企業(yè)在申請(qǐng)iso27001認(rèn)證咨詢時(shí)需要提供以下材料： 1 法律地位證明iso三體系認(rèn)證（如企業(yè)法人、事業(yè)單位法人代碼證書、社團(tuán)法人登記證等），組織機(jī)構(gòu)代碼證書； 2 有效的資質(zhì)證明、iso三體系認(rèn)證生產(chǎn)許可證強(qiáng)制性iso三體系認(rèn)證認(rèn)證咨詢證書等（需要時(shí)） 3 組織簡(jiǎn)介（iso三體系認(rèn)證及與iso三體系認(rèn)證/服務(wù)有關(guān)的技術(shù)標(biāo)準(zhǔn)、強(qiáng)制性標(biāo)準(zhǔn)、使用設(shè)備、人員情況等） 4 申請(qǐng)認(rèn)證咨詢iso三體系認(rèn)證的生產(chǎn)、加工或服務(wù)工藝流程圖； 5 臨時(shí)場(chǎng)所、多場(chǎng)所需提供清單； 6 管理手冊(cè)、程序iso三體系認(rèn)證及組織機(jī)構(gòu)圖； 7 服務(wù)器數(shù)量以及終端數(shù)量； 8 適用性聲明、資產(chǎn)列表 9 保密協(xié)議、信息安全敏感區(qū)域的聲明； 10 支持iso27001信息安全管理體系的規(guī)程和控制措施、風(fēng)險(xiǎn)評(píng)估方法的描述、風(fēng)險(xiǎn)評(píng)估報(bào)告、風(fēng)險(xiǎn)處置計(jì)劃、組織為確保其信息安全過程的有效規(guī)范/運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成iso三體系認(rèn)證的規(guī)程。

2005年12 月，英國標(biāo)準(zhǔn)協(xié)會(huì)已有的 IT服務(wù)管理標(biāo)準(zhǔn)BS15000，已正式發(fā)布成為ISO國際標(biāo)準(zhǔn)：ISO20000。ITIL從1980年代IT服務(wù)管理最佳實(shí)踐萌芽，到2000年成為英國標(biāo)準(zhǔn)協(xié)會(huì)的IT服務(wù)管理標(biāo)準(zhǔn)BS15000，再到2005年5月17日通過快速通道成為ISO國際標(biāo)準(zhǔn)家族中的一員，ITIL最終修成“正果”，成為國際標(biāo)準(zhǔn)，被國際廣泛接受。 在成為國際標(biāo)準(zhǔn)以前，該標(biāo)準(zhǔn)就已經(jīng)被許多單位采用。如澳大利亞的AS8018和南非一些單位。目前，在我國越來越多的企業(yè)正在應(yīng)用IT服務(wù)管理的最佳實(shí)踐，并且國內(nèi)某大型企業(yè)已經(jīng)在2005年通過BS15000認(rèn)證咨詢。 ITIL與ISO20000有什么不同？ IT服務(wù)管理最佳實(shí)踐得到歸納總結(jié)出現(xiàn)ITIL方法論之后，第一次突破性的發(fā)展，是英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）在IT服務(wù)管理論壇（itSMF）上，正式發(fā)布以ITIL為核心的單位標(biāo)準(zhǔn)BS15000，值得注意的是，ITIL從單位標(biāo)準(zhǔn)到國際標(biāo)準(zhǔn)，是一個(gè)非?？斓倪^程，國際標(biāo)準(zhǔn)組織是2005年5月以快速表決方式通過（fast track）的，所以才能在2005年12月就正式發(fā)布。 基本上，ISO20000就是從BS15000延伸而來，兩者之間的整體框架沒有什么不同，但是ITIL與ISO20000之間的框架，卻有些差距。整體來說，ITIL是10個(gè)管理流程（不含服務(wù)臺(tái)），ISO20000／BS15000則是13個(gè)管理流程，其中新增的業(yè)務(wù)關(guān)系管理（Business Management）與供貨商管理（Supplier Management），對(duì)于ITIL來說，這些已經(jīng)同時(shí)包含在服務(wù)等級(jí)管理（Service Level Management）之中；另外，ISO20000新增的服務(wù)報(bào)告（Service Reporting），事實(shí)上也涵蓋在ITIL的每個(gè)管理流程當(dāng)中。 引入ISO20000刻不容緩 包括中國、印度等單位，正在興起爭(zhēng)取參與 ITIL 或 BS15000 認(rèn)證咨詢的風(fēng)潮，因?yàn)檫@些單位多數(shù)企業(yè)或 IT 人員知道，一旦擁有 ITIL 認(rèn)證咨詢，就象征了千錘百煉的實(shí)力，客戶會(huì)更放心地將訂單交到他們的手中。 