ISO0 内审员培训笔记Word文件下载.docx

1、服务交付流程 服务级别、服务连续性和可用性、容量、财务、信息安全管理 以客户和业务为中心 长期流程，需制定计划 服务和服务级别的持续改进 注意ISO/IEC20000在流程名称上有服务报告和其他细小的差别关系流程 （1） 关系流程应该确保所有相关方都：理解和满足业务需要理解能力和限制理解职责和义务 流程应该确保客户满意度水平是适当的，未来的业务需求要得到充分的沟通和理解。关系流程 （2） 应该确定和商定业务供应商关系的范围、角色和职责，包括: 识别利益相关方 联系人 沟通渠道和频率 需考虑的角色? 高管层 / 管理代表 服务提供方 供应商 组织 / 内部小组 客户 / 作为供应商的客户 利益相

2、关方 内审员 业务关系经理 供应商经理 服务经理 流程负责人 职能经理 （如：变革经理） 业务关系管理是纯粹的客户感受服务管理体系要求 一组强制性要求（13个流程） （必须） 内容目录:引言 1. 范围 2. 标准化参考 3. 术语与定义 4. 服务管理体系总要求 5. 新的或变更的服务的设计和转换 6. 服务交付流程 7. 关系流程 8. 解决流程 9. 控制流程 计划P、执行D、检查C、处理A（戴明环） （4） 计划：建立服务管理体系、形成文件并达成一致，体系包括满足服务要求必需的政策、目标、计划和流程 执行：实施和运行服务管理体系 检查：对照政策、目标、计划和要求对服务管理体系进行监督、

3、衡量和评审，并报告结果 处理：采取措施持续改进服务管理体系和服务的绩效 监督和评审服务管理体系 （检查） （4.5.4） 服务提供方应使用合适的方法来监督和衡量服务管理体系和服务，包括内审和管理评审，这两者都: 把目标形成文档 证实服务管理体系和服务能够达成服务管理目标并满足要求的能力 识别出针对标准本部分要求、服务管理体系要求和服务需求的不符合项 应记录内审和管理评审的结果和处理措施并与相关方沟通 应进行内审以确定服务管理体系和服务是否得到了有效实施和维护并且满足了相应的要求， 包括:程序文档，审核规划，以及确定的标准、范围、频率和方法 审核员的选择和行为应确保客观性和公正性 （一定不能审自

4、己的工作） 对不符合项进行沟通并划分优先级，对处理措施的责任进行分派 纠正措施不应该耽搁，应对采取的措施进行验证，并报告结果 初始认证审计：DR（文件审计） +IV 初访IA 初审 （做完DR-IV不能少于1个月,不超过3个月）PA 年审RA 重新认证审核管理评审：高管层应按照规划的间隔评审服务管理体系和服务的适应性和有效性，确定改进的机会。输入应该包括 : 客户反馈、服务和流程的符合性 当前和未来对所需资源的级别和能力的要求 风险 审核和以前的评审结果和跟踪措施 预防和纠正措施的状况 识别变更和改进机会 服务连续性和可用性管理 （6.3） 计划应包括或参考 发生重大服务缺失时执行的程序 当计

5、划被启用时的可用性要求和目标 恢复要求 恢复到正常工作状态的方法 现场外可用的计划、清单 和 配置管理数据库CMDB 评估所有变更对上述计划的影响 应对可用性进行监督，把结果同目标进行比较 计划外的不可用性必须加以调查，并采取措施 两个计划都要依据适当的要求进行测试，发生重大变化后要再次测试 要记录测试结果，在每次测试和计划启用后，要进行评审； 发现不足后，要采取必要的措施加以解决，并报告采取的措施 服务的预算和核算 （6.4） 与其他财务管理流程有明确的接口，应有关于以下方面的政策和程序 服务组件的预算和核算，包括: 资产、许可证、资源、管理费用、资本和运营费用，外部提供的服务，人员和设施

6、为服务分摊间接成本和分配直接成本 有效的财务控制和批准 应对支出进行预算以便能够进行有效的财务控制和决策 对照预算监督和报告支出，审核财务预测，并管理支出 支持变更请求成本的信息 容量管理 （6.5） 服务提供方应识别容量和绩效要求并与客户和相关方达成一致 制定容量计划，其变更通过变更管理流程加以控制 该流程应包括当前和预测的服务需求 协商一致的要求对其他流程的影响 服务容量升级的时间表和成本阈值 法律法规、合同或组织变更的影响 新技术和新工艺的影响 能够进行预测性分析或可以参考的程序 监督容量使用情况，分析容量数据和调整性能，以满足协商一致的容量要求 信息安全管理 （6.6） 信息安全政策

7、（6.6.1） 应由具有充分权限的管理者批准安全政策，并考虑到服务需求、法律法规和合同的要求。管理者应: 向适当的人员传达政策以及符合政策的重要性 建立信息安全目标 明确管理风险的方法，按照计划的间隔进行风险评估 确保信息安全内审得以实施，对其结果进行了评审，并识别了改进机会 业务关系管理 （7.1） 服务投诉 对投诉的定义与客户达成一致 使用程序文档管理投诉 对投诉要进行记录、调查、采取措施、报告和关闭 对未解决投诉的升级流程 客户满意度 按照计划的间隔对有代表性的客户进行衡量 分析和评审结果，识别改进机会 服务投诉:供应商关系管理 （7.2） 将协商一致的合同存档，应包括交付服务的范围，服

