ISO 20000-1和ISO 27001可以一起做吗？

可以，而且强烈推荐一起做。两个标准都基于PDCA循环和Annex SL框架，在文件架构、审核方法和很多流程要求上有重叠。整合审核可以节约30-50%的审核时间和成本。ITIL框架为两个体系的建立提供了共同的方法论基础。

ITIL和ISO 20000-1是什么关系？

ITIL（信息技术基础设施库）是IT服务管理的最佳实践框架，ISO 20000-1是IT服务管理的国际标准认证。ITIL不是认证，ISO 20000-1是第三方认证。ITIL为建立ISO 20000-1体系提供了丰富的方法论参考，但企业不需要单独认证ITIL。

认证周期一般多久？

从启动到拿证，典型周期为4-8个月。已有ITIL实施经验或ISO 9001基础的企业周期较短。体系运行至少3个月后才能申请认证审核。

什么规模的IT服务企业适合做ISO 20000-1？

标准强调适用性——体系范围和复杂程度应与组织实际规模匹配。中小型IT服务企业完全可以建立简化版体系，聚焦事件管理、变更管理和服务水平管理三个核心流程。

ISO/IEC 20000-1认证怎么做？IT服务商必读的服务管理建立与审核指南 - ISO/IEC 20000-1标准实务

ISO/IEC 20000-1认证怎么做？IT服务商必读的服务管理建立与审核指南

ISO/IEC 20000-1 IT Service Management Certification: A Practitioner's Guide

ISO/IEC 20000-1是全球首个IT服务管理国际标准，核心价值是让IT服务从靠人靠关系变成靠流程靠标准。本文介绍ISO 20000-1的体系框架、核心流程要求、IT服务企业认证审核常见关注项以及与ISO 27001的整合路径。

This article introduces the ISO 20000-1 framework, core process requirements, common audit focus areas for IT service enterprises, and integration path with ISO 27001.

ISO20000认证IT服务管理服务级别协议ITILISO27001IT服务认证

先给结论

ISO 20000-1认证的核心价值是：让IT服务从"靠人、靠关系"变成"靠流程、靠标准"。对于IT服务商、软件外包商和内部IT部门而言，这张证书不仅是能力背书，更是与国际客户对接的质量语言。

ISO 20000-1:2018版本基于Annex SL高阶结构，与ISO 9001等主流管理体系在框架上对齐。已建立ISO 9001的企业导入ISO 20000-1会顺畅很多，两个体系在文件架构和审核方法上有大量重叠。

IT服务企业为什么需要ISO 20000-1

国际客户供应商审核的硬门槛

欧洲和北美的大型企业在选择IT服务供应商时，会要求供应商提供ISO 20000-1证书作为供应商准入条件。没有证书的供应商，连入围竞标的资格都没有。

规范内部管理，减少服务交付的随机性

很多IT服务企业的服务交付高度依赖个别工程师的能力和状态。工程师在，服务好；工程师离职，服务立刻下滑。ISO 20000-1要求建立标准化的服务流程，减少对个人的依赖。

与ISO 27001双证整合，提升客户信任

很多IT服务企业同时持有ISO 20000-1和ISO 27001（信息安全管理）。双证在客户沟通中可以一次性证明企业在IT服务管理和信息安全管理两个维度的能力。

ISO 20000-1:2018核心框架

标准采用PDCA（计划-执行-检查-改进）循环框架，分为6个主要部分：

SMS：服务管理体系

建立、实施、维护和持续改进服务管理体系。包括：服务方针、服务范围定义、服务目标设定、管理承诺和资源保障。

SDT：服务设计或转换

新服务的设计和开发，以及变更服务的规划。确保新服务或变更服务在投入正式运行前经过充分评审和验证。

SD：服务交付

按协议要求向客户提供服务。包括：服务级别管理、能力管理、服务连续性管理、可用性管理、信息安全管理等。

SRM：服务关系管理

管理与客户和其他相关方的关系。包括：客户关系管理、供应商管理、服务级别变更管理。

RSZ：解决与完成

确保事件和服务请求得到及时响应和解决。包括：事件管理、服务请求履行、问题管理。

SR：业务规则

建立和控制支持服务运营的环境。包括：配置管理、变更管理。

IT服务企业认证审核的常见关注项

服务目录是否完整准确

服务目录是ISO 20000-1体系的基础文件。审核员会核实：服务目录是否与实际提供的服务一致，服务描述是否清晰完整，服务范围界定是否明确。

变更管理是否执行到位

变更是IT服务领域最常见的高风险活动。审核员会重点查变更申请、变更审批、变更实施和变更验证的完整记录。很多企业的问题不是没有变更流程，而是变更记录不完整。

SLA达成情况是否有数据支撑

很多企业在服务级别协议中承诺了服务指标，但实际达成情况没有数据记录。ISO 20000-1要求企业监控SLA达成情况，定期分析趋势，并在管理评审中报告。

问题管理是否找到根本原因

问题管理的核心价值是找到事件重复发生的根本原因，从系统层面解决问题。审核员会重点查：有多少问题真正找到了根本原因，纠正措施是否有效消除了问题产生的系统性原因。

供应商管理是否规范

IT服务通常大量依赖外包供应商。审核员会核实：供应商的筛选和批准程序是否有效执行，供应商的服务是否符合协议要求，供应商服务水平监控记录是否完整。

建立ISO 20000-1体系的实务步骤

步骤一：现状差距分析

对照ISO 20000-1:2018标准条款，评估企业现有IT服务管理流程与标准要求之间的差距。重点关注：服务目录管理、变更管理、事件管理、问题管理、服务水平管理等核心流程的现状。

步骤二：建立服务管理体系框架

制定服务方针、服务范围和服务目标。建立体系文件架构，包括：服务管理手册、程序文件、作业指导书和服务记录表单。

步骤三：实施核心流程

重点实施以下核心流程：

事件管理（Incident Management）：从事件记录、分级、响应到解决的完整闭环。ITIL框架提供了成熟的参考。

变更管理（Change Management）：所有变更必须经过评估、审批、实施和验证，变更记录是审核重点。

问题管理（Problem Management）：对反复发生的事件进行根本原因分析，从系统层面解决问题。

服务水平管理（SLA Management）：与客户签订服务水平协议，监控服务达成情况，定期评审和改进。

步骤四：内部审核和管理评审

体系运行3个月后进行第一次内部审核，验证各部门对体系文件的执行情况。管理评审由最高管理者主持，评价体系适宜性、充分性和有效性。

步骤五：认证审核

认证审核分两阶段：第一阶段审核文件体系和服务范围界定；第二阶段审核体系实际运行效果和持续改进机制。两阶段审核均通过后获证。

与ISO 27001的关系：整合审核

IT服务企业通常同时持有ISO 20000-1和ISO 27001。两个体系的整合审核可以节约审核时间和成本。ITIL框架为两个体系的建立提供了共同的方法论基础。

整合审核的建议：建立统一的文档管理体系，避免同一事项两套记录；将安全控制措施整合到服务交付流程中；内审时一起审两个体系，提高效率。