目前國內(nèi)知道ITIL和ISO20000的企業(yè)和個(gè)人的數(shù)量與我們快速發(fā)展的信息化相比還不多，國內(nèi)企業(yè)必須加強(qiáng)ITIL、ISO20000的培訓(xùn)，思考以 ITIL 流程提升競(jìng)爭(zhēng)力，降低日后吃敗仗的機(jī)率. 2月1日，英國標(biāo)準(zhǔn)協(xié)會(huì)（BSI）向中國移動(dòng)浙江公司頒發(fā)了ISO20000認(rèn)證咨詢證書，中國移動(dòng)浙江公司成為中國通信行業(yè)首家通過ISO20000認(rèn)證咨詢審核的IT服務(wù)機(jī)構(gòu)。 信息技術(shù)服務(wù)管理 長(zhǎng)久以來，組織/企業(yè)的IT部門一直被歸納為「Resource Provider」或「Technology Provider」，四處救火，卻經(jīng)常徒勞無功白忙一場(chǎng) , 甚至于動(dòng)輒得咎：至于公司的高階領(lǐng)導(dǎo)亦面臨著IT人員愈發(fā)精簡(jiǎn)，任務(wù)愈發(fā)繁重，以及服務(wù)質(zhì)量愈難滿足用戶及單位期望…等艱困挑戰(zhàn)。 若IT部門欲改善現(xiàn)況由此困境走出，便需徹底進(jìn)行體制改造，促使轉(zhuǎn)型至服務(wù)導(dǎo)向，繼而將服務(wù)觸角提升至業(yè)務(wù)視角層面：在此基于 ITIL(Information Technical Infrastructure Library)方法論及最佳實(shí)踐(Best Practice)的IT服務(wù)管理(ITSM)方案則被各界視為IT部門轉(zhuǎn)型最佳選擇。 IT服務(wù)管理體系國際標(biāo)準(zhǔn)ISO20000標(biāo)準(zhǔn)介紹 ISO/IEC20000是一個(gè)關(guān)于IT服務(wù)管理體系的要求的國際標(biāo)準(zhǔn)，它幫助識(shí)別和管理IT服務(wù)的關(guān)鍵過程，保證提供有效的IT服務(wù)滿足客戶和業(yè)務(wù)的需求。 ISO20000， 共分為兩部分 : ISO/IEC 20000-1 Information technology-Service management Part-1:Specification(信息技術(shù)服務(wù)管理標(biāo)準(zhǔn)規(guī)范， 認(rèn)證咨詢要求) ISO/IEC 20000-1 Information technology-Service management Part-2:Code of practice(信息技術(shù)服務(wù)管理最佳實(shí)踐) 在ISO20000中的信息安全管理部份，以ISO27002/ISO27001為參考規(guī)范。在企業(yè)組織ISO20000的實(shí)施范圍不大于ISO27001/ISO27002 實(shí)施的范圍的情況下，若該組織/企業(yè)已通過ISO27001認(rèn)證咨詢，則該企業(yè)組織的ISO20000中信息安全管理部份也將符合標(biāo)準(zhǔn)。 ISO20000標(biāo)準(zhǔn)包括了5大過程及13個(gè)管理面， 如下： 服務(wù)交付過程 ? 服務(wù)等級(jí)管理 ? 服務(wù)報(bào)告 ? 能力管理 ? 服務(wù)持續(xù)性與可用性管理 ? 信息安全管理 ? IT 服務(wù)預(yù)算編制與iso認(rèn)證老師核算 控制過程 ? 配置管理 ? 申報(bào)管理 發(fā)布過程 ? 發(fā)布管理 解決過程 ? 事故管理 ? 問題管理 業(yè)務(wù)過程 ? 業(yè)務(wù)關(guān)系管理 ? 供應(yīng)商管理 實(shí)施ISO20000效益 ? 得以獲得業(yè)界普遍認(rèn)同的國際證書ISO20000認(rèn)證咨詢； ? 就服務(wù)質(zhì)量和服務(wù)承諾與業(yè)務(wù)及供貨商達(dá)成一致，建立和業(yè)務(wù)及供貨商統(tǒng)一的溝通平臺(tái)；達(dá)到相關(guān)利益方均滿意的IT服務(wù)管理目標(biāo)； ? 提高IT服務(wù)的可用性、可靠性和安全性，為業(yè)務(wù)用戶提供高質(zhì)量的服務(wù)； ? 持續(xù)優(yōu)化服務(wù)流程，提升服務(wù)水平，提高業(yè)務(wù)滿意度； ? 提高項(xiàng)目的可提供性并確保如期交付； ? 從總體上提高組織/企業(yè)IT投資的報(bào)酬率，提升組織/企業(yè)的綜合競(jìng)爭(zhēng)力； ? 