中小 IT 企业 ISO20000 资质申请以 “合法资质 + 3 个月体系运行 + 完整内审 / 管理评审 + 文件与记录闭环” 为核心，审核分文件审核与现场审核两阶段，整改通过后获 3 年证书并需年度监督审核。以下是分模块的申请条件、材料清单与审核流程，便于快速对标落地。

一、核心申请条件（2025 最新版）

法律主体与合规性：具备独立法人资格，持有有效营业执照，经营范围含 IT 服务（如运维、定制开发、系统集成）；体系运行期间及建立前 1 年内无 IT 服务相关行政处罚，符合《网络安全法》《数据安全法》等法规。

体系运行要求：按 ISO/IEC 20000-1:2018 标准建立文件化 IT 服务管理体系，且持续有效运行≥3 个月；覆盖服务级别、事件、问题、变更、配置、发布等核心流程。

内审与管理评审：完成至少 1 次覆盖全部门的内部审核，出具内审报告及不符合项整改记录；高层主持管理评审，评估体系适宜性、充分性与有效性，形成评审纪要与改进决议。

资源与人员：配备 1-2 名持证内审员，关键岗位（如服务台、运维、项目经理）有岗位说明书与培训记录；具备与 IT 服务匹配的基础设施（如监控工具、测试设备）及维护 / 校准记录。

二、完整材料清单（按类别整理）

1. 法律与主体资质材料

营业执照复印件（加盖公章），三证合一无需额外提供组织代码证、税务登记证；行业特殊资质（如 IDC/ISP 许可证、涉密信息系统集成资质，适用时）。

组织简介（约 1000 字）、组织机构图、职能分工文件，明确各部门与岗位在 IT 服务中的职责。

多场所运营需提供各场所地址、业务范围及管理架构说明。

2. 体系文件材料

服务管理手册（含质量方针、目标、体系范围、文件结构）；程序文件（覆盖 16 项核心流程：服务级别、能力、可用性、连续性、预算核算、业务关系、供方、事件、问题、配置、变更、发布、信息安全、服务报告等）。

作业指导书（如服务台操作规范、变更审批流程、配置项命名规则）、记录表单模板（如事件工单、变更请求单、配置项台账）。

体系文件与 ISO20000 标准的对照说明，版本控制清单（含发布 / 修订日期、审批人）。

服务目录、服务级别协议（SLA）、运维合同 / 客户服务协议（证明服务承诺落地）。

3. 运行与审核记录材料

体系运行≥3 个月的证据：事件处理日志、变更审批记录、配置管理数据库（CMDB）台账、服务报告、SLA 达成率统计、客户满意度调查结果。

内部审核材料：内审计划、检查表、不符合项报告、整改记录与验证证据。

管理评审材料：评审计划、会议纪要、输入输出文件（如客户反馈、绩效数据、风险评估报告）、改进措施跟踪表。

供方管理记录：合格供方名录、评估报告、采购合同、绩效评价记录（适用时）。

4. 其他补充材料

体系保密性声明（涉及客户数据时）；内审员资质证书、员工 IT 服务管理培训记录。

基础设施与工具清单（如监控系统、漏洞扫描工具）、设备校准 / 维护计划及记录。

三、全流程审核步骤（含时间节点）

体系筹备与搭建（1-2 个月）：成立推进小组，明确认证范围与目标；编写体系文件，发布并组织全员培训；搭建 CMDB、服务台等支撑工具，制定 SLA 与服务目录。

体系试运行（≥3 个月）：按文件执行 IT 服务流程，同步记录事件、变更、配置等数据；定期监控 SLA 达成率、客户满意度等指标；发现问题及时优化流程，保存试运行记录。

内审与管理评审（2-3 周）：内审员按计划开展内审，整改不符合项；高层主持管理评审，输出改进决议；整理内审报告、评审纪要及整改证据，确保闭环。

认证申请与文件审核（1-2 周）：选择 CNAS 认可的认证机构，提交申请表与全套材料；机构开展第一阶段审核（文件审核），核查文件符合性与认证范围，企业限期整改文件问题。

现场审核与整改（2-4 周）：机构开展第二阶段审核，通过访谈、记录抽查、现场观察验证流程执行有效性；出具不符合项报告，企业在 30 日内完成整改并提交验证材料。

发证与维护：整改通过后获 3 年有效期证书，认监委公示；获证后每年 1 次监督审核，3 年期满前 6 个月申请再认证，流程同初评但简化文件审核，重点核查持续改进与合规性。

四、关键注意事项

认证范围需与营业执照经营范围匹配，明确 IT 服务类型（如 “IT 基础设施运维”“定制软件开发配套运维”），避免范围过宽或不符导致审核失败。

体系文件需与实际操作一致，杜绝 “文件与执行两张皮”；试运行记录需连续、可追溯，如事件工单需包含提交 - 处理 - 关闭全流程信息。

内审与管理评审需真实有效，整改记录需有证据支撑（如修订后的文件、培训签到表、客户确认单）。

选择认证机构时，优先选熟悉中小 IT 企业业务的 CNAS 认可机构，审核费更适配预算，且沟通效率更高。