8、务、流程和各方之间的依赖关系 要求，服务目标 供应商和其他方运行的服务管理流程之间的接口 将供应商的活动整合到服务管理体系 工作量的特性，合同例外的处理 服务提供方和供应商的权利和职责 供应商进行报告和沟通的义务 收费的依据 （提前或预期的）合同终止及服务转移 配置管理 （9.1） 每个类型的配置项应有书面定义 有效控制所需的信息包括 CI的描述、关系 （配置项与其他配置项，配置项与服务组件）、状态、版本、相关的 （变更请求、问题和已知错误） 配置项应唯一识别并记录在CMDB中 管理CMDB以确保可靠性和准确性，尤其要控制对CMDB的更新访问 把记录、控制和跟踪配置项版本的程序形成文档，维护其

9、完整性，考虑到与配置项相关的风险和服务需求 按照计划的间隔审核 CMDB中的记录 CMDB信息可用于支持对变更请求的评估 配置项的变更应可追溯并可审核，以维护配置项和 CMDB的完整性 在发布和部署前确定配置项的基线 保护并存储所有的电子主备份 定义配置管理流程和财务资产管理流程之间的接口 第二章 为什么要审核?以及什么是审核?本章将覆盖以下内容: 为什么审核很重要 什么是审核及审核的输出 什么是审核的过程 谁将参与审核以及他们的责任第一方审核，内审。依据公司内部要求审核，要求比较高，比较详细。组织在他们关注的流程的风险区域进行审核第二方审核，外部审核，客户要求，保护客户利益。组织审核合同或供

10、应商相关的风险区域第三方审核，ISO审核，通用标准框架审核。最低要求。由独立机构进行的审核 （以风险管理为基础）认可机构：UKAS 审核的目的是为了符合行的评估。审核员不能评价服务管理过程，且不能提出改进意见。为什么审核很重要?审核（ISO19011,3.1 条款） 是一个系统的、独立的、文档化的获得审核证据，并客观评价这些证据以确定审核标准是否被履行的过程。审核的原则 审核员的原则 道德行为：是基本的职业要求 审核员期望在审核时遵守基本的原则：信任、诚信、保密和有判断力 审核员有责任报告审核发现和报告真实准确的审核结论 审核员在执行审核时，必须经过专业的审核训练？审核原则 审核必须依据基本的

11、公正和客观原则进行。一个基本的要求是审核员不能审核自己的工作 审核必须基于客观证据，使用系统的审核流程和达到可靠及可重复产生审核结论。审核准则的意义 审核准则被用来作为审核证据比较的参照 审核准则是审核发现符合或不符合唯一参照的基础 最终的审核结论，最终产生于考虑了所有的审核发现 审核准则因此非常重要 审核准则包括IT 服务管理方针（策略）、支持方针策略的程序和客户要求。审核准则的举例 管理层需要授权ITSM 的实施 管理层需要测量服务水平的有效性以验证业务要求是否得到满足。要求可以来自不同的出处： 组织的流程和运营 组织的管理手册 程序 作业指导书 规范说明 法律法规需求 实践规则 系统标准

12、 这里很重要的一点是要求不仅是审核员的“期望”。要求必须是确实的不是审核员自己的施加的影响。不符合事项 不符合事项是实施和维护过程中、一项或多项IT 服务管理体系要求要素的缺失或失效，或一种依据客观证据对IT 服务管理体系达成组织的IT 服务方针和目标的能力有显著怀疑的状态。EA 7/03:2002 不符合:没有履行一个要求 对不符合确实存在相关的要素：要求、失误和证据 失误 需澄清一定有失误否则就没有问题 证据 必须获得“客观证据” 客观证据可以通过观察、测量、测试或其他方式获得。观察项 观察项可以是： 潜在的问题 风险 无效率 无效 应用最佳实践失效 错误理解 值得努力 （表扬）值得努力的

13、例子： 采用最佳实践 证明改善 高层的承诺 鼓舞 系统优化 Activity 活动 LA A MR1.协助审核小组的选择 LA2.负责所有阶段的审核 LA3.为第一、二方审核确定目标 MR4.选择审核员 LA5.与审核小组协作 MR6. 计划审核 LA7. 符合审核要求，范围和审核目标 LA A8. 选择内审员和小组 MR9. 确定审核时间表 MR10.接收审核报告 MR11.评审体系文件 LA12.计划和执行审核活动 LA13. 不管是否因为IT 服务管理体系的问题与外部相关方联络 LA14. 监控审核过程 LA15. 为持续改进做出贡献 LA A MR16. 对审核小组进行简报 LA17.

14、 报告审核发现 LA A18. 提供授权和资源 MR19. 向管理层报告IT 服务管理体系的绩效和改进的需要 MR20. 提供资源 MR21. 代表审核小组 LA22. 验证纠正措施的有效性 LA23. 与内审员协商确定范围 LA24. 告知员工目标 MR25. 改进IT 服务管理体系及其过程的有效性 MR26. 报告和解决任何的障碍 LA27. 行动依据道德和明智的方式 LA A MR28. 批准审核准则 MR29. 提供设施 MR30. 改进与客户要求相关的产品 MR31. 报告审核结果 LA32. 支持内审员 MR33. 批准审核计划 MR34.指定员工陪同审核 MR35.建立适当的沟通过程 MR LA36. 与被审核方联系 LA37.接收报告和决定发放范围 MR 38. 提供访问设施、人员、信息和记录 MR观察员：审核开始后不能 参与审核工作，只能看听。向导：审核员的要求：案例分析：写审核发现观察项写法：公司应考虑完善事件确认流程。