ISO20000认证申请条件中的供应商评估标准评审频率，多久一次

供应商评估不是“一锤子买卖”，而是持续护航的节奏感

ISO20000认证里头，很多人盯着流程、文档、服务目录这些“显性功夫”，却容易忽略一个悄悄托底的关键动作——供应商评估。它不是签完合同就束之高阁的纸面流程，而是贯穿整个服务生命周期的“健康体检”。那问题来了：这体检，到底多久做一次？一年？半年？还是出了问题才临时翻旧账？

评审频率不是拍脑袋定的，而是由风险驱动的

标准原文没写死“必须每X个月评一次”，但ISO/IEC 20000-1:2018第8.2.3条明确要求：组织应“定期评审外部供应商的绩效，并根据风险和影响调整评审频次”。换句话说——低风险、合作稳定、交付连续三年零偏差的云服务商，可能半年一评；而刚接入的新运维外包团队，头三个月就得月度跟进+现场抽查。九蚂蚁在帮客户落地时发现，真正合规又实用的做法，是把供应商按“服务关键性+历史表现”二维打分，自动匹配评审颗粒度：核心系统供应商建议季度必审，非关键辅助类可放宽至半年，但每次评审后必须留痕、有改进闭环。

别让“定期”变成“定时”，活用PDCA才是真合规

很多企业把“定期评审”理解成日历提醒式打卡——到点填张表、走个签字流，结果评估报告和实际服务脱节。我们陪客户做过复盘：有家金融客户曾因供应商变更监控工具未同步报备，导致故障响应延迟17分钟，而上一次评估距今才4个月。问题不在频次，而在评审是否真触达服务实质。现在九蚂蚁辅导客户时，会嵌入“轻量级动态监测点”：比如API调用成功率周报自动抓取、SLA达成率红黄灯预警、甚至供应商工程师驻场出勤率的小数据看板——让评审从“被动等周期”转向“主动捕异常”。

小结一句大实话：

评审频率本身不重要，重要的是你有没有一套让供应商“不敢松懈、也愿意配合”的机制。与其纠结“多久一次”，不如先问问自己：我的供应商清单里，谁在扛着业务命脉？谁的变更可能让我今晚加班？答案清楚了，节奏自然就有了。