系是否符合标准要求，是否有效运行。如发现不符合项，审核组将向企业开具不符合报告，并要求企业在规定期限内完成整改。
4. 认证决定与证书颁发
   在企业完成不符合项整改并经审核组验证合格后，认证机构将根据审核结果做出认证决定。若企业的信息技术服务管理体系符合 ISO 20000 标准要求且整改有效，认证机构将向企业颁发 ISO 20000 认证证书。认证证书的有效期通常为三年，在有效期内，企业需接受认证机构的定期监督审核，以确保其信息技术服务管理体系持续符合标准要求并有效运行。

三、申请要求

（一）组织要求

1. 明确的 IT 服务管理职责
   企业应建立清晰的组织结构，明确信息技术服务管理相关部门和岗位的职责与权限，确保 IT 服务管理活动的有效开展。各部门之间应保持良好的沟通与协作，避免出现职责不清、推诿扯皮等现象。
2. 具备 IT 服务管理能力
   企业需具备相应的信息技术服务管理能力，包括但不限于 IT 服务规划、设计、交付、运营、维护、监控等方面的能力。拥有专业的 IT 服务团队，团队成员具备必要的专业知识、技能和经验，能够为客户提供高质量的信息技术服务。

（二）文件要求

1. 符合标准的管理体系文件
   如前所述，企业应编写一套完整的信息技术服务管理体系文件，且文件内容应符合 ISO 20000 标准要求。文件应具有系统性、逻辑性和可操作性，能够指导企业的信息技术服务管理实践。同时，文件应根据企业内外部环境的变化以及体系运行的实际情况及时进行修订和完善，确保其持续有效性。
2. 文件控制与记录管理
   建立有效的文件控制程序，确保管理体系文件的编制、审批、发布、更改、作废等环节得到严格控制，保证文件的现行有效性和使用场所的可获取性。加强记录管理，对体系运行过程中产生的各类记录进行规范的标识、收集、归档、存储、检索和保存，为体系的有效运行和持续改进提供充分的证据支持。

（三）服务要求

1. 以客户为中心的服务理念
   企业应树立以客户为中心的服务理念，深入了解客户需求，将客户需求贯穿于信息技术服务管理的全过程。建立客户反馈机制，及时收集客户对 IT 服务的意见和建议，并加以分析和处理，不断改进服务质量，提高客户满意度。
2. 服务的连续性与可用性
   确保信息技术服务的连续性和可用性，制定完善的服务连续性计划和应急响应预案，以应对可能出现的各种突发事件，如自然灾害、系统故障、网络攻击等，最大限度地减少服务中断时间，保障客户业务的正常运行。

（四）绩效要求

1. 设定绩效指标并监控
   企业应根据信息技术服务管理目标设定相应的绩效指标，如服务响应时间、解决时间、服务可用性、客户满意度等，并建立有效的绩效监控机制，定期对绩效指标进行测量、分析和评估。通过绩效监控，及时发现体系运行中的问题和不足，采取针对性的改进措施，确保信息技术服务管理体系的持续优化和服务质量的不断提升。
2. 持续改进
   将持续改进作为信息技术服务管理体系的核心要求之一，建立完善的持续改进机制，鼓励员工积极参与体系的改进工作。通过内部审核、管理评审、客户反馈、绩效分析等多种途径收集改进信息，制定并实施改进计划，跟踪改进效果，不断提高企业的信息技术服务管理水平和竞争力。