体系策划阶段(1-2周)
成立项目组(含高层领导、IT服务经理、业务部门代表),明确目标、范围及时间计划。
开展初始风险评审,识别关键资产(如核心业务系统)及威胁(如网络攻击、硬件故障)。
文件编制阶段(2-4周)
编制IT服务管理体系文件,重点设计:
服务生命周期管理:从需求分析、设计、交付到改进的全流程控制。
服务级别协议(SLA):定义服务指标(如可用性≥99.9%、响应时间≤2小时)。
示例:某银行通过引入AI风险评估工具,将SLA制定效率提升60%,误报率降低40%。
体系实施阶段(3-6个月)
按文件要求开展日常管理活动,保留关键记录:
监测记录:系统可用性日志、事件处理记录。
管理记录:内审计划、管理评审会议纪要。
改进记录:纠正预防措施单、8D报告。
关键动作:每月进行服务数据分析,每季度开展跨部门改进会议。
认证审核阶段(1-2个月)
文件审核:认证机构对体系文件进行合规性审查(通常5个工作日内反馈)。
现场审核:审核员通过访谈、观察、抽样等方式验证体系有效性,重点检查:
高风险过程控制(如变更管理、事件管理)。
应急预案与演练记录。
持续改进机制运行。
整改闭环:针对不符合项,企业需在15个工作日内提交整改报告(含证据照片、流程优化记录)。
证书颁发与维护
审核通过后,认证机构在10个工作日内颁发证书(有效期3年)。
年度监督审核:每年需接受1次监督审核,重点检查体系持续改进情况。
复评换证:证书到期前3个月提交申请,流程与初审一致,但可简化文件审查环节。