IT服务管理体系认证申请指导书

IT服务管理体系认证申请指导书一、认证前期准备（一）明确认证标准与范围当前主流的IT服务管理体系认证标准为ISO/IEC20000，这是全球公认的IT服务管理领域权威标准。企业在申请前，需精准界定认证范围，这通常涵盖企业内部的IT服务部门、涉及IT服务的业务单元，以及对外提供的IT服务项目等。例如，一家综合性企业可能将内部IT运维、软件开发外包管理、客户IT技术支持等业务均纳入认证范围。企业可通过研读ISO/IEC20000标准原文、参加相关培训课程或咨询专业认证机构，深入理解标准的具体要求。同时，要结合自身业务特点，避免认证范围过大导致管理难度增加，或范围过小无法全面覆盖核心IT服务流程。（二）组建认证推进团队认证工作涉及企业多个部门，因此需组建一个跨部门的认证推进团队。团队成员应包括IT部门负责人、各业务流程负责人、质量管理专员以及内部审计人员等。IT部门负责人作为团队核心，负责整体协调与推进；各业务流程负责人熟悉具体业务操作，能够确保体系要求与实际业务相结合；质量管理专员具备质量管理体系知识，可提供专业的体系建设指导；内部审计人员则能从独立角度对体系运行进行监督与评估。团队成立后，需明确各成员的职责与分工，制定详细的认证推进计划，明确各阶段的时间节点与交付成果。例如，在体系建设阶段，IT部门负责人负责组织流程梳理，业务流程负责人负责提供业务流程相关资料，质量管理专员负责体系文件的审核。（三）开展现状调研与差距分析在正式启动体系建设前，企业需对自身IT服务管理现状进行全面调研。调研内容包括现有IT服务流程的运行情况、IT基础设施的配置与管理、人员能力与培训情况、服务绩效指标的设定与监控等。调研方式可采用问卷调查、现场访谈、流程文档审查等。通过调研，将企业现状与ISO/IEC20000标准要求进行对比，找出存在的差距。例如，标准要求建立服务级别管理流程，若企业尚未建立该流程，或流程不完善，这就是明显的差距。针对找出的差距，制定详细的差距分析报告，明确每个差距的整改措施、责任部门与整改期限。二、IT服务管理体系建设（一）流程设计与优化根据ISO/IEC20000标准要求，结合企业实际业务需求，对IT服务管理流程进行设计与优化。ISO/IEC20000标准涵盖了服务级别管理、服务报告、服务连续性和可用性管理、信息安全管理、服务预算与核算、能力管理、供应商管理、变更管理、发布与部署管理、事件管理、问题管理、配置管理等多个流程。以事件管理流程为例，需明确事件的定义、分类、分级标准，事件的上报、受理、诊断、解决、关闭等环节的操作流程，以及各环节的责任人与时间要求。同时，要考虑事件管理与其他流程的接口，如事件升级至问题管理的条件与流程。在流程设计过程中，要注重流程的实用性与可操作性。邀请一线员工参与流程设计，听取他们的意见与建议，确保流程能够真正落地执行。流程设计完成后，需组织相关人员进行评审，确保流程符合标准要求与企业实际情况。（二）编写体系文件体系文件是IT服务管理体系的重要组成部分，包括质量手册、程序文件、作业指导书以及记录表单等。质量手册是企业IT服务管理体系的纲领性文件，阐述企业的IT服务管理方针、目标、范围以及体系的结构与相互关系；程序文件规定了各IT服务管理流程的具体操作步骤与要求；作业指导书则针对具体的操作环节提供详细的指导；记录表单用于记录体系运行过程中的相关信息，为体系的运行与改进提供证据。编写体系文件时，要遵循“写你所做，做你所写”的原则，确保文件内容与实际业务操作一致。文件语言应简洁明了、通俗易懂，便于员工理解与执行。同时，要建立文件的审批与发布机制，确保文件的权威性与有效性。例如，质量手册需经过企业最高管理者审批后发布，程序文件需经过相关部门负责人审批后发布。（三）开展内部培训与宣贯体系文件编写完成后，需组织企业全体员工开展内部培训与宣贯。培训内容包括ISO/IEC20000标准知识、企业IT服务管理体系文件的具体要求、各流程的操作方法等。培训方式可采用集中授课、在线学习、现场演示等。针对不同岗位的员工，培训内容应有所侧重。例如，IT运维人员重点学习事件管理、问题管理、配置管理等流程的操作；管理人员重点学习服务级别管理、服务报告、服务预算与核算等流程的管理要求。培训结束后，要对员工进行考核，确保员工掌握相关知识与技能。同时，要通过内部宣传渠道，如企业内部网站、宣传栏、员工会议等，对IT服务管理体系进行广泛宣贯，提高员工对体系的认识与理解，营造全员参与的氛围。三、体系试运行与内部审核（一）体系试运行体系文件发布后，企业需进入体系试运行阶段。试运行时间通常为3-6个月，在此期间，企业各部门按照体系文件的要求开展日常工作，将体系要求融入到实际业务操作中。在试运行过程中，要密切关注体系的运行情况，及时收集员工的反馈意见。针对出现的问题，组织相关人员进行分析与解决。例如，若发现某流程在实际操作中存在效率低下的问题，要及时对流程进行优化调整。同时，要建立试运行期间的问题跟踪机制，确保所有问题都能得到及时解决。（二）开展内部审核在体系试运行一段时间后，企业需组织内部审核人员开展内部审核。内部审核的目的是检查IT服务管理体系是否符合ISO/IEC20000标准要求，是否得到有效实施与保持。内部审核人员应具备相应的审核资质，熟悉ISO/IEC20000标准与企业体系文件。