ISO27001和ISO20000认证流程核心逻辑一致,均遵循“体系搭建→审核验证→获取证书”的路径,具体步骤如下:
一、通用认证核心流程(两者共通)
1. 体系筹备与搭建:组织成立推进小组,学习标准要求,结合自身业务梳理现状(如ISO27001需做风险评估,ISO20000需梳理IT服务流程),编写体系文件(如手册、程序文件)。
2. 体系试运行:正式运行搭建好的管理体系,记录运行数据(如ISO27001的安全事件记录,ISO20000的故障处理记录),持续优化体系漏洞,试运行周期通常≥3个月。
3. 内部审核(第一阶段审核):组织内部审核员对照标准,检查体系运行的符合性和有效性,出具内部审核报告,整改发现的问题。
4. 管理评审(第二阶段审核前):最高管理者主持评审,确认体系是否满足组织目标、是否需要调整,确保体系持续适宜。
5. 第三方认证审核:
- 第一阶段(文件审核):认证机构审核体系文件是否符合标准要求,提出文件修改意见。
- 第二阶段(现场审核):审核员到组织现场,检查体系实际运行情况(如访谈员工、查看记录),判断是否符合认证要求,出具审核报告。
6. 获取证书与监督:若审核通过,认证机构颁发证书(有效期3年);3年内每12个月需进行一次监督审核,3年后需重新进行换证审核以维持证书有效性。
二、关键差异点
- ISO27001:在“体系搭建”阶段需额外完成信息资产盘点和风险评估与处置(如识别数据泄露风险并制定加密措施),这是其核心前置步骤。
普通会员
