3.4.4第二阶段审核
第二阶段审核应在具备实施认证审核的条件下在申请组织的场所进行。如果第一阶段审核提出影响实施第二阶段审核的问题，这些问题应在第二阶段审核前得到解决。第二阶段审核的目的是通过在申请组织的现场进行系统、完整
地审核，评价申请组织的信息技术服务管理体系是否满足所有适用的认证依据的要求，并判断是否推荐认证注册。应重点关注申请组织是否充分识别了信息技术服务管理过程的重要性，并证实与申请组织的信息技术服务活动是相适应的。
认证机构应要求申请组织证实其对信息技术服务管理过程的分析和组织运作实施了适当的控制措施，应包括：
(1)服务交付过程(服务级别管理，服务报告，服务连续性和可用性管理，信息技术服务的预算和核算，能力管理，信息安全管理)；
(2)关系过程(业务关系管理，供方管理)；
(3)处理过程(事件管理，问题管理)；
(4)控制过程(配置管理，变更管理)；
(5)发布过程(发布管理)。
3.4.5 信息技术服务管理体系文件与其他管理体系文件的整合
只要信息技术服务管理体系以及与其他管理体系的适当接口能够清楚地被识别，可以允许申请组织将信息技术服务管理体系文件与其他管理体系文件(例如，质量管理体系、环境管理体系，职业健康安全管理体系等)相结合。
3.4.6 管理体系结合审核
3.4.6.1 认证机构可以仅提供信息技术服务管理体系认证服务，或结合信息技术服务管理体系认证提供其他管理体系认证服务。认证机构应有程序确保在结合审核的情形下，对诸如审核范围的界定、审核时间的确定、审核方案的策划等进行有效的管理。
3.4.6.2 可以把信息技术服务管理体系的审核和其他管理体系的审核相结合，但是这种结合必须以审核活动满足信息技术服务管理体系认证所有要求为前提，并且审核的质量不应由于结合审核而受到负面影响。在审核报告中，应清晰体现所有与信息技术服务管理体系有关的重要要素的描述并易于识别。
3.4.7 初次认证的审核结论
审核组应该对第一阶段和第二阶段审核中收集的所有信息和证据进行汇总分析，评价审核发现并就审核结论达成一致。
3.5 认证决定
3.5.1原则
3.5.1.1参加审核的人员不能再作为认证决定人员实施认证决定。
3.5.1.2 应该以认证过程中收集的信息和其他相关信息为基础，以充分的证据证实申请组织建立信息技术服务管理体系的管理评审和内部审核的方案已经得到有效实施并且将得到保持，才可决定申请组织通过认证。
3.5.2 决定
3.5.2.1对于通过认证的申请组织，向其颁发信息技术服务管理体系认证证书。
3.5.1.2对于未通过认证的申请组织，应以书面的形式明示其不能通过认证的原因。
3.6 监督审核
3.6.1 监督频次
认证机构应在满足认可要求的基础上，根据获证组织信息技术服务管理体系覆盖的业务活动的特点以及所承担的风险，合理设计和确定监督审核的时间间隔和频次。当获证组织信息技术服务管理体系发生重大变更，或发生重大问题、服务质量事故、客户投诉等情况时，认证机构视情况可增加监督的频次。
监督审核的最长时间间隔不超过12个月。由于获证组织业务运作的时间(季节)特点及其内部审核安排等原因，可以合理选取和安排监督周期及时机，在认证证书有效期内的监督审核必须覆盖信息技术服务管理体系认证范围内的所有业务活动。
3.6.2 监督审核应包括，但不限于以下内容：
(1)体系保持和变化情况；
(2)顾客投诉情况；
(3)涉及变更的范围；
(4)内部审核与管理评审；
(5)服务目录的变化情况；
(6)对上次审核时提出的不符合所采取纠正措施的审查；
(7)标志的使用和（或）任何其他对认证资格的引用；

(8)适当时，其它选定的范围。
3.6.3监督审核结果评价
对于监督审核合格的获证组织，认证机构应作出保持其信息技术服务管理体系认证资格的决定；否则，应暂停、撤销或注销相应的认证资格。