ISO20000信息技术服务管理体系认证申报条件：企业需跨越的“四道门槛”

主体资格要求

中国企业需持有工商行政管理部门颁发的《企业法人营业执照》;外国企业需提供登记注册证明。

特定行业需提供附加资质(如金融企业需《支付业务许可证》、医疗企业需《互联网诊疗资质》)。

体系基础要求

已按ISO20000标准建立文件化IT服务管理体系(ITSM)，包含：

一级文件：服务管理方针(如“以客户为中心，保障服务连续性”)。

二级文件：程序文件(如事件管理、变更管理、服务级别协议管理程序)。

三级文件：作业指导书(如故障排查手册、数据备份操作规范)。

体系需有效运行3个月以上，并保留完整记录(如管理评审报告、内审报告)。

合规性要求

申请日前一年内未受到网信办、工信部等主管部门行政处罚。

需符合《网络安全法》《数据安全法》等法规要求，提供合规性评估报告。

风险管控要求

需完成至少一次IT服务风险评估，识别关键资产(如核心业务系统、客户数据库)及威胁(如网络攻击、硬件故障)。

需制定风险处置计划，明确风险接受、降低、转移或规避策略。

ISO20000信息技术服务管理体系认证申请资料清单：分类型精准准备

基础资质文件

营业执照副本(加盖公章)

组织机构代码证、税务登记证(三证合一企业无需提供)

法定代表人身份证复印件

场地使用证明(房产证或租赁合同)

体系文件包

服务管理手册(含方针、目标、范围、组织架构)

程序文件清单(如事件管理、问题管理、配置管理程序)

作业指导书(如故障排查手册、数据备份操作规范)

记录表单(如风险评估表、内审检查表)

运行记录文件

近3个月的IT服务监测报告(如系统可用性日志、事件处理记录)

内部审核与管理评审报告(含不符合项整改记录)

员工培训记录(需覆盖全员且签到表完整)

应急预案演练记录(含照片、总结报告)

行业专项文件

金融行业：需提供支付卡行业数据安全标准(PCI DSS)合规证明、反洗钱(AML)政策。

医疗行业：需提供《个人信息保护法》合规声明、患者数据加密方案。

政务领域：需提供等保三级认证证书、数据共享安全协议。