本書將從認證方案制定、調(diào)研訪談、咨詢審核機構選擇、組織內(nèi)部流程4個方面來介紹認證準備階段工作。事實上，雖然這四部分內(nèi)容是大多數(shù)組織通過IT認證所必不可少的，但由于每個組織的組織架構和管理基礎的不同，前期準備需要完成的具體工作會有一定的差異，通過認證的過程也會不同。因此，組織應“因地制宜”地開展認證實踐工作。

IT服務管理體系的建設，首先是管理問題，其次才是技術問題。成功和失敗的經(jīng)驗都表明，需要首先解決管理體制和機制的問題，建立以客戶為中心的理念，培養(yǎng)服務意識和質(zhì)量意識，建立內(nèi)部可行、科學的服務模式；其次才是借助軟件工具將管理流程固化和優(yōu)化，利用自動化工具輔助和提升管理效率，實現(xiàn)技術和管理的有效結合。因此，在認證可行性分析時應更關注管理可行性，其次才是技術可行性。

資源與費用

資源與費用也是認證方案準備過程中需要了解的內(nèi)容之一。與實施計劃一樣，資源投入的多少主要取決于組織自身的成熟度，越成熟的組織需要在IT服務管理體系建設和完善上花費的資源相對越少。

人力資源：通常包括組織自身、第三方咨詢機構、認證審核機構等的人力資源，其中通常較為容易忽視的是組織在全員培訓上的人力投入。這在流程體系試運行和認證審核階段都是相當關鍵的。

工具資源：現(xiàn)階段，任何組織的IT服務管理體系都與工具軟件有一定關聯(lián)，而且這種依存度正在逐漸上升。組織在實施ISO 20000認證時，可能需要對其現(xiàn)有的工具平臺進行一定的調(diào)整，也可能需要采購一些新的產(chǎn)品。

ISO27001標準是為了與其他管理標準，比如ISO9000和ISO14001等相互兼容而設計的，這一標準中的編號系統(tǒng)和文件管理需求的設計初衷，就是為了提供良好的兼容性，使得組織可以建立起這樣一套管理體系：能夠在程度上融入這個組織正在使用的其他任何管理體系。一般來說，組織通常會使用為其ISO9000認證或者其他管理體系認證提供認證服務的機構，來提供ISO27001認證服務。正是因為這個緣故，在ISMS體系建立的過程中，質(zhì)量管理的經(jīng)驗舉足輕重。