审核前，要制定详细的审核计划，明确审核范围、审核依据、审核人员与审核时间。审核过程中，采用文件审查、现场访谈、操作观察等方式，对各流程的运行情况进行检查。审核结束后，编写内部审核报告，报告中应包括审核发现的问题、不符合项的描述、整改建议等。针对审核发现的不符合项，责任部门要制定整改措施，明确整改期限与责任人。内部审核人员要对整改情况进行跟踪验证，确保不符合项得到有效整改。（三）管理评审内部审核完成后，企业最高管理者需组织开展管理评审。管理评审的目的是评价IT服务管理体系的适宜性、充分性与有效性，以及体系持续改进的机会与变更的需求。管理评审输入包括内部审核报告、服务绩效报告、客户反馈意见、市场变化与技术发展情况等。最高管理者根据这些输入，对体系的运行情况进行综合评价，提出体系改进的方向与措施。管理评审输出包括管理评审报告，报告中应明确体系改进的决策与措施，以及资源配置的调整等。四、认证申请与审核阶段（一）选择认证机构企业在选择认证机构时，要综合考虑机构的资质、信誉、专业能力、服务质量以及认证费用等因素。认证机构应具备国家认可的认证资质，如中国合格评定国家认可委员会（CNAS）认可的认证机构。同时，要了解认证机构的审核人员是否具备丰富的IT服务管理体系审核经验，是否熟悉企业所在行业的特点。企业可通过咨询其他已获得认证的企业、查阅认证机构的官方网站、参加认证机构举办的研讨会等方式，对认证机构进行深入了解。在确定认证机构后，与认证机构签订认证合同，明确双方的权利与义务。（二）提交认证申请企业向认证机构提交认证申请，申请材料通常包括认证申请书、企业营业执照复印件、IT服务管理体系文件、内部审核报告、管理评审报告等。认证机构对申请材料进行审核，若材料齐全且符合要求，将受理认证申请；若材料存在问题，企业需根据认证机构的要求进行补充与修改。在提交申请材料时，要确保材料的真实性与准确性。例如，体系文件应与实际运行情况一致，内部审核报告与管理评审报告应如实反映体系的运行情况与改进措施。（三）第一阶段审核认证机构受理申请后，将安排审核人员进行第一阶段审核。第一阶段审核主要是对企业的IT服务管理体系文件进行审查，以及对企业的现场进行初步了解。审核内容包括体系文件的完整性、符合性与适宜性，企业的组织架构与职责分工，体系试运行的情况等。审核人员通过审查体系文件、与企业相关人员进行访谈、查看体系运行记录等方式，对体系进行评估。若发现体系文件存在不符合标准要求的地方，企业需根据审核人员的意见进行修改与完善。第一阶段审核结束后，审核人员将出具第一阶段审核报告，报告中会指出体系存在的问题与改进建议。（四）第二阶段审核第一阶段审核通过后，认证机构将安排第二阶段审核。第二阶段审核是对企业IT服务管理体系的实际运行情况进行全面审核，审核范围覆盖企业申请认证的所有范围。审核内容包括各IT服务管理流程的运行情况、服务绩效指标的达成情况、人员能力与培训情况、服务连续性与信息安全管理情况等。审核人员采用现场审核的方式，通过查看现场操作、与员工进行访谈、查阅运行记录等，对体系的运行情况进行深入检查。在审核过程中，审核人员将开具不符合项报告，指出体系运行中存在的问题。企业需针对不符合项制定整改措施，在规定的期限内完成整改，并将整改情况反馈给认证机构。认证机构审核人员对整改情况进行验证，确保不符合项得到有效解决。五、认证后的持续改进（一）认证证书的维护与管理企业获得认证证书后，要妥善保管认证证书。认证证书通常有一定的有效期，有效期内企业需接受认证机构的监督审核。监督审核每年进行一次，审核内容包括体系的持续运行情况、不符合项的整改情况、体系的改进情况等。企业要按照认证机构的要求，及时提交监督审核所需的材料，如服务绩效报告、内部审核报告、管理评审报告等。同时，要确保体系在有效期内持续有效运行，若企业的认证范围、组织架构、管理体系等发生重大变化，需及时通知认证机构，认证机构将根据实际情况进行重新审核或变更认证证书。（二）持续监控与测量为确保IT服务管理体系的持续有效运行，企业需建立完善的监控与测量机制。监控与测量内容包括服务绩效指标的达成情况、客户满意度、流程的运行效率、IT基础设施的可用性等。企业可通过建立服务管理系统、定期收集客户反馈、开展内部审计等方式，对体系的运行情况进行监控与测量。定期对监控与测量数据进行分析，找出体系运行中存在的问题与改进机会。例如，若发现服务绩效指标未达成，要分析原因，是流程执行不到位、人员能力不足还是资源配置不合理等，并针对原因制定改进措施。（三）内部审核与管理评审的常态化内部审核与管理评审是企业持续改进体系的重要手段，要将其常态化。内部审核每年至少进行一次，可根据企业实际情况增加审核频次。内部审核人员要保持独立性与客观性，确保审核结果的真实性与可靠性。管理评审每年至少进行一次，由企业最高管理者组织开展。管理评审要充分考虑内部审核结果、服务绩效报告、客户反馈意见、市场变化与技术发展等因素，对体系的适宜性、充分性与有效性进行评价，提出体系改进的方向与措施。（四）员工培训与能力提升IT服务管理领域技术与标准不断发展，因此企业要持续开展员工培训，提升员工的能力与素质。培训内容包括新的IT技术、新的管理标准、体系文件的更新内容等。培训方式可采用内部培训、外部培训、在线学习等。同时，要鼓励员工参与行业交流与研讨，了解行业最新动态与最佳实践。通过员工培训与能力提升，确保员工能够适应