ISO27001认证时间在哪里

坚持机构认可原则 针对申请认证组织的审核范围，首先确认是否在本机构的认可范围内，如果在机构认可范围内，可予以受理；如果不在机构认可范 围内，则不予以受理，本着对机构负责的原则，不越红线并坚守认证底线来初步确定能否受理申请认证组织的审核范围为首要原则 。 坚持法人实体原则 基于上述审核范围的表述，且在认证机构认可的范围内，同时申请认证组织还必须是一个能够承担法律责任的实体，即具有法人资 格的企事业单位。 坚持许可资质原则 结合申请认证组织提供的营业执照或许可资质/环评验收材料/相关职业危险性评价等有效资质，来确定申请认证组织的审 核范围，即以申请认证组织的营业执照给予的业务范围为前提条件，当涉及资质时，结合资质与申请组织的实际运行情况进行确定 审核范围，但一定不能超过营业执照/许可资质的范围，根据申请认证组织提供的相应产品/服务范围所执行的标准，特别是对其工 艺流程进根据行判断，据此分析申请认证组织的产品或服务是什么；与其进行必要的沟通达成一致后，终确定申请认证组织的审 核范围，并为专业小类代码的给定和专业技术人员的支持提供依据和参考。 坚持先“评”后“签”原则 即受理评审后才能签订认证合同的原则：审核范围一经确定并完成合同评审的流程后，才能与申请认证组织签订认证合同，并为后 续审核策划、审核委派以及后续审核提供中心线索，并奠定良好的审核基础。 坚持关系证明原则 关系说明主要是指建立一套管理体系的多名称、多场所的评审界定，包括但不限于出资情况说明、公司章程、验资报告、法人及管 理层等具体相互关联的证明性的文件说明，以确认实施合同评审相关工作，并按《多场所认证机构认可规则》的相关规定进行受理 评审。 对申请认证组织审核范围的界定示例 示例1：聚乙烯吹塑薄膜包装袋的生产（产品仅限出口） 此申请认证组织实际生产的产品不在国内进行销售，也就是说在国内进行生产，而此组织执行的是出口国的相关法律法规及顾客要 求及相关标准，直接定向销往国外。这种情况下，企业不需要国内的相关资质，同时在审核范围的后面加上限定（产品仅限出 口），也就是说，企业按这个范围内生产的产品不能在国内进行销售；同时，申请认证组织还应提供《对外贸易经营者备案登记表 》。 示例2：电线电缆（涉及许可要求的按全国工业产品生产许可证、 强制性产品认证为准）的生产 此申请认证组织实际生产的电线电缆产品品种较多，且也都取得了相应的许可证和CCC，那么在这种情况下，考虑到后续认证证 书的打印，在无法全部列明的条件下，应采用限定的条件进行审核范围内的界定，同时规避机构的风险。 示例3：汽车零部件（涉及 生产许可要求及CCC认证要求的产品除外）的生产 申请认证组织生产的汽车零部件不在CCC认证范围内，且也不生产CCC认证范围内的汽车零部件的产品，不涉及许可证的产品，为规 避认证风险，故进行此范围的限定。 示例4：石油化工产品（不含危险化学品、易燃易爆品及剧毒品）的生产 申请认证组织生产的化工产品主要应用在石油行业且不在危险化学品名录，同时也不需要取得危险化学品生产许可证的，以此方法 来进行明示告知；由于化工产品本身具有危险性，或与其他物质组合具有燃爆的风险，为避免发生危险，需要采取明示的方式对审 核范围进行限定，以控制机构的风险。 示例5：电梯的安装和维修（特种设备许可资质范围内） 企业的特种设备许可证资质中给定的范围为：乘客电梯、载货电梯、杂物电梯、自动扶梯、观光电梯、自动人行道、无机房电梯； 之所以加括号范围内的限定，是因为企业的营业执照上比资质上的范围要大，如：比资质中多了液压电梯，故对申请认证组织的审 核范围进行限定。 图片 审核范围确定好后为后续认证流程中的各阶段提供方向 图片 从审核方案策划及审核委派活动来看，以确定好的审核范围为出发点，策划此申请认证组织周期内的具有特定目标的一组（一次或 多次）审核的安排。根据此审核策划方案确定每一次的审核委派具有专业性，特别是对多名称、多场所的申请认证组织的审核方案 的策划过程中，要结合申请认证组织的审核范围情况策划出初审/再认证、监督审核的抽样方案进行一一策划，以满足多场所组织审 核策划的实施相关要求。 从现场审核活动看，专业审核员对现场审核范围进行审核把控，并从其专业性的角度，结合标准条款进行专业过程的审核，可 做到审核、专业、有效。 从认证评定角度来看，相关专业的审定评议老师对审核案卷进行审定，并围绕审核范围以及专业过程，对审核范围的审核是否 进行回卷后的把控， 从专业评议老师的角度，根据已审核的范围及审核结论确定并批准终的认证范围，即能否授予 认证的过程。由此可以看出，虽然审核范围和认证范围是不同的两个概念，但是两者具有密切的联系，审核范围是依据认证机 构的认证范围来确定的，而认证范围又是根据审核范围和终的认证结论而确定的。 可以说，审核范围终要转化为认证范围，认证范围是申请认证组织持续改进的方向。申请认证组织所设过程或者部门职责都是以 此为主旨的认证范围中的产品或者服务进行服务的。如以下图所示QMS标准条款，来分析申请认证组织的审核范围，申请认证组织所 设的各部门都是围绕审核范围且与标准条款完全融合来进行的。 图片 获取充分、有效的审核证据可以得出合理的审核结论，并终来支撑此审核范围的适宜、充分、有效。 管理体系是一个持续发展的动态系统。申请认证组织即使通过合同评审，可能还会在现场审核过程以及监督、再认证审核过程中都 会发生变化，如：申请范围调整描述，或扩大、缩小、变更等情况的发生，这就要求重新进行审核范围的评审界定，或者在审核前 调整合同评审及审核策划方案，以保证以审核范围为主线的审核案卷符合认证审核的相关要求。