建立IT部門一整套行之有效的持續(xù)改善機(jī)制和內(nèi)控機(jī)制； ? 明晰IT管理成本和組織/企業(yè)業(yè)務(wù)戰(zhàn)略和IT戰(zhàn)略目標(biāo)的結(jié)合點(diǎn)，完善現(xiàn)有IT服務(wù)結(jié)構(gòu)和資源配置，使各項(xiàng)IT資源的運(yùn)用符合公司業(yè)務(wù) 戰(zhàn)略和IT戰(zhàn)略目標(biāo)； ? 通過建立優(yōu)化、透明的管理流程和權(quán)責(zé)的定義，監(jiān)控管理流程、進(jìn)行績(jī)效評(píng)價(jià)；降低IT運(yùn)營(yíng)的管理成本和風(fēng)險(xiǎn)； ? 易于整合服務(wù)管理流程和其它管理系統(tǒng)，如：信息安全管理體系 ISMS 、質(zhì)量管理體系ISO9000等； ? 將現(xiàn)有管理體系和業(yè)務(wù)流程整合，規(guī)范IT部門服務(wù)水平，規(guī)范工作流程，降低由人員變動(dòng)導(dǎo)致的風(fēng)險(xiǎn)； ? 提高IT部門相關(guān)員工的專業(yè)素質(zhì)，提高員工的服務(wù)能力和工作效率； ? 提升IT部門整體運(yùn)作及部門間溝通的能力。

ISO/IEC20000規(guī)定了IT組織在向其內(nèi)外部客戶提供IT服務(wù)和支持過程中所需完成的工作。通過這些規(guī)定，ISO/IEC 20000展示了一套完整的IT管理流程，旨在幫助IT組織識(shí)別并管理IT服務(wù)的關(guān)鍵流程，保證向業(yè)務(wù)和客戶有效地提供高質(zhì)量的IT服務(wù)。獲得ISO/IEC20000認(rèn)證咨詢，意味著該組織能夠堅(jiān)持IT服務(wù)管理，理解并掌握IT服務(wù)管理最佳實(shí)踐，同時(shí)堅(jiān)持執(zhí)行最佳實(shí)踐，為業(yè)務(wù)提供高質(zhì)量的IT服務(wù)。 ISO20000是第一部針對(duì)信息技術(shù)服務(wù)管理（IT Service Management）領(lǐng)域的國際標(biāo)準(zhǔn)，它于2005年12月15日發(fā)布。作為認(rèn)證咨詢組織的IT運(yùn)營(yíng)和服務(wù)管理水平的國際標(biāo)準(zhǔn)，ISO20000具體規(guī)定了IT服務(wù)管理行業(yè)向企業(yè)及其客戶有效地提供服務(wù)的、一體化的管理過程以及過程建立的相關(guān)要求，幫助識(shí)別和管理IT服務(wù)的關(guān)鍵過程，保證提供有效的IT服務(wù)以滿足客戶和業(yè)e5a48de588b6e799bee5baa631333363383935務(wù)的需求。它著重于通過“IT服務(wù)標(biāo)準(zhǔn)化”來管理IT問題，即將IT問題歸類，識(shí)別問題的內(nèi)在聯(lián)系，然后依據(jù)服務(wù)級(jí)別協(xié)議進(jìn)行計(jì)劃、管理和監(jiān)控，并強(qiáng)調(diào)與客戶的溝通。 ISO/IEC20000是一個(gè)關(guān)于IT服務(wù)管理體系的要求的國際標(biāo)準(zhǔn)，它幫助識(shí)別和管理IT服務(wù)的關(guān)鍵過程，保證提供有效的IT服務(wù)滿足客戶和業(yè)務(wù)的需求。 ISO20000， 共分為兩部分 : ISO/IEC20000-1 Information technology-Service management Part-1:Specification(信息技術(shù)服務(wù)管理標(biāo)準(zhǔn)規(guī)范，認(rèn)證咨詢要求) ISO/IEC20000-1 Information technology-Service management Part-2:Code of practice(信息技術(shù)服務(wù)管理最佳實(shí)踐) 在ISO20000中的信息安全管理部份，以ISO27002/ISO27001為參考規(guī)范。在企業(yè)組織ISO20000的實(shí)施范圍不大于ISO27001/ISO27002 實(shí)施的范圍的情況下，若該組織/企業(yè)已通過ISO27001認(rèn)證咨詢，則該企業(yè)組織的ISO20000中信息安全管理部份也將符合標(biāo)準(zhǔn)。

