贵州汇黔通认证集团有限公司

ISO27001和ISO20000认证流程核心逻辑一致，均遵循“体系搭建→审核验证→获取证书”的路径，具体步骤如下：

一、通用认证核心流程（两者共通）

1.体系筹备与搭建：组织成立推进小组，学习标准要求，结合自身业务梳理现状（如ISO27001需做风险评估，ISO20000需梳理IT服务流程），编写体系文件（如手册、程序文件）。

2.体系试运行：正式运行搭建好的管理体系，记录运行数据（如ISO27001的安全事件记录，ISO20000的故障处理记录），持续优化体系漏洞，试运行周期通常≥3个月。

3.内部审核（阶段审核）：组织内部审核员对照标准，检查体系运行的符合性和有效性，出具内部审核报告，整改发现的问题。

4.管理评审（第二阶段审核前）：管理者主持评审，确认体系是否满足组织目标、是否需要调整，确保体系持续适宜。

5.第三方认证审核：

- 阶段（文件审核）：认证机构审核体系文件是否符合标准要求，提出文件修改意见。

- 第二阶段（现场审核）：审核员到组织现场，检查体系实际运行情况（如访谈员工、查看记录），判断是否符合认证要求，出具审核报告。

6.获取证书与监督：若审核通过，认证机构颁发证书（有效期3年）；3年内每12个月需进行一次监督审核，3年后需重新进行换证审核以维持证书有效性。

二、关键差异点

- ISO27001：在“体系搭建”阶段需额外完成信息资产盘点和风险评估与处置（如识别数据泄露风险并制定加密措施），这是其核心前置步骤。

- ISO20000：在“体系搭建”阶段需重点梳理IT服务流程（如事件管理、变更管理）并明确服务级别协议（SLA，如故障1小时内响应），流程规范性是审核关键。

有需求，请联系下面

联系人：陈经理 手 机