1. 体系筹备与搭建：组织成立推进小组，学习标准要求，结合自身业务梳理现状（如ISO27001需做风险评估，ISO20000需梳理IT服务流程），编写体系文件（如手册、程序文件）。

2. 体系试运行：正式运行搭建好的管理体系，记录运行数据（如ISO27001的安全事件记录，ISO20000的故障处理记录），持续优化体系漏洞，试运行周期通常≥3个月。

3. 内部审核（一阶段审核）：组织内部审核员对照标准，整理体系运行的符合性和有效性，出具内部审核文字，整理发现的问题。

4. 管理评审（二阶段审核前）：管理者主持评审，确认体系是否满足组织目标、是否需要调整，确保体系持续适宜。

5. 三方认证审核：

- 一阶段（文件审核）：机构审核体系文件是否符合标准要求，提出文件指导意见。

- 二阶段（现场审核）：审核员到组织现场，检查体系实际运行情况（如访谈员工、查看记录），判断符合申请要求，出具审核文字。

6. 拿到文凭与监督：若审核通过，机构颁发文凭（有效期3年）；3年内每12个月需进行一次监督审核，3年后需重新进行换本审核以维持文凭有效性。

关键差异点

- ISO27001：在“体系搭建”阶段需额外完成信息资产盘点和风险评估与处置（如识别数据泄露风险并编写加密措施），这是其前置步骤。

- ISO20000：在“体系搭建”阶段需主要梳理IT服务流程（如事件管理、变换管理）并明确服务级别协议（SLA，如故障1小时内响应），流程规范性是审核关键。