? 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過程以及過程之間的相互作用，稱為“過程方法”。所謂“過程”是一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。ISO27001采用過程方法建立信息安全管理體系可以保證該體系得到順利地建立、實(shí)施、維持和持續(xù)改進(jìn)，并且能夠保證和質(zhì)量管理體系(ISO 9001)、環(huán)境管理體系(ISO 14001)等兼容，降低了管理的總體復(fù)雜程度。過程方法鼓勵(lì)其用戶關(guān)注下列內(nèi)容的重要性：□ 了解信息安全要求，以及為信息安全建立方針和目標(biāo)的需求；□ 實(shí)施并運(yùn)作管理組織所有業(yè)務(wù)風(fēng)險(xiǎn)的控制；□ 監(jiān)控并評(píng)審信息安全管理體系的效率和含金量；□ 在目標(biāo)測(cè)量的基礎(chǔ)上持續(xù)改進(jìn)。什么是過程模式？PDCA是Plan、Do、Check、Act的首字母縮寫。PDCA模式是被質(zhì)量管理體系(ISO 9001)、環(huán)境管理體系(ISO 14001)等管理體系所廣泛采用的一種過程模式，這種模式在識(shí)別和運(yùn)作過程時(shí)，把過程分為策劃(Plan)、實(shí)施(Do)、檢查(Check)、處置(Act)四個(gè)階段，通過這四個(gè)階段的持續(xù)循環(huán)，使過程含金量得到不斷提升。 ISO27001采用PDCA過程模式，在體系的整體建立、實(shí)施、維持和持續(xù)改進(jìn)的大過程中PDCA的階段分布可簡(jiǎn)單描述如下(見下圖)： 策劃（建立ISMS）建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的信息安全管理體系方針、目標(biāo)、過程和程序，提供與組織整體策略方針和目標(biāo)相一致的結(jié)果。實(shí)施（實(shí)施和運(yùn)行ISMS） 實(shí)施和運(yùn)行信息安全方針、控制措施、過程和程序。> 檢查（監(jiān)視和評(píng)審ISMS）對(duì)照信息安全管理體系方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過程業(yè)績(jī)，并將結(jié)果報(bào)告管理者以供評(píng)審。

? 系統(tǒng)地識(shí)別和管理組織所應(yīng)用的過程以及過程之間的相互作用，稱為“過程方法”。所謂“過程”是一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(dòng)。ISO27001采用過程方法建立信息安全管理體系可以保證該體系得到順利地建立、實(shí)施、維持和持續(xù)改進(jìn)，并且能夠保證和質(zhì)量管理體系(ISO 9001)、環(huán)境管理體系(ISO 14001)等兼容，降低了管理的總體復(fù)雜程度。過程方法鼓勵(lì)其用戶關(guān)注下列內(nèi)容的重要性：□ 了解信息安全要求，以及為信息安全建立方針和目標(biāo)的需求；□ 實(shí)施并運(yùn)作管理組織所有業(yè)務(wù)風(fēng)險(xiǎn)的控制；□ 監(jiān)控并評(píng)審信息安全管理體系的效率和含金量；□ 在目標(biāo)測(cè)量的基礎(chǔ)上持續(xù)改進(jìn)。什么是過程模式？PDCA是Plan、Do、Check、Act的首字母縮寫。PDCA模式是被質(zhì)量管理體系(ISO 9001)、環(huán)境管理體系(ISO 14001)等管理體系所廣泛采用的一種過程模式，這種模式在識(shí)別和運(yùn)作過程時(shí)，把過程分為策劃(Plan)、實(shí)施(Do)、檢查(Check)、處置(Act)四個(gè)階段，通過這四個(gè)階段的持續(xù)循環(huán)，使過程含金量得到不斷提升。 ISO27001采用PDCA過程模式，在體系的整體建立、實(shí)施、維持和持續(xù)改進(jìn)的大過程中PDCA的階段分布可簡(jiǎn)單描述如下(見下圖)： 策劃（建立ISMS）建立與管理風(fēng)險(xiǎn)和改進(jìn)信息安全有關(guān)的信息安全管理體系方針、目標(biāo)、過程和程序，提供與組織整體策略方針和目標(biāo)相一致的結(jié)果。實(shí)施（實(shí)施和運(yùn)行ISMS） 實(shí)施和運(yùn)行信息安全方針、控制措施、過程和程序。> 檢查（監(jiān)視和評(píng)審ISMS）對(duì)照信息安全管理體系方針、目標(biāo)和實(shí)踐經(jīng)驗(yàn)，評(píng)估并在適當(dāng)時(shí)，測(cè)量過程業(yè)績(jī)，并將結(jié)果報(bào)告管理者以供評(píng)審。