SO20000认证实施 阶段： ?管理现状调查与差距分析 ?体系培训与学习 ISO20000认证第二阶段： ?规划体系的基本架构 ?建立服务级别管理 ?建立服务台管理体系 ?建立事件管理体系 ?建立问题管理体系 ?规范日常管理制度 ISO20000认证第三阶段： ?建立配置管理体系 ?建立变更管理制度和发布管理制度 ISO20000认证第四阶段： ?建立业务连续性管理框架，制定应用统的应急预案 ?建立系统规划机制（可用性管理和容量管理），规划系统的容量和可用性 ?建立系统运行的规定、管理制度（信息管理） ?建立系统运行监视和管理要求 ISO20000认证第五阶段： ?建立供应商管理与考评机制 ?建立服务成本管理控制体系 ?建立业务关系管理框架 ?建立客户沟通管理体系 ?收集和改进客户的满意度 ?关注客户的投诉 ?关注服务体系和服务质量的改进 ISO20000认证第六阶段： ?内部审核与优化改进 ?正式审核与体系维持 1.3ISO20000实施方法 1.3.1开展培训、职能分工 ?学习培训 A.全员培训，掌握ISO20000基础知识、标准的内容、基本要求、实施办法、推行ISO20000意义和计划； B.骨干培训，了解ISO20000标准的基本内容、2)领导在体系中的作用，为什麽要推行及如何推行ISO20000； C.文件编写技能培训，IT服务管理体系文件总论、IT服务质量管理手册编写、程式文件编写、工作文件编写、管理计划制定、管理记录； ?建立组织职能 A.领导小组积极地带头叁加学习ISO20000认证基础知识，提供给出人力和物力支援，成立领导小组，任命管理代表，负责标准中规定的职责并及时处理有关重大问题，组织管理评审。 B.为了推行ISO20000，公司应成立专门工作机构，负责全公司推行ISO20000组织协调工作，作爲一个办事核心。应保证所有各有关部门都能叁与工作小组，有专职人员和骨干力量，骨干人员应对ISO20000有较系统的学习， 有一定相关工作经历； C.公司应按标准要求任命管理者代表，确保按照标准规定建立、实施和维持IT服务管理体系要求，向管理者报告体系的执行情况，以便评审和改进管理体系，管理者代表的职责还可以包括就IT服务质量管理体系方面与外部机构的联络。 ?系统调查与诊断 A.诊断现有体系与标准的符合性，找出与标准之间差距和形成这些差距原因。识别确定对服务质量管理体系进行修改的内容； B.实施诊断员可以是公司内部的人员，也可以公司委托的外部机构，如咨询机构的人员，因此实施诊断的人员可以有内部审核员、第三方审核机构的人员; C.确定诊断小组出具诊断依据和诊断物件，制订诊断计划，编制诊断工作文件，现场诊断检查，提交诊断报告； ?体系设计 A.制订IT服务质量管理方针； B.任命管理者代表主要责任，协助管理者确保按标准的要求建立IT服务质量管理体系，负责体系的实施和维护，负责组织内部管理体系审核，向 管理者报告体系执行情况，以便评审和改进； C.设计调整组织机构，明确各部门职责应覆盖标准要求、职责、职能分工形成书面文件； D.确定新体系中文件结构、典型文件层次。 1.3.2编写文件、试点运行 ?编写文件 A.列出IT服务质量管理手册 B.分配文件编写任务 C.各部门叁与起草工作流程 D.文件批准发效 ?试点运行 A.体系交底 B.培训、宣传 C.试运行与完善 1.3.3内部审核、正式运行 ?内部审核、管理评审 A.至少进行一次内部审核，按ISO20000认证要求制订审核计划、审核清单、审核报告、不合格项的跟踪和监督等有关活动记录和文件应保存完好，以便以认证检查。 B.至少安排一次管理评审，以评价新体系的有效性和适用性，同时积累一次管理评审活动记录，评审按程式文件要求进行。 ?正式运行 通过内部审核、管理评审，对体系文件中不切合实际或规定不合适之处进行及时的修改，在一系列修改后，发布第二版质量手册、程式文件进行正式运行。 1.3.4正式审核，体系维持 ?接受所选择的认证机构的正式审核。 ?体系维持与提高 A.检查现场中问题，不断地改进和巩固； B.进一步完善体系文件，加强协调监督工作； C.定期开展内部IT服务质量管理审核